缓存DNS服务器和主从DNS服务器的快速搭建详解――续
上一节中我们说了关于如何构建缓存DNS和主DNS的快速搭建,这里算是一个续篇,为了说明如何构建主从DNS服务器以实现DNS的冗余负载均衡。所以在这里的一切配置都是基于上一章的内容,如有不解请参考上一章(http://ywhwzhang.blog.51cto.com/3821405/1169441),对您造成的不变请谅解。
一、设定配置内容
在上一章的时候我们假设已经在网上注册了wangej.com域名,得到的IP网络是172.16.12.0/24
主DNS服务器的配置是:
ns服务器是:172.16.12.1
www服务器:172.16.12.1,另外一个地址:172.16.12.3
mail服务器:172.16.12.5
从DNS的配置大致类似(从服务器IP为172.16.12.2)
二、准备工作:
因为在上一节中已经讲过,这里就不再说明了。
三、命令解析
DNS服务是我们为公司或者其他机构提供的域名解析服务,那么这里就一定有一个范围的界定,不仅仅是为了安全,也能够让服务的资源更大限度的为客户服务,而不是被一些人恶意的攻击。
上一篇中我们提到了dig命令,dig命令不仅仅可以用来查询测试我们的DNS服务是否能够正常使用,还可以在查询传送我们主服务器的全部内容,和增量内容。所以这里我们就必须要对能够查询的对象做进一步的限定,这样才能够尽量的保证我们服务器的安全。我们可以使用recursion命令来觉得开启或者关闭递归功能,默认递归功能是开启状态;使用allow-recursion { NET;};来为某个网段提供递归服务;使用allow-query确定允许查询的用户(不过这样一来构建的DNS服务器就不能够面对公共服务了);使用allow-transfer定义允许传送数据的用,这里我们一般都只设定从服务器才能够传送信息。
[root@ywhwzhang named]# dig -t axfr wangej.com @172.16.12.1 我们允许完全查询DNS服务器的所有信息
- [root@ywhwzhang named]# dig -t axfr wangej.com @172.16.12.1
- ; <<>> DiG 9.7.0-P2-RedHat-9.7.0-6.P2.el5_7.4 <<>> -t axfr wangej.com @172.16.12.1
- ;; global options: +cmd
- wangej.com. 3600 IN SOA ns1.wangej.com. admin.wangej.com. 3 3600 300 172800 21600
- wangej.com. 3600 IN NS ns1.wangej.com.
- wangej.com. 3600 IN MX 10 mail.wangej.com.
- *.wangej.com. 3600 IN A 172.16.12.1
- ftp.wangej.com. 3600 IN CNAME www.wangej.com.
- mail.wangej.com. 3600 IN A 172.16.12.2
- ns1.wangej.com. 3600 IN A 172.16.12.1
- www.wangej.com. 3600 IN A 172.16.12.1
- www.wangej.com. 3600 IN A 172.16.12.3
- wangej.com. 3600 IN SOA ns1.wangej.com. admin.wangej.com. 3 3600 300 172800 21600
- ;; Query time: 2 msec
- ;; SERVER: 172.16.12.1#53(172.16.12.1)
- ;; WHEN: Wed Apr 3 16:55:16 2013
- ;; XFR size: 10 records (messages 1, bytes 249)
[root@ywhwzhang named]# dig -t IXFR=3 wangej.com @172.16.12.1 修改主DNS服务器配置之后,我们增量查询一下
- [root@ywhwzhang named]# dig -t IXFR=3 wangej.com @172.16.12.1
- ; <<>> DiG 9.7.0-P2-RedHat-9.7.0-6.P2.el5_7.4 <<>> -t IXFR=3 wangej.com @172.16.12.1
- ;; global options: +cmd
- wangej.com. 3600 IN SOA ns1.wangej.com. admin.wangej.com. 3 3600 300 172800 21600
- ;; Query time: 4 msec
- ;; SERVER: 172.16.12.1#53(172.16.12.1)
- ;; WHEN: Wed Apr 3 16:57:03 2013
- ;; XFR size: 1 records (messages 1, bytes 74)
[root@ywhwzhang ~]# dig -t axfr wangej.com @172.16.12.1 我们使用允许以外的主机查询
- [root@ywhwzhang ~]# dig -t axfr wangej.com @172.16.12.1
- ; <<>> DiG 9.7.0-P2-RedHat-9.7.0-6.P2.el5_7.4 <<>> -t axfr wangej.com @172.16.12.1
- ;; global options: +cmd
- ; Transfer failed.
四、配置从DNS服务器
1、首先需要安装好bind97.i386、bind97-libs.i386、bind97-utils.i386这三个软件包。构建好我们的DNS环境平台。然后临时性关闭SELinux服务,防止SELinux对我们的配置造成不必要的影响。
2、修改添加主服务器的主配置文件:vim /etc/named.conf
- [root@ywhwzhang named]# vim /etc/named.conf
- options {
- directory "/var/named";
- };
- zone "." IN {
- type hint;
- file "named.ca";
- };
- zone "localhost" IN {
- type master;
- file "named.localhost";
- };
- zone "0.0.127.in-addr.arpa" IN {
- type master;
- file "named.loopback";
- };
- zone "wangej.com" IN {
- type master; #指定主从类型
- file "wangej.com.zone"; #指定区域数据文件
- allow-transfer { 172.16.12.2; }; #只允许172.16.12.2传输信息
- };
- zone "12.16.172.in-addr.arpa" IN {
- type master; #指定主从类型
- file "172.16.12.zone"; #指定区域数据文件
- allow-transfer { 172.16.12.2; }; #只允许172.16.12.2传输信息
- };
3、配置从服务器的主配置文件(这里就不需要为从服务器添加区域数据文件了)
vim /etc/named.conf
- [root@ywhwzhang named]# vim /etc/named.conf
- options {
- directory "/var/named";
- };
- zone "." IN {
- type hint;
- file "named.ca";
- };
- zone "localhost" IN {
- type master;
- file "named.localhost";
- };
- zone "0.0.127.in-addr.arpa" IN {
- type master;
- file "named.loopback";
- };
- zone "wangej.com" IN {
- type slave; #指定主从类型
- file "slaves/wangej.com.zone"; #指定区域数据文件
- masters { 172.16.12.1; }; #指定主服务地址
- allow-transfer { none; }; #禁止其他主机传送数据
- };
- zone "12.16.172.in-addr.arpa" IN {
- type slave; #指定主从类型
- file "slaves/172.16.12.zone"; #指定区域数据文件
- masters { 172.16.12.1; }; #指定主服务地址
- allow-transfer { none; }; #禁止其他主机传送数据
- };
4、重启服务,测试主从服务器能否正常使用和传送数据
tail /var/log/messages
- [root@ywhwzhang ~]# tail /var/log/messages
- Apr 3 17:07:13 localhost named[6146]: client 172.16.12.1#52450: zone transfer 'wangej.com/AXFR/IN' denied
- Apr 3 17:18:35 localhost named[6146]: client 172.16.12.2#41948: transfer of '12.16.172.in-addr.arpa/IN': AXFR started
- Apr 3 17:18:35 localhost named[6146]: client 172.16.12.2#41948: transfer of '12.16.172.in-addr.arpa/IN': AXFR ended
- Apr 3 17:18:36 localhost named[6146]: client 172.16.12.2#56157: transfer of 'wangej.com/IN': AXFR started
- Apr 3 17:18:36 localhost named[6146]: client 172.16.12.2#56157: transfer of 'wangej.com/IN': AXFR ended
查看同步结果:(注意此时的版本号为1)
- [root@ywhwzhang named]# cat ./slaves/wangej.com.zone
- $ORIGIN .
- $TTL 3600 ; 1 hour
- wangej.com IN SOA ns1.wangej.com. admin.wangej.com. (
- 1 ; serial
- 3600 ; refresh (1 hour)
- 300 ; retry (5 minutes)
- 172800 ; expire (2 days)
- 21600 ; minimum (6 hours)
- )
- NS ns1.wangej.com.
- MX 10 mail.wangej.com.
- $ORIGIN wangej.com.
- ftp CNAME www
- mail A 172.16.12.5
- ns1 A 172.16.12.1
- www A 172.16.12.1
- A 172.16.12.3
接下来我们修改主服务器的解析域条目,然后查看一下主从服务器能否自动获得更新:
主DNS服务器日志:
- [root@ywhwzhang named]# tail /var/log/messages
- Apr 3 16:16:14 localhost last message repeated 4 times
- Apr 3 16:19:08 localhost named[6146]: client 172.16.12.2#51841: transfer of 'wangej.com/IN': AXFR-style IXFR started
- Apr 3 16:19:08 localhost named[6146]: client 172.16.12.2#51841: transfer of 'wangej.com/IN': AXFR-style IXFR ended
从DNS服务器日志:(注意,在日志中已经显示了我们修改后的版本号)
- [root@ywhwzhang named]# tail /var/log/messages
- Apr 3 16:16:14 localhost last message repeated 4 times
- Apr 3 16:19:08 localhost named[6801]: zone wangej.com/IN: Transfer started.
- Apr 3 16:19:08 localhost named[6801]: transfer of 'wangej.com/IN' from 172.16.12.1#53: connected using 172.16.12.2#51841
- Apr 3 16:19:08 localhost named[6801]: zone wangej.com/IN: transferred serial 2
- Apr 3 16:19:08 localhost named[6801]: transfer of 'wangej.com/IN' from 172.16.12.1#53: Transfer completed: 1 messages, 10 records, 249 bytes, 0.030 secs (8300 bytes/sec)
最后我们查看一下从服务器是否真正接收到了数据(此时的从服务的数据版本号已经转变为2)
- [root@ywhwzhang named]# cat ./slaves/wangej.com.zone
- $ORIGIN .
- $TTL 3600 ; 1 hour
- wangej.com IN SOA ns1.wangej.com. admin.wangej.com. (
- 2 ; serial
- 3600 ; refresh (1 hour)
- 300 ; retry (5 minutes)
- 172800 ; expire (2 days)
- 21600 ; minimum (6 hours)
- )
- NS ns1.wangej.com.
- MX 10 mail.wangej.com.
- $ORIGIN wangej.com.
- * A 172.16.12.1
- ftp CNAME www
- mail A 172.16.12.5
- ns1 A 172.16.12.1
- www A 172.16.12.1
- A 172.16.12.3
五、下期介绍:
在DNS服务器的使用过程中我们会遇到各种的问题,很多的时候不单单一台服务器就能够搞定的,这个时候就需要我们为自己的服务器添加子域,为子域授权。
当我们的DNS服务器在为众多的域提供服务的时候,上面的那些简单配置就会显得越来越繁琐,那我们ACL就是能够帮助我们在越来越繁琐的工作中找到一个捷径的办法。
嘿嘿,看我的博客就要有过日子的心啊。亲,下期见!