DNSとBIND
DNSの理論的根拠
DNS:ドメインネームサービス、アプリケーション層プロトコルの
C / S:
;:クライアントアプリケーション開始したプログラムの要求する
要求に応じてプログラムを(提供するサービス);:サーバー
53 / UDP 53 / TCP
DNSクエリの種類:
自分の分析ドメインの責任:再帰クエリ:;データベースに直接アクセスして、答えを返す
反復クエリ、解決ドメインの自身が責任を負いません:サーバーのキャッシュ- >イテレーション(反復)
のプライマリ-セカンダリDNSサーバ
のプライマリDNSサーバー:ドメイン・データベース・サーバ分析のメンテナンスを担当し、読み書き動作行うことができ、
DNSサーバから:どこか場所を他のDNSサーバプライマリサーバからからコピーリゾルバライブラリ、それが唯一読み取ることができます。
コピー実施形態の動作の方法であって、
SEQ ID NO:シリアル、即ち、データベースのバージョン番号、マスタデータベースの内容の変更、バージョン番号が+1インクリメントされるべきである
間隔をリフレッシュ:どのくらいの各配列をチェックするために、サーバーからマスターサーバーに、リフレッシュいいえ、更新、
再試行間隔:再間隔を要求しようとした時間を開始リトライ、データベースに障害が発生した解決するために、サーバからプライマリサーバの同期からの要求を、;
長年の懸案:期限切れに、サーバは常にプライマリサーバに接続することはできません、どのくらいからあきらめた後、マスターデータの同期化、サービスの提供を停止、
長い否定キャッシュ:最小
マスターサーバーをお知らせいつでもサーバーラインからのより多くのデータ。
マスタ-領域からの転送:
転送の総量:データベース全体を送信することと、
増分転送:送信データ変数のみ;
面積:
ityunn.comドメイン:
FQDN - > IP
分析ポジティブライブラリ領域と、
IP - > FQDNは
逆解析ライブラリエリア、
地域のデータベースファイル:
リソースレコード:短いRR;
レコードの種類:A、AAAA、PTR、SOA 、NS、CNAME、MX
| SOA | 承認記録を開始し、ライブラリーは、空間的に分解し、唯一のSOAレコードを持っている、と最初に配置する必要があります。 |
|---|---|
| NS | ドメインネームサービスレコード、ライブラリを解析領域は、複数のNSレコード、メインのいずれかを持つことができます。 |
| A | アドレスレコード、FQDN->はIPv4 |
| YYYY | アドレスレコード、FQDN-> IPv6の |
| CNAME | 別名を記録 |
| MX | メール交換の優先度:0-99、高い優先順位についての小さいデータ |
注意事項
(1)TTLは、グローバルから継承することができる;
(2)@は、現在の領域の名前を表す
(3)隣接した同じ名前の2つのレコード、後者は省略されてもよい; $ ORIGINは、2段目に添加してもよいityunn.com指定されています。
(4)各MX、NSレコードの他のタイプの値がFQDNであり、これはレコードFQDNでなければならない、フォワードゾーンのためのものです。
BINDのインストールと設定
BIND:バークレイインターネットドメイン名:
DNS:プロトコルの
バインド:実装協定のDNS
の名前:プログラムがバインドプロセス名を実行している
パッケージ:
バインド-LIBS:バインドの一般的な使用とパッケージライブラリファイル-utilsのをバインドします。
ビング-utilsの:とクライアントのセット、例えば発掘、nslookupを、ホスト等;
バインド:提供DNS Serverプログラム;
バインドCHROOT:刑務所モードでは、オプションの、そのように命名操作;
バインドプロファイル
マスター設定ファイル:の/ etc /named.conf
それ他の文書を含めるか、
/etc/named.iscdlv.keyの
/etc/named.rfc1912.zonesは
/etc/named.root.key
ライブラリファイルの解析:
/という名前のディレクトリは/ var /の下に、
一般的な名前をするために: ZONE_NAME.zone
注:
(1)DNSサーバが同時に解決複数の領域を提供することができる;
(2)ルート領域解析ライブラリでなければならない:named.ca:
(3)また、空間分解の2つのライブラリを有するべきである:ローカルホストと127.0.0.1フォワードおよび解析ライブラリリバース;
フォワード:named.localhost
リバース:named.loopback
テストツール:
DIG \ホスト\ nslookupを
DIGコマンド:
DIG [-t RR_TYPE]名前[@server] [クエリオプション]
の逆解析テスト
掘る-x IP
完全なゾーン転送シミュレーション:
DIG -t AXFR DOMAIN [@server]
ホスト・コマンド
ホスト[-t RR_TYPE]名前SERVER_IP
nslookupコマンド
対話モード:
nslookupコマンド>
サーバーのIP:IP-指定されたDNSサーバーのクエリ;
SET = RR_TYPE Q:リソースレコードタイプ照会する;
名前:照会する名前を、
rndcのコマンド:指定したサービス制御コマンド
rndcのステータスは、コンフィギュレーションを表示するには
キャッシュクリアrndcのフラッシュ
rndcのリロードリロードの設定ファイルを
プライマリDNSサーバーの展開
(1)メインコンフィギュレーションファイルまたは達成マスター構成セカンダリプロファイルに領域を規定
(2)ゾーン・データ・ファイル(主にAまたはAAAAレコードとして記録)/という名前のディレクトリの/ var /内のゾーン・データ・ファイルの確立を確立します。
(3)サーバーの設定ファイルを持っているか、ゾーンデータファイルをリロードします。
**
注:
1.メインの設定ファイルを設定してくださいホストは、あなたのマシンが解決するだけではデフォルトで、すべての任意の代表するサービスパラメータ解析できる
エリアの2ゾーンファイルの設定は、あなたがた領域に対応するデータを設定する必要がありますがファイル、それ以外の場合は、サービスを開始することは不可能である
、それ以外の場合は、サービスを開始することは不可能である、「」。ポイントを持っている必要があり、ドメイン3.データ構成ファイルを終了
3.データプロファイル管理者のメールボックスの@を使用することができない、使用したい。代わりに、またはエラー起動しない
4。対応するドメインネームサーバのNSレコードには、サービス・エラーを開始するそうでない場合、設定する必要があり
、元の所有権を維持するために-aを追加する必要があり、テンプレート領域5コピーを、それ以外の場合は解決できません**
1.バインドDNSサービスプログラムをインストールするにyumを使用してください
yumをインストール-yバインド* //バインドサービスをインストールします
メインの設定ファイルの設定は、すべてのホストが解決サービスを提供できるように2.編集
Vimの/etc/named.confファイルは//メインの設定ファイルを編集します
{オプションは
聞く-ONを{ポート53がいずれかである;}; //解決サービスホストによって提供されるものに
耳を傾け-ON-V6 {ポート53される:: 1;};
ディレクトリ"と/ var / named";
ダンプ・ファイル「は/ var /命名します/data/cache_dump.db ";
統計ファイル" /var/named/data/named_stats.txt ";
memstatistics-ファイル" /var/named/data/named_mem_stats.txt「;
RRセット{-ORDER次の周期;}; / /ポーリングは、DNSを解決するように構成された
クエリ可能{いずれか;}; //は、 ホストがサーバに照会要求を送信することが可能
3.編集ゾーンファイル、前方参照を設定し、引き参照ゾーンエリアを逆転
vim /etc/named.rfc1912.zones
正向区域:zone "ityunn.com" IN { //设置正向区域的域名
type master; 服务的类型,主master,从slave,根hint,转发域forward;
file "ityunn.com.zone"; //区域数据名称文件,默认时相对路径/var/namd/,可以在前面更改路径;
allow-update { none; }; //允许动态更新区域数据库文件中内容;
反向区域:zone "10.168.192.in-addr.arpa" IN { //表示192.168.2.网段的反向区域解析
type master;
file "192.168.10.zone";
allow-update { none; };
};
};
4.新しい順ゾーンデータファイルは、テンプレートからコピーされたか、同じ名前の独自のファイルを作成し、(ただし、ファイルのパーミッションを変更する)ことができます。
cd /var/named //切换到数据配置文件目录
cp -a named.localhost ityunn.com.zone //复制生成一个正向区域数据文件
vim ityunn.com.zone //编辑配置文件
$TTL 1D 生存周期为一天
$ORIGIN ityunn.com.
@ IN SOA ns1.ityunn.com. admin.ityunn.com. (
20190806 ; serial /更新序列号
1D ; refresh //刷新时间间隔
1H ; retry //重试时间间隔
1W ; expire //过期时长
3H ) ; minimum //否定答案缓存时长
IN NS ns1 //域名服务器记录
IN NS ns2 //域名服务器记录
IN MX 10 mail1 //邮箱交换记录
ns1 IN A 192.168.10.101 //dns服务器记录(对应NS的A记录)
ns2 IN A 192.168.10.104
www IN A 192.168.10.101 //地址记录
mail1 IN A 192.168.10.50 //地址记录
web IN CNAME www //别名记录
bbs IN A 192.168.10.10 //地址记录
bbs IN A 192.168.10.11 //地址记录
5.テンプレートからコピーすることができ、新たな逆ゾーンデータファイルを作成するか、同じ名前を持つ独自のファイルを作成し、(ただし、ファイルのパーミッションを変更します)。
cd /var/named //切换到数据配置文件目录
cp -a named.loopback 192.168.10.zone //复制生成一个反向区域数据文件
vim 192.168.10.zone //编辑配置文件
$TTL 1D
$ORIGIN 10.168.192.in-addr.arpa.
@ IN SOA ns1.ityunn.com. admin.ityunn.com. (
20190806 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS ns1.ityunn.com.
IN NS ns2.ityunn.com.
101 IN PTR ns1.ityunn.com.
104 IN PTR ns2.ityunn.com.
101 IN PTR www.ityunn.com.
50 IN PTR mail1.ityunn.com.
10 IN PTR bbs.ityunn.com.
11 IN PTR bbs.ityunn.com.
6.再起動DNSサービス、nslookupコマンドを使用して結果を検証します
DNSサービスプログラム開始//という名前の再始動systemctl
rndcのリロードが//設定ファイルをリロードし
、設定ファイルをチェックするには、次のコマンドを使用し、サービスを開始できない場合
があるかどうかをメインの設定ファイルの構文およびパラメータエラーをチェック//-checkconfという名前を
名付け-checkzone //チェックデータが設定ファイルの構文やエラーのパラメータ
DNSサーバーから展開します
**注:
あなたがサービスを開始できない場合は、パラメータが正しい設定ファイルを確認してください。1.
同じであるゾーンファイル名からメインのIPアドレスを確認し、ファイルを同期しないサービスを再起動するDNSから2.
3がローカルで解決することができ、クライアントはできません解像度、メインの設定ファイルを確認し、ファイアウォール、SELinuxをオフにしてくださいすると、すべてのクライアントのDNSが照会できます
ファイルから、あなたがメインのゾーンデータファイル内のDNSサーバからNSレコードを追加する必要があり、メインエリアのデータをリアルタイムデータを達成するために4.同期サーバをファイルの後に自動的にデータファイルを更新しますサーバからプライマリサーバーに、シリアルナンバープラス1台のプライマリサーバを変更し、サービスを再起動することで
同期するために、時間サーバーから5.メインに、または、それは間違っている可能性があります
**
スレーブ領域を定義する(1)
から領域を定義:
ゾーン「ZONE_NAME」{INの
タイプのスレーブ;
ファイル「スレーブ/ ZONE_NAME.ZONE」
マスター{masters_IP;};
};
設定ファイルの構文チェック:名前付きcheckconfig
リロードを配置(2)
rndcのリロード
という名前systemctlの再起動
マスターを
zone "ityunn.com" IN {
type master;
file "ityunn.com.zone";
allow-update { 192.168.10.104; }; //允许从的IP地址进行更新
notify yes;
also-notify { 192.168.10.104; }; //当主服务器数据有变化是,会主动通知从服务器来更新数据
;};
注:サーバーから各構成NSレコードの確認ゾーンデータファイルを作成し、設定ファイルのNSレコードから、各サーバのホスト名の必要性レコードを前方領域に、サーバからのA真のIPアドレスの裏アドレス、同期は過去の責任を負いません。
サブドメイン認証:
認可前方解像度領域の方法は:
1.上記のメインエリアに追加します
vim /vim ityunn.com.zone //编辑正向解析配置文件
ops IN NS ns1.ops
ns1.ops IN A 192.168.10.102
メインエリアの2サブドメイン以下、このマスターサーバーのOPSを追加
zone "ops.ityunn.com" IN { //设置主域的字域名称
type master;
file "ops.ityunn.com.zone";
};
3.新しい順ゾーンデータファイルは、テンプレートからコピーされたか、同じ名前の独自のファイルを作成し、(ただし、ファイルのパーミッションを変更する)ことができます。
cd /var/named //切换到数据配置文件目录
cp -a named.localhost ops.ityunn.com.zone //复制生成一个正向区域数据文件
vim ops.ityunn.com.zone //编辑配置文件
$TTL 3600
$ORIGIN ops.ityunn.com.
@ IN SOA ns1.ops.ityunn.com. admin.ityunn.com. (
20190801 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS ns1
ns1 IN A 192.168.10.102
www IN A 192.168.10.102
bbs IN A 192.168.10.103
~
定義された転送
注:サーバーサービスが再帰的な現在の操作を行うことができ、転送する必要があります。
(1)転送エリア:のみ転送解決特定の領域に対する要求を、
ゾーン「ZONE_NAME」{INの
タイプフォワード、
前進1 {|}のみ;
{SERVER_IP沿っフォワーダ;};
};
first:首先转发;转发器不响应时,自行去迭代查询;
only:只转发;
(2)グローバルフォワーディング:ローカルゾーンは、それによって定義されていない領域、すべてのトランスポンダに転送するためのクエリ要求、
オプション{
... ...
前方のみ{|}まず、
SERVER_IP {沿っフォワーダ;};
...
};
バインド安全関連する構成:
ACL:アクセス・コントロール・リスト、統一された呼び出しのすべてのホストのこのセット全体にこの名前が続くという名前のコレクションを、マージする1つ以上のアドレス。
acl acl_name {
ip;
net/prelen;
};
实例:
vim /etc/named.rfc1912.zones
zone "ityunn.com" IN {
type master;
file "ityunn.com.zone";
allow-update { none; };
allow-transfer { slaves; }; //定义允许那些主机做区域传送;默认为所有主机;
};
在/etc/name.conf配置文件中写入(不要写到optiso全局里面,写到optiso上面;)
acl slaves {
192.168.10.104;
127.0.0.1;
};
バインドは、4つの組み込みのACLがありません
なし:ホストを、
いかなる:任意のホスト;
ローカル:マシン;
localnetに本機のIPネットワークが配置されているが属します;
>
アクセス制御命令:
許可クエリー{};ホストクエリを可能にする、ホワイトリスト、
許可、転送{};ホストれたゾーン転送を実行することができ、すべてのホストにデフォルトで、唯一のサーバから許可するように構成されるべきである
可能再帰を{} ;これは、このホストは、現在のDNSサーバに再帰クエリ要求を開始することができ、
許可更新{}; DDNSは、動的更新をデータベース・ファイル領域の内容を可能にします。
バインドビュー分析分離
视图:
view VIEW_NAME {
zone
zone
zone
}
acl internal { //定义外网匹配的网段;
172.16.0.0/8;
};
acl external { //定义内网匹配的网段;
192.168.10.0/24;
};
view internal { //视图
match-clients { "internal"; }; //匹配的网段
zone "fenli.com" IN {
type master;
file "fenli.com/internal"; //区域数据文件
};
};
view external { /视图
match-clients { "external"; }; //匹配的网段
zone "fenli.com" IN {
type master;
file fenli.com/external"; //区域数据文件
};
};
注:別の解像度を使用する場合は、すべてあなたがエリアの内側に持っている、それ以外の場合、彼らは間違っているだろう。