域名解析服务器_项目6 配置与管理DNS服务器（第二版）.ppt

Linux网络服务器配置管理项目培训教程（第二版） 1. 项目主题介绍 2. DNS服务工作原理 4. DNS服务器配置 5. DNS客户端配置 6. 现场演示案例 3. DNS服务项目安装与启动 6 ：配置和管理DNS服务器——现在需要在企业内部搭建一台DNS服务器，为局域网内的计算机提供域名解析服务。 DNS服务器管理域的域名解析。 DNS服务器的域名为dns.，IP地址为192.168.1.2。备用DNS服务器的IP地址是192.168.1.3。同时必须向客户提供主机的域名解析。要求能够解析以下域名：财务部（cw.：192.168.1.11）、销售部（xs.：192.168.1.12）、经理部（jl.：192.168.1.13）、OA系统（oa） .: 192.168.1.13) . 1. DNS服务概述 2. DNS域名空间结构 3. DNS域名解析流程 1 DNS 针对类别 4.

1．主 DNS 服务器（或） 2. 辅助 DNS 服务器（从或） 3. 转发 DNS 服务器 4. 仅缓存 DNS 服务器（-） 6.1.3 DNS 查询模式 1. 递归查询 当接收到来自 DNS 工作站的查询请求时， DNS 服务器在其自己的缓存或区域数据库中进行搜索。如果DNS服务器本地没有存储查询到的DNS信息，则该服务器会查询其他服务器，并将返回的查询结果提交给客户端。 2、正向查询（也叫迭代查询）当收到DNS工作站发来的查询请求时，如果在DNS服务器中没有找到所需的数据，则DNS服务器会告诉DNS工作站另一个DNS服务器的IP地址，然后，DNS工作站然后自行查询DNS服务器，依此类推，直到找到所需的数据。如果在最后一个 DNS 服务器上没有找到所需的数据，则通知 DNS 工作站查询失败。 “转发”是指如果在某个地方找不到，该地方就会告诉你其他地方的地址，让你去其他地方查。一般情况下，DNS服务器之间的查询请求都是转发查询（DNS服务器也可以充当DNS工作站）。 6.1.4 域名解析流程 1. DNS 域名解析工作原理 DNS 域名解析的工作流程如下。 ①客户端提交域名解析请求，并将请求发送至本地域名服务器。

②本地域名服务器收到请求时，首先查询本地缓存。如果有查询的DNS信息记录，则直接返回查询结果。如果没有该记录，则本地域名服务器会将请求发送到根域名服务器。 ③根域名服务器将所查询域的顶级域名服务器的地址返回给本地域名服务器。 ④本地服务器然后向返回的域名服务器发送请求。 ⑤ 收到查询请求的域名服务器查询其缓存和记录。如果有相关信息，则返回客户端查询结果。否则，通知客户端下级域名服务器的地址。 ⑥本地域名服务器将查询请求发送至返回的DNS服务器。 ⑦域名服务器返回本地服务器查询结果（如果域名服务器不包含查询到的DNS信息，则查询过程将重复步骤⑥和⑦，直到返回解析信息或解析失败响应）。 ⑧本地域名服务器将返回结果保存到缓存中，并将结果返回给客户端。 6.1.4 域名解析流程 2、DNS 域名解析示例 假设客户端使用中国电信的ADSL 接入，中国电信分配的DNS 服务器地址为210.111.110.10。域名解析过程如下。 ①客户端直接向本地DNS服务器210.111.110.10查询.163域名。 ② 本地DNS无法解析该域名。它首先向根域服务器发送请求，查询DNS地址。 ③根域DNS管理，.net等顶级域名的地址解析。收到请求后将解析结果返回给本地DNS。

④ 本地DNS服务器210.111.110.10获得查询结果后，再向管理域的DNS服务器发送查询请求，请求163的DNS地址。 ⑤管理域将解析结果返回给本地DNS服务器210.111.110.10 。 ⑥ 本地DNS服务器210.111.110.10获得查询结果后，向管理163域的DNS服务器发送查询特定主机IP地址（）的请求，请求获取符合要求的主机IP地址。 ⑦163将解析结果返回给本地DNS服务器210.111.110.10。 ⑧本地DNS服务器得到最终的查询结果，并将结果返回给客户端，以便客户端可以与远程主机进行通信。 6.1.4 域名解析过程 6.1.4 域名解析过程 3、正向分析和反向分析 (1)正向分析。正向解析是指从域名到IP地址的解析过程。 (2)逆向分析。反向解析是IP地址到域名的解析过程。反向解析的作用是服务器认证。 6.1.5 资源记录 为了将名称解析为 IP 地址，服务器会查询其区域（也称为 DNS 数据库文件或简单数据库文件）。区域包含组成关联 DNS 域的资源信息的资源记录 (RR)。例如，某些资源记录将友好名称映射到 IP 地址，而其他资源记录将 IP 地址映射到友好名称。有些资源记录不仅包含DNS域中服务器的信息，还可以用于定义域，即指定每个服务器被授权访问哪些域。这些资源记录是SOA 和NS 资源记录。

1． SOA 资源记录的每个区域在该区域的开头都包含一个起始授权记录 (rd)，称为 SOA 记录。 SOA定义了域的全局参数，并对整个域进行管理设置。区域文件中只允许有一条 SOA 记录。 2. NS 资源记录 名称服务器 (NS) 资源记录代表该区域的权威服务器。它们代表 SOA 资源记录中指定的区域的主服务器和辅助服务器。它们还代表任何权威区域服务器。每个区域在区域根处至少包含一个 NS 记录。 6.1.5 资源记录 3. 资源记录地址（A）资源记录将FQDN 映射到IP 地址，因此解析器可以查询FQDN 对应的IP 地址。 4. PTR 资源记录 相对于A 资源记录，指针(PTR) 记录将IP 地址映射到FQDN。 6.1.5 资源记录 5. CNAME 资源记录 规范名称 (CNAME) 资源记录为特定 FQDN 创建别名。用户可以使用 CNAME 记录向连接的客户端隐藏其网络的实施细节。 6. MX 资源记录 邮件交换(MX) 资源记录指定DNS 域名的邮件交换服务器。邮件交换服务器是为 DNS 域名处理或转发邮件的主机。处理邮件意味着将邮件递送至目的地或将其转移至不同类型的邮件承运人。转发邮件是指将邮件发送到最终目的地服务器，使用简单邮件传输协议（SMTP）将邮件发送到距离最终目的地最近的邮件交换服务器，或者将邮件排队一定时间。

6.1.6 /etc/hosts 文件hosts 文件是Linux 系统中负责快速解析IP 地址和域名的文件。它以 ASCII 格式保存在 /etc 目录中，并命名为“hosts”。 Hosts 文件包含 IP 地址和主机名之间的映射以及主机名的别名。在没有域名服务器的情况下，系统上的所有网络程序都会查询这个文件来解析某个主机名对应的IP地址，否则就需要使用DNS服务程序来解决问题。通常，可以将常用的域名和IP地址映射添加到hosts文件中，以实现快速便捷的访问。 Hosts 文件的格式如下： IP 地址主机名/域名 【示例 5-1】 假设要添加的域名为 .smile，IP 地址为 192.168.0.1； .long，IP地址是192.168.1.1。您可以在hosts文件中添加以下记录。 192.168.0.1..168.1.1.long6.2 项目设计与准备 6.2.1 项目设计 为了保证校园网中的计算机能够安全可靠地通过域名访问本地网络和资源，需要部署网络中设有主 DNS 服务器和辅助 DNS 服务器。 DNS服务器，缓存DNS服务器。 6.2.2 项目准备 （1）一台安装有Linux企业服务器版的计算机，作为DHCP服务器； （2）一台安装XP操作系统的计算机，用于部署DNS客户端； （3）安装Linux操作系统系统有一台计算机，用于部署DNS客户端； (4)确定每台计算机的角色，规划每台计算机的IP地址和计算机名称。

(5)或者使用虚拟机软件部署实验环境。 6.3 3 DNS2。安装软件包 1、安装BIND软件包 3、启动和停止DNS服务  DNS是Root，用于改变程序执行时的根目录位置。对于很多早期的系统程序来说，所有程序执行的默认根目录都是“/”，这使得黑客或者其他不法分子很容易通过/etc/绝对路径窃取系统机密。例如，将BIND的根目录更改为/var/named/。这样，即使黑客攻破了BIND帐户，也只能访问/var/named/，这样可以最大限度地减少攻击对系统的危害。 ① BIND包安装完成后，/usr/sbin目录下会出现bind--admin文件。这是一个相关的命令文件。您可以使用它来禁用或启用功能，或启用虚拟根目录中的命名。配置文件与实际根目录下的命名配置文件同步。命令格式如下。 DNSDNS 位于 /var/named//etc 目录中。您可以使用cp –.-..conf将模板named.-.conf复制到named.conf中进行配置。

请注意，使用 P 参数会保留文件权限、所有者和时间戳。您还可以使用 a 参数递归复制文件和目录，同时保留权限。 BIND复制全局配置文件DNS1：选项配置如下： ◆ -on port 53 { 127.0.0.1; };这是本机的DNS监听端口和IP。此设置意味着仅侦听地址 127.0.0.1。如果不定义该选项，则表示监听所有网络 ◆ “/var/named”指主配置文件路径，该路径也是相对路径，其绝对路径 /var/named//var/named ◆ 查询-端口53； 进行 DNS 查询时，必须使用 53 作为源端口 ◆ -query { ; };允许客户提交查询。如果未定义此选项，则允许所有查询。全局配置文件1：选项配置如下： ◆allow- {192.168 .0.0/24;192.168.0.1/24}：允许客户端提交递归查询。如果未定义此选项，则允许所有选项。 ◆allow-{192.168.0.254;}：允许区域转移的DNS服务器（辅助DNS），不写表示允许所有{192.168.0.9;}：转发器