Linux dns 域名解析服务

DNS服务

一、1.域层次结构

域名结构：

根域，位于域名空间最顶层，一般用一个 “.” 表示，其记录着Internet 的重要DNS 信息，由Internet域名注册授权机构管理，该机构把域名空间各部分的管理责任分配给连接到Internet 的各个组织。（全球有13个根(root)服务器）

顶级域， 一般代表一种类型的组织机构或国家地区，如 net、com、org、edu、gov、mil、cn、jp、hk。

DNS 根域下面是顶级域，也由Internet 域名注册授权机构管理。共有3 种类型的顶级域。

组织域：采用3 个字符的代号，表示DNS 域中所包含的组织的主要功能或活动。比如com 为商业机构组织，edu 为教育机构组织，gov 为政府机构组织，mil 为军事机构组织，net 为网络机构组织，org 为非营利机构组织，int 为国际机构组织。

地区域：采用两个字符的国家或地区代号。如cn 为中国，kr 为韩国，us 为美国。

反向域：这是个特殊域，名字为in-addr.arpa，用于将IP 地址映射到名字（反向查询）。

二级域，用来标明顶级域内的一个特定的组织，国家顶级域下面的二级域名由国家网络部门统一管理，如 .cn 顶级域名下面设置的二级域名：.com.cn、.net.cn、.edu.cn …

子域，二级域下所创建的各级域统称为子域，各个组织或用户可以自由申请注册自己的域名

主机，主机位于域名空间最下层，就是一台具体的计算机，如 www、mail、都是具体的计算机名字，可用www.sina.com.cn.、mail.sina.com.cn. 来表示

2.名称服务器

主域名服务器   

主域名服务器负责存储授权区域的一切数据且管理该区域和对区域具有域名解析功能。

辅助域名称服务器

辅助名称服务器可以从主域名服务器中同步一整套区域信息。并且辅助名称服务器会定时从主名称服务器中更新数据，同时可以接受客户机的查询.

辅助域名服务器的优点：

1）容错能力

配置辅助域名服务器后，在该区域主服务器崩溃的情况下，客户机仍能解析该区域的名称。2）减少广域链路的通信量

如果某个区在远程有大量客户机，用户就可以在远程添加该区的辅助服务器，并把远程的客户机配置成先查询这些服务器，这样就能防止远程客户机通过慢速链路通信来进行DNS 查询。

3）减轻主服务器的负载

辅助服务器能回答该区的查询，从而减少该区主服务器必须回答的查询数。

唯高速缓存服务器

缓存服务器负责临时存储主域名服务器己解析过域名记录

查询方式

（1）递归查询

递归查询是一种DNS 服务器的查询模式，在该模式下DNS 服务器接收到客户机请求，必须使用一个准确的查询结果（解析成功或解析失败）回复客户机。如果DNS 服务器本地没有存储查询DNS 信息，那么该服务器会询问其他服务器，并将返回的查询结果提交给客户机。

（2）迭代查询

DNS 服务器另外一种查询方式为迭代查询，当客户机发送查询请求时，DNS 服务器并不直接回复查询结果，而是告诉客户机另一台DNS 服务器地址，客户机再向这台DNS 服务器提交请求，依次循环直到返回查询的结果为止。

正反向解析

正向解析:正向解析是指域名到IP 地址的解析过程。

反向解析: 反向解析是从IP 地址到域名的解析过程。反向解析的作用为服务器的身份验证。

资源记录

A 资源记录

A记录也称为主机记录，是使用最广泛的DNS记录，A记录把FQDN 映射到IP 地址。 因为有此记录，所以DNS服务器能解析FQDN域名对应的IP 地址。它是域名和IP地址的对应关系，表现形式为 www.contoso.com.   192.168.1.1 这就是一个A记录。

A记录除了进行域名和IP对应以外，还有一个高级用法，可以作为低成本的负载均衡的解决方案，比如说，www.contoso.com 可以创建多个相同A记录，对应多台物理服务器的IP地址，可以实现基本的流量均衡（轮询查询功能）。

CNAME 资源记录

别名记录（CNAME）资源记录创建特定FQDN 的别名。

PTR 资源记录

相对于A 资源记录，指针（PTR）记录把IP地址映射到FQDN。 用于反向查询，通过IP地址，找到域名。

NS记录

NS（Name Server）记录是域名服务器记录，用来指定该域名由哪些DNS服务器来进行解析。

SOA 资源记录

NS记录说明了有多台服务器在进行解析，但哪一个才是主服务器呢，NS并没有说明，这个就要看SOA记录了，SOA名叫起始授权机构记录Start of Authority Record），SOA记录说明了在众多NS记录里那一台才是主要的服务器。

NS记录和SOA记录是任何一个DNS区域都不可或缺的两条记录

MX 资源记录

邮件交换（MX）资源记录，在使用邮件服务器的时候，MX记录是不可或缺的。

端口

udp/53   #是用来做DNS解析的

tcp/53    #是用来做DNS主从复制（区域传输）

• DNS服务器安装、配置

1、构建主dns服务器

1）创建named.conf主配置文件，提供test.com域的正向解析和192.168.36.0/24网段的反向解析。

# cp  -p  /etc/named.conf  /var/named/named.conf.bak

# vim  /etc/named.conf

配置项说明：

options {          //全局配置部分，全局配置参数包括在如options { }的大括号中

listen-on port 53 { any; };   //监听地址和端口

    listen-on-v6 port 53 { any; };

directory "/var/named";   //区域数据文件的默认存放位置

allow-query     { any; };    //允许使用本dns服务的网段

recursion yes;    //默认支持递归查询

    forwarders { 8.8.8.8; 114.114.114.144; };   //设置转发器。当客户端解析的不是本dns负责解析的域名时，就会向forwarders指定的dns服务器发送解析请求。

};

zone "." IN {    //正向“.”根区域

type hint;    //类型为根区域

file "named.ca";    //根区域文件，保存着世界上13台根dns服务器信息

};

zone "test.com" IN {     //正向test.com区域

        type master;   //类型为主区域

        file "test.com.zone";   //区域数据文件名

        allow-transfer { 192.168.36.129; };  //允许区域传输的从dns服务器地址

};

zone "36.168.192.in-addr.arpa" IN {    //反向192.168.36.0/24区域

        type master;

        file "192.168.36.arpa";

        allow-transfer { 192.168.36.129; };

};

# named-checkconf  /etc/named.conf

注意：named.conf文件的归属属性

确认根域的区域数据文件named.ca，根区域的区域数据文件默认是/var/named/named.ca，该文件记录了internet中13台根域服务器的域名和ip地址等相关信息。

2）区域数据配置文件

区域数据配置文件通常位于/var/named/目录下，每个区域文件对应一个DNS解析区域，文件名要与named.conf中设置的一致。

创建正反向区域数据文件

# vim  /var/named/test.com.zone

# vim  /var/named/192.168.36.arpa

注意：区域数据文件的归属属性：

# chown  root:named  /var/named/test.com.zone

# chown  root:named  /var/named/192.168.36.arpa

配置项参数说明：

$TTL 1D   //设置有效地址解析记录的默认缓存时间，默认为1天也就是1D。

@ IN SOA test.com.  root. test.com.  //SOA标记，域名、管理邮箱

注：在此配置文件中写域名时，都把根. 也要写上。管理邮箱root.test.com.由于@有其他含义，所以用“.”代替@。

0 ；更新序列号，用于标示数据库的变更，可以在10位整数以内，如果存在辅助DNS区域,建议每次更新完数据库，手动加1.

1D ；刷新时间，从域名服务器更新该数据库文件的间隔时间，默认为1天

1H ；重试延时，从域名服务器更新数据库失败以后，等待多长时间，默认为为1小时

1W ; 失效时间，超过该时间仍无法更新数据库，则不再尝试，默认为一周

3H ；设置无效地址解析记录（该数据库中不存在的地址）默认缓存时间。设置无效记录，最少缓存时间为3小时。

NS（name server，域名服务器），域名服务器记录，用于设置当前域的DNS服务器的域名地址，

# named-checkzone  test.com  /var/named/test.com.zone

# named-checkzone  36.168.192.in-addr.arpa  /var/named/192.168.36.arpa

也可以执行带“-z”选项的named-checkconf命令，可以尝试加载主配置文件中对应的区域数据文件，并检查该文件是否存在问题。

# named-checkconf -z /etc/named.conf

启动named服务或重载配置

# systemctl restart named  或  # systemctl reload named

3）验证主域名服务器

注：关闭防火墙或创建tcp 53和udp 53的允许规则。

在客户端将dns服务指向dns服务器地址192.168.36.128，使用nslookup命令验证dns查询结果。

2、构建从域名服务器

1）安装bind的相关软件包

# yum -y install bind bind-chroot bind-utils

2）建立主配置文件named.conf

在从域名服务器中，named.conf文件的内容与主服务器的内容大部分相同，zone部分的区域类型应设置为slave，并添加masters {};语句来指定主域名服务器的地址

named服务默认以名为named的用户身份运行，因此要确认named用户对存放目录有写入权限

3）启动named服务，查看区域数据文件是否同步成功

在从域名服务器中启动named服务，若配置无误，则named将会从主域名服务器中自动下载指定的区域数据文件，并保存在slaves目录下。另外，通过系统日志文件/var/log/messages也可以看到同步区域文件的过程，具体操作如下：

# systemctl start named

4）验证从域名服务器解析

对于客户端来说，从域名服务器与主域名服务器没什么区别，通过主服务器能查询到的信息，通过从服务器也同样能够查询到，验证从域名服务器时，只需要将客户端的首选dns服务器地址设为192.168.36.129（从域名服务器ip地址），使用nslookup命令进行测试即可。