学习情境11配置dns服务器.ppt

学习情境11 配置dns服务器,10.1 DNS的概述,DNS域名系统的简介 DNS查询的工作原理 DNS规划 hosts文件 Bind的简介,DNS域名系统的简介,网络中为了区别各个主机，必须为每台主机分配一 个惟一的地址，这个地址即称为“IP地址”。但这些数字 难以记忆，所以就采用“域名”的方式来取代这些数字了。 当某台主机要与其他主机通信时，就可以利用主机 名称向DNS服务器查询该主机的IP地址。整个DNS域 名系统由以下4个部分组成。,DNS域名系统的简介,1DNS域名空间 2资源记录 3DNS服务器 4DNS客户端,DNS查询的工作原理,当DNS客户端需要查询所使用的名称时，它会查询DNS服务 器来解析该名称。客户端发送的查询消息包括以下3条信息： 指定的DNS域名，必须为完全合格的域名（FQDN）； 指定的查询类型，可根据类型指定资源记录，或者指定为查询操作的专门类型； DNS域名的指定类别。 DNS查询过程按两部分进行： 名称查询从客户端计算机开始，并传送给本机的DNS客户服务程序进行解析； 如果不能在本机解析查询，可根据设定的查询DNS服务器来解析名称。,DNS查询的工作原理,以上两种查询方式的具体工作过程如下。 1本地解析,DNS查询的工作原理,2查询DNS服务器,DNS查询的工作原理,递归查询流程,DNS查询的工作原理,迭代查询流程,DNS规划,在网络中开始使用DNS之前，必须先划DNS域名称 空间。名称空间规划包括确定要如何使用DNS命名和通过 使用DNS要达到什么目的等。 首先选择和注册一个可用于维护Internet上公司的一个顶 级或二级域名作为父DNS域名，如。其次， 将父域名称与公司内使用的位置或公司名称组合起来形成 其他子域名，如。 在选择域名时必须符合RCF 1123中的规定：所有大写字 母（AZ）、小写字母（az）、数字（09）和连字符 （-）。,hosts文件,hosts文件是Linux系统中一个负责IP地址 与域名快速解析的文件，以ASCII格式保存 在“/etc”目录下，文件名为“hosts”。hosts文 件包含了IP地址和主机名之间的映射，还包 括主机名的别名。 hosts文件的格式如下： IP地址 主机名/域名,Bind的简介,Linux下架设DNS服务器通常是使用Bind程序来实现 的。Bind是Berkeley Internet Name Domain Service的简 写，它是一款实现DNS服务器的开放源码软件。Bind原 本是美国DARPA资助伯克里大学（Berkeley）开设的一 个研究生课题，后来经过多年的变化发展，已经成为世 界上使用最为广泛的DNS服务器软件，目前Internet上绝 大多数的DNS服务器有都是用Bind来架设的。,10.2 DNS服务的安装,Red Hat Enterprise Linux安装程序默认没有安装 DNS服务，应使用下面的命令检查系统是否已经安装 了DNS服务或查看已经安装了何种版本。 rpm -q bind 如果系统还没有安装DNS服务。要安装DNS服务， 可将Red Hat Enterprise Linux 5第2张安装盘放入光 驱，加载光驱后在光盘的Server目录下找到DNS服务 的RPM安装包文件bind-9.3.3-7.el5.i386.rpm，使用下 面命令安装DNS服务。 rpm -ivh /mnt/Server/bind-9.3.3-7.el5.i386.rpm,10.3安装chroot软件包,早期Linux服务都是以root权限启动和运行的，随着 技术的发展，各种服务变得越来越复杂，导致BUG和 漏洞越来越多。黑客利用服务的漏洞入侵系统，能获 得root级别的权限，从而控制整个系统。为了减缓这种 攻击所带来的负面影响，现在服务器软件通常设计为 以root权限启动，然后服务器进程自行放弃root，再以 某个低权限的系统账号来运行进程。这种方式的好处 在于该服务被攻击者利用漏洞入侵时，由于进程权限 很低，攻击者得到的访问权限又是基于这个较低权限 的，因此对系统造成的危害比以前减轻了许多。,10.3安装chroot软件包,将Red Hat Enterprise Linux 5第2张安装盘 放入光驱，加载光驱后在光盘的Server目录 下找到bind-chroot的RPM安装包文件bind- chroot-9.3.3-7.el5.i386.rpm，然后使用下面 命令安装DNS服务。 rpm -ivh /mnt/Server/bind-chroot-9.3.3-7.el5.i386.rpm,10.4配置主要名称服务器,主配置文件 设置根区域 设置主区域 设置反向解析区域 根服务器信息文件named.ca 区域文件 反向解析区域文件 实现负载均衡功能 实现直接解析域名 实现泛域名的解析 主要名称服务器的测试,主配置文件,Bind的主配置文件是/etc/named.conf，该文件只 包括Bind的基本配置，并不包含任何DNS区域数据。 options directory “/var/named“; dump-file “/var/named/data/cache_dump.db“; statistics-file “/var/named/data/named_stats.txt“; ; include “/etc/rndc.key“;,设置根区域,当DNS服务器处理递归查询时，如果本地区域文 件不能进行查询的解析，就会转到根DNS服务器查 询，所以在主配置文件named.conf文件中还要定 义根区域。 zone “.“ type hint; file “named.ca“; ;,设置主区域,主区域用来保存DNS服务器某个区域（如： ）的数据信息。 zone ““ type master; file “.zone“; allow-transfer 77; 7; ; ;,设置反向解析区域,在大部分的DNS查询中，DNS客户端一般执行正向查找，即根据计 算机的DNS域名查询对应的IP地址。但在某些特殊的应用场合中（如判 断IP地址所对应的域名是否合法），也会使用到通过IP地址查询对应 DNS域名的情况（也称为反向查找）。 zone “16.168.192.“ type master; file “192.168.16.arpa“; allow-transfer 77; 7; ; ;,根服务器信息文件named.ca,/var/named/named.ca是一个非常重要的文件，该文 件包含了Internet的根服务器名字和地址，Bind接到客 户端主机的查询请求时，如果在Cache中找不到相应的 数据，就会通过根服务器进行逐级查询。 由于named.ca文件经常会随着根服务器的变化而发 生变化，因此建议最好从国际互联网络信息中心 （InterNIC）的FTP服务器下载最新的版本，下载地址 为/domain/named.root。下载完 后，应将该文件改名为named.ca，并复制到 “/var/named/chroot/var/named/”目录下。,区域文件,一个区域内的所有数据（包括主机名和对 应IP地址、刷新间隔和过期时间等）必须存 放在DNS服务器内，而用来存放这些数据的 文件就称为区域文件（区域数据文件使用“;” 符号注释）。DNS服务器的区域数据文件一 般存放在/var/named/目录下。,区域文件,/var/named/chroot/var/named/.zone文件的完整例子。 $ttl 38400 . IN SOA . . ( 2005090503 10800 3600 604800 38400 ) . IN NS . dns IN A 77 . IN A . IN A 78 . IN A 79 . IN A 80 rhel4 IN CNAME dns bbs IN CNAME www samba IN CNAME www . IN MX 10 . . IN MX 11 . . IN MX 12 .,反向解析区域文件,反向解析区域文件的结构和格式与区域文 件类似，只不过它的主要内容是建立IP地址 映射到DNS域名的指针PTR资源记录。,在/var/named/chroot/var/named/192.168.16.arpa文件中定义反向解析区域。 $ttl 36000 16.168.192.. IN SOA . . ( 2005090503 10800 3600 604800 36000 ) 16.168.192.. IN NS . 92.. IN PTR . 9 IN PTR . 178 IN PTR . 179 IN PTR . 180 IN PTR .,实现负载均衡功能,DNS负载均衡的优点是经济简单易行，它在DNS服务器中为同一个 域名配置多个IP地址（即为一个主机名设置多条A资源记录），在应答 DNS查询时，DNS服务器对每个查询将以DNS文件中主机记录的IP地 址按顺序返回不同的解析结果，将客户端的访问引导到不同的计算机上 去，使得不同的客户端访问不同的服务器，从而达到负载均衡的目的。 例如，在企业网中需要使用3台内容相同的FTP服务器共同承担客户 对网站的访问，它们的IP地址分别对应1、2 和3。现只要在DNS服务器的区域文件中加入以下3条A资 源记录，就可以实现3台FTP服务器网络负载均衡功能。 ftp IN A 1 ftp IN A 2 ftp IN A 3,实现直接解析域名,DNS服务器默认只能解析完全规范域名FQDN， 不能直接将域名解析成IP地址。为了方便用户访 问，可以在DNS服务器的区域文件中加入下面一条 特殊的A资源记录，以便支持实现直接解析域名功 能。 . IN A 或 . IN A ,实现泛域名的解析,泛域名是指一个域名下的所有主机和子域名都被解 析到同一个IP地址上 。 可以在DNS服务器的区域文件末尾加入下面一条特 殊的A资源记录（符号“*”是代表任何字符的通配符）， 以便支持实现泛域名解析功能。 *.. IN A 或 * IN A ,主要名称服务器的测试,1测试前的准备 （1）启动DNS服务 /etc/rc.d/init.d/named start （2）配置/etc/resolv.conf 2使用nslookup程序测试 非交互式通常用于返回单块数据的情况，其命令 格式为： nslookup -选项 需查询的域名 DNS服务器地址 交互式通常用于返回多块数据的情况，其命令格式为： nslookup - DNS服务器地址,10.5配置辅助名称服务器,辅助名称服务器也可以向客户机提供域名解析功能，但它与主要名 称服务器不同的是，它的数据不是直接输入的，而是从其他服务器（主 要名称服务器或其他的辅助名称服务器）中复制过来的，只是一份副 本，所以辅助名称服务器中的数据无法被修改。 在一个区域中设置多台辅助名称服务器具有以下优点。 提供容错能力。当主要名称服务器发生故障时，由辅助名称服务器提供服务。 分担主要名称服务器的负担。在DNS客户端较多的情况下，通过架设辅助名称服务器完成对客户端的查询服务，可以有效地减轻主要名称服务器的负担。 加快查询的速度。例如，一个公司在远地有一个与总公司网络相连的分公司网络，这时可以在该处设置一台辅助名称服务器，让该分公司的DNS客户端直接向此辅助名称服务器进行查询，而不需要通过速度较慢的广域网向总公司的DNS服务器查询，减少用于DNS查询的外网通信量。,10.5配置辅助名称服务器,辅助名称服务器的主配置文件是/etc/named.conf，也需要设置服务器的选项和根区域，方法与配置主要名称服务 器的方法相同 options directory “/var/named“; dump-file “/var/named/data/cache_dump.db“; statistics-file “/var/named/data/named_stats.txt“; ; include “/etc/rndc.key“; zone “.“ type hint; file “named.ca“; ; zone ““ type slave; file “slaves/.zone“; masters 77; ; zone “16.168.192.“ type slave; file “slaves/192.168.16.arpa“; masters 77; ;,10.6配置缓存Cache-only服务器,Cache-only服务器是很特殊的DNS服务器，它本身 并不管理任何区域，但是DNS客户端仍然可以向它请 求查询。Cache-only服务器类似于代理服务器，它没 有自己的域名数据库，而是将所有查询转发到其他 DNS服务器处理。当Cache-only服务器收到查询结果 后，除了返回给客户机外，还会将结果保存在缓存中。 当下一个DNS客户端再查询相同的域名数据时，就可 以从高速缓存里查出答案，加快DNS客户端的查询速 度。,10.6配置缓存Cache-only服务器,Cache-only服务器/etc/named.conf文件，具体的代码如下。 options directory “/var/named“; dump-file “/var/named/data/cache_dump.db“; statistics-file “/var/named/data/named_stats.txt“; version “4.9.11“; forward only; forwarders 01; 8; ; ; include “/etc/rndc.key“;,10.7启动和停止DNS服务,1启动DNS服务 /etc/init.d/named start 2停止DNS服务 /etc/init.d/named stop 3重新启动DNS服务 /etc/init.d/named restart,10.7启动和停止DNS服务,4自动启动DNS服务 如果需要让DNS服务随系统启动而自动加载，可以执行“ntsysv” 命令启动服务配置程序，找到“named”服务，在其前面加上星号“*”， 然后选择“确定”即可 。,10.8 DNS客户端的配置,Linux中DNS客户端的配置 Windows 2000/XP/2003中DNS客户端的配置,Linux中DNS客户端的配置,在Linux中配置DNS客户端的方法很简单，可直接编辑文件 /etc/resolv.conf，然后使用nameserver选项来指定DNS服务器的 IP地址 。,Windows 2000/XP/2003中DNS客户端的配置, 在桌面上的“网上邻居”图标上单击鼠标右键，在弹出的快捷菜单中选择“属性”命令，系统会打开“网络连接”窗口。 在“本地连接”图标上单击鼠标右键，在弹出的快捷菜单中选择“属性”命令，系统会打开“本地连接 属性”对话框。, 选中“Internet协议（TCP/IP）”复选框，然后单击“属性”按钮，系统会打开“Internet协议（TCP/IP）属性”对话框，如图6-33所示。 选中“使用下面的DNS服务器地