linux之DNS部署—— dns的集群（辅助dns）及dns的更新及dns的key认证

一.实验环境的搭建

在dns服务端：
如果做了dns的双向解析的化应该要进行以下操作：

vim   /etc/named.conf     ##把反向解析时的配置内容还原
systemctl  restart named   ##重启服务

(1)还原根分区：
即把根分区的注释去掉

(2)注释反向解析配置文件所添加的内容

（3）还原辅助文件的内容

在另一台辅dns配置的虚拟机上:
(1)配置网络

vim /etc/sysconfig/network-scripts/ifcfg-eth0    ##编辑网络配置文件
systemctl  restart network   

(2)配置yum源
首先要准备一个rhel-server-7.0-x86_64-dvd.iso的镜像

hostnamecrl   set-hostname   dns2.westos.com    ##设置辅助dns的主机名以便于实验的时候区分

更改主机名位dns2即为dns辅助

systemctl  stop  firewalld   ##关掉火墙

二.辅助dns

作用：为了缓解主DNS服务器的压力，从而配置多个辅助DNS服务器，这些DNS服务器就为辅助DNS服务器。

辅助dns的配置过程：
1.在辅助dns上
查看ip

编辑dns客户机配置文件

（1）配置环境

[root@dns2 ~]# yum install bind -y    
[root@dns2 ~]# systemctl restart named

注：刚开始第一次重启服务是要动鼠标和键盘才可重启服务
(2)更改主配置文件的内容

vim  /etc/named.conf   
systemctl  restart  named

(3)更改辅配置文件的内容

[root@dns2 ~]# vim /etc/named.rfc1912.zones
systemctl  restart  named

编辑内容如下：

 26         type slave;    ##类型设置为辅助dns
 27         masters {172.25.77.102;};    ##主dns的ip
 28         file "slaves/westos.com.zone";     ##指定辅助dns在解析时参考的文件
 29         allow-update { none; };
 30 };

(4)重启动服务后在/var/named/slaves下会自动生成
刚刚指定的文件westos.com.zone

2.在主dns上

[root@dns named]# vim /etc/named.rfc1912.zones
[root@dns named]# systemctl restart named

编写内容为：

 24 zone "westos.com" IN {
 25         type master;
 26         file "westos.com.zone";
 27         allow-update { none; };
 28         also-notify {172.25.77.202;}    ##将主dns的信息同步到辅dns上
 29 };

3.检测：
(1)
在主dns端：
vim westos.com.zone

在辅助dns端：

则证明可同步过来
(2)
在主dns端：
vim westos.com.zone
修改前的内容如下：

修改后的内容如下：
注意：同时修改了serial前面的值

在辅助dns端：验证解析文件同步成功

注意：
再修改dns服务器的域名和ip时，必须要修改“serial”的数值，因为在俩台服务器同步数据时，系统不是读取整个文件的内容，而是比较“serial”的数值是否有所变化，是为了节约时间，同时该数字最长为10位
验证如下：
a. 首先在辅助dns查看westos.com.zone文件的时间状态

b.修改主dns配置文件解析的数值但不修改“serial”的数值

c.在辅dns中可以看到文件westos.com.zone的时间值没有更新
d.再次修改主配置文件中“serial”的值
e.查看辅助dns文件的时间状态发现发生变化

三.DNS的远程更新

1.在辅助dns端更新主dns，会有如下报错

2.备份主dns的解析文件，以便后续方便恢复

3.查看主dns服务器的selinux的状态

注意：如果为enforcing，则要打开相应的开关

getsebool  -a | grep named
setsebool  -p  named_write_master_zones  on    ##打开开关

4.在主dns端

[root@dns named]# vim /etc/named.rfc1912.zones
[root@dns named]# systemctl restart named

表示允许辅助dns来更新。
5.此时在辅助dns端更新主dns，报错发生改变，是因为缺少权限

6.更改/var/named的权限，添加其的可写权限

7.在辅助dns端进行再次测试，不会再产生报错，此时更新成功

8.更新成功后，主dns端/var/named的目录下出现westos.com.zone.jnl文件

解析文件内容也改变了

注：如果文件内容没变可以重启服务，然后再看文件内容
9.在主dns端再次验证
dig hello.westos.com 会发现刚才更新的hello.westos.com可以解析到对应的ip

10.删除更新所生成的文件，则更新的hello.westos.com也不存在



注：也可以在辅dns中用命令删除更新的hello.westos.com然后在主dns上再进行如上操作

四.基于key的dns更新

1.生成key

[root@dns mnt]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST westoskey

若遇到加密停顿情况可以在主机中敲击键盘来解决

查看key已经生成:一个为密钥一个为私钥，可以看到其中的内容都是相同的

2.将key摸版复制到自己的key文件中

3.编辑key文件


注意：密码为自己生成key文件的密码
4.编辑主配置文件加入key认证

[root@dns mnt]# vim /etc/named.conf
[root@dns mnt]# systemctl restart named

5.

[root@dns mnt]# vim /etc/named.rfc1912.zones 
[root@dns mnt]# systemctl restart named

6.将密钥匙和公匙都传到辅助dns

7.测试
在辅助dns端

开启远程更新，发现更新成功