详解DNS服务工作原理正反向解析和主从同步

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了详解DNS服务工作原理正反向解析和主从同步相关的知识,希望对你有一定的参考价值。

目录:

一、理论部分

二、实验部分

******************************理论部分***************************************

正文:

一、什么是DNS服务.

  DNS服务是互联网的基础性服务之一.全称为Domain Name System(域名系统).DNS是因特网上作为域名和IP地址相互映射的一个分布式数据库,提供将域名转换成对应IP地址的信息条目,能够使用户更方便的通过域名(如baidu.com)去访问互联网,而不用去记住能够被机器直接读取的IP地址。这种将域名转换成ip地址的方法称为域名解析.  

二、企业自建DNS的目的.

  其实互联网上已有现成的DNS服务器,那么企业内部为什么还要自建DNS服务器呢?

  主要原因如下:

  • 节省内网域名解析占用的上网带宽;

  • 方便解析内网服务器IP地址;

  • 内网有域环境,域中的计算机通过内网的DNS定位域控制器(Windows)

    ...

三、DNS基础原理详解. 

1、DNS采用C/S架构,服务器端工作在TCP/UDP协议的53号端口.是应用层的协议.

2、BIND: Bekerley Internet Name Domain (伯克利因特网名字域系统), ISC (www.isc.org)

3、对于DNS服务使用TCP和UDP协议的解释:

  a. TCP:面向连接的协议; (每次连接前须三次握手,断开时须四次断开,使得传输一段很小的数据时浪费大量时间,所以dns多使用53/udp).
  b. UDP: User Datagram Protocol(用户数据报文协议), 无连接的协议

  c. DNS在进行区域传送时使用TCP协议,其它时候则使用UDP协议;

  d. TCP是一种可靠的连接,保证了数据的准确性。
  e. named进程查询时使用的是UDP协议的53号端口发送UDP报文。响应通过UDP报文返回,除非他们大于512K,这种情况使用TCP。服务器之间的"区域传送"则都使用TCP。

4、区域传送:

  当一个辅助(从)DNS服务器启动时,它需要与主DNS服务器通信,并加载(同步)数据信息,这就叫做区域传送(zone transfer)。  
5、DNS域名:

    根域:全球所有的DNS都要听从于它;

    顶级域名:Top Level Domain:tld;

        .com  .edu  .mil  .gov  .net  .org  ...

        三类:组织域,国家域(.cn, .iq, .hk, .tw, ...),反向域

    二级域名:

        google.com  youtube.com baidu.com ...

    三级域名:

        www.google.com  mail.google.com  stu.google.com

    最多127级域名

  技术分享

6、DNS查询类型

 a. 递归查询

   客户端只发出一次请求一定要得到最终结果;(主机向本地域名服务器的查询一般都是采用递归查询.)   

 b. 迭代查询

  服务器发出多次请求,层层请求后返回最终结果;(本地域名服务器向根域名服务器的查询(域名服务器之间的查询)一般都是采用迭代查询)


  图解:

  技术分享

  技术分享

7. 名称服务器: 域内负责解析本域内名称的主机;
   根服务器: 指13组服务器,异地多活.

8.  DNS解析类型:

   正向解析: Name --> IP  (绝大多数都能正向解析)

   反向解析: IP --> Name  (部分解析不了,该解析类型常用在邮件服务反向解析,来判断是否为垃圾邮件)

   注:正反向解析是两个不同的名称空间,是两棵不同的解析树;

9. DNS服务器的类型:   

   主DNS服务器
   辅助(从)DNS服务器
   缓存DNS服务器
   转发器

主DNS服务器: 维护所负责解析的域内解析库服务器;解析库由管理员维护;
从DNS服务器: 从主DNS服务器或其他的从DNS服务器那里"复制"(区域传送)一份解析库;
从DNS服务器到主DNS服务器处的传送,之间有一系列定义,主要定义在SOA资源记录当中,包括:   
   序列号:解析库的版本号(同步后主从一致);前提是主服务器解析库内容发生变化,其序列号递增(每
次加1);(数字最长不要超过十位);
   刷新时间:从服务器从主服务器请求同步解析库的时间间隔;   
   重试时间间隔:从服务器从主服务器请求同步解析库失败时,再次尝试的时间间隔,重试时间须小于刷
新时间,否则无意义.   
   过期时长:从服务器始终联系不到主服务器时,多久之后放弃从服务器角色,停止提供服务;   
   通知"机制:主服务器发生变化后,会通知从服务器及时更新解析库,即使更新时间没到也会通知从服
务器,避免从服务器落后主服务器太多.

10. 区域传送类型:

  a. 全量传送:传送整个解析库;
  b. 增量传送:传送解析库发生变化的那部分内容;

11. 对从服务器及区域传送的理解:

    从服务器要从主服务器同步.首先,从服务器如何知道主服务器已更新解析库? 主要在于序列号,主服务器每更新一次解析库,序列号都会主动加1;
    正常情况下,主从服务器的序列号相同.从服务器通过刷新时间从主服务器处对比序列号并请求同步解析库的时间间隔.还有重试时间间隔和过期时长.

12. 一次完整的查询/解析请求经过的流程:
   Client --> 本地hosts文件 --> DNS Service
   Local Cache -->DNS Server(Iesursion) --> Server Cache-->Iteration

13. 区域解析库:

   由众多RR组成;
   资源记录: Resource Record, RR
   记录类型: A, AAAA, PTR, SOA, NS, CNAME, MX等
      SOA: Start Of Authority,起始授权记录,一个区域解析库有且仅能有一个SOA记录,而且必须为解析库的第一条记录;
      A: internet Address, 作用:FQDN --> IP
      AAAA: FQDN --> IPv6
      PTR: PointTeR, IP -->FQDN
      NS: Name Server,专用于标明当前区域的DNS服务器
      CNAME: Canonical Name,别名记录.正式名称
      MX: Mail exchanger, 邮件交换器
                
    资源记录定义的格式:
       语法:name    [TTL]    IN     rr_type    value
       注意:
         (1) TTL可从全局继承;
         (2) @可用于引用当前区域的名字;
         (3) 同一个名字可以通过多条记录定义多个不同的值;此时DNS服务器会以轮询方式响应;
         (4) 同一个值也会有多个不同的定义名字;通过多个不同的名字指向同一个值进行定义;                   
SOA:
  name:当前区域的名字,例如"baidu.com.";
  value:有多部分组成
      (1)当前区域的主DNS服务器的FQDN,也可以使用当前区域的名字;
      (2)当前区域管理员的邮箱地址;但地址中不能用@符号,一般用.替换,如linuxedu.163.com
      (3)主从服务协调属性的定义以及否定的答案的统一的TTL.
                        
 例如:

baidu.com.   86400   IN   SOA   ns.baidu.com.   nsadmin.baidu.com.(
                                    2015042201     ;序列号  
                                    2H             ;刷新时间 
                                    10M             ;重试时间 
                                    1W             ;过期时间
                                    1D             ;否定答案的TTL值 
                                    )

 注:不带单位,默认为秒钟;
                    
NS:
  name:当前区域的名字;
  value:当前区域的某DNS服务器的名字,例如 ns.baidu.com.;
  注:一个区域可以有多个NS记录;
 例如:
                          

 baidu.com.   IN    NS      ns1.baidu.com.   //此处nsx.baidu.com. 可写成 nsx  (注:nsx后面没有点号)
 baidu.com.   IN    NS      ns2.baidu.com.

 注:
   (1)相邻的两个资源记录的name相同时,后续的可省略;
   (2)对NS记录而言,任何一个ns记录后面的服务器名字,都应该在后续有一个A记录;
                            
MX:
  name: 当前区域的名字;
  value: 当前区域的某邮件服务器(smtp服务器)的主机名;
  注:一个区域内,MX记录可有多个;但每个记录的value之前应该有一个数字(0-99),表示此服务器的优先级;数字越小优先级越高;                          
  例:                        

  baidu.com.     IN      MX     10       mx1.baidu.com. 
                 IN      MX     20       mx2.baidu.com.

 注:
  (1)对MX记录而言,任何一个MX记录后面的服务器名字,都应该在后续有一个A记录;
                            
A:
  name:其主机的FQDN,例如www.baidu.com.
  value:主机名对应主机的IP地址;

  例:                  

 www.baidu.com.    IN      A    1.1.1.1 
 www.baidu.com.    IN      A    1.1.1.2   
                            
 mx1.baidu.com.    IN      A    1.1.1.3 
 mx2.baidu.com.    IN      A    1.1.1.3

 

  注:  避免用户写错名称时给错误答案,可通过泛域名解析进行解析至某特定地址,如下:       

 *.baidu.com.    IN   A     1.1.1.4 
 baidu.com.      IN   A     1.1.1.4

AAAA:
   name:FQDN
   value: IPv6                         
PTR:
   name: IP ,有特定格式;
   value: FQDN

   注: name处的IP有特定格式,需要把IP地址反过来写,1.2.3.4,要写作4.3.2.1;而且有特定后缀:.in-addr.arpa.,所以完整写法为:4.3.2.1.in-addra.arpa.                        例如:                       

4.3.2.1.in-addr.arpa    IN     PTR    www.baidu.com 
简写成:
4    IN     PTR    www.baidu.com.

 注:网络地址及后缀可省略;主机地址依然需要反着写:                           
CNAME:
   name: 别名的FQDN;
   value: 正规名字的FQDN;                           
  例:                      

  web.baidu.com.      IN     CNAME    www.baidu.com.

14. 子域授权:

   每个域的名称服务器,都是通过其上级名称服务器在解析库进行授权; 

   类似根域授权tld:          

.com.       IN        NS    ns1.com 
.com.       IN        NS    ns2.com 
ns1.com.    IN        A     2.2.2.1 
ns2.com.    IN        A     2.2.2.2

  baidu.com. 在.com的名称服务器上,解析库中添加资源记录;          

 baidu.com.            IN        NS        ns1.baidu.com. 
 baidu.com.            IN        NS        ns2.baidu.com. 
 baidu.com.            IN        NS        ns3.baidu.com. 
 ns1.baidu.com.        IN        A         3.3.3.1  
 ns2.baidu.com.        IN        A         3.3.3.2 
 ns3.baidu.com.        IN        A         3.3.3.3

            
15. BIND的安装配置:    
   dns服务,程序包名bind, 程序名named
   程序包:
       bind.X86_64  提供服务
       bind-libs   提供库文件
       bind-utils  提供测试服务,测试服务是否ok   

# rpm -ql bind-utils 
 /usr/bin/dig
 /usr/bin/host
 /usr/bin/nslookup
 /usr/bin/nsupdate

  bind-chroot: /var/named/chroot/
  bind-chroot.x86_64  测试环境不可安装.  安全性.
 

  bind:
     服务脚本: /etc/rc.d/init.d/named
     主配置文件: /etc/named.conf, /etc/named.rfc1912.zones, /etc/rndc.key
     解析库文件: /var/named/ZONE_NAME.ZONE   分正向和反向.
     named守护进程–用来回答查询结果
                                     

[[email protected] named]# pwd
 /var/named
[[email protected] named]# cat named.localhost 
  $TTL 1D
  @    IN    SOA    @   rname.invalid. (
                    0     ; serial
                   1D     ; refresh
                   1H     ; retry
                   1W     ; expire
                   3H )   ; minimum
        NS    @
        A    127.0.0.1
        AAAA    ::1
[[email protected] named]# 
[[email protected] named]# cat named.loopback 
$TTL 1D
@    IN SOA    @ rname.invalid. (
               0    ; serial
               1D    ; refresh
               1H    ; retry
               1W    ; expire
               3H )    ; minimum
     NS      @
     A       127.0.0.1
     AAAA    ::1
     PTR     localhost.
[[email protected] named]#

  注:
     (1) 一台物理服务器可同时为多个区域提供解析;
     (2) 必须要有根区域文件:/var/named/named.ca
     (3) 应该有两个(如果包括ipv6的,应该更多)实现localhost和本地回环地址的解析库;
                            
  rndc:

     remote name domain controller,默认与bind安装在同一主机,且只能通过127.0.0.1来连接named进程,提供辅助性的管理功能;
                        953/tcp
  主配置文件:
     全局配置:options {}  
     日志子系统配置:logging {}
     区域定义: 本机能够为哪些zone进行解析,就要定义哪些zone;
     zone  "ZONE_NAME"  IN  {}      
                    
      注意:任何服务程序如果期望其能够通过网络被其他主机访问,至少应该监听在一个能够与外部主机通信的IP地址上;


四、各类型服务器配置介绍:

  1. 缓存DNS服务器:

    修改配置文件/etc/named.conf,使DNS服务53号端口监听于外部地址即可;

   dnssec作用:防止DNS被污染; 配置麻烦,建议测试做实验时关闭dnssec;即改为no

2. 主DNS名称服务器:
   在缓存名称服务器的基础上加zone的定义即可;
      (1)在主配置文件/etc/named.rfc1912.zones中定义区域
        zone  "ZONE_NAME"  IN {
        type {master|slave|hint|forward};
        file  "ZONE_NAME.zone";  //区域解析库文件路径
         };
      (2)定义区域解析库文件
          出现的内容:
               宏(变量)定义;
               资源定义; 

  反向区域配置:

    区域名称:网络地址反写.in-addr.
      172.16.100. --> 100.16.172.in-addr.arpa.
    
    保留不变的部分当做区域名字
    
    定义区域
       zone "ZONE_NAME" IN {
          type {master|slave|forward};
          file "网络地址.zone"
       };

    注: 不需要MX和A,以及AAAA记录,以PTR记录为主;

        正向区域中的别名记录(CNAME)在反向区域不需要反解.

3.:通过区域传送实现主从同步:

   配置一台正向从DNS服务器:

   定义从区域的方法:
       zone "ZONE_NAME" IN {
           type slave;
           masters { MASTER_IP; };
           file "slaves/ZONE_NAME.zone";
       };   

总结:
    1: 从服务器应该为一台独立的名称服务器;
    2: 主服务器的区域解析库文件中必须有一条NS记录是指向从服务器的;
    3: 从服务器只需要定义区域,而无需提供解析库文件;如果是采用rpm方法安装的,解析库文件应该放置于/var/named/slaves目录中;否则需要改/var/named 目录的权限,不然写不进去.
    4: 主服务器得允许从服务器作区域传送;区域传送对方会获取本区域的所有解析记录,很危险,应选择性开放;
    5: 主从服务器时间应该同步,可通过ntp进行;
    6: bind程序的版本应该保持一致;否则,应该从高,主低,达到兼容性要求;
    7: 一个区域内只能有一个主DNS服务器,但可以有多个从DNS服务器.一主一从或一主多从

4. 检查配置语法是否错误的命令:

     #named-checkconf
     #named-checkzone
5. 查看服务器的当前系统状态: # rndc status
6.测试命令:

  dig的使用
      dig [-t type] name [@SERVER] [query options]
    
        dig用于测试dns系统,因此不会查询hosts文件进行解析;
    
        查询选项:
            +[no]trace: 跟踪解析过程
            +[no]recurse: 进行递归解析
            
        测试反向解析:
            dig -x IP @SERVER  
        
        模拟区域传送:  --查看区域中的所有资源记录,比较危险.
            dig -t axfr ZONE_NAME @SERVER  

  资源记录中的某台客户机想解析dns,如果报错,可能是因为防火墙导致的
  解析时,如果将该DNS服务器的IP写入本机/etc/resolv.conf文件下,则之后测试时无需在命令行末尾加该DNS Server IP.

 host命令:
      host  [-t type]  name  [SERVER]     
 nslookup命令:
      nslookup  [-t type]  [name | -]  [server]
    
      交互式模式:
       nslookup>
        server IP:指明使用哪个DNS server进行查询;
        set q=RR TYPE:指明查询的资源记录类型;
        NAME:要查询的名称;

rndc命令:
    rndc --> rndc (953/tcp)   
    rndc COMMAND   
        COMMAND:
    -h: 显示详细帮助信息;
            reload:重载主配置文件和区域解析库文件;
            reload zone:重载区域解析库文件;
            retransfer zone:手动启动区域传送过程,而不管序列号是否增加;
            notify zone:重新对区域传送发通知;
            reconfig:重载主配置文件;
            querylog:开启或关闭查询日志;
            trace:递增debug级别;   //y用于调试排错.正常生产环境须关闭;
            trace LEVEL:指定使用的级别;  [ LEVEL 为数字,自己指定 ]           
    关于[querylog:开启或关闭查询日志]的详解:
      开启查询日志可通过查看log查看到查询日志,此项会消耗系统IO,一般只在排查错误时使用,平时无需打开;

******************************实验部分******************************

                  
实验环境:

 CentOS6.7 x 3, Windows7 x 1

 主机名:

    DNS-master -- 10.68.7.235

    DNS-slave -- 10.68.7.231

    http -- 10.68.7.234

    Windows-Client -- 10.68.7.236

 实验要求:

   一. 配置缓存域名服务器

   二. 配置正向解析和反向解析域名服务器

   三. 通过区域传送实现主从同步

   四. 搭建http服务,开启windows主机,配好DNS进行访问:

一、配置缓存域名服务器:

配置主配置文件:

[[email protected] ~]# yum -y install bind bind-utils bind-lib
[[email protected] ~]# rpm -qa bind*
bind-utils-9.8.2-0.37.rc1.el6.x86_64
bind-libs-9.8.2-0.37.rc1.el6.x86_64
bind-9.8.2-0.37.rc1.el6.x86_64
[[email protected] ~]# service named start
Generating /etc/rndc.key:                                  [  OK  ]
Starting named:                                            [  OK  ]
[[email protected] ~]#
[[email protected] ~]# cp /etc/named.conf{,.bak}
[[email protected] ~]# vim /etc/named.conf
 options {
 //      listen-on port 53 { 127.0.0.1; };  //该行为初始行,使用双斜线注释(因为该配置文件为C或C++写成,所以注释符号用//而不用#).
         listen-on port 53 { 10.68.7.235; 127.0.0.1; };  //修改初始行为该行,添加本机IP或外部IP,以期望其能够通过网络被其他主机访问;并添加本地回环地址,以便本机能够解析到.本行也可以删除不要,实现效果相同.
 //      listen-on-v6 port 53 { ::1; };
         directory       "/var/named";  //此项定义工作目录,也就是区域解析库文件路径.此项是关键,其他项都是为安全而设定的.推荐将所有与BIND相关的配置文件(除了named.conf和resolv.conf)放在/var之下的子目录中。例如/var/nam
         dump-file       "/var/named/data/cache_dump.db";
         statistics-file "/var/named/data/named_stats.txt";
         memstatistics-file "/var/named/data/named_mem_stats.txt";
         allow-query     { any; };  //此项表示允许谁来查询,any表示任何主机.或者可以直接注释掉,注释掉默认为允许任何主机查询.
         recursion yes;  //此项表示是否允许递归查询.
         
 //      dnssec-enable yes;   //该行及以下几行通通注释掉;最好把yes改为no,安全设定,可能会影响后面实验的验证.
 //      dnssec-validation yes;
 //      dnssec-lookaside auto;
         
         /* Path to ISC DLV key */
 //      bindkeys-file "/etc/named.iscdlv.key";
         
 //      managed-keys-directory "/var/named/dynamic";
 };
         ...
[[email protected] ~]# service named restart
Stopping named:                                            [  OK  ]
Starting named:                                            [  OK  ]
[[email protected] ~]#
[[email protected] ~]# ss -tunlp |grep 53
udp    UNCONN     0      0            10.68.7.235:53                    *:*      users:(("named",2510,513))
udp    UNCONN     0      0              127.0.0.1:53                    *:*      users:(("named",2510,512))
udp    UNCONN     0      0                    ::1:53                   :::*      users:(("named",2510,514))
tcp    LISTEN     0      3                    ::1:53                   :::*      users:(("named",2510,22))
tcp    LISTEN     0      3            10.68.7.235:53                    *:*      users:(("named",2510,21))
tcp    LISTEN     0      3              127.0.0.1:53                    *:*      users:(("named",2510,20))
tcp    LISTEN     0      128                  ::1:953                  :::*      users:(("named",2510,24))
tcp    LISTEN     0      128            127.0.0.1:953                   *:*      users:(("named",2510,23))
[[email protected] ~]#

以上配置完即为缓存名称服务器的配置:
监听外部地址即可;    
二. 配置主域名服务器的正向解析: 

在缓存DNS服务器的基础上添加zone定义

[[email protected] ~]# vim /var/named/yangbin.com.zone 
$TTL 1D 
$ORIGIN yangbin.com.
@       IN   SOA        ns1.yangbin.com   admin.yangbin.com. (
                                        2016120701
                                        2H
                                        5M
                                        7D
                                        1D
 )
        IN    NS    ns1.yangbin.com.
        IN    NS    ns2.yangbin.com.
        IN    MX 10 mx1.yangbin.com.
        IN    MX 20 mx2.yangbin.com.  //该处几行.yangbin.com.可省略。省略后后面没有小数点.  
ns1     IN    A     10.68.7.235
ns2     IN    A     10.68.7.231
mx1     IN    A     10.68.7.232
mx2     IN    A     10.68.7.233
www     IN    A     10.68.7.234  //这些域名对应的IP,即主机不存在也没关系.也可以一个名称对应多个IP.
web     IN    CNAME www

注:

$TTL 1D:

   此处可用1D或1d或86400,该时间可自定义,时间越短,缓存有效期就越短,向服务器发起查询请求的次数也就越多,缓存时间越短,服务器压力越大,生成缓存生效的时间越快,反之亦然.

$ORIGIN keeny.xin.:

   此处的宏表示当之后所写的名称为相对名称时,会自动在后边补上keeny.xin. ,当然此项也可省略不写,系统会自动这么做.

admin.yangbin.com.: 表示管理员的邮箱,@符号用点号.代替;

在主配置文件/etc/named.rfc1912.zones中定义区域:

[[email protected] ~]# vim /etc/named.rfc1912.zones 
 ...
结尾添加:
 zone "yangbin.com" IN {
        type master;
        file "/var/named/yangbin.com.zone";
        allow-update { none; }
 };

检查配置文件语法:

[[email protected] ~]# named-checkconf
[[email protected] ~]# 
[[email protected] ~]# named-checkzone "yangbin.com" /var/named/yangbin.com.zone 
zone yangbin.com/IN: loaded serial 2016120701
OK
[[email protected] ~]#

查看文件权限,禁止普通用户随意访问从而获悉公司服务器数量:

[[email protected] ~]# ps aux |grep named
named      2510  0.0  1.4 193140 14616 ?        Ssl  02:20   0:00 /usr/sbin/named -u named
root       2887  0.0  0.0 103304   892 pts/0    S+   03:02   0:00 grep named
[[email protected] ~]# ll /etc/named.conf
-rw-r-----. 1 root named 1089 Aug 30 02:20 /etc/named.conf
[r[email protected] ~]# ll /var/named
total 32
drwxrwx---. 2 named named 4096 Aug 30 02:13 data
drwxrwx---. 2 named named 4096 Aug 30 02:13 dynamic
-rw-r-----. 1 root  named 2075 Apr 23  2014 named.ca
-rw-r-----. 1 root  named  152 Dec 15  2009 named.empty
-rw-r-----. 1 root  named  152 Jun 21  2007 named.localhost
-rw-r-----. 1 root  named  168 Dec 15  2009 named.loopback
drwxrwx---. 2 named named 4096 Jul 24  2015 slaves
-rw-r--r--. 1 root  root   451 Aug 30 02:57 yangbin.com.zone
[[email protected] ~]# id named
uid=25(named) gid=25(named) groups=25(named)
[[email protected] ~]# chown :named /var/named/yangbin.com.zone 
[[email protected] ~]# service named restart
Stopping named: .                                          [  OK  ]
Starting named:                                            [  OK  ]
[[email protected] ~]#

此时,正向解析区域配置完毕!

查看系统当前状态:

[[email protected] ~]# rndc status
version: 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6
CPUs found: 4
worker threads: 4
number of zones: 20
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running
[[email protected] ~]#

通过dig命令在本机测试查询解析:

[[email protected] ~]# dig -t A www.yangbin.com @10.68.7.235

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6 <<>> -t A www.yangbin.com @10.68.7.230
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63733
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.yangbin.com.        IN    A

;; ANSWER SECTION:
www.yangbin.com.    86400    IN    A    10.68.7.234

;; AUTHORITY SECTION:
yangbin.com.        86400    IN    NS    ns2.yangbin.com.
yangbin.com.        86400    IN    NS    ns1.yangbin.com.

;; ADDITIONAL SECTION:
ns1.yangbin.com.    86400    IN    A    10.68.7.235
ns2.yangbin.com.    86400    IN    A    10.68.7.231

;; Query time: 0 msec
;; SERVER: 10.68.7.230#53(10.68.7.230)
;; WHEN: Tue Aug 30 03:23:23 2016
;; MSG SIZE  rcvd: 117

[[email protected] ~]#

在从DNS服务器进行测试,把DNS地址指向主DNS服务器:

[[email protected] ~]# dig -t A www.yangbin.com @10.68.7.235

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6 <<>> -t A www.yangbin.com @10.68.7.235
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32698
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.yangbin.com.        IN    A

;; ANSWER SECTION:
www.yangbin.com.    86400    IN    A    10.68.7.234

;; AUTHORITY SECTION:
yangbin.com.        86400    IN    NS    ns2.yangbin.com.
yangbin.com.        86400    IN    NS    ns1.yangbin.com.

;; ADDITIONAL SECTION:
ns1.yangbin.com.    86400    IN    A    10.68.7.235
ns2.yangbin.com.    86400    IN    A    10.68.7.231

;; Query time: 0 msec
;; SERVER: 10.68.7.235#53(10.68.7.235)
;; WHEN: Tue Aug 30 03:38:00 2016
;; MSG SIZE  rcvd: 117

[[email protected] ~]#

注:

   1、生产环境下修改相关配置文件后,不能restart,应该使用reload:

      # service named reload

   2、当一个域名配置有一个以上的ip地址时,查询时会进行轮询.

配置主域名服务器的反向解析服务器

不需要MX和A,以及AAAA记录,以PTR记录为主,别名记录(CNAME)不需要反解.

[[email protected] ~]# vim /var/named/7.68.10.in-addr.arpa 
$TTL 1D
$ORIGIN 7.68.10.in-addr.arpa.
@       IN   SOA        ns1.yangbin.com   admin.yangbin.com. (
                                        2016120701
                                        2H
                                        5M
                                        7D
                                        1D
 )
        IN    NS    ns1.yangbin.com.
        IN    NS    ns2.yangbin.com.
        IN    MX 10 mx1.yangbin.com.
        IN    MX 20 mx2.yangbin.com.
235     IN    PTR   ns1
231     IN    PTR   ns2
232     IN    PTR   mx1
233     IN    PTR   mx2
234     IN    PTR   www
[[email protected] ~]# vim /etc/named.rfc1912.zones   
 zone "7.68.10.in-addr.arpa" IN {
        type master;
        file "7.68.10.in-addr.arpa";
        allow-update { none; };
 };
[[email protected] ~]# named-checkzone "7.68.10.in-addr.arpa" /var/named/7.68.10.in-addr.arpa 
zone 7.68.10.in-addr.arpa/IN: getaddrinfo(mx1.yangbin.com) failed: Temporary failure in name resolution
zone 7.68.10.in-addr.arpa/IN: getaddrinfo(mx2.yangbin.com) failed: Temporary failure in name resolution
zone 7.68.10.in-addr.arpa/IN: loaded serial 2016120701
OK
//mx1和mx2服务器没有打开,所以此处报错,可以不用理会,解析不受影响.
[[email protected] ~]# ll /var/named/
total 36
-rw-r--r--. 1 root  root   394 Aug 30 04:10 7.68.10.in-addr.arpa
drwxrwx---. 2 named named 4096 Aug 30 02:13 data
drwxrwx---. 2 named named 4096 Aug 30 03:14 dynamic
-rw-r-----. 1 root  named 2075 Apr 23  2014 named.ca
-rw-r-----. 1 root  named  152 Dec 15  2009 named.empty
-rw-r-----. 1 root  named  152 Jun 21  2007 named.localhost
-rw-r-----. 1 root  named  168 Dec 15  2009 named.loopback
drwxrwx---. 2 named named 4096 Jul 24  2015 slaves
-rw-r--r--. 1 root  named  451 Aug 30 03:36 yangbin.com.zone
[[email protected] ~]# chown :named /var/named/7.68.10.in-addr.arpa 
[[email protected] ~]# chmod 640 /var/named/{7.68.10.in-addr.arpa,yangbin.com.zone}
[[email protected] ~]# ll /var/named/
total 36
-rw-r-----. 1 root  named  394 Aug 30 04:10 7.68.10.in-addr.arpa
drwxrwx---. 2 named named 4096 Aug 30 02:13 data
drwxrwx---. 2 named named 4096 Aug 30 03:14 dynamic
-rw-r-----. 1 root  named 2075 Apr 23  2014 named.ca
-rw-r-----. 1 root  named  152 Dec 15  2009 named.empty
-rw-r-----. 1 root  named  152 Jun 21  2007 named.localhost
-rw-r-----. 1 root  named  168 Dec 15  2009 named.loopback
drwxrwx---. 2 named named 4096 Jul 24  2015 slaves
-rw-r-----. 1 root  named  451 Aug 30 03:36 yangbin.com.zone
[[email protected] ~]#
[[email protected] ~]# service named start
Starting named:                                            [  OK  ]
[[email protected] ~]# 
[[email protected] ~]# rndc status
version: 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6
CPUs found: 4
worker threads: 4
number of zones: 21
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running
[[email protected] ~]#

检查语法出现的错误:

[[email protected] ~]# named-checkzone "7.68.10.in-addr.arpa" /var/named/10.68.7.101.zone.arpa
/var/named/10.68.7.235.zone.arpa:3: SOA record not at top of zone (7.68.10.in-addr.arpa.7.68.10.in-addr.arpa)
zone 7.68.10.in-addr.arpa/IN: loading from master file ar/named/10.68.7.101.zone.arpa failed: not at top of zone
zone 7.68.10.in-addr.arpa/IN: not loaded due to errors.

解决办法:
[[email protected] ~]#vim /var/named/7.68.10.in-addr.arpa 
 $ORIGIN 7.68.10.in-addr.arpa.  //该行直接不要写或者结尾不要忘记加点号(.);

验证:

 用本机验证:

[[email protected] ~]# dig -x 10.68.7.232 @10.68.7.235

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6 <<>> -x 10.68.7.232 @10.68.7.235
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53809
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;232.7.68.10.in-addr.arpa.    IN    PTR

;; ANSWER SECTION:
232.7.68.10.in-addr.arpa. 86400    IN    PTR    mx1.7.68.10.in-addr.arpa.

;; AUTHORITY SECTION:
7.68.10.in-addr.arpa.    86400    IN    NS    ns2.yangbin.com.
7.68.10.in-addr.arpa.    86400    IN    NS    ns1.yangbin.com.

;; ADDITIONAL SECTION:
ns1.yangbin.com.    86400    IN    A    10.68.7.235
ns2.yangbin.com.    86400    IN    A    10.68.7.231

;; Query time: 0 msec
;; SERVER: 10.68.7.235#53(10.68.7.235)
;; WHEN: Tue Aug 30 04:21:25 2016
;; MSG SIZE  rcvd: 139

[[email protected] ~]#

 在slave机器上验证:

[[email protected] ~]# dig -x 10.68.7.234 @10.68.7.235

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6 <<>> -x 10.68.7.234 @10.68.7.235
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16793
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;234.7.68.10.in-addr.arpa.    IN    PTR

;; ANSWER SECTION:
234.7.68.10.in-addr.arpa. 86400    IN    PTR    www.7.68.10.in-addr.arpa.

;; AUTHORITY SECTION:
7.68.10.in-addr.arpa.    86400    IN    NS    ns1.yangbin.com.
7.68.10.in-addr.arpa.    86400    IN    NS    ns2.yangbin.com.

;; ADDITIONAL SECTION:
ns1.yangbin.com.    86400    IN    A    10.68.7.235
ns2.yangbin.com.    86400    IN    A    10.68.7.231

;; Query time: 36 msec
;; SERVER: 10.68.7.235#53(10.68.7.235)
;; WHEN: Tue Aug 30 04:22:10 2016
;; MSG SIZE  rcvd: 139

[[email protected] ~]#

在slave机器上模拟全量区域传送: 可以得到对方正向区域所有的资源记录:

[[email protected] ~]# dig axfr yangbin.com @10.68.7.235

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6 <<>> axfr yangbin.com @10.68.7.235
;; global options: +cmd
yangbin.com.        86400    IN    SOA    ns1.yangbin.com.yangbin.com. admin.yangbin.com. 2016120701 7200 300 604800 86400
yangbin.com.        86400    IN    NS    ns1.yangbin.com.
yangbin.com.        86400    IN    NS    ns2.yangbin.com.
yangbin.com.        86400    IN    MX    10 mx1.yangbin.com.
yangbin.com.        86400    IN    MX    20 mx2.yangbin.com.
mx1.yangbin.com.    86400    IN    A    10.68.7.232
mx2.yangbin.com.    86400    IN    A    10.68.7.233
ns1.yangbin.com.    86400    IN    A    10.68.7.235
ns2.yangbin.com.    86400    IN    A    10.68.7.231
web.yangbin.com.    86400    IN    CNAME    www.yangbin.com.
www.yangbin.com.    86400    IN    A    10.68.7.234
yangbin.com.        86400    IN    SOA    ns1.yangbin.com.yangbin.com. admin.yangbin.com. 2016120701 7200 300 604800 86400
;; Query time: 20 msec
;; SERVER: 10.68.7.235#53(10.68.7.235)
;; WHEN: Tue Aug 30 04:25:27 2016
;; XFR size: 12 records (messages 1, bytes 301)

[[email protected] ~]#

在slave机器上模拟全量区域传送: 可以得到对方反向区域所有的资源记录:

[[email protected] ~]# dig axfr 7.68.10.in-addr.arpa @10.68.7.235

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6 <<>> axfr 7.68.10.in-addr.arpa @10.68.7.235
;; global options: +cmd
7.68.10.in-addr.arpa.    86400    IN    SOA    ns1.yangbin.com.7.68.10.in-addr.arpa. admin.yangbin.com. 2016120701 7200 300 604800 86400
7.68.10.in-addr.arpa.    86400    IN    NS    ns1.yangbin.com.
7.68.10.in-addr.arpa.    86400    IN    NS    ns2.yangbin.com.
7.68.10.in-addr.arpa.    86400    IN    MX    10 mx1.yangbin.com.
7.68.10.in-addr.arpa.    86400    IN    MX    20 mx2.yangbin.com.
231.7.68.10.in-addr.arpa. 86400    IN    PTR    ns2.7.68.10.in-addr.arpa.
232.7.68.10.in-addr.arpa. 86400    IN    PTR    mx1.7.68.10.in-addr.arpa.
233.7.68.10.in-addr.arpa. 86400    IN    PTR    mx2.7.68.10.in-addr.arpa.
234.7.68.10.in-addr.arpa. 86400    IN    PTR    www.7.68.10.in-addr.arpa.
235.7.68.10.in-addr.arpa. 86400    IN    PTR    ns1.7.68.10.in-addr.arpa.
7.68.10.in-addr.arpa.    86400    IN    SOA    ns1.yangbin.com.7.68.10.in-addr.arpa. admin.yangbin.com. 2016120701 7200 300 604800 86400
;; Query time: 1 msec
;; SERVER: 10.68.7.235#53(10.68.7.235)
;; WHEN: Tue Aug 30 04:27:43 2016
;; XFR size: 11 records (messages 1, bytes 329)

[[email protected] ~]#

主服务器已配置完毕!

三.  通过区域传送实现主从同步

配置一台正向从DNS服务器:

[[email protected] ~]# yum -y install bind
[[email protected] ~]# vim /etc/named.conf
options {
        listen-on port 53 { 10.68.7.231; 127.0.0.1; };
//      listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;

        dnssec-enable no;
        dnssec-validation no;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
//      bindkeys-file "/etc/named.iscdlv.key";

//      managed-keys-directory "/var/named/dynamic";
};
...

[[email protected] ~]# vim /etc/named.rfc1912.zones
zone "yangbin.com" IN {
        type slave;
        masters { 10.68.7.235; };
        file "slaves/yangbin.com.zone";
};
[[email protected] ~]# ll /var/named
total 28
drwxrwx---. 2 named named 4096 Jul 24  2015 data
drwxrwx---. 2 named named 4096 Jul 24  2015 dynamic
-rw-r-----. 1 root  named 2075 Apr 23  2014 named.ca
-rw-r-----. 1 root  named  152 Dec 15  2009 named.empty
-rw-r-----. 1 root  named  152 Jun 21  2007 named.localhost
-rw-r-----. 1 root  named  168 Dec 15  2009 named.loopback
drwxrwx---. 2 named named 4096 Jul 24  2015 slaves  //系统已自动准备好供写入的文件(file) slaves目录. 
[[email protected] ~]# 
注意:
   必须在主服务器的配置文件下有从服务器的ns记录,且ns名称对应的IP为从服务器的IP才行;

启动服务然后查看日志信息:

[[email protected] ~]# service named start
Generating /etc/rndc.key:                                  [  OK  ]
Starting named:                                            [  OK  ]
[[email protected] ~]# less /var/log/messages
Aug 30 04:47:26 DNS-slave named[3287]: zone yangbin.com/IN: Transfer started.
Aug 30 04:47:26 DNS-slave named[3287]: transfer of ‘yangbin.com/IN‘ from 10.68.7.235#53: connected using 10.68.7.231#5802
4
Aug 30 04:47:26 DNS-slave named[3287]: zone yangbin.com/IN: transferred serial 2016120701
Aug 30 04:47:26 DNS-slave named[3287]: transfer of ‘yangbin.com/IN‘ from 10.68.7.235#53: Transfer completed: 1 messages, 
12 records, 301 bytes, 0.001 secs (301000 bytes/sec)
[[email protected] ~]# cat /var/named/slaves/yangbin.com.zone 
$ORIGIN .
$TTL 86400    ; 1 day
yangbin.com        IN SOA    ns1.yangbin.com.yangbin.com. admin.yangbin.com. (
                2016120701 ; serial
                7200       ; refresh (2 hours)
                300        ; retry (5 minutes)
                604800     ; expire (1 week)
                86400      ; minimum (1 day)
                )
            NS    ns1.yangbin.com.
            NS    ns2.yangbin.com.
            MX    10 mx1.yangbin.com.
            MX    20 mx2.yangbin.com.
$ORIGIN yangbin.com.
mx1            A    10.68.7.232
mx2            A    10.68.7.233
ns1            A    10.68.7.235
ns2            A    10.68.7.231
web            CNAME    www
www            A    10.68.7.234
[[email protected] ~]#

没有问题!

在主DNS服务器修改区域文件,然后再在slave服务器作区域传送查看结果:

[[email protected] ~]# vim /var/named/yangbin.com.zone
...
序列号加1
增加如下行:
ftp     IN    A     10.68.7.238
[[email protected] ~]# rndc reload
server reload successful

主服务器重载服务器查看结果:

[[email protected] ~]# rndc reload
[[email protected] ~]# tail -20  /var/log/messages
Aug 30 05:07:02 DNS-slave named[3287]: client 10.68.7.235#34827: received notify for zone ‘yangbin.com‘
Aug 30 05:07:02 DNS-slave named[3287]: zone yangbin.com/IN: Transfer started.
Aug 30 05:07:02 DNS-slave named[3287]: transfer of ‘yangbin.com/IN‘ from 10.68.7.235#53: connected using 10.68.7.231#44271
Aug 30 05:07:02 DNS-slave named[3287]: zone yangbin.com/IN: transferred serial 2016120702
Aug 30 05:07:02 DNS-slave named[3287]: transfer of ‘yangbin.com/IN‘ from 10.68.7.235#53: Transfer completed: 1 messages, 12 records, 301 bytes, 0.002 secs (150500 bytes/sec)
Aug 30 05:07:02 DNS-slave named[3287]: zone yangbin.com/IN: sending notifies (serial 2016120702)
Aug 30 05:07:03 DNS-slave named[3287]: client 10.68.7.235#9138: received notify for zone ‘7.68.10.in-addr.arpa‘: not authoritative
[[email protected] ~]# 
[[email protected] ~]# cat /var/named/slaves/yangbin.com.zone 
$ORIGIN .
$TTL 86400    ; 1 day
yangbin.com        IN SOA    ns1.yangbin.com.yangbin.com. admin.yangbin.com. (
                2016120702 ; serial
                7200       ; refresh (2 hours)
                300        ; retry (5 minutes)
                604800     ; expire (1 week)
                86400      ; minimum (1 day)
                )
            NS    ns1.yangbin.com.
            NS    ns2.yangbin.com.
            MX    10 mx1.yangbin.com.
            MX    20 mx2.yangbin.com.
$ORIGIN yangbin.com.
ftp            A    10.68.7.238
mx1            A    10.68.7.232
mx2            A    10.68.7.233
ns1            A    10.68.7.235
ns2            A    10.68.7.231
web            CNAME    www
www            A    10.68.7.234
[[email protected] ~]#

主从复制配置完毕!

四. 搭建http服务,开启windows主机,配好DNS进行访问:

[[email protected] ~]# yum -y install httpd
[[email protected]  ~]# curl 10.68.7.234
<h1>Succeed!</h1>
[[email protected]  ~]# vim /etc/httpd/conf/httpd.conf  
 ...
 在配置文件对应位置增加如下行:
 ServerName  www.yangbin.com //也可不加,因为DNS内配置了正反向解析 
 ...
重启服务!

然后在win7配置好DNS并访问:

技术分享

实验验证完成


本文出自 “yangbin” 博客,请务必保留此出处http://13683137989.blog.51cto.com/9636221/1880492

以上是关于详解DNS服务工作原理正反向解析和主从同步的主要内容,如果未能解决你的问题,请参考以下文章

RedHat 6配置DNS服务实现主从同步与正反向解析

DNS简介DNS工作原理DNS正反向解析的搭建DNS主从备份DNS子域创建

配置DNS的正反向解析与主从同步

配置DNS的正反向解析与主从同步

浅谈DNS基本原理以及实现方法

linxu DNS域名反向解析缓存服务器主从服务器和同步分离解析