鄭州鐵路職業(yè)技術(shù)學(xué)院教案首頁(yè)序號(hào)：26授課班級(jí)信息安全22A1信息安全22A2授課日期5.136.12出勤情況課程名稱(chēng)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)教學(xué)類(lèi)型理實(shí)結(jié)合復(fù)習(xí)舊課引入新課復(fù)習(xí)舊課：安裝DNS軟件配置DNS服務(wù)引入新課：Linux系統(tǒng)DNS服務(wù)安裝與配置（二）教學(xué)目標(biāo)要求學(xué)生通過(guò)該能力模塊的學(xué)習(xí),能夠熟練掌握主從DNS服務(wù)的安裝與配置能力。講授要點(diǎn)教學(xué)設(shè)計(jì)講授要點(diǎn)：3、配置主從DNS服務(wù)4、配置DNS子域5、配置DNS服務(wù)高級(jí)選項(xiàng)教學(xué)設(shè)計(jì)：回顧上節(jié)內(nèi)容DNS軟件的安裝和配置引入本節(jié)內(nèi)容主從DNS服務(wù)的配置任務(wù)實(shí)施分3個(gè)實(shí)驗(yàn)步驟，完成Linux操作系統(tǒng)的配置課堂總結(jié)重點(diǎn)難點(diǎn)解決方法重點(diǎn)：配置主從DNS服務(wù)配置DNS子域配置DNS服務(wù)高級(jí)選項(xiàng)難點(diǎn)： 配置DNS服務(wù)解決方法：演示+上機(jī)操作課后作業(yè)完成本節(jié)實(shí)驗(yàn)，并上交實(shí)驗(yàn)課后總結(jié)鄭州鐵路職業(yè)技術(shù)學(xué)院教師教案第26-PAGE1頁(yè)Linux系統(tǒng)DNS服務(wù)安裝與配置（二）教學(xué)過(guò)程步驟主要內(nèi)容教學(xué)組織復(fù)習(xí)復(fù)習(xí)DNS服務(wù)的安裝和配置教師帶動(dòng)學(xué)生復(fù)習(xí)5分鐘任務(wù)引入在完成DNS服務(wù)的安裝和配置后，我們接下來(lái)要進(jìn)行的就是配置主從DNS服務(wù)器，使DNS服務(wù)器運(yùn)行起來(lái)。教師講授5分鐘知識(shí)講授DNS原理當(dāng)DNS客戶(hù)端需要為某個(gè)應(yīng)用程序查詢(xún)名字時(shí)，它將聯(lián)系自己的DNS服務(wù)器來(lái)解析此名字。DNS客戶(hù)發(fā)送的解析請(qǐng)求包含以下三種信息：需要查詢(xún)的域名。如果原應(yīng)用程序提交的不是一個(gè)完整的FQDN，則DNS客戶(hù)端加上域名后綴以構(gòu)成一個(gè)完整的FQDN；指定的查詢(xún)類(lèi)型。指定查詢(xún)的資源記錄的類(lèi)型，如A記錄或者M(jìn)X記錄等等；指定的DNS域名類(lèi)型。對(duì)于DNS客戶(hù)端服務(wù)，這個(gè)類(lèi)型總是指定為Internet[IN]類(lèi)別。DNS客戶(hù)端完整的DNS解析過(guò)程如下：1、檢查自己的本地DNS名字緩存當(dāng)DNS客戶(hù)端需要解析某個(gè)FQDN時(shí)，先檢查自己的本地DNS名字緩存。本地的DNS名字緩存由兩部分構(gòu)成：Hosts文件中的主機(jī)名到IP地址映射定義；前一次DNS查詢(xún)得到的結(jié)果，并且此結(jié)果還處于有效期；如果DNS客戶(hù)端從本地緩存中獲得相應(yīng)結(jié)果，則DNS解析完成。2、聯(lián)系自己的DNS服務(wù)器如果DNS客戶(hù)端沒(méi)有在自己的本地緩存中找到對(duì)應(yīng)的記錄，則聯(lián)系自己的DNS服務(wù)器，你必須預(yù)先配置DNS客戶(hù)端所使用的DNS服務(wù)器。當(dāng)DNS服務(wù)器接收到DNS客戶(hù)端的解析請(qǐng)求后，它先檢查自己是否能夠權(quán)威的答復(fù)此解析請(qǐng)求，即它是否管理此請(qǐng)求記錄所對(duì)應(yīng)的DNS區(qū)域；如果DNS服務(wù)器管理對(duì)應(yīng)的DNS區(qū)域，則DNS服務(wù)器對(duì)此DNS區(qū)域具有權(quán)威。此時(shí)，如果本地區(qū)域中的相應(yīng)資源記錄匹配客戶(hù)的解析請(qǐng)求，則DNS服務(wù)器權(quán)威的使用此資源記錄答復(fù)客戶(hù)的解析請(qǐng)求（權(quán)威答復(fù)）；如果沒(méi)有相應(yīng)的資源記錄，則DNS服務(wù)器權(quán)威的答復(fù)客戶(hù)無(wú)對(duì)應(yīng)的資源記錄（否定答復(fù)）。如果沒(méi)有區(qū)域匹配DNS客戶(hù)端發(fā)起的解析請(qǐng)求，則DNS服務(wù)器檢查自己的本地緩存。如果具有對(duì)應(yīng)的匹配結(jié)果，無(wú)論是正向答復(fù)還是否定答復(fù)，DNS服務(wù)器非權(quán)威的答復(fù)客戶(hù)的解析請(qǐng)求。此時(shí)，DNS解析完成。如果DNS服務(wù)器在自己的本地緩存中還是沒(méi)有找到匹配的結(jié)果，此時(shí)，根據(jù)配置的不同，DNS服務(wù)器執(zhí)行請(qǐng)求查詢(xún)的方式也不同：默認(rèn)情況下，DNS服務(wù)器使用遞歸方式來(lái)解析名字。遞歸方式的含義就是DNS服務(wù)器作為DNS客戶(hù)端向其他DNS服務(wù)器查詢(xún)此解析請(qǐng)求，直到獲得解析結(jié)果，在此過(guò)程中，原DNS客戶(hù)端則等待DNS服務(wù)器的回復(fù)。如果你禁止DNS服務(wù)器使用遞歸方式，則DNS服務(wù)器工作在迭代方式，即向原DNS客戶(hù)端返回一個(gè)參考答復(fù)，其中包含有利于客戶(hù)端解析請(qǐng)求的信息（例如根提示信息等），而不再進(jìn)行其他操作；原DNS客戶(hù)端根據(jù)DNS服務(wù)器返回的參考信息再?zèng)Q定處理方式。但是在實(shí)際網(wǎng)絡(luò)環(huán)境中，禁用DNS服務(wù)器的遞歸查詢(xún)往往會(huì)讓DNS服務(wù)器對(duì)無(wú)法進(jìn)行本地解析的客戶(hù)端請(qǐng)求返回一個(gè)服務(wù)器失敗的參考答復(fù)，此時(shí)，客戶(hù)端則會(huì)認(rèn)為解析失敗。遞歸方式和迭代方式的不同之處就是當(dāng)DNS服務(wù)器沒(méi)有在本地完成客戶(hù)端的請(qǐng)求解析時(shí)，由誰(shuí)扮演DNS客戶(hù)端的角色向其他DNS服務(wù)器發(fā)起解析請(qǐng)求。通常情況下應(yīng)使用遞歸方式，這樣有利于網(wǎng)絡(luò)管理和安全性控制，只是遞歸方式比迭代方式更消耗DNS服務(wù)器的性能，不過(guò)在通常的情況下，這點(diǎn)性能的消耗無(wú)關(guān)緊要。根提示信息是Internet命名空間中的根DNS服務(wù)器的IP地址。為了正常的執(zhí)行遞歸解析，DNS服務(wù)器必須知道從哪兒開(kāi)始搜索DNS域名，而根提示信息則用于實(shí)現(xiàn)這一需求。全世界范圍內(nèi)的根DNS服務(wù)器總共有13個(gè)，它們的名字和IP地址信息保存在%systemroot%system32dnscache.dns文件中，每次DNS服務(wù)器啟動(dòng)時(shí)從cache.dns文件中讀取。一般情況下，不需要對(duì)此文件進(jìn)行修改；如果你的DNS服務(wù)器是在內(nèi)部網(wǎng)絡(luò)中部署并且不需要使用Internet的根DNS服務(wù)器，則可以根據(jù)需要進(jìn)行修改，將其指向到某個(gè)內(nèi)部根域DNS服務(wù)器。例如，當(dāng)某個(gè)DNS客戶(hù)端請(qǐng)求解析域名[url][/url]并且DNS服務(wù)器工作在遞歸模式下時(shí)，完整的解析過(guò)程如下：DNS客戶(hù)端檢查自己的本地名字緩存，沒(méi)有找到對(duì)應(yīng)的記錄；DNS客戶(hù)端聯(lián)系自己的DNS服務(wù)器NameServer1，查詢(xún)域名[url][/url]；3.NameServer1檢查自己的權(quán)威區(qū)域和本地緩存，沒(méi)有找到對(duì)應(yīng)值。于是，聯(lián)系根提示中的某個(gè)根域服務(wù)器，查詢(xún)域名[url][/url]；4.根域服務(wù)器也不知道[url][/url]的對(duì)應(yīng)值，于是，向NameServer1返回一個(gè)參考答復(fù)，告訴NameServer1.org頂級(jí)域的權(quán)威DNS服務(wù)器；5.NameServer1聯(lián)系.org頂級(jí)域的權(quán)威DNS服務(wù)器，查詢(xún)域名[url][/url]；6.org頂級(jí)域服務(wù)器也不知道[url][/url]的對(duì)應(yīng)值，于是，向NameServer1返回一個(gè)參考答復(fù)，告訴NameServer1W域的權(quán)威DNS服務(wù)器；7.NameServer1聯(lián)系W域的權(quán)威DNS服務(wù)器，查詢(xún)域名[url][/url]；8.W域的權(quán)威DNS服務(wù)器知道對(duì)應(yīng)值，并且返回給NameServer1；9.NameServer1向原DNS客戶(hù)端返回[url][/url]的結(jié)果，此時(shí)，解析完成。

DNS服務(wù)器全攻略之一：基礎(chǔ)介紹（2006-01-1608:15）查詢(xún)響應(yīng)類(lèi)型DNS服務(wù)器對(duì)于客戶(hù)請(qǐng)求的答復(fù)具有多種類(lèi)型，常見(jiàn)的有以下四種：權(quán)威答復(fù)：權(quán)威答復(fù)是返回給客戶(hù)的正向答復(fù)，并且設(shè)置了DNS消息中的權(quán)威位。此答復(fù)代表從具有權(quán)威的DNS服務(wù)器處發(fā)出；正向答復(fù)：正向答復(fù)包含了匹配客戶(hù)端解析請(qǐng)求的資源記錄；參考答復(fù)：參考答復(fù)只在DNS服務(wù)器工作在迭代模式下使用，包含了其他有助于客戶(hù)端解析請(qǐng)求的信息。例如，當(dāng)DNS服務(wù)器不能為客戶(hù)端發(fā)起的解析請(qǐng)求找到某個(gè)匹配值時(shí)，則向DNS客戶(hù)端發(fā)送參考回復(fù)，告訴它有助于解析請(qǐng)求的信息；否定答復(fù)：否定答復(fù)指出權(quán)威服務(wù)器在解析客戶(hù)端的請(qǐng)求時(shí)可能遇到了以下兩種情況之一：權(quán)威DNS服務(wù)器報(bào)告客戶(hù)端查詢(xún)的名字不存在；權(quán)威DNS服務(wù)器報(bào)告存在對(duì)應(yīng)的名字但是不存在指定類(lèi)型的資源記錄。無(wú)論正向答復(fù)還是否定答復(fù)，DNS客戶(hù)端都將結(jié)果保存在自己的本地緩存中。理解緩存的工作方式DNS客戶(hù)端和DNS服務(wù)器都會(huì)緩存獲得的解析結(jié)果，這樣可以提高DNS服務(wù)性能和減少DNS相關(guān)的網(wǎng)絡(luò)流量。DNS客戶(hù)端緩存當(dāng)DNS客戶(hù)端服務(wù)啟動(dòng)時(shí)，會(huì)讀取Hosts文件中的所有主機(jī)名和IP地址的映射，并且保存在緩存中。Hosts存放在%systemroot%system32driversetc目錄，當(dāng)你修改Hosts文件后，DNS客戶(hù)端會(huì)立即讀取Hosts文件并且對(duì)本地緩存進(jìn)行更新。另外，DNS客戶(hù)端會(huì)緩存過(guò)去的查詢(xún)結(jié)果，當(dāng)DNS客戶(hù)端服務(wù)停止時(shí)，將清空本地緩存。DNS服務(wù)器緩存DNS服務(wù)器像DNS客戶(hù)端一樣緩存名字解析結(jié)果，并且可以使用緩存中的信息來(lái)答復(fù)其他客戶(hù)端的請(qǐng)求。你可以在DNS服務(wù)器管理控制臺(tái)或者使用DNSCMD命令行工具手動(dòng)清空緩存，另外當(dāng)DNS服務(wù)器停止時(shí)，同樣會(huì)清空DNS服務(wù)器緩存。資源記錄的生存時(shí)間（TTL）指定了資源記錄可以緩存的時(shí)間的長(zhǎng)短，而無(wú)論是DNS客戶(hù)端緩存還是DNS服務(wù)器緩存；默認(rèn)情況下，TTL是3600秒（1小時(shí)）。需要注意的是，由于緩存的作用，DNS服務(wù)器上對(duì)于資源記錄的修改可能不能立即生效。并且對(duì)于Internet域名來(lái)說(shuō)，資源記錄的修改可能會(huì)需要超過(guò)24小時(shí)的時(shí)間才能在所有DNS服務(wù)器上完成更新。動(dòng)態(tài)更新當(dāng)DNS客戶(hù)端計(jì)算機(jī)上產(chǎn)生某個(gè)事件觸發(fā)更新時(shí)，DNS客戶(hù)端計(jì)算機(jī)上的DHCP客戶(hù)端服務(wù)將會(huì)為本地計(jì)算機(jī)中使用的所有網(wǎng)絡(luò)連接在相應(yīng)的DNS服務(wù)器中對(duì)自己的A記錄進(jìn)行更新，從而可以確保DNS域名記錄和IP地址記錄的對(duì)應(yīng)關(guān)系。而DNS服務(wù)器需要配置為允許動(dòng)態(tài)更新，才能讓DNS客戶(hù)端計(jì)算機(jī)成功完成更新。當(dāng)DNS客戶(hù)端計(jì)算機(jī)上產(chǎn)生以下事件時(shí)，會(huì)觸發(fā)DHCP客戶(hù)端服務(wù)的動(dòng)態(tài)更新行為：添加、刪除或修改了本地計(jì)算機(jī)任何網(wǎng)絡(luò)連接TCP/IP屬性中的IP地址；本地計(jì)算機(jī)的任何網(wǎng)絡(luò)連接向DHCP服務(wù)器獲取IP地址租約或者續(xù)約；DNS客戶(hù)端上運(yùn)行了Ipconfig/registerdns命令；DNS客戶(hù)端計(jì)算機(jī)啟動(dòng)；此DNS區(qū)域中的一臺(tái)成員服務(wù)器提升為域控制器；對(duì)于標(biāo)準(zhǔn)主要區(qū)域，你可以選擇不允許動(dòng)態(tài)更新和允許非安全和安全動(dòng)態(tài)更新。但是允許非安全和安全動(dòng)態(tài)更新具有安全隱患，因?yàn)镈NS服務(wù)器不會(huì)對(duì)進(jìn)行動(dòng)態(tài)更新的客戶(hù)端計(jì)算機(jī)進(jìn)行驗(yàn)證，所以任何客戶(hù)端計(jì)算機(jī)都可以對(duì)任何A記錄進(jìn)行動(dòng)態(tài)更新，而不管它是否是此A記錄的擁有者。通常情況下，你不應(yīng)該使用此選項(xiàng)。對(duì)于活動(dòng)目錄集成區(qū)域，除了上述的兩個(gè)選項(xiàng)外，你還可以使用安全動(dòng)態(tài)更新。當(dāng)使用此方式時(shí)，在客戶(hù)端計(jì)算機(jī)更新自己的記錄時(shí)，DNS服務(wù)器將要求客戶(hù)端計(jì)算機(jī)進(jìn)行身份驗(yàn)證來(lái)確保只有對(duì)應(yīng)資源記錄的擁有者才能更新此記錄。只有Windows2000及以后版本操作系統(tǒng)的客戶(hù)端計(jì)算機(jī)才能執(zhí)行動(dòng)態(tài)更新，低版本的Windows系統(tǒng)（NT4、9x/ME）不支持動(dòng)態(tài)更新。不過(guò)，你可以通過(guò)DHCP服務(wù)器為這些低版本客戶(hù)端計(jì)算機(jī)代理進(jìn)行動(dòng)態(tài)更新。當(dāng)DHCP服務(wù)器在代理低版本客戶(hù)端計(jì)算機(jī)注冊(cè)A記錄時(shí)，會(huì)將自己設(shè)置為此A記錄的所有者。而在安全動(dòng)態(tài)更新方式中，只有資源記錄的所有這才能修改此記錄，這樣在其他DHCP服務(wù)器為此低版本客戶(hù)端計(jì)算機(jī)代理注冊(cè)時(shí)會(huì)出現(xiàn)拒絕訪問(wèn)的問(wèn)題。因此，你需要將此DHCP服務(wù)器加入到DnsUpdateProxy安全組中，這樣當(dāng)DHCP服務(wù)器更新A記錄時(shí)，不會(huì)記錄下此A記錄的所有者信息，從而允許其他DHCP服務(wù)器來(lái)修改此A記錄。教師講授，演示DNS的原理，及主從DNS服務(wù)的配置過(guò)程35分鐘任務(wù)實(shí)施第一步配置主從DNS服務(wù)配置主服務(wù)器[root@lab1~]#vi/etc/resolv.confsearchnameserver1nameserver0配置從服務(wù)器[root@lab2~]#vi/etc/resolv.confsearchnameserver1nameserver0[root@lab2~]#vi/etc/named.confzone""IN{typeslave;file"slaves/.hosts";masters{1;};};zone"123.168.192."IN{typeslave;file"slaves/192.168.123.rev";masters{1;};};[root@lab2~]#chmodg+w/var/named/chroot/var/named/[root@lab2~]#servicenamedrestart[root@lab2~]#ll/var/named/chroot/var/named/slaves/總用量8-rw1namednamed4112月1521:54192.168.123.rev-rw1namednamed3952月1521:54.hosts第二步配置DNS子域修改父域服務(wù)器正向解析文件[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5bj INNS www.bjwww.bj INA53修改子域服務(wù)器主配置文件[root@lab3~]#vi/etc/named.confzone""IN{typemaster;file"/var/named/.hosts";allow-update{none;};};[root@lab3~]#servicenamedrestart第三步配置DNS高級(jí)選項(xiàng)1、配置DNS轉(zhuǎn)發(fā)器[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";forwardfirst;forwarders{0;};/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};2、配置緩存cache-only服務(wù)器[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";forwardonly;forwarders{0;1;};/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};3、配置WEB服務(wù)負(fù)載均衡[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5wwwINA