一、DNS服务器的类型
①Primary DNS Server(Master)
一个域的主服务器保存着该域的zone配置文件,该域所有的配置、更改都是在该服务器上进行,本篇随笔要讲解的也是如何配置一个域的主DNS服务器
②Secondary DNS Server(Slave)
域从服务器一般都是作为冗余负载使用,一个域的从服务器是从该域的主服务器上抓取zone配置文件,从服务器不会进行任何信息的更改,zone配置文件的修改只能在主DNS服务器上进行,所有的修改都有主服务器同步
③Caching only Server
DNS缓存服务器不存在任何的zone配置文件,仅仅依靠缓存来为客户端提供服务,通常用于负载均衡及加速访问操作
二、安装BIND
对于DNS服务器软件现在有许多的程序可以使用,但是现今为止使用的最多最广泛的DNS服务器软件还是BIND(Berkeley Internet Name Domain),最早是由伯克利大学的一个学生开发的,现在的最新版本是版本9,由ISC进行编写和维护。
BIND支持目前市面上所有的主流操作系统,包括Linux、Windows、Mac OS等
我们的CentOS上并没有默认安装BIND这个软件,所以我们需要手动对其进行安装,这里使用yum的方式来进行安装
[root@xiaoluo ~]# yum install -y bind bind-chroot bind-utils
Loaded plugins: fastestmirror, refresh-packagekit, security
Loading mirror speeds from cached hostfile
* base: mirrors.stuhome.net
* extras: mirrors.stuhome.net
* updates: mirrors.stuhome.net
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package bind.x86_64 32:9.8.2-0.17.rc1.el6_4.4 will be installed
--> Processing Dependency: bind-libs = 32:9.8.2-0.17.rc1.el6_4.4 for package: 32:bind-9.8.2-0.17.rc1.el6_4.4.x86_64
---> Package bind-chroot.x86_64 32:9.8.2-0.17.rc1.el6_4.4 will be installed
---> Package bind-utils.x86_64 32:9.8.2-0.17.rc1.el6 will be updated
---> Package bind-utils.x86_64 32:9.8.2-0.17.rc1.el6_4.4 will be an update
--> Running transaction check
---> Package bind-libs.x86_64 32:9.8.2-0.17.rc1.el6 will be updated
---> Package bind-libs.x86_64 32:9.8.2-0.17.rc1.el6_4.4 will be an update
--> Finished Dependency Resolution
Dependencies Resolved
================================================================================
Package Arch Version Repository Size
================================================================================
Installing:
bind x86_64 32:9.8.2-0.17.rc1.el6_4.4 updates 4.0 M
bind-chroot x86_64 32:9.8.2-0.17.rc1.el6_4.4 updates 71 k
Updating:
bind-utils x86_64 32:9.8.2-0.17.rc1.el6_4.4 updates 182 k
Updating for dependencies:
bind-libs x86_64 32:9.8.2-0.17.rc1.el6_4.4 updates 878 k
Transaction Summary
================================================================================
Install 2 Package(s)
Upgrade 2 Package(s)
Total download size: 5.1 M
Downloading Packages:
(1/4): bind-9.8.2-0.17.rc1.el6_4.4.x86_64.rpm | 4.0 MB 00:01
(2/4): bind-chroot-9.8.2-0.17.rc1.el6_4.4.x86_64.rpm | 71 kB 00:00
(3/4): bind-libs-9.8.2-0.17.rc1.el6_4.4.x86_64.rpm | 878 kB 00:00
(4/4): bind-utils-9.8.2-0.17.rc1.el6_4.4.x86_64.rpm | 182 kB 00:00
--------------------------------------------------------------------------------
Total 1.4 MB/s | 5.1 MB 00:03
warning: rpmts_HdrFromFdno: Header V3 RSA/SHA1 Signature, key ID c105b9de: NOKEY
Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
Importing GPG key 0xC105B9DE:
Userid : CentOS-6 Key (CentOS 6 Official Signing Key) <centos-6-key@centos.org>
Package: centos-release-6-4.el6.centos.10.x86_64 (@anaconda-CentOS-201303020151.x86_64/6.4)
From : /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Updating : 32:bind-libs-9.8.2-0.17.rc1.el6_4.4.x86_64 1/6
Installing : 32:bind-9.8.2-0.17.rc1.el6_4.4.x86_64 2/6
Installing : 32:bind-chroot-9.8.2-0.17.rc1.el6_4.4.x86_64 3/6
Updating : 32:bind-utils-9.8.2-0.17.rc1.el6_4.4.x86_64 4/6
Cleanup : 32:bind-utils-9.8.2-0.17.rc1.el6.x86_64 5/6
Cleanup : 32:bind-libs-9.8.2-0.17.rc1.el6.x86_64 6/6
Verifying : 32:bind-libs-9.8.2-0.17.rc1.el6_4.4.x86_64 1/6
Verifying : 32:bind-chroot-9.8.2-0.17.rc1.el6_4.4.x86_64 2/6
Verifying : 32:bind-9.8.2-0.17.rc1.el6_4.4.x86_64 3/6
Verifying : 32:bind-utils-9.8.2-0.17.rc1.el6_4.4.x86_64 4/6
Verifying : 32:bind-utils-9.8.2-0.17.rc1.el6.x86_64 5/6
Verifying : 32:bind-libs-9.8.2-0.17.rc1.el6.x86_64 6/6
Installed:
bind.x86_64 32:9.8.2-0.17.rc1.el6_4.4
bind-chroot.x86_64 32:9.8.2-0.17.rc1.el6_4.4
Updated:
bind-utils.x86_64 32:9.8.2-0.17.rc1.el6_4.4
Dependency Updated:
bind-libs.x86_64 32:9.8.2-0.17.rc1.el6_4.4
Complete!
我们这里一共安装了三个文件,一个是bind的主程序,一个是bind-chroot,还有一个是bind-utils,这两个包一般我们在安装bind时都要用到的,包括bind的拓展功能以及伪根等等,所以我们一并将其安装了
BIND的服务名是 named,因为BIND提供的是DNS服务,而DNS默认的协议是TCP与UDP协议,所以BIND服务在启动以后会占用53(Domain), 953(mdc)这两个端口号
三、BIND的配置文件
安装完BIND以后,BIND的主配置文件通常是保存在两个位置:
/etc/named.conf -BIND服务主配置文件
/var/named/ -域的zone配置文件
但是我们如果在安装了 bind-chroot 这个程序以后,BIND的主配置文件存放位置就变了,此时BIND的主配置文件会被封装到一个伪根目录内,此时的配置文件位置为:
/var/named/chroot/etc/named.conf -BIND服务主配置文件
/var/named/chroot/var/named -域的zone配置文件
为什么安装了bind-chroot以后,BIND的主配置文件的存放位置变了呢?这里就涉及到了一个伪根的知识,chroot是通过将相关文件封装到一个伪根目录内,已达到安全防护的目的,一旦该程序被攻破,将只能访问到伪根目录内的内容,而并不是真实的根目录。我们知道Linux的根目录是 / ,我们的服务如果安装了chroot这个程序,此时我们的服务的配置文件都会被安装到我们的伪根里面,会在里面生成一个与原来服务完全相同的一个目录体系结构。我们知道 /var/named/chroot 这个肯定不是我们的根目录,但是如果在安装了chroot以后,该服务的根目录就会把 /var/named/chroot 当成是自己的根目录,这样就可以对我们的真实根目录进行保护,所以建议大家在安装网络服务时最好都附带安装上chroot这个程序,有关chroot的更多知识,可以参考这篇文章 理解chroot
不同于其他的服务,BIND服务在安装完以后不会有预置的配置文件,其他服务比如samba、httpd服务安装完以后其目录下都会有一些配置文件,而BIND服务是没有的,怎么办呢?我们通常在安装完BIND服务以后,有关该服务的一些文档都会保存在 /usr/share/doc 这个目录下,在 (/usr/share/doc/bind-9.8.2/)这个目录下有我们BIND配置文件的模板,我们只需要将其拷贝到其伪根目录下即可:
[root@xiaoluo ~]# cd /usr/share/doc/bind-9.8.2/sample/
[root@xiaoluo sample]# ls
etc var
我们看到,在sample目录下有两个文件夹,etc和var,我们将其拷贝过去即可
[root@xiaoluo ~]# cp -rv /usr/share/doc/bind-9.8.2/sample/etc/* /var/named/chroot/etc/
`/usr/share/doc/bind-9.8.2/sample/etc/named.conf' -> `/var/named/chroot/etc/named.conf'
`/usr/share/doc/bind-9.8.2/sample/etc/named.rfc1912.zones' -> `/var/named/chroot/etc/named.rfc1912.zones'
[root@xiaoluo ~]# cp -rv /usr/share/doc/bind-9.8.2/sample/var/* /var/named/chroot/var/
`/usr/share/doc/bind-9.8.2/sample/var/named/named.loopback' -> `/var/named/chroot/var/named/named.loopback'
`/usr/share/doc/bind-9.8.2/sample/var/named/named.ca' -> `/var/named/chroot/var/named/named.ca'
`/usr/share/doc/bind-9.8.2/sample/var/named/named.empty' -> `/var/named/chroot/var/named/named.empty'
`/usr/share/doc/bind-9.8.2/sample/var/named/slaves' -> `/var/named/chroot/var/named/slaves'
`/usr/share/doc/bind-9.8.2/sample/var/named/slaves/my.slave.internal.zone.db' -> `/var/named/chroot/var/named/slaves/my.slave.internal.zone.db'
`/usr/share/doc/bind-9.8.2/sample/var/named/slaves/my.ddns.internal.zone.db' -> `/var/named/chroot/var/named/slaves/my.ddns.internal.zone.db'
`/usr/share/doc/bind-9.8.2/sample/var/named/named.localhost' -> `/var/named/chroot/var/named/named.localhost'
`/usr/share/doc/bind-9.8.2/sample/var/named/my.internal.zone.db' -> `/var/named/chroot/var/named/my.internal.zone.db'
`/usr/share/doc/bind-9.8.2/sample/var/named/my.external.zone.db' -> `/var/named/chroot/var/named/my.external.zone.db'
`/usr/share/doc/bind-9.8.2/sample/var/named/data' -> `/var/named/chroot/var/named/data'
这个时候我们的根目录下就有了配置文件模板了,我们先来看看 named.conf 这个主配置文件的内容,其里面的代码行数非常多啊,因为模板文件将所有的情况都列在里面了,但是我们其实用不了那么多的东西,这里我们只需要保留最基本的几行即可,我们 named.conf 的最小化配置文件如下:
[root@xiaoluo etc]# vim named.conf
/*
Sample named.conf BIND DNS server 'named' configuration file
for the Red Hat BIND distribution.
See the BIND Administrator's Reference Manual (ARM) for details, in:
file:///usr/share/doc/bind-{version}/arm/Bv9ARM.html
Also see the BIND Configuration GUI : /usr/bin/system-config-bind and
its manual.
*/
options
{
// Put files that named is allowed to write in the data/ directory:
directory "/var/named"; // "Working" directory
//listen-on port 53 { any; };
listen-on port 53 { 127.0.0.1; };
//listen-on-v6 port 53 { any; };
listen-on-v6 port 53 { ::1; };
};
这个就是我们 named.conf 最小化的配置了,指定了 named 的工作目录,指定了IPv4、IPv6的端口以及IP地址
四、配置域主DNS服务器
在了解了BIND服务的一些配置文件及工作目录以后,我们接下来就要开始配置自己的域主DNS服务器了
一个域的主服务器(Master)是这个域的信息的权威服务器,所有这个域的信息都是由域的主服务器控制,配置一个域的主服务器通常需要以下几个步骤:
(比如说我现在要为 cnblogs.com 这个域配置一个主DNS服务器)
①在BIND的主配置文件中添加该域的定义
首先我们需要在named.conf这个文件里面添加 cnblogs.com 这个域的定义,需要在named.conf这个文件下面添加一行域的zone定义:
zone "cnblogs.com" {
type master;
file "cnblogs.com.zone";
}; // ;号一定要加上
[root@xiaoluo etc]# vim named.conf
/*
Sample named.conf BIND DNS server 'named' configuration file
for the Red Hat BIND distribution.
See the BIND Administrator's Reference Manual (ARM) for details, in:
file:///usr/share/doc/bind-{version}/arm/Bv9ARM.html
Also see the BIND Configuration GUI : /usr/bin/system-config-bind and
its manual.
*/
options
{
// Put files that named is allowed to write in the data/ directory:
directory "/var/named"; // "Working" directory
//listen-on port 53 { any; };
listen-on port 53 { 127.0.0.1; };
//listen-on-v6 port 53 { any; };
listen-on-v6 port 53 { ::1; };
};
zone "cnblogs.com" // 里面写上我们要配置的域的域名
{
type master; // 指定我们要配置的是域主DNS服务器
file "cnblogs.com.zone"; // 指定域的zone文件名为 cnblogs.com.zone ,一般都是以域名.zone命名
};
这样我们的named.conf里面就定义了 cnblogs.com 这个域的信息了
②在 /var/named/chroot/var/named 中创建该域的zone文件
因为zone文件的格式非常的复杂,包含了一些跟域从服务器同步刷新以及资源记录等信息,所以我们手动去编写很容易写错,因此我们一般使用默认的 named.localhost 这个文件来作为 zone 文件的模板,我们只需要复制出这样一份文件即可:
[root@xiaoluo etc]# cd /var/named/chroot/var/named/
[root@xiaoluo named]# ls
data my.internal.zone.db named.empty named.loopback
my.external.zone.db named.ca named.localhost slaves
[root@xiaoluo named]# cp named.localhost cnblogs.com.zone
[root@xiaoluo named]# ls
cnblogs.com.zone my.external.zone.db named.ca named.localhost slaves
data my.internal.zone.db named.empty named.loopback
这样我们的 named 目录下就存在了一个叫做 cnblogs.com.zone的文件了,这个文件的名字要和上一步骤指定的文件名字要相同
③编辑zone文件,添加我们需要的信息
此时我们可以编辑这个 cnblogs.com.zone 文件,然后在里面添加我们需要的信息了
$TTL 1D
@ IN SOA @ rname.invalid. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
NS @
A 127.0.0.1
AAAA ::1
IN MX 10 mail.cnblogs.com. // 添加一条 邮件记录,邮件记录后面要跟域名,它会递归的解析这个域名,所以该域名的资源记录一定要有,后面的 . 一定要写上
www IN A 192.168.1.111 // 添加了一条 www 的资源记录 IP地址为 192.168.1.111
mail IN A 192.168.1.222 // 添加了一条 mail 的资源记录 IP地址为 192.168.1.222
【注意:】MX记录一定要定义资源记录的最前面,否则就会解析不成功,MX后面域名一定要写完整,. 也要写上
我们在配置好以后,都要确保配置文件拥有 r 的权限,
[root@xiaoluo named]# ls -l
total 36
-rw-r--r--. 1 root root 228 Jun 6 01:10 cnblogs.com.zone
drwxr-xr-x. 2 root root 4096 Jun 6 00:11 data
-rw-r--r--. 1 root root 56 Jun 6 00:11 my.external.zone.db
-rw-r--r--. 1 root root 56 Jun 6 00:11 my.internal.zone.db
-rw-r--r--. 1 root root 1892 Jun 6 00:11 named.ca
-rw-r--r--. 1 root root 152 Jun 6 00:11 named.empty
-rw-r--r--. 1 root root 152 Jun 6 00:11 named.localhost
-rw-r--r--. 1 root root 168 Jun 6 00:11 named.loopback
drwxr-xr-x. 2 root root 4096 Jun 6 00:11 slaves
因为DNS服务是网络服务,之前在讲SELinux时提到过,CentOS默认采用的是目标策略,即对所有的目标(网络)进程进行限制,所以我们这里为了方便,将其设置成permissive
[root@xiaoluo named]# getenforce
Enforcing
[root@xiaoluo named]# setenforce 0
[root@xiaoluo named]# getenforce
Permissive
④启动我们 BIND 服务或者通过 reload 命令刷新我们的 BIND 服务
[root@xiaoluo named]# service named start
Generating /etc/rndc.key: [ OK ]
Starting named: [ OK ]
没有任何报错信息,则表示我们的BIND服务就启动正常了
这个时候我们就可以通过测试来检验我们的DNS主服务器是否配置成功了,如果是别的机器,我们只需要将其DNS的地址指向我这台主机地址即可,这里我就在本机上进行实验,修改 /etc/resolv.conf 文件,将nameserver指向当前主机:
[root@xiaoluo named]# vim /etc/resolv.conf
# Generated by NetworkManager
#domain localdomain
#search localdomain com
#nameserver 192.168.198.2
nameserver 127.0.0.1
⑤使用host或者dig命令来检测DNS是否配置成功
// 查询www.cnblogs.com的IP地址
[root@xiaoluo named]# dig www.cnblogs.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> www.cnblogs.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47531
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; QUESTION SECTION:
;www.cnblogs.com. IN A
;; ANSWER SECTION:
www.cnblogs.com. 86400 IN A 192.168.1.111 // 我们刚才自己定义的IP
;; AUTHORITY SECTION:
cnblogs.com. 86400 IN NS cnblogs.com.
;; ADDITIONAL SECTION:
cnblogs.com. 86400 IN A 127.0.0.1
cnblogs.com. 86400 IN AAAA ::1
;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Jun 6 01:21:05 2013
;; MSG SIZE rcvd: 107
// 查询cnblogs.com这个域的邮件记录
[root@xiaoluo named]# dig -t mx cnblogs.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> -t mx cnblogs.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37707
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 3
;; QUESTION SECTION:
;cnblogs.com. IN MX
;; ANSWER SECTION:
cnblogs.com. 86400 IN MX 10 mail.cnblogs.com. // 我们自己定义的邮件MX记录
;; AUTHORITY SECTION:
cnblogs.com. 86400 IN NS cnblogs.com.
;; ADDITIONAL SECTION:
mail.cnblogs.com. 86400 IN A 192.168.1.222 // 解析出来的邮件MX记录的mail主机的IP地址
cnblogs.com. 86400 IN A 127.0.0.1
cnblogs.com. 86400 IN AAAA ::1
;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Jun 6 01:27:33 2013
;; MSG SIZE rcvd: 124
// 查询mail.cnblogs.com的IP地址
[root@xiaoluo named]# dig mail.cnblogs.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> mail.cnblogs.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11360
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; QUESTION SECTION:
;mail.cnblogs.com. IN A
;; ANSWER SECTION:
mail.cnblogs.com. 86400 IN A 192.168.1.222 // 我们自己定义的邮件服务器主机IP地址
;; AUTHORITY SECTION:
cnblogs.com. 86400 IN NS cnblogs.com.
;; ADDITIONAL SECTION:
cnblogs.com. 86400 IN A 127.0.0.1
cnblogs.com. 86400 IN AAAA ::1
;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Jun 6 01:34:42 2013
;; MSG SIZE rcvd: 108
我们看到此时我们的DNS主服务器以及配置成功了,因为我们刚才讲 /etc/resolv.conf 里的nameserver指向了当前的主机,而不是公网的权威DNS服务器,所以此时就只会根据本机的DNS服务器去负责处理,只要当前DNS服务器上有相关的资源记录,则就会给我们返回相关的信息
五、错误排查
因为BIND服务的主配置文件 named.conf 以及我们的 zone 配置文件其内容非常复杂,晦涩难懂,所以难免会出现配置出错的情况,因此为了方便我们进行错误排查,BIND还提供了两个非常的命令来对我们的 named.conf 和 zone 文件进行排错检查
①命令 named-checkconf 可以查看BIND的主配置文件的错误:
[root@xiaoluo named]# named-checkconf /var/named/chroot/etc/named.conf
②命令 named-checkzone 可以查看zone配置文件的错误:
[root@xiaoluo named]# named-checkzone cnblogs.com.zone /var/named/chroot/var/named/cnblogs.com.zone
zone cnblogs.com.zone/IN: loaded serial 0
OK
通过这两个命令我们就可以在配置完BIND主配置文件以及zone文件以后对其进行文件排查了,如果没有返回信息,则表示配置没有问题