サービスを安定させることができることを確実にするために、サーバーのダウンタイムを回避するためには、一度だけ発生し、DNSサービスを提供することはできません。すべてはマスターとスレーブDNSサーバーのアーキテクチャを持っています
プライマリおよびセカンダリDNSサーバからマスター:()
詳細は注意すべきである:
1.プライマリおよびセカンダリサーバがドメインレベルの概念である;
; 2.ネットワークと時間プライマリおよびセカンダリ同期サーバ間の円滑なコミュニケーションを保証しなければならない
ようにするには3をすべてのネームサーバーのすべてのネームサーバがデータベース領域にNSリソースレコードを追加する必要があるために識別して使用することができ、
NSリソースレコード領域4.データベースは、該当するレコードを持っている必要があります。
5.サーバーから/ var /名前/スレーブディレクトリにデータベースファイルからコピーされ、デフォルトで保存することができます。
6.プライマリサーバ上のサーバ領域からアクセス制御コマンドを許可する必要があり、同時にサーバーからマスターサーバーを指定します。
:時刻同期サーバからメインフレームワークていることを確認する前に
、1つのサーバーがタイムサーバーをネットワークに同期させることができます
例;
〜]#cn.pool.ntp.orgにntpdate
2.把主服务器设置为主从架构中的时间服务器,让从服务器同步到主服务器
示例:
主:~]# vim /etc/ntp.conf
添加:server 127.127.1.0 iburst
主:~]# systemctl start ntpd.service
从:~]# ntpdate 172.16.72.1
//172.16.72.1(主服务器端)
サーバの例示的なマスタ-スレーブ・アーキテクチャ:
編集1:(/etc/named.confの)メインプログラムサーバ(172.16.72.1)にメイン設定ファイルに結合
{ゾーン「qhdlink.com」INの
型マスターを、
「qhdlinkファイル。ゾーン「;
許可更新{なし;};
許可転写{172.16.69.1;};
//現在のサーバ(172.16.69.1)からエリアサーバから転送することができる可能
}。
zone "16.172.in-addr.arpa" IN {
type master;
file "172.16.local";
allow-transfer { 172.16.69.1; };
//允许从服务器(172.16.69.1)能够从当前服务器进行区域传送
};
zone "188.168.192.in-addr.arpa" IN {
type master;
file "192.168.188.local";
allow-transfer { 172.16.69.1; };
//允许从服务器(172.16.69.1)能够从当前服务器进行区域传送
};
2.在主服务器(172.16.72.1)编辑各个zone(区域配置段)中的对应文件:qhdlink.zone、172.16.local、192.168.188.local
1)
named]# touch qhdlink.zone
named]# chmod 640 qhdlink.zone
named]# chgrp named qhdlink.zone:
named]# vim qhdlink.zone
$ORIGIN qhdlink.com.
$TTL 86400
@ IN SOA ns1.qhdlink.com. root.qhdlink.com. (
2018040701;Serial
1H;Refresh
15M;Retry
1W;Expire
1D);Minimal TTL
IN NS ns1.qhdlink.com.
IN MX 10 mail.qhdlink.com.
ns1 IN A 172.16.72.1
mail IN A 172.16.72.1
www IN A 172.16.100.100
www IN A 172.16.100.101
www IN A 172.16.100.102
web IN CNAME www
ftp.qhdlink.com. IN CNAME web.qhdlink.com.
* IN A 172.16.200.1
qhdlink.com. IN A 172.16.200.2
bbs IN A 192.168.100.101
2)
named]# touch 172.16.local
named]# chmod 640 172.16.local
named]# chgrp named 172.16.local
named]# vim 172.16.local
$ORIGIN 16.172.in-addr.arpa.
$TTL 86400
@ IN SOA ns1.qhdlink.com. root.qhdlink.com. (
2018040701;
1H;
15M;
1W;
6H);
IN NS ns1.qhdlink.com.
1.72 IN PTR ns1.qhdlink.com.
1.72 IN PTR mail.qhdlink.com.
100.100 IN PTR www.qhdlink.com.
101.100 IN PTR www.qhdlink.com.
102.100 IN PTR www.qhdlink.com.
1.200 IN PTR qhdlink.com.
3)
named]# cp -p 172.16.local 192.168.188.local
named]# vim 192.168.188.local
$ORIGIN 188.168.192.in-addr.arpa.
$TTL 86400
@ IN SOA ns1.qhdlink.com. root.qhdlink.com. (
2018040701;
1H;
15M;
1W;
6H);
IN NS ns1.qhdlink.com.
101 IN PTR bbs.qhdlink.com.
3.编辑:在从服务器(172.16.69.1)中的BIND程序的主配置文件(/etc/named.conf)
options {
listen-on port 53 { 127.0.0.1; 172.16.69.1; };
//在启动DNS服务时,named进程所监听的172.16.69.1:53此套接字
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { 172.16.72.1; };
//允许本服务器处理主服务器(172.16.72.1)发送来的解析查询请求
//"172.16.72.1"也可改成"any",允许允许本服务器处理所有主服务器发送来的解析查询请求
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
zone "qhdlink.com" IN {
type slave;
masters { 172.16.72.1; };
file "slaves/qhdlink.slave.zone";
allow-transfer { none; };
};
zone "16.172.in-addr.arpa" IN {
type slave;
masters { 172.16.72.1; };
file "slaves/172.16.slave.zone";
allow-transfer { none; };
};
zone "188.168.192.in-addr.arpa" IN {
type slave;
masters { 172.16.72.1; };
file "slaves/172.168.188.slave.zone";
allow-transfer { none; };
};
4.检测区域文件的语法格式.并关闭防火墙和SElinux:
named]# named-checkconf
named]# iptables -F
named]# setenforce 0
5.对主配置文件或区域数据库文件进行修改之后,并不会立即生效;只有在重载配置文件和区域文件之后,配置才生效;重载配置文件的方法:
1.systemctl reload named.service(CentOS 7.x)
2.rndc reload
3.systemctl restart named.service(不推荐)
4.service named reload(CentOS 6.x)
注意:对于应用程序服务进程重载配置文件的操作,如果能使用reload,就使用reload,不要轻易执行restart命令;
6.配置完成进行测试
named]# dig @172.16.69.1 -x 192.168.188.101
named]# dig @172.16.69.1 -t A www.qhdlink.com
named]# dig @172.16.69.1 -x 172.16.100.100
経験:
A、B 2つのサーバーが同じIP / FQDNのDNS解決にすることができ
プログラム(/etc/named.confの)構成セクションエリア(ゾーン)BINDメイン設定ファイルサーバ場合とする1対応するデータベースファイル(XXX.zone)DNSを解決し、
ゾーン2は、メイン設定ファイルサーバB(サーバなどからB)プログラムBIND(/etc/named.confファイル)が一致する構成を有していなければなりませんセグメントDNS解決に(ゾーン);
3. BIND「許可転送のメインプロファイルサーバプログラム(/etc/named.confの)構成セクション領域(ゾーン){ことを確認XXX.XXX.XXX.XXX ;}「転送ライセンスサーバの領域B開く、
マスター構成ファイルBINDサーバBプログラム(/etc/named.confの)グローバルコンフィギュレーションセクション(オプション)を維持しながら、4」リッスンのポート 53 " モニターサーバBのアドレス、「許可するクエリは、」B(ローカルサーバ)サーバによって送信されたクエリ要求を解決するためのプロセスを許可します
C作为客户端能够获取DNS解析
1.防火墙规则
2.对应的服务器端的全局配置段(options)中的"allow-query"允许服务器端处理C客户端发送来的解析查询请求
DNSフォワーダ:
グローバルフォワード:
1.定義:、管理サーバ(処理)のドメインからの要求で指定された再帰クエリサーバーですべての方法を転送することができない人のために、
2配置位置:バインド・ファイルの主要な構成( /etc/named.confの)グローバルコンフィギュレーションのセグメント(オプション)
区域转发:
1.定义:专门针对于某个特定的域的请求,如果不能给出权威答案,则转发至指定的服务器进行递归查询;
2.配置位置:在bind的主配置文件(/etc/named.conf)的区域配置段(zone)
转发的方法:
forward first:首先转发,当转发器中指定的服务器无响应时,再自行迭代查找;
forward only:只使用转发器中指定的服务器进行递归查询,如果无法获得答案,则直接返回否定答案;自身不再迭代查找;
注意:
1.任何形式的请求转发,都必须依靠被指定的服务器允许自身做递归查询;
2.根服务器只做迭代查询,不会为任何服务器做递归查询
なぜ、DNSフォワーダは:
1.があると仮定し、NS(ネームサーバー)の両方B、Aは、Bはマスター(プライマリネームサーバー)(ネームサーバからの)奴隷であり、クライアントのCされる
A 2.この構成セクションFQDN領域と分析www.test.com(ゾーン)領域、およびデータベース・ファイル(test.zone)、Cは、DNS解決に肯定的な回答を得るために指定することができる。
3.スレーブとしてBが、それ/etc/named.confのBではなくFQDN www.test.comに構成セクション領域(ゾーン)に、この領域は、データベースファイル(test.zone)上に存在しないの/ var /名前/スレーブで、それがあってもよいですBは、領域Aから転送されるのに十分な時間ではなく、コンテンツデータベース内の設定ファイルを更新するため;
4.このとき、C Bは、グローバル(DNS解決をBは/etc/named.confもオプションで、実行される指定された場合)構成セクションの「許可問合せ」を「{いずれか;}」(プロセスBは、Cクライアントは、Bのみを返すことができる肯定的な回答を得ることができない)クエリ要求を解決するための任意のホストが送信されることができ(DNSは、否定を解析します)Cにない
5.効率的な達成するために、サーバの可用性のため、Bは解決できない場合、このDNS解決 要求は、DNSフォワーダを使用して実装することができる処理に渡されます。
与えられた3台の仮想マシンテスト:
A:サーバー側(172.16.72.1)
B:ターミナルリピーター(172.16.69.1)
C:クライアント(172.16.69.2)
全局转发示例:
1.编辑在A服务器(172.16.72.1)中的BIND程序的主配置文件(/etc/named.conf),定义qhdlink.org域
named]# vim /etc/named.conf
zone "qhdlink.org" IN {
type master;
file "qhdlink.org.zone";
allow-transfer { none; };
};
2.创建数据库文件,修改权限并添加相应资源记录;编辑A服务器(172.16.72.1)中主配置文件的zone(区域配置段)对应的文件:qhdlink.org.zone
named]# touch qhdlink.org.zone
named]# chgrp named qhdlink.org.zone
named]# chmod 640 qhdlink.org.zone
named]# vim qhdlink.org.zone
$TTL 86400
qhdlink.org. IN SOA ns1.qhdlink.org. root.qhdlink.org. (
2018040701;
1H;
10M;
3D;
4H);
IN NS ns1
ns1 IN A 172.16.72.1
www IN A 11.22.33.44
3.编辑B服务器(172.16.69.1)中主配置文件(/etc/named.conf)中的全局配置段(option)
named]# vim /etc/named.conf
options {
listen-on port 53 { 127.0.0.1; 172.16.72.1; 172.16.69.1; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
forward first;
//转发方法
forwarders { 172.16.72.1; };
//转发给172.16.72.1
dnssec-enable no;
dnssec-validation no;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
4.检测区域文件和对应数据库文件
A:
named]# named-checkconf
named]# named-checkzone qhdlink.org qhdlink.org.zone
zone qhdlink.org/IN: loaded serial 2018040701
OK
B:
named]# named-checkconf
5.对主配置文件或区域数据库文件进行修改之后,并不会立即生效;只有在重载配置文件和区域文件之后,配置才生效;重载配置文件的方法:
1.systemctl reload named.service(CentOS 7.x)
2.rndc reload
3.systemctl restart named.service(不推荐)
4.service named reload(CentOS 6.x)
注意:对于应用程序服务进程重载配置文件的操作,如果能使用reload,就使用reload,不要轻易执行restart命令;
6.配置完成进行测试
在C客户端上:
~]# dig @172.16.72.1 -t A www.qhdlink.org
~]# dig @172.16.69.1 -t A www.qhdlink.org
//对比两者结果,解析得到的答案一致,则转发器有效
在C客户端上:
~]# nslookup
> set q=a
> server 172.16.69.1
Default server: 172.16.69.1
Address: 172.16.69.1#53
> www.qhdlink.org
Server: 172.16.69.1
Address: 172.16.69.1#53
Non-authoritative answer:
//非权威答案,证明是通过转发获取得到的,则转发器有效
Name: www.qhdlink.org
Address: 11.22.33.44
全局转发测试成功后,可以用"/*...*/"的注释方法把定义全局转法部分先注释掉,避免进行区域转发测试得到的结果的准确性和有效性;
区域转发示例:
1.编辑在A服务器(172.16.72.1)中的BIND程序的主配置文件(/etc/named.conf),定义qhdlink.com.cn域
named]# vim /etc/named.conf
zone "qhdlink.com.cn" IN {
type master;
file "qhdlink.com.cn.zone";
allow-transfer { none; };
};
2.创建数据库文件,修改权限并添加相应资源记录;编辑A服务器(172.16.72.1)中主配置文件的zone(区域配置段)对应的文件:qhdlink.com.cn.zone
named]# touch qhdlink.com.cn.zone
named]# chgrp named qhdlink.com.cn.zone
named]# chmod 640 qhdlink.com.cn.zone
named]# vim qhdlink.com.cn.zone
$ORIGIN qhdlink.com.cn.
$TTL 86400
qhdlink.com.cn. IN SOA ns1.qhdlink.com.cn. root.qhdlink.com.cn. (
2018040701;
1H;
10M;
3D;
4H);
IN NS ns1
ns1 IN A 172.16.72.1
www IN A 1.2.3.4
3.编辑B服务器(172.16.69.1)中主配置文件(/etc/named.conf)中的全局配置段(option)和区域配置段(zone)
named]# vim /etc/named.conf
options {
listen-on port 53 { 127.0.0.1; 172.16.72.1; 172.16.69.1; };
//添加监听C客户端(172.16.69.1)的53端口
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
//允许本服务器处理任何主机发送来的解析查询请求
recursion yes;
dnssec-enable no;
dnssec-validation no;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
zone "qhdlink.com.cn" IN {
type forward;
forward only;
forwarders { 172.16.72.1; };
};
4.检测区域文件的语法格式
A:
named]# named-checkconf
named]# named-checkzone qhdlink.com.cn qhdlink.com.cn.zone
zone qhdlink.com.cn/IN: loaded serial 2018040701
OK
B:
named]# named-checkconf
5.对主配置文件或区域数据库文件进行修改之后,并不会立即生效;只有在重载配置文件和区域文件之后,配置才生效;重载配置文件的方法:
1.systemctl reload named.service(CentOS 7.x)
2.rndc reload
3.systemctl restart named.service(不推荐)
4.service named reload(CentOS 6.x)
注意:对于应用程序服务进程重载配置文件的操作,如果能使用reload,就使用reload,不要轻易执行restart命令;
6.配置完成进行测试
在C客户端上:
~]# dig @172.16.72.1 -t A www.qhdlink.com.cn
~]# dig @172.16.69.1 -t A www.qhdlink.com.cn
//对比A和B的解析结果,解析得到的答案一致则成功
在C客户端上:
~]# nslookup
> server 172.16.69.1
Default server: 172.16.69.1
Address: 172.16.69.1#53
> www.qhdlink.com.cn
Server: 172.16.69.1
Address: 172.16.69.1#53
Non-authoritative answer:
//非权威答案,证明是通过转发获取得到的,则转发器有效
Name: www.qhdlink.com.cn
Address: 1.2.3.4
:サブドメインを承認委任
親ドメインは、任意のサブドメイン、データベースのリソースレコードを保存しません;ネームサーバのサブドメインのサブドメインへの権限管理権をしかし、成功した認証であるために、私たちは、NSレコードを追加する必要があり、サブドメインの名前を指しサーバー;
リピータに権限を委譲するサブドメインの比較:
権限委譲1.サブドメインは、実際には反復クエリメカニズムをクライアントに提供;
2.トランスポンダが実際に再帰クエリメカニズムをクライアントに提供します。
3.どちらも直接のでそれは完全な解像度を「支援」するために第三者を介して行われ、その答えは非権威である、DNSを解決するために、クライアントに結果を返します。
与えられた3台のサーバーテスト:
A:サーバー側(172.16.72.1)
B:ターミナルリピーター(172.16.69.1)
C:クライアント(172.16.69.2)
例サブドメインのデリゲート権限:
1. qhdlink.orgこのフィールドAに配置されますが、ドメインの設定はbj.qhdlink.orgされていない
の/etc/named.confという名前]#Vimの
ゾーン「qhdlink.orgを」{のIN
タイプマスター;
ファイル"qhdlink.org.zone"、
許可、転送{なし;};
};
named]# vim qhdlink.org.zone
$TTL 86400
qhdlink.org. IN SOA ns1.qhdlink.org. root.qhdlink.org. (
2018040701;
1H;
10M;
3D;
4H);
IN NS ns1
bj.qhdlink.org. IN NS ns1.bj.qhdlink.org.
ns1 IN A 172.16.72.1
ns1.bj.qhdlink.org. IN A 172.16.69.1
www IN A 11.22.33.44
2.在B上做bj.qhdlink.org这个域的配置
named]# vim /etc/named.conf
zone "bj.qhdlink.org" IN {
type master;
file "bj.qhdlink.org.zone";
allow-transfer { none; };
};
named]# named]# touch bj.qhdlink.org.zone
named]# chgrp named bj.qhdlink.org.zone
named]# chmod 640 bj.qhdlink.org.zone
named]# vim bj.qhdlink.org.zone
$ORIGIN bj.qhdlink.org.
$TTL 86400
@ IN SOA ns1.bj.qhdlink.org. root.bj.qhdlink.org. (
2018040701;
3H;
30M;
10D;
8H);
IN NS ns1
ns1 IN A 172.16.72.2
www IN A 55.66.77.88
3.检测区域文件的语法格式
A:
named]# named-checkconf
named]# named-checkzone qhdlink.org qhdlink.org.zone
B:
named]# named-checkconf
named]# named-checkzone bj.qhdlink.org bj.qhdlink.org.zone
4.对主配置文件或区域数据库文件进行修改之后,并不会立即生效;只有在重载配置文件和区域文件之后,配置才生效;重载配置文件的方法:
1.systemctl reload named.service(CentOS 7.x)
2.rndc reload
3.systemctl restart named.service(不推荐)
4.service named reload(CentOS 6.x)
注意:对于应用程序服务进程重载配置文件的操作,如果能使用reload,就使用reload,不要轻易执行restart命令;
5.配置完成进行测试
C:
~]# dig @172.16.72.1 -t A www.bj.qhdlink.org
//解析得到肯定答案,则说明测试成功
例えば委譲許可は、サブドメインから見ることができます。
のみ、このフィールドの内容を解釈するように構成1.Aのqhdlink.org;
2.B bj.qhdlink.orgは、このフィールドの内容を解釈配置;
3だけA qhdlinkの.ORGドメインに対応するデータベースファイルは、これら2つにRRを追加:
NSは中をns1.bj.qhdlink.org bj.qhdlink.org ...
。172.16.69.1にns1.bj.qhdlink.org
4.できに接点Bのアップ; CのためのDNS解決サービスにBを聞かせて、ローカルサーバー上のCへのDNS解決クエリメッセージを返すことはできませんが、Bに委任することができるが、Cクライアントは、私のDNS解決クエリを送ったためその結果はCに戻りました