RHCE課程-RH253Linux服務器架設筆記五-DNS服務器配置1說課材料

1、Good is good, but better carries it.精益求精，善益求善。RHCE課程-RH253Linux服務器架設筆記五-DNS服務器配置1-RHCE課程-RH253Linux服務器架設筆記五-DNS服務器配置（1）在LINUX下面架設DNS服務器，不知道DNS解析原理，根本會了和不會沒區(qū)別,網(wǎng)絡中為了區(qū)別各個主機，必須為每臺主機分配一個惟一的地址，這個地址即稱為“IP地址”。但這些數(shù)字難以記憶，所以就采用“域名”的方式來取代這些數(shù)字了。當某臺主機要與其他主機通信時，就可以利用主機名稱向DNS服務器查詢該主機的IP地址，所以我們的網(wǎng)卡要上網(wǎng)至少要3個信息，IP地址，網(wǎng)關，

2、DNS服務器地址。DNS的組織結(jié)構(gòu)這個就是DNS的組織結(jié)構(gòu)，最上面是根域名dot，全球13臺根域服務器，沒有一臺在中國，因為中國網(wǎng)絡發(fā)展，起步遲。而且所有的dotDNS服務器都是bind軟件架設的，我們今天要學習的也是bind軟件。全球70%的大型DNS服務器都是基于bind軟件。常見的頂級域服務器我國的頂級域也就只有cnDNS解析過程我給大家解釋下，比如解析HYPERLINKurl/url，第一步，查詢本地host文件和緩存有沒有這個記錄，有就直接解析，沒有就訪問DNS服務器，如果DNS服務器上沒HYPERLINKurl/url或者不在你訪問的DNS服務器管理區(qū)域內(nèi)，那么DNS服務器就會向d

3、ot根域名服務器發(fā)遞歸查詢,如果找到了記錄了，DNS就會返回給client，并且把記錄保存在自己緩存里，下次有client請求，他就會調(diào)用自己的緩存，直到這條記錄的生存期結(jié)束,就會丟棄這條記錄。根域名服務器就13臺域名服務器，他負責管理頂級域。頂級域負責管理二級域，我們現(xiàn)在申請的一般是2級域名-3級域名。比如,哈是2級域名，是3級域名，.這個就是FQDN。本周我們要學習的內(nèi)容主配置文件設置根區(qū)域設置主區(qū)域設置反向解析區(qū)域根服務器信息文件named.ca區(qū)域文件反向解析區(qū)域文件實現(xiàn)負載均衡功能實現(xiàn)直接解析域名實現(xiàn)泛域名的解析主要名稱服務器的測試配置輔助域名服務器配置緩存域名服務器我們申請的是域名

4、，然后你去管理你的域名，自己添加主機記錄哈其實是域名,前面的主機記錄隨便你怎么寫,也行,也行,是域名,www是主機。比如HYPERLINKurl/url，url./url最后點是根域名，然后com是頂級域名，redhat是二級域名，www是主機記錄，如果你要說HYPERLINKurl/url是域名也可以，那么主機就改成是HYPERLINKhttp:/www.url/urlurl/url.了，在選擇域名時必須符合RCF1123中的規(guī)定：域名由所有大寫字母（AZ）、小寫字母（az）、數(shù)字（09）和連字符（-）組成。由于很多域名商，所以現(xiàn)在想申請到好的2及域名是不可能了，域名大小寫不敏感。每臺主機都

5、有一個host文件，負責IP地址的域名快速解析的文件，文件以ASCII格式保存在“/etc”目錄下，文件名為“hosts”，hosts文件包含了IP地址和主機名之間的映射，還包括主機名的別名。hosts文件的格式如下：IP地址主機名/域名主機別名windows下也有hosts文件，C:WINDOWSsystem32driversetc可以使用記事本打開如果host里有記錄就會優(yōu)先使用，這個文件也是黑客，和病毒軟件攻擊你的一個入口，如果某個病毒軟件在這個文件添加一個記錄HYPERLINKurl/url，然而前面這個IP地址是帶有病毒的而已網(wǎng)站，或者是釣魚攻擊，你可能就會出問題，所以這個文件一般修

6、改成只讀，還有些第三方軟件，為了防止一些木馬之類的病毒，會把一些有問題的網(wǎng)站在自理定義，解析成，這樣你就不會訪問到這些網(wǎng)站，360就會這么干哈linux也有這個文件/etc/hosts好了，下面介紹下bind軟件,Linux下架設DNS服務器通常是使用Bind程序來實現(xiàn)的。Bind是BerkeleyInternetNameDomainService的簡寫，它是一款實現(xiàn)DNS服務器的開放源碼軟件。Bind原本是美國DARPA資助伯克里大學（Berkeley）開設的一個研究生課題，后來經(jīng)過多年的變化發(fā)展，已經(jīng)成為世界上使用最為廣泛的DNS服務器軟件，目前Internet上絕大多數(shù)的DNS服務器有都

7、是用Bind來架設的。DNS服務介紹后臺進程：named腳本：/etc/rc.d/init.d/named使用端口：53（tcp，udp）所需RPM包：bind-9.3.3-10.el5相關RPM包：bind-chrootcaching-nameserver配置文件：/var/named/chroot/etc/named.conf相關路徑：/var/named/1990年以后，bind-chroot增加了bind服務器的安全性,早期Linux服務都是以root權(quán)限啟動和運行的，隨著技術的發(fā)展，各種服務變得越來越復雜，導致BUG和漏洞越來越多。黑客利用服務的漏洞入侵系統(tǒng)，能獲得root級別的權(quán)限

8、，從而控制整個系統(tǒng)。為了減緩這種攻擊所帶來的負面影響，現(xiàn)在服務器軟件通常設計為以root權(quán)限啟動，然后服務器進程自行放棄root，再以某個低權(quán)限的系統(tǒng)賬號來運行進程。這種方式的好處在于該服務被攻擊者利用漏洞入侵時，由于進程權(quán)限很低，攻擊者得到的訪問權(quán)限又是基于這個較低權(quán)限。bind的主配置文件/etc/named.conf，我們先安裝bind服務器rootrhel5#rpm-ivh/mnt/cdrom/Server/bind-9.3.3-10.el5.i386.rpmwarning:/mnt/cdrom/Server/bind-9.3.3-10.el5.i386.rpm:HeaderV3DSA

9、signature:NOKEY,keyID37017186Preparing.#100%1:bind#100%rootrhel5#rpm-ivh/mnt/cdrom/Server/bind-libbind-devel-9.3.3-10.el5.i386.rpmwarning:/mnt/cdrom/Server/bind-libbind-devel-9.3.3-10.el5.i386.rpm:HeaderV3DSAsignature:NOKEY,keyID37017186Preparing.#100%1:bind-libbind-devel#100%rootrhel5#rpm-ivh/mnt/c

10、drom/Server/bind-sdb-9.3.3-10.el5.i386.rpmwarning:/mnt/cdrom/Server/bind-sdb-9.3.3-10.el5.i386.rpm:HeaderV3DSAsignature:NOKEY,keyID37017186Preparing.#100%1:bind-sdb#100%rootrhel5#rpm-ivh/mnt/cdrom/Server/bind-devel-9.3.3-10.el5.i386.rpmwarning:/mnt/cdrom/Server/bind-devel-9.3.3-10.el5.i386.rpm:Heade

11、rV3DSAsignature:NOKEY,keyID37017186Preparing.#100%1:bind-devel#100%rootrhel5#rpm-ivh/mnt/cdrom/Server/caching-nameserver-9.3.3-10.el5.i386.rpmwarning:/mnt/cdrom/Server/caching-nameserver-9.3.3-10.el5.i386.rpm:HeaderV3DSAsignature:NOKEY,keyID37017186Preparing.#100%1:caching-nameserver#100%rootrhel5#r

12、pm-ivh/mnt/cdrom/Server/bind-chroot-9.3.3-10.el5.i386.rpmwarning:/mnt/cdrom/Server/bind-chroot-9.3.3-10.el5.i386.rpm:HeaderV3DSAsignature:NOKEY,keyID37017186Preparing.#100%1:bind-chroot#100%rootrhel5#注意：bind-chroot軟件包最好最后一個安裝，否則會報錯哈bind的配置文件默認是沒有的，需要自己手寫，但是很多，容易寫錯，所以我們安裝模板文件，然后來修改。由于安裝了chroot環(huán)境，所以我們

13、的/etc/named.conf應該在/var/named/chroot/etc/目錄。沒有named.conf，所以我們要把named.caching-name.conf文件copy一份成named.conf哈cp/var/named/chroot/etc/named.caching-nameserver.conf/var/named/chroot/etc/named.conf編輯named.conf這個文件,把文件里面多余的東西刪除了，只剩下如圖中的內(nèi)容，然后我們來寫先檢查你主機的名字，使用hostname記住，linux的主機名要是FQDN的樣式，把你們自己的主機名字改改，不要最后的那個

14、，這個很重要的。剛才講了FQDN最后有根域的，把那個跟域去掉，就是你的主機名，改成那個樣子。linux修改主機名字修改三個地方，不知道大家還記得不？第一步：hostname主機名第二步：vim/etc/hosts第三步：vim/etc/sysconfig/network修改完了把終端關閉了，然后重新打開就可以了修改完了，我們繼續(xù)下面我以這個二級域名來建立一個域名服務器全局配置（options）options語句在每個配置文件中只有一個。如果出現(xiàn)多個options,則第一個options的配置有效，并會產(chǎn)生一個警告信息。listen-onport53;監(jiān)聽端口，修改成自己的IP地址，如果有多個I

15、P，就寫多個，每行要以；結(jié)束。directory/var/named;zone文件的存放目錄，這里的/var/named是相對目錄，在chroot環(huán)境下/var/named目錄下。allow-querylocalhost;允許查詢的client，我們修改成本地網(wǎng)段/24下面我們開始寫zone文件區(qū)域配置（zone）zone語句作用是定義DNS區(qū)域，在此語句中可定義DNS區(qū)域選項zone區(qū)域設置，第一步，設置根區(qū)域當DNS服務器處理遞歸查詢時，如果本地區(qū)域文件不能進行查詢的解析，就會轉(zhuǎn)到根DNS服務器查詢，所以在主配置文件named.conf文件中還要定義根區(qū)域。zone.typehint;fi

16、lenamed.ca;type:設置域的類型file:設置根服務列表文件名“.”意思的根區(qū)域IN是internet記錄type是類型根的類型是hintfile是根區(qū)域文件下面我們?nèi)タ纯锤鶇^(qū)域文件，根的類型這些就是根服務器，你數(shù)數(shù)，全球13臺。繼續(xù)，指定正向解析的配置文件記住，bind對配置文件要求很嚴格，就算是有些地方多了個空格，服務器都可能啟動不了哈反向解析配置文件一個簡單的named.conf配置文件保存，然后我們?nèi)バ薷膮^(qū)別文件，添加記錄cp/var/named/chroot/var/named/localhost.zone/var/named/chroot/var/named/.zone

17、.zone是你剛才在named.conf里面定義的名字,記住，要和那個一樣反向區(qū)域的zone名字，必須是這樣的命令方式,把IP地址反過來表達vim/var/named/.zoneTTL是生存期,單位是秒$TTL是全局定義的第二行SOA記錄,取代在/etc/named.conf中指定的域名。SOA段中的數(shù)字，分別為：序列號、刷新、重試、過期、生存期序列號：序列號用于DNS數(shù)據(jù)庫文件的版本控制。每當數(shù)據(jù)被改變，這個序列號就應該被增加。刷新：從服務器向主服務器查詢最新數(shù)據(jù)的間隔周期。每一次檢查時從服務器的數(shù)據(jù)是否需要更改，則根據(jù)序列號來判別。重試：一旦從服務器嘗試連接主服務器失敗，下一次查詢主服務器

18、的延遲時間。過期：如果從服務器無法連通主服務器，則在經(jīng)過此時間后，宣告其數(shù)據(jù)過期。生存期：服務器回答無此域名的間隔時間。數(shù)字的默認單位為秒。否則：W=周、D=日、H=小時、M=分鐘。下面我們來寫自己的ZONE文件IN是internet記錄SOA是SOA初始化記錄,我們說的是初始授權(quán)記錄,這個翻譯不過，理解很多反正知道是那個意思就行了.是DNS服務器的名稱.是管理員的郵箱地址版本號改成日期后面加兩個00,其他都默認，下面開始添加主機記錄第一個NS記錄NS（nameserver）：設置域名服務器的域名然后添加一個MX記錄MX（MaileXchanger）:設置郵件交換器資源記錄簡單的正向配置文件就

19、到這里,下面接著講反向解析的zone文件把正向解析zone文件拷貝一份，名字是你在named.conf中定義的反向解析的名字cp/var/named/chroot/var/named/.zone/var/named/chroot/var/named/1.168.192.zone然后我們來修改反向解析vim/var/named/1.168.192.zoneSOA記錄可以不修改,NS記錄和MX記錄也可以不修改只需要把A記錄修改成PTR記錄就可以了,PTR是反向解析的意思，把IP地址解析成域名然后保存退出配置文件就寫完了，下面我們來使用配置文件檢測工具來檢測我們的配置文件語法是否正確named-ch

20、eckconf/var/named/chroot/etc/named.conf這個命令是檢查named.conf主配置文件的,如果沒有提示，就證明這個文件沒有問題檢測區(qū)域文件的語法語法為named-checkzone域名配置文件兩個配置文件都要檢查/var/named/chroot/var/named/var/named/chroot/var/named/1.168.192.zone下一步就可以啟動DNS服務了啟動失敗，我們來排錯,把日志文件檢測起來tail-f/var/log/messageschmod644/var/named/chroot/etc/named.conf把named.con

21、f配置文件的權(quán)限改成644就可以了,出現(xiàn)這些問題，大家就要學會分析日志。我們來配置client，然后來測試我們DNS服務器是否架設成功vim/etc/resolv.conf修改成自己的IP地址，然后保存我們現(xiàn)在來測試我們的DNS這是dig工具，查詢域中的SOA記錄和MX記錄digurl/url這是查詢HYPERLINKurl/url這是查詢dig-x是反向查詢dig-x當然，還有簡單的命令來查詢dns解析,比如nslookup和host都可以查不到哈看下日志chmod644/var/named/chroot/var/named/.zonechmod644/var/named/chroot/va

22、r/named/1.168.192.zone現(xiàn)在正常了我們測試下nslookup也可以，和win下的用法一樣#Michael分割線#下面我們使用DNS來實現(xiàn)簡單的負載均衡這個技術在很早的時候被yahoo和163等網(wǎng)站使用實現(xiàn)過負載均衡，不過現(xiàn)在已經(jīng)很少有企業(yè)這樣做負載均衡了，因為這樣負載均衡是隨即的，他沒有使用算法，不科學,但是我們也了解下吧，對于小企業(yè)還是可以考慮這樣做的,呵呵，真正的負載均衡聽麻煩,不是三言兩語說的清楚的,而且還要fencedevice的支持?；氐秸w，DNS負載均衡的原理給大家說說DNS負載均衡的優(yōu)點是經(jīng)濟簡單易行，它在DNS服務器中為同一個域名配置多個IP地址（即為一個

23、主機名設置多條A資源記錄），在應答DNS查詢時，DNS服務器對每個查詢將以DNS文件中主機記錄的IP地址按順序返回不同的解析結(jié)果，將客戶端的訪問引導到不同的計算機上去，使得不同的客戶端訪問不同的服務器，從而達到負載均衡的目的。我們下面給www主機做負載均衡那個0是這個記錄的生存期重新啟動服務器我們來測試下，我們用ping命令，測試pingHYPERLINKurl/url是不是每次ping到的IP不一樣ping了三次，每次ping到的主機都不一樣,這樣就簡單的實現(xiàn)了負載均衡,現(xiàn)在國內(nèi)負載均衡一般使用的lvs+heartbeat+HA,紅帽有集群的專門解決方案GFS+conga+XENLVS是集群技術，章文嵩教授開發(fā)的heartbeat是心跳線HA是高可用性，解決方案這個就涉及到fencedevice，電源交換機，光纖存儲交換機，F(xiàn)ASTERethernet交換機心