1、配置DNS服務(wù),Linux DNS簡介 在Linux系統(tǒng)中，域名服務(wù)（DNS）是由柏克萊（Berkeley） 的BIND（Berkeley Internet Name Domain）軟件實現(xiàn)的。 BIND是一個客戶機/服務(wù)器系統(tǒng)。 它的客戶方面稱為解析程序（resolver），它產(chǎn)生對域名信 息的查詢，將這類信息發(fā)送給服務(wù)器，DNS服務(wù)器回答解析 程序的查詢。BIND的服務(wù)是一個稱為named（讀作“name”“d”）的守護(hù)進(jìn)程。,DNS服務(wù)器的類型,BIND可以配置成以幾種不同的方法運行的DNS，常見的BIND配置是 主DNS服務(wù)器、輔助服務(wù)器和反向DNS服務(wù)器。 主DNS服務(wù)器 主DNS服

2、務(wù)器（primary name server）是特定域所有信息的權(quán)威性信息源。它從域管理員構(gòu)造的本地磁盤文件中加載域信息，該文件（區(qū)文件）包含著該服務(wù)器具有管理權(quán)的一部分域結(jié)構(gòu)的最精確信息。主服務(wù)器是一種權(quán)威性服務(wù)器，因為它以絕對的權(quán)威去回答對其管轄域的任何查詢。,輔助DNS服務(wù)器,輔助DNS服務(wù)器（secondary name server）可從主服務(wù)器中復(fù)制一整套域信息。區(qū)文件是從主服務(wù)器中復(fù)制出來的，并作為本地磁盤文件存儲在輔助服務(wù)器中。這種復(fù)制稱為“區(qū)文件復(fù)制”。在輔助域名服務(wù)器中有一個所有域信息的完整拷貝，可以有權(quán)威地回答對該域的查詢。因此，輔助域名服務(wù)器也稱作權(quán)威性服務(wù)器。 配置輔

3、助域名服務(wù)器不需要生成本地區(qū)文件，因為可以從主服務(wù)器中下載該區(qū)文件。,反向DNS服務(wù)器,如果自己擁有網(wǎng)絡(luò)IP地址，就必須為IP地址做反向DNS。這樣就可以根據(jù)IP地址反向解析出域名來。 一個域名服務(wù)器可以是上述配置中的任何一種，但經(jīng)常是將多種配置類型的元素組合在一起。,DNS常用術(shù)語,DNS是一個很復(fù)雜的概念，下表列出了常用的DNS術(shù)語。 常用DNS術(shù)語 域 ：代表網(wǎng)絡(luò)一部分的邏輯實體或組織 域 名：主機名的一部分，它代表包含這個主機的域。它可以和域交 換使用 主 機：網(wǎng)絡(luò)上的一臺計算機 節(jié) 點：網(wǎng)絡(luò)上的一臺計算機 域名服務(wù)器：提供DNS服務(wù)的計算機，它將DNS名字轉(zhuǎn)化為IP地址 解 析：把一

4、個域名轉(zhuǎn)化為與其相應(yīng)的IP地址的過程 解析器：從域名服務(wù)器中提取DNS信息的程序或庫子程序 反向解析：將給出的IP地址轉(zhuǎn)化為其相應(yīng)的DNS名字 欺 騙：使網(wǎng)絡(luò)看上去好象具有不同的IP地址或域名的行為,在概念-DNS分為三個部分,域名空間 域名空間中的記錄標(biāo)識一組主機并提供他們的有關(guān)信息。域中的每一個節(jié)點都有它的有關(guān)信息的數(shù)據(jù)庫。查詢命令試圖從這個數(shù)據(jù)庫中提取適當(dāng)?shù)男畔?。簡單地說，域名空間是所有不同類型信息的列表，這些信息是域名、IP地址、郵件別名和那些在DNS系統(tǒng)中能查到的內(nèi)容。,域名服務(wù)器,保持并維護(hù)域名空間中的數(shù)據(jù)的程序。每個域名服務(wù)器含有一個域名空間子集的完整信息，并保存其它有關(guān)部分的信

5、息。一個域名服務(wù)器擁有它控制范圍的完整信息?？刂频男畔磪^(qū)進(jìn)行劃分，區(qū)可以分布在不同的域名服務(wù)器上，以便為每個區(qū)提供服務(wù)。每個域名服務(wù)器都知道所有負(fù)責(zé)其他區(qū)的域名服務(wù)器。如果來了一個請求，它請求給定域名服務(wù)器負(fù)責(zé)的那個區(qū)的信息，那么這個域名服務(wù)器只是簡單地返回信息。但是，如果請求是不同區(qū)的信息，那么這個域名服務(wù)器就要與控制該區(qū)的相應(yīng)服務(wù)器聯(lián)系。,解析器,解析器是簡單的程序或子程序庫，它從服務(wù)器中提取信息以響應(yīng)對域名空間內(nèi)主機的查詢。,設(shè)置DNS服務(wù)器,在Linux上的域名服務(wù)是由named守護(hù)進(jìn)程來執(zhí)行的，named最早是為BSD向客戶機提供域名服務(wù)而開發(fā)的。named守護(hù)進(jìn)程通常在系統(tǒng)啟動時

6、開始工作，并一直工作到系統(tǒng)關(guān)閉。 named配置文件如下所示： /etc/named.conf:設(shè)置通用的named參數(shù)，指向該服務(wù)器使 用的域數(shù)據(jù)庫信息的源 /var/named/named.ca:指向根域名服務(wù)器 /var/named/named.local用于在本地回環(huán)地址,設(shè)置DNS服務(wù)器,DNS配置的主文件/etc/named.conf，named.conf文件通常很小，只包括一些指向DNS信息源的信息。其中某些源是本地文件，其他則是遠(yuǎn)程服務(wù)器。下面我們將看到一個需要生成的每種類型文件的例子。 想要將域名服務(wù)器作為主DNS服務(wù)器、輔助DNS服務(wù)器還是反向DNS服務(wù)器，需要修改配置文件

7、named.conf,named.conf文件的配置選項,Directory：指定DNS文件所在的目錄。 Master：以一個域名和一個文件名為參數(shù)。此選項聲明named對指定的域具有控制權(quán)，并使named從指定的區(qū)域加載信息 Hint：為named建立高速緩存信息。以一個域名和一個文件名為參數(shù)。域名通常用“.”指定。指定的文件包括一組稱為服務(wù)器提示的記錄，這些記錄列出了根域名服務(wù)器的信息 Forwarders：以一個域名服務(wù)器的列表作為參數(shù)。告訴本地域名服務(wù)器：如果它不能從它的本地信息中解析出地址，那么就與該列表中的服務(wù)器聯(lián)系 Slave：把本地域名服務(wù)器變成一個從屬服務(wù)器。如果給出了此選項

8、，那么本地服務(wù)器就試著通過遞歸查詢來解析DNS名字。它只把請求傳遞給 Forwarders：選項行列出的服務(wù)器中的一個,主服務(wù)器服務(wù)器的配置,我們以域為例，說明主服務(wù)器的配置，下面將說明主服務(wù)器的named.conf文件：,對配置文件的具體介紹如下：,options directory /var/named; ; 上面這一段說明的是DNS區(qū)域文件所在的目錄位置，在本例中的位置是/var/named zone . IN type hint; file named.ca; ; 這段配置文件指定“.”根域的域名服務(wù)器的信息從文件“named.ca”中獲得，“hint”表示域名服務(wù)器進(jìn)程必須和其中的某

9、臺根域名服務(wù)器連接上，并從它獲得一個根域名服務(wù)器的列表，所以該文件只是一個提示的作用。,zone IN type master; file ; ; 上段中“master”告訴我們這是“”域的主服務(wù)器。該域的信息數(shù)據(jù)是從文件中加載的。,zone 0.0.127. IN type master; file named.local; ; 最后一個“zone”語句定義“回環(huán)地址（loopback）”的數(shù)據(jù)庫文件，文件名為“named.local”。,輔助服務(wù)器服務(wù)器的配置,輔助服務(wù)器的配置與主服務(wù)器的配置不同，它使用slave語句代替master語句。 Slave語句指向用作域

10、信息源的遠(yuǎn)程服務(wù)器，以替代本地磁盤文件。下面的named.conf文件可以配置成為“”域的輔助服務(wù)器：,zone IN type slave; file ; masters 50; ; 這一段語句是使這個服務(wù)器成為的輔助服務(wù)器。它告訴named從IP地址為50的服務(wù)器中下載的信息，并將其數(shù)據(jù)保存在/var/named/文件中。如果該文件不存在，named就創(chuàng)造一個，并從遠(yuǎn)程服務(wù)器中取得區(qū)數(shù)據(jù)，然后將這些數(shù)據(jù)寫入新創(chuàng)建的文件中。如果存在該文件，named就要檢查遠(yuǎn)程服務(wù)器，以了解該遠(yuǎn)程服務(wù)器的數(shù)據(jù)是否不同于該文件中的數(shù)據(jù)，如果數(shù)據(jù)有變化，它就下

11、載更新后的數(shù)據(jù)，用新數(shù)據(jù)覆蓋該文件的內(nèi)容；如果數(shù)據(jù)沒有變化，named就加載磁盤文件的內(nèi)容，不必做麻煩的區(qū)轉(zhuǎn)移工作。,將一個數(shù)據(jù)庫拷貝到本地磁盤文件中，就不必每次引導(dǎo)主機時都要轉(zhuǎn)移區(qū)文件；只有當(dāng)修改數(shù)據(jù)時，才進(jìn)行這種區(qū)文件的轉(zhuǎn)移工作,高速緩存DNS服務(wù)器的配置,高速緩存服務(wù)器（caching-only server）可運行域名服務(wù)器軟件，但是沒有域名數(shù)據(jù)庫軟件。它從某個遠(yuǎn)程服務(wù)器取得每次域名服務(wù)器查詢的結(jié)果，一旦取得一個，就將它放在高速緩存中，以后查詢相同的信息時就用它予以回答。高速緩存服務(wù)器不是權(quán)威性服務(wù)器，因為它提供的所有信息都是間接信息。 對于高速緩存服務(wù)器只需要配置一個高速緩存文件，但

12、最常見的配置還包括一個回送文件，這或許是最常見的域名服務(wù)器配置。,配置高速緩存域名服務(wù)器是很簡單的。必須有named.conf和named.ca文件，通常也要用到named.local文件。下面是用于高速緩存服務(wù)器的named.conf文件的例子：,directory這一行告訴named到哪里去找尋文件。所有其后命名的文件都將是相對于此目錄的。該文件告訴named去維持一個域名服務(wù)器響應(yīng)的高速緩存，并利用named.ca文件的內(nèi)容去初始化該高速緩存。該高速緩存初始化文件的名字可以是任何名字，但一般使用/var/named/named.ca。使它成為一個高速緩存配置的原因，不是在該文件中使用一個

13、hint語句，而是因為沒有master和slave語句。,但是，在我們這個例子中卻有一個master語句。事實上，幾乎在每一個高速緩存的配置文件中都有這一個語句，它將本地服務(wù)器定義為它自己的回送域的主服務(wù)器，并假定該域的信息存儲在named.local文件中。這個回送域是一個域（域用于指定逆向解析，也就是IP地址到DNS名字的解析），它將地址映射為名字localhost。轉(zhuǎn)換自己的回送地址對于大多數(shù)人都是有意義的，因為大多數(shù)的named.conf文件都包含這一項。,DNS資源記錄類型,配置named所需的所有文件（named.h

14、osts、named.rev、named.local和named.ca）中的信息是以稱為資源記錄的形式存在的。每個資源記錄都有一個類型，這個類型說明記錄的功能。這些記錄都是標(biāo)準(zhǔn)資源記錄，稱為RR（resource records）。下表列出了最常見的資源記錄類型，其余的類型很少用到，如果感興趣的話。請參考相應(yīng)的RFC和幫助文件。,常見標(biāo)準(zhǔn)資源記錄 資源記錄名記錄 類型 功 能 說 明 地址 A 將主機名轉(zhuǎn)換為地址。這個字段保存以點分隔的十進(jìn)制形式的IP地址。任何給定的主機都只能有一個A記錄，因為這個記錄被認(rèn)為是授權(quán)信息。這個主機的任何附加地址名或地址映射必須用CNAME類型給出 別名 CNAM

15、E 給定一個主機的別名，主機的規(guī)范名字是在這個主機的A記錄中指定的 主機信息 HINFO描述主機的硬件和操作系統(tǒng) 郵件交換 MX建立郵件交換器記錄。MX記錄告訴郵件傳送進(jìn)程把郵件送到另一個系統(tǒng)，這個系統(tǒng)知道如何將它遞送到它的最終目的地 域名服務(wù)器 NS標(biāo)識一個域的域名服務(wù)器。NS資源記錄的數(shù)據(jù)字段包括這個域名服務(wù)器的DNS名。我們還需要指定這個名字名字服務(wù)器的地址與主機名相匹配的A記錄 指針 PTR將地址變換成主機名。主機名必須是規(guī)范主機名,DNS的數(shù)據(jù)庫文件,Linux的DNS數(shù)據(jù)庫文件通常包括named.ca，named.local以及本域的數(shù)據(jù)庫文件(在本例當(dāng)中是)。 named.ca文

16、件 在Linux系統(tǒng)上通常在/var/named/下已經(jīng)提供了一個named.ca，該文件中包含了Internet的頂層域名服務(wù)器，該文件可通過匿名FTP從的domain目錄下載，文件名為named.root，下載后要改名并復(fù)制到/var/named/目錄下。,該文件只是一個提示（hints）的作用，實際使用的根域名服務(wù)器的信息是查詢其中一臺域名服務(wù)器的返回結(jié)果。這些根域名服務(wù)器的信息保存在域名服務(wù)器的緩存中直到存活期變?yōu)榱?。這時需要重新下載該文件，更新域名信息。 在上面的文件中，以“；”開頭的行都是注釋行。其余的行，每兩行為一組，和某個域名服務(wù)器相關(guān)聯(lián)，分別為“NS”和“A”資源記錄。下面以

17、資源記錄的第一行和第二行為例，解釋各行數(shù)據(jù)的含義：,在“NS”記錄中，第一個域“.”表示是根域；第二個域是“存活期”，為“3600000”秒，如果為空就使用“Start Of Authority”（SOA）記錄中的“存活期”；“NS”表示該資源記錄的類型；最后是主機域名，為“A.ROOT-SERVERS.NET.”。 “A”資源記錄用來指定根域名服務(wù)器對應(yīng)的IP地址，其中第一個域為主機域名；第二個域為“存活期”；第三個域“A”表示資源記錄的類型；最后是對應(yīng)的IP地址,本地域DNS數(shù)據(jù)庫文件,配置域的數(shù)據(jù)庫文件，如下所示：,在文件中，所有的記錄行都必須頂頭寫，前面不能有空格?！?；”引導(dǎo)的是注釋行

18、。第一個有效行是“SOA”記錄，這是每個數(shù)據(jù)庫文件都必須有的。 各項的含義如下： ：是該域的替代符，在該文件中表示“” SOA:告訴域名服務(wù)器它后面跟著的所有所有資源記錄是控制這個域的（SOA）表示授與控制權(quán)）。其數(shù)據(jù)字段用（）括起來并且通常是多行字段。SOA記錄的數(shù)據(jù)字段包含下面的項： origin:這個域的主域名服務(wù)器的規(guī)范主機名。用點“.” 結(jié)尾的絕對主機名，因此，它不能被named守護(hù)進(jìn)程修改 contact:負(fù)責(zé)維護(hù)這個域的管理員的電子郵件聯(lián)系地址。因為在資源記錄中有特殊的意義，所以用點“.”代替這個符號。如果負(fù)責(zé)維護(hù)的人是root，那么聯(lián)系地址就是,serial:這個區(qū)信息文件的版本號，它是一個整數(shù)。輔助域名服務(wù)器用它來確定這個區(qū)信息的文件是何時改變的。每次改變信息文件時都應(yīng)該把這個數(shù)加1 refresh:輔助域名服務(wù)器在試圖檢查主域名服務(wù)器的SOA記錄之前應(yīng)等待的秒數(shù)。SOA記錄不經(jīng)常改變，因此可以把這個值設(shè)置為一天 retry: 輔助服務(wù)器在主服務(wù)器不能使用時，重試對主服務(wù)器的請求應(yīng)等待的秒數(shù)。 expire:這是輔助服務(wù)器在不能與主服務(wù)器取得聯(lián)系的情況下丟掉區(qū)信息之前應(yīng)等待的秒數(shù)，一般應(yīng)該設(shè)置成30天左右 minimum:當(dāng)沒有指定ttl資源記錄時默認(rèn)的ttl值。如果網(wǎng)絡(luò)沒有太大的變化，那么這個數(shù)可以