BIND 配置DNS服務器以及子域授權

1、安裝bind

     [root@www ~]# yum -y install bind

2、查看安裝生成的文件      [root@www ~]# rpm -ql bind | less

3、程序路徑     /var/named

4、配置文件路徑    /etc/named.conf

          全局配置：options {}

          日志子系統配置：logging {}

          區域定義：本機能夠為哪些zone進行解析,就是要定義哪些zone

                         zone "ZONE_NAME" IN {}

備份主配置文件   [root@www named]# cp /etc/named.conf{,.bak}

修改配置文件：

然后啟動該服務    service named start     查看監聽端口    ss -tunlp | grep :53

關閉dnssec   注釋掉即可

配置主DNS服務器

     1、在主配置文件中定義區域

               zone "ZONE_NAME" IN {

                         type {master|slave|hint|forward}

                         file “ZONE_NAME.zone”;

};

[root@www named]# vim /etc/named.rfc1912.zones

     2、定義區域解析庫文件

                    出現的內容: 宏定義   資源記錄定義

vim /var/named/security00.com.zone

[root@www named]# named-checkconf  //檢查主配置文件是否有錯

[root@www named]# named-checkzone "security00.com" /var/named/security00.com.zone   //檢查指定的zone文件是否有語法錯誤

修改文件權限

[root@www named]# chmod 640 security00.com.zone

[root@www named]# chown :named security00.com.zone

[root@www named]# service named reload

[root@www named]# rndc status    //查看當前狀態

使用dig命令來測試解析配置

[root@www named]# dig -t A www.security00.com @192.168.246.129  //使用本機來解析

測試命令：dig的使用

     dig [-t type] name [@SERVER] [query options]

     dig命令用來測試dns系統,因此,不會查詢hosts文件進行解析

     查詢選項：

                   +[no]trace：跟蹤解析過程

                   +[no]recurse：進行遞歸解析

                    -x：測試反向解析

                    -axfr：測試區域傳送

EXAMPLE： 

          [root@www named]# dig -t A www.security00.com +trace

     host命令：

          host [-t type] name [SERVER]

          example：  [root@www named]# host -t A www.security00.com 192.168.246.129

         nslookup命令：

               nslookup [-option] [name | -] [server]

     交互式模式：

          nslookup>

                    server IP：指明使用哪個DNS server進行查詢

                    set q = RR_TYPE：指明查詢的類型

                    NAME：要查詢的名稱

反向區域：

     區域名稱：網絡地址反寫.in-addr.arpa.

                    192.168.246. –> 246.168.192.in-addr.arpa.

     (1) 定義區域

          zone "ZONE_NAME" IN {

                    type {master | slave | forward};

                    file "網絡地址.zone";

}

[root@www named]# vim /etc/named.rfc1912.zones

        (2) 區域解析庫文件

               PS:不需要MX 和 A,以及AAA記錄,以PTR記錄為主

vim  /var/named/192.168.246.zone

[root@www named]# named-checkconf  //檢查主配置文件是否有錯

[root@www named]# named-checkzone "246.168.192.in-addr.arpa" 192.168.246.zone   //檢查指定的zone文件是否有語法錯誤

修改文件權限

[root@www named]# chmod 640 192.168.246.zone

[root@www named]# chown :named 192.168.246.zone

[root@www named]# service named reload

[root@www named]# rndc status    //查看當前狀態

通過host來測試反向解析：

[root@www named]# host -t PTR 192.168.246.129 192.168.246.129

通過dig來進行反向解析測試：

[root@www named]# dig -x 192.168.246.131 @192.168.246.129

通過dig來測試區域傳送漏洞:

[root@www named]# dig -t axfr security00.com @192.168.246.129

[root@www named]# dig -t axfr 246.168.192.in-addr.arpa @192.168.246.129

主從復制：

     1、應該為一臺獨立的名稱服務器

     2、主服務器的區域解析庫文件中必須有一條NS記錄是指向從服務器

     3、從服務器只需要定義區域,無須提供解析庫文件,解析庫文件應該放置于/var/named/slaves/目錄中

     4、主服務器應該允許從服務器作區域傳送

     5、主從服務器時間應該同步,可通過ntp進行

     6、bind版本程序應該保持一致 否則 應該 從高 主低

     定義區域傳送的方法:

          zone “ZONE_NAME” IN {

                   type slave;

                   masters { MASTER_IP; };

                   file "slaves/ZONE_NAME.zone";

              }; 

     一臺獨立的服務器,安裝bind 然后修改配置文件!

     [root@www named]# vim /etc/named.rfc1912.zones

     測試配置文件是否有語法錯誤

     啟動named服務

     rndc reload //重讀配置文件

     rndc status  //查看當前狀態

     配置反向:

     [root@www ~]# vim /etc/named.rfc1912.zones

     rndc reload  //重讀配置文件

     PS：在主服務器在更改完資源庫文件之后,記錄數需要手動+1,否則從服務器不會同步!

     rndc： tcp/953

          reload： 重載主配置文件和區域解析庫文件

          reload zone：只重載區域解析庫文件

          retransfer zone：手動啟動區域傳送過程,不管序列號是否增加

          notify zone：重新對區域傳送發通知

          reconfig：重載主配置文件

          querylog：開啟/關閉查詢日志     日志路徑: /var/log/messages

          trace Level：指定debug的開啟級別

子域授權 —–    分布式數據庫

正向解析區域子域授權方法：

     定義一個子區域： 編輯區域配置文件    

                                 [root@www ~]# vim /var/named/security00.com.zone

另一臺(192.168.246.130)服務器上編輯資源解析庫文件:

                               [root@www ~]# vim /etc/named.rfc1912.zones

創建子域的的區域解析庫文件：

          [root@www ~]# vim /var/named/test.security00.com.zone

執行  rndc reload 重新讀取配置文件    

查看日志:  tail  /var/log/message

本機查詢,查看解析結果:

定義轉發服務器：

     PS：被轉發的服務器需要能夠為請求者做遞歸,否則,轉發請求不予進行;

(1) 全局轉發：凡是對本機所有負責解析的區域的請求,統統轉發給指定的服務器

          Option {

                   forward {first | only}

                   forwarders

             }

編輯配置文件：     [root@www ~]# vim /etc/named.conf

(2) 區域轉發：僅轉發對特定區域的請求至某服務器

              zone "ZONE_NAME" IN {

                         type forward;

                         forward {first | only}

                         forwarders

          }

編輯子域的區域資源庫文件：     [root@www named]# vim /etc/named.rfc1912.zones