DNS服务

基础知识

常见域名种类

根域
.
顶级域
cn
uk
hk
edu
com
二级域
baidu
qq
三级域
www
…

域名介绍

根域介绍
全球有13个根域，有10个在美国，英国和瑞典和日本各有一个
顶级域分类
1、组织域
com 商业组织
net 网络组织
edu 学校机构
org 非营利组织
gov 政府部门
int 国际机构组织
mil 军事组织
2、地址域
cn 中国
kr 韩国
us 美国
jp 日本
hk 香港
3、方向域
反向查询 in-addr.arpa

DNS服务器的两种查询方式

递归查询：是一种DNS服务器的查询模式，在该模式下DNS服务器收到客户机请求，必须查询一个准确的结果回复客户机，如果DNS服务器本地没有存储查询DNS信息，那么该服务器会查询其他服务器，并将返回的查询结果提交给客户机（一条龙服务）
迭代查询：DNS另外一种查询方式，当客户机发送请求时，DNS服务器不直接回复查询结果，而是告诉客户机另外一台DNS服务器地址，客户机再向这台DNS服务器提交请求，依次循环直到返回查询结果为止

正向解析和反向解析

正向解析：输入域名，得到IP
反向解析：从IP反向查域名

配置文件内容

/etc/named 主配置文件

options {} 配置选择
version“1.1.1”
listen-on port 53 {any} 监听端口
directory “/var/named”区域数据文件存放位置
pid-file “/run/named/named.pid”pid文件存放位置
dump-file 备份
statisic-file 解析状态
zone-statistics yes 可以在下面配置区域文件
empty-zones-enable no; 不可以有空白的区域
memstatistic-file “log/mem_stats”内存文件
forwarders { 202.206.0.208.8.8.8; } 转发，DNS解析不到会转发到其他的DNS去解析
recursion yes 是否允许迭代
logging {} 定义日志
channel warning {} 错误日志
file "/var/named/chroot/var/log/dns_warning" versions size 100m 每个日志最大100M 指定最多保存10个日志
severity warning 指定日志级别是warning
channel general_dns {}也是记录日志
include 包含加载某个文件，相当于子文件
避免文件过长
方便查询和管理

/etc/named.rfc1912.zones 区域配置文件
包括了各种各样的域
notify yes；一旦配置完通知从服务器

/etc/named.root.key 认证

/var/named/下的区域数据域文件
正向解析

介绍
可以在不停止DNS服务器工作的情况下进行数据更新，修改后的配置文件生效
具体实现：在使用管理bind前需要使用生成一对密钥文件，一般存于配置文件中，另一半存于bind主配置文件中。配置文件为/etc/.conf ,的密钥保存在/etc/.key文件中。默认监听端口953端口（TCP）

rndc介绍
可以在不停止DNS服务器工作的情况下进行数据更新，修改后的配置文件生效
具体实现：在使用管理bind前需要使用生成一对密钥文件，一半存于配置文件中，另一半存于bind主配置文件中。配置文件为/etc/.conf ,的密钥保存在/etc/.key文件中。默认监听端口953端口（TCP）

测试工具和使用

nslookup
dig
host
网站查询curl

配置文件检测
named-checkconf /etc/named.conf 可以检测name.conf以及其子配置文件，不显示则为正确

named-checkzone yun211.com yun211.com.zone 查看域为yun211.com 对应的区域数据文件yun211.com.zone文件是否错误

reload重启DNS服务

下载包介绍

bind 主程序包
bind-utils 支持host，nslookup,dig命令
bind-chroot 监牢模式包：可以将bind进程严格锁定在特定目录中，一旦进程试图脱离该目录，就会立即失去所有权限

实验步骤

先关闭防火墙和selinux
软件安装
yum -y install bind
配置主配置文件（/etc/named.conf）
配置区域文件（/etc/named.rfc1921.zones）
注：先将区域文件进行备份，删除多余的模板，只留下一个正向和一个反向（反向修改时，网络位的反写格式，如192.168.100.2->100.68.192.）
重启DNS服务，客户端测试

基础实验

这里我以192.168.1.10为dns服务器，192.168.1.11为客户端

下载包bind（主程序包），bind-tools（客户端工具，用于搜索域名）和bind-chroot（限制在系统子目录中的提高安全性的包，会放在/var/named/chroot下）

启动named服务，设置开机自启动
netstat -anput | grep 53查看端口，53端口开启

vim /etc/named.conf

监听自己，设置任何人都可以访问我；2；当有人查询yun211.com的时候，告诉他我就是主服务器（type master），去找文件yun211.com.zone即可，一般这个文件默认会在/var/named下面
但是没有yun211.com.zone这个文件怎么办呢，刚好有个named.localhost的模板，复制一下再改改

cp -a /var/named/named.localhost /var/named/yun211.com.zone;vim yun211.com.zone

主从服务器(包括正向反向域名解析)

文件配置大致流程：
主服务器
主配置文件
区域配置文件（配置完检测）
区域数据文件（配置完检测）
从服务器
主服务器发送主配置文件
主服务器发送区域配置文件
修改从服务器文件

包准备：主服务器和从服务器下载bind和bind-utils包(bind-chroot包可选择)，客户端下载bind-utils包（主服务器为10，从服务器为11，客户端为12）

开始配置

使用rndc可以在不停止DNS服务器工作的情况进行数据的更新，使修改后的配置文件生效。在实际情况下，DNS服务器是非常繁忙的，任何短时间的停顿都会给用户的使用带来影响。因此，使用rndc工具可以使DNS服务器更好地为用户提供服务。在使用rndc管理bind前需要使用rndc生成一对密钥文件，一半保存于rndc的配置文件中，另一半保存于bind主配置文件中。rndc的配置文件为/etc/rndc.conf，在CentOS或者RHEL中，rndc的密钥保存在/etc/rndc.key文件中。rndc默认监听在953号端口（TCP），其实在bind9中rndc默认就是可以使用，不需要配置密钥文件。

rndc-confgen |grep -v "^#" >> /etc/.conf 生成密钥，复制到其余两个文件中

vim /etc/.conf