关于“ DNS服务器授权和域名解决实践”,我可以帮助您整理概念说明,配置实践和示例演示。整体结构可以如下布置:
基本概念
DNS服务器:提供域名分辨率服务,将域名(例如)解析到IP地址(例如192.0.2.1)中。
域名授权():将子域的管理权移交给DNS服务器的下一个级别进行处理,例如.com根域授权。
正向分辨率:域名IP地址。
反向分辨率:IP地址域名。
实际准备
两个服务器:
:主DNS服务器,负责管理。
:从DNS服务器负责管理。
系统环境:红色帽子 / / / Kirin(Kylin)还可以。
实验背景
当组织部署Web服务器时,有必要在上部署一组DNS(主和从)服务器,以提供Web地址分辨率服务。
【实验的目的】
1。掌握DNS -Slave架构的构建方法
2。掌握DNS配置分辨率记录和修改配置文件的方法
【实验内容】
构建网站并部署一组主奴隶DNS服务器,以提供域名分辨率服务。
【实验步骤】
单击用户并输入密码:***;单击右下角的小三角形,单击切换,然后输入高级操作模式
打开终端
切换到管理员身份(密码:###)
sudo -i注意:根据实际的网卡设备名称调整代码!在不同环境中,网卡的名称略有不同!
获取机器的IP地址,并记住IP地址用于后续配置。
IP:10.221.103.23
下载nginx源代码包和解压缩
wget http://10.44.16.102:60000/allfiles/Kylin/nginx-1.14.2.tar.gztar -xf nginx-1.14.2.tar.gz
指定安装路径为/usr/local/nginx
cd nginx-1.14.2./configure --prefix=/usr/local/nginx
#编译并安装make && make install#编写配置文件vim /usr/local/nginx/conf/nginx.conf#更改servername为www.kylinserver.comserver_name www.kylinserver.com;#为 nginx 设置别名,并指定 nginx 配置文件,平滑重启 nginx 进程alias nginx='/usr/local/nginx/sbin/nginx'nginx -c /usr/local/nginx/conf/nginx.confnginx -s reload
配置绑定
此示例中使用的环境是操作系统
检查是否已安装绑定,绑定 - 餐具和其他相关软件包(默认安装了实验机)
yum list installed | grep bind
1。绑定配置文件保存在两个位置:
·绑定服务主配置文件:/etc/named.conf
·区域文件(域的DNS信息):/var/name/
注意:如果安装了绑定(这是root的缩写),则将绑定将被封装到伪root目录中,配置文件的位置将为:
·绑定服务主配置文件:/var/named//etc/named.conf
·Zone File:/var/命名// var/named/
它通过相关文件封装在伪根目录中,并实现了安全保护的目的。程序打破后,它只能访问伪根目录中的内容,而不是真实的根目录。 (在此示例中未使用)
2。配置Bind 的主配置文件(/etc/named.conf),并在主配置文件/ETC/Nemed.conf中修改它
vim /etc/named.conf-ON,需要更改成本的IP
允许到任何人
注意:根据计算机IP进行修改
#加入 zone 参数zone "kylinserver.com" IN {type master;file "kylinserver.com.zone";};
3。创建一个新的.ZONE文件,域名分辨率文件,将区域文件放在/var/name/。区域文件可以用作模板。
cd /var/namedcp /var/named/named.localhost /var/named/kylinserver.com.zonell
修改.ZONE文件以进行配置
vim。区
修改以下配置
注意:根据计算机IP进行修改
$ ttl 1d
@ in Soa rname ..(
0;
1d;
1H;重试
1W;
3H);
@在NS www
www在本机IP中
由于绑定作为命名用户运行,因此您需要授权区域文件:
chown named.named /var/named/kylinserver.com.zonell
将指定的服务设置设置为在IPv4下运行
cat >> /etc/sysconfig/named <<EOFOPTIONS="-4"EOF
4。开始服务,命令如下:
在启动服务之前,您可以使用命名命令检查区域文件的配置语法是否有任何问题,然后启动服务。
named-checkzone www.kylinserver.com /var/named/kylinserver.com.zonesystemctl start namedsystemctl enable named
5。检查命名服务是否启动
systemctl status namedps -ef | grep named
6。修改客户端DNS配置文件/ETC/.conf
vim /etc/resolv.conf在#by的评论下,插入一条额外的行以填充机器的IP地址
注意:根据计算机IP进行修改
nameserver 本机IP7。测试DNS服务。在此示例中,在本地计算机上进行测试。返回的IP地址应与本地IP相同。
注意:根据计算机IP进行修改
dig www.kylinserver.com @10.221.103.238。打开浏览器并输入以确认可以正常显示该网站。
配置绑定从服务器
注意:请在从服务器中执行绑定服务器的配置!
为了允许DNS从服务器获取区域文件,可以释放DNS主服务器,并且可以直接关闭防火墙。
1。关闭防火墙
systemctl stop firewalld2。修改DNS从服务器绑定配置文件后,重新启动命名服务。
systemctl restart named其余的实验步骤将从服务器执行!
【实验步骤】
单击用户并输入密码:***;单击右下角的小三角形,单击切换,然后输入高级操作模式
打开终端
切换到管理员身份(密码:****)
sudo -i
获取机器的IP地址,并记住IP地址用于后续配置。
注意:根据实际的网卡设备名称调整代码!在不同环境中,网卡的名称略有不同!
ifconfigIP:10.221.103.81
代码段:可切换语言,文本格式无法单独设置
1。网站构建
请在主服务器实验机上完成此部分!
2。配置绑定
请在主服务器实验机上完成此部分!
3。配置绑定从服务器
1。将其修改为bind Main file /etc/named.conf
vim /etc/named.conf-ON,需要更改成本的IP
允许到任何人
注意:根据计算机IP进行修改
添加区域参数
注意:这需要根据DNS 的IP地址填充!
zone "kylinserver.com" IN {type slave;masters { 10.100.103.23; };file "slaves/kylinserver.com.zone";};
2。由于绑定作为命名用户运行,因此您需要授权存储区域文件的文件夹(/var/name/):
chown named.named /var/named/slavescd /var/namedll
3。分别启动主奴隶DNS服务器和绑定服务
注意:这里您需要返回主服务器以关闭防火墙,并从主服务器重新启动绑定服务!
systemctl restart named从服务器查看区域文件夹(/var/nuper/)之后,已下载了.ZONE文件。
cd /var/named/slaves4。从服务器side /etc/.conf修改DNS配置文件
vim /etc/resolv.conf在#by的评论下,插入一条额外的行以填写DNS IP地址
注意:根据DNS IP地址填写
nameserver DNS主服务IP5。测试挖掘
dig www.kylinserver.com在浏览器中打开
在这一点上,实验结束了!
配置参数分析
1。向前解析区域文件参数分析
(域名IP地址)
示例:。区域
$TTL 864002025042701 ; Serial3600 ; Refresh1800 ; Retry604800 ; Expire86400 ) ; Minimum TTLIN NS ns1.example.com.ns1 IN A 192.168.1.10www IN A 192.168.1.20
参数说明:
参数 作用说明$TTL 86400 设置默认生存时间TTL(Time To Live),单位秒。这里是86400秒=1天。影响DNS缓存多久失效。@ 当前区域的根标识(本区域的本身,例子里就是 example.com.)。可以理解为域本身的占位符。IN 表示Internet类的记录类型(基本上都是IN,不用改)。SOA 起始授权记录(Start Of Authority),定义本区域的基本属性,必须且只能有一个。格式如下详细解释:— ns1.example.com. 主DNS服务器名称(全名)。— admin.example.com. 管理员邮箱,把 @ 换成.,比如这里就是 admin@example.com。— 2025042701 序列号,每次修改区文件都必须加1,否则从服务器不会同步。格式一般是年月日+序号。— 3600 刷新周期(Refresh),从服务器多长时间向主服务器请求同步一次(单位秒)。— 1800 失败重试时间(Retry),刷新失败后多久再次尝试(单位秒)。— 604800 过期时间(Expire),超过这个时间未同步数据,从服务器将停止响应查询(单位秒)。— 86400 最小TTL,通常也是DNS负载的默认缓存时间。NS Name Server记录,声明本域权威DNS服务器。A Address记录,域名到IP地址的解析记录。
2。反向解析区域文件参数分析
(IP地址域名)
示例:1.168.192.in-addr.arpa.zone
$TTL 864002025042701 ; Serial3600 ; Refresh1800 ; Retry604800 ; Expire86400 ) ; Minimum TTLIN NS ns1.example.com.10 IN PTR ns1.example.com.20 IN PTR www.example.com.
参数说明:
参数 作用说明$TTL 86400 设置默认生存时间TTL。@ 当前反向解析区域(比如192.168.1.0/24对应1.168.192.in-addr.arpa)。SOA 起始授权记录(和正向一样),定义区域基本信息。NS Name Server记录,声明本反向解析区域权威DNS服务器。PTR Pointer记录,IP地址到域名的反向指针。举例:10 IN PTR ns1.example.com. 表示 192.168.1.10 ns1.example.com.注意:反向区域是倒序排列的,比如:IP是 192.168.1.10对应的反向域是 10.1.168.192.in-addr.arpa.
3。小摘要(超级实用)
正向分辨率(记录):一般访问,域名查找IP。
反向解析(PTR记录):身份身份验证,安全策略和邮件服务器的反击(例如,对于邮件服务器,需要反向解析)。
SOA记录:每个区域都必须具有它,以反映权威。
NS记录:识别权威服务器尤其重要,尤其是在子域授权时。
$ TTL和缓存机制:它对性能有很大的影响。请记住要注意更改记录时的TTL时间。
总结
对于主和从域,必须正确配置NS记录和子域的IP地址。
这是BIND作为DNS服务的一些主要优势的摘要,非常系统:
优势类别
详细说明
丰富的功能
支持各种DNS记录类型(A,AAAA,PTR,MX,CNAME,NS,SRV,TXT等),还可以支持各种高级功能,例如ACL访问控制,视图(视图),动态更新和安全扩展。
高度可配置
该配置是灵活且细致的,并且可以自定义几乎所有DNS行为,适用于从简单环境到复杂和大型网络的各种情况。
支持前进和反向解析
它还支持IP(正向分辨率)和IP到域名(反向分辨率)的域名。它具有完整的应用程序方案,特别适用于邮件服务器,身份验证和其他需要反向查询的环境。
广泛的兼容性
适用于各种操作系统(Linux,Unix),主流分布带有支持,生态系统已经成熟。
权威服务器和缓存服务器都可以做
它可以用作权威DNS服务器()和缓存递归服务器(),并且可以根据需要部署角色。
可靠的性能
它支持高的并发查询,在合理的调整(例如打开多线程和缓存设置)之后,它可以承受大规模查询的压力。
开源,活跃社区
BIND是开源(BSD许可证),及时更新,快速补丁和安全维修,丰富的社区资源以及问题的简单答案。
支持DNS安全扩展()
可以实施领域签名和验证,提高DNS数据的安全性,并防止DNS篡改和伪造。
完整的记录和审核功能
支持详细的日志记录,包括查询日志,转发日志,更新日志等,以促进操作和维护故障排除或安全审核。
方便管理区域
可以通过区域文件来管理多个域名和子域,从而易于扩展和维护。
支持查看机制(拆分DN)
可以根据访问源IP(例如不同的内部IP/外部IP)返回不同的解析结果,这些IP通常用于内部/外部双网络环境中。
丰富的调整方法
包括缓存TTL调整,响应率限制(RRL),并发查询线程调整等,以适应不同的负载和攻击防御需求。
支持IPv6
完全支持AAAA记录和IPv6 DNS查询,这是新网络环境的理想选择。
摘要句:
绑定是“最全面,最灵活和标准” DNS服务器之一,适用于对功能和可控性高要求的各种环境。
扫一扫在手机端查看
-
Tags : 免费稳定动态域名解析_DNS服务器授权与域名解析实践总结
我们凭借多年的网站建设经验,坚持以“帮助中小企业实现网络营销化”为宗旨,累计为4000多家客户提供品质建站服务,得到了客户的一致好评。如果您有网站建设、网站改版、域名注册、主机空间、手机网站建设、网站备案等方面的需求,请立即点击咨询我们或拨打咨询热线: 13761152229,我们会详细为你一一解答你心中的疑难。
客服1 