El despliegue de servicios de DNS

Una, DNS concepto básico

DNS (Servicios de nombres de dominio DNS): Servicios
de resolución de direcciones: Un análisis de nombre de dominio para explicar IP
en el cliente:
DNS apunta al archivo /etc/resolv.conf
comando ARP

host www.baidu.com ##地址解析命令
dig www.baidu.com  ##地址详细解析命令

Un registro: la dirección IP correspondiente al nombre de dominio registrado
en el servidor:
el paquete de instalación bind.x86_64
nombre del servicio denominado
archivo de configuración /etc/named.conf
directorio de datos / var / named
el puerto 53

En segundo lugar, instalar y activar los servicios de DNS

dnf search dns
dnf install bind.x86_64 -y      ##安装服务
systemctl enable --now named    ##开启服务并设定开机启动
netstat -antlupe | grep named   ##查看服务端口

información de configuración de servidor de seguridad
en el cliente de DNS editado puntos a un archivo /etc/resolv.conf, apuntando a la IP del servidor DNS

En la dirección de ejecución del cliente para analizar el comando muestra el servicio no se puede llegar
a modificar el archivo de configuración /etc/named.conf, cambiar a la línea abierta de 53 a 11 puertos en todas las interfaces de red local

listen-on port 53 { any; };

Puedes volver a dns interfaz de red de servicio
realiza de nuevo comando de resolución de direcciones
para cambiar el archivo de configuración /etc/named.conf vez más, todas las 19 líneas modificadas para permitir a los clientes grabar consulta Un

allow-query     { any; };

comando de resolución de direcciones
de servidor DNS, la red se ha configurado para conectarse a redes externas, así descartar un problema de DNS no puede llegar a un nivel más alto en la manipulación de DNS fichero de configuración puede almacenar en caché la información externa, modificando el archivo de configuración /etc/named.conf maestro, la línea 34 para desactivar los dns de detección, DNS dicha información externa puede almacenar en caché en esta unidad

dnssec-validation no;

servicio de reinicio de la ejecución de nuevo comando ARP es exitosa
suma pertenece, los mensajes de error que pueden aparecer en un sistema abierto son los siguientes:
1, sin mostrar ningún servidor podría ser alcanzado, indica que el servicio no puede acceder, posibles causas son: ① servicio no está abierto; ② ④ puerto está abierto; cortafuegos permite el servicio está activado; ③ si el enlace de red
2 cuando la excavación pantalla de consulta del estado como NOERROR, sobre el éxito o
3, cuando se negó la pantalla de consulta del estado de excavación, mostrando servicio denegado el acceso
. tiempo de 4, excavación Comprobar el estado estado se muestra como SERVFAIL, indica que el registro de consultas no, puede haber dos razones: ①dns incapaces de llegar a un nivel más alto, tiene que ser capaz de conectarse al servicio de redes externas dns; ②dns no puede caché externa necesidades de seguridad de información que debían mantenerse en el archivo de configuración para que la información externa puede entrar en el host en
5, cuando el estado es el estado de consulta excavación NSDOMAIN, a representa el nombre de dominio en el registro DNS no existe

En tercer lugar, la caché de DNS

Escribir los siguientes parámetros en el archivo de configuración global

forwarders  { 114.114.114.114; };

En la determinación del cliente el nombre de dominio www.sina.com 1, la pantalla tiene 111ms de tiempo
2 www.sina.com de nuevo resolver el nombre de dominio en el lado del cliente, se necesita tiempo para 2ms pantalla
cuando se gira a dicho servicio de caché DNS permite a las empresas resolver para acelerar la velocidad a la que el internet

Cuatro, DNS determinación positiva

4.1 Análisis Adelante: Búsqueda de dominio de acuerdo con la dirección IP

Hay un /etc/named.rfc1912.zones subcarpeta en el dns, esta subcarpeta gestiona toda la zona, escribiendo esto en una subcarpeta nuestra área personalizada

zone "wang.com" IN {
        type master;    类型为主解析dns
        file "wang.com.zone";  文件名称
        allow-update { none; }; 
};

Un registro escrito de los contenidos del archivo especificado en wang.com.zone

cd /var/named/
cp named.localhost wang.com.zone ##named.localhost为A记录的模板
vim wang.com.zone

En el wang.com.zone archivo escrito de la siguiente manera:

$TTL 1D
@       IN SOA  dns.wang.com. root.wang.com (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      dns.wang.com.
dns     A       192.168.0.11
www     A       192.168.0.111

Después de reiniciar el sistema cliente con los siguientes resultados:
A partir de los resultados, la máquina es muy rápido analítica

4.2 correo

La transferencia del correo protocolo SMTP, el software necesario para soportar el software de sufijo común. necesidades de envío de software de e-mail que se instalarán compatibilidad con el protocolo, así como cliente de correo
en el proceso de enviar un mensaje, se necesita un correo DNS del servidor preguntarse, ¿qué es el registro del servidor MX electrónico del remitente, por lo que también es necesario enviar un mensaje de DNS de apoyo
instalar postfix software e iniciar el servicio

dnf install postfix -y
systemctl enable --now postfix.service 
dnf install mailx -y

Pantalla rebotó al enviar cliente de correo para el dominio "wang.com" alguien que está

editando el archivo /var/named/wang.com.zone

$TTL 1D
@       IN SOA  dns.wang.com. root.wang.com (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      dns.wang.com.
dns     A       192.168.0.11
www     A       192.168.0.111
wang.com. MX 1  192.168.0.11.

Lo cual wang.com. MX 1 192.168.0.11.indica que cuando se le preguntó IP responsable del dominio de correo "wang.com" es quién va a 192.168.0.11.
Para probar el cliente, puede enviar

Cinco, búsqueda inversa de DNS

análisis inverso: de acuerdo con la dirección IP búsqueda de nombre de dominio
cambio en los contenidos de los archivos de configuración /etc/named.rfc1912.zones

 zone "0.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.0.ptr";
        allow-update { none; };
 };

Escribir en el archivo de 192.168.0.ptr

cp -p named.loopback 192.168.0.ptr
vim 192.168.0.ptr 
$TTL 1D
@       IN SOA  dns.wang.com  root.wang.com (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      dns.wang.com.
dns     A       192.168.0.11
111     PTR     www.wang.com.
112     PTR     news.wang.com.

Probado el cliente después de que el servicio de reinicio, el éxito del análisis inverso

Bi-direccional de análisis sintáctico seis, DNS de

Client 1 192.168.0 segmento
segmento de clientes 2 172.25.254
IP del servidor DNS comprende dos segmentos, respectivamente 172.25.254.11 192.168.0.11 y
el cliente en el archivo 1 se cambia a dns

nameserver 192.168.0.11

El cliente DNS apunta a un archivo en lugar de 2

nameserver 172.25.254.11

Dirección IP del cliente en un comando show ejecución analizado es 192.168.0 segmento
si el cliente IP 192.168.0 segmento obtenido al hacer la resolución de direcciones de red 192.168.0 1 y segmentos de clientes 172.25.254 2 obtenido al final do la resolución de direcciones IP es 172.25.254 segmento de red, una de dos vías completa analizar los dns
para lograr bidireccional analizarse, los archivos de un bloque de conjunto de registros de archivos si el duplicado
copiar un archivo de registro

cd /var/named
cp -p wang.com.zone wang.com.inter #得到外网的A记录文件
vim wang.com.inter
$TTL 1D
@       IN SOA  dns.wang.com. root.wang.com (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      dns.wang.com.
dns     A       172.25.254.11
www     A       172.25.254.111   # 将wang.con.zone文件中的192网段改为172网段

Copiar la configuración de bloqueo de archivos

cp -p /etc/named.rfc1912.zones /etc/named.rfc1912.inters 
vim /etc/named.rfc1912.inters 
zone "wang.com" IN {
        type master;
        file "wang.com.inter";  ##文件名称
        allow-update { none; };
};

Cambiar el archivo de configuración global

vim /etc/named.conf
#zone "." IN {     ##将配置文件中原有的这些内容注释掉
#       type hint;
#       file "named.ca";
#};

#include "/etc/named.rfc1912.zones";
#include "/etc/named.root.key";

view localnet {     #设置内网解析信息
match-clients { 192.168.0.0/24; };  
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
};

view internet {     #设置外网解析信息
match-clients { any; };
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.inters";
include "/etc/named.root.key";
};

En la reanudación del servicio en un resultado de la prueba para el cliente
en los resultados de las pruebas del cliente 2

Siete, clúster de DNS

ip a anfitrión 192.168.0.11 servidor principal dns, ip es 192.168.0.12 anfitrión desde el servidor de DNS, DNS es necesario clúster para compartir la carga de los servicios de DNS de host cuando la cantidad de datos cuando el servicio DNS de acogida está creciendo, principalmente es para asegurar que cuando el archivo de datos se actualizan en los principales DNS, DNS servicio desde el host puede actualizar los datos.
En la descarga paquete de servicios DNS BIND del host e iniciar el servicio DNS
es similar a la anterior y permitir que el proceso de DNS, deben hacerse como se muestra en los principales archivos de configuración cambia
la configuración en el campo de formato siguiente en el archivo de configuración /etc/named.rfc1912.zones

zone "wang.com" IN {
        type slave;  #类型为从dns
        masters { 192.168.0.11; };  #主dns的ip
        file "slave/wang.com.zone";  #数据存放文件，将主dns主机中的数据文件同步过来
};

Reiniciar servicio de prueba en un cliente
cuando los principales dns el contenido del archivo de datos se cambia
por los clientes de resolución de DNS primario oportuna identificación de una actualización
pero sustituyendo el cliente de resolución DNS no es capaz de identificar a tiempo las actualizaciones
a que a partir de DNS oportuna de actualización de reconocimiento, es necesario cambiar el contenido en el archivo maestro principal DNS de configuración de la siguiente manera
y en el archivo de datos por número actualización /var/named/wang.com.zone número de serie / versión será actualizada de DNS comunicadas al
servicio de reinicio de nuevo en las principales dns la analítica del cliente DNS

Ocho, actualizaciones de DNS

8.1 actualiza basándose en la dirección IP

En el servidor DNS editar los archivos de configuración /etc/named.rfc1912.zones, permitirá actualizar la línea cambiada para permitir la IP 192.168.0.10 serie de actualización
después de que el servicio de reinicio para funcionar como un host cliente IP 10

[root@rhel7_node1 ~]# nsupdate
> server 192.168.0.11
> update add xixi.wang.com 86400 A 192.168.0.111
> send

Si la prueba se puede realizar para resolver el nombre de host

dig xixi.wang.com

Actualizar Borrar

> update delete xixi.wang.com 
> send
> quit

8.2 basado en la actualización clave

Ejecute los siguientes comandos en el servidor DNS para generar los archivos clave

dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST wang

-un	Especificar el algoritmo de cifrado
-si	seguridad de la codificación especificada
-norte	Especificar el tipo de
Wang	Nombre del archivo de claves

Obtener dos archivos de
archivos clave :. Kwang + 163 + 10834.key
archivo de clave privada :. Kwang + 163 + 10834.private

cat Kwang.+163+10834.key
wang. IN KEY 512 3 163 eXiR2xD8wPaXj5X5IBr5xA==

archivos de control remoto generan Domain Name Service

cp -p /etc/rndc.key /etc/wang.key
vim /etc/wang.key
  key "wang" {
           algorithm hmac-sha256;
           secret "eXiR2xD8wPaXj5X5IBr5xA==";
  };

Editar el archivo de configuración global

vim /etc/named.conf 
include "/etc/wang.key";

Editar los archivos de configuración /etc/named.rfc1912.zones

vim /etc/named.rfc1912.zones
zone "wang.com" IN {
         type master;
         file "wang.com.zone";
         allow-update { key wang; };   #允许名为wang的key更新
         also-notify { 192.168.0.12; };
 };

Reinicie el servicio y la clave para el cliente

systemctl restart named
scp /mnt/Kwang.+163+10834.* root@192.168.0.10:/mnt

Actualizada en el cliente

[root@rhel7_node1 mnt]# nsupdate -k /mnt/Kwang.+163+10834.private 
> server 192.168.0.11
> update add xixi.wang.com 86400 A 192.168.0.112
> send

Compruebe si la actualización se ha realizado correctamente

dig xixi.wang.com

九, DDNS (DHCP + DNS)

Cuando una ip host cliente obtiene a través de DHCP, IP Este anfitrión puede haber cambiado, ¿cómo podemos hacer que la resolución DNS identificar IP y nombre de host de la correspondencia dinámica es un problema que tenemos que solucionar
instalar DHCP en el servidor DNS servicio permite a la máquina cliente a obtener de forma dinámica IP, archivo de configuración de servicio DHCP edición de
cliente en la red en lugar de DHCP
cliente en el nombre de host a dns2.wang.com

hostnamectl set-hostname dns2.wang.com

Con el fin de que el cliente pueda resolver el nombre de host a dns2.wang.com necesidad de cambiar el archivo de configuración del servicio DHCP IP en el servidor DNS

analiza el cliente
para cambiar el archivo de configuración dhcp pool de direcciones alcance del
cliente reiniciará el peso del dispositivo tarjeta de red después de re-análisis sintáctico
puede ser alcanzado de análisis dinámico