2.37域名服務(wù)（DNS）和BIND試驗

估計時間： 2個小時

目標： 安裝和配置一個DNS服務(wù)器

1. 試驗的起點： 標準的Red Hat Linux安裝

2. 介紹

本次實驗指導(dǎo)您通過使用Berkeley Internet Name守護進程來配置域名服務(wù)。使用模板文件作為指導(dǎo)，您將

⑴ 實現(xiàn)一個僅有緩存的域名服務(wù)器

⑵ 配置named作為example.com的從域名服務(wù)器

⑶ 配置named作為主域名服務(wù)器用于轉(zhuǎn)發(fā)和IP反查詢

在整個試驗中，您使用的機器名稱和域名將基于您使用的機器的IP地址。如果下面的試驗出現(xiàn)了X字樣的名稱，您應(yīng)該把X字樣的名稱替換成您的工作站的號碼（您的IP地址的最后一個部分）。例如，如果您的工作站的IP的地址是192.168.0.3，您應(yīng)該將stationX.domainX.example.com轉(zhuǎn)換成station3.domain3.example.com。

將數(shù)據(jù)包過濾設(shè)定為無效狀態(tài)。在本次試驗開始之前，請確保您的主機上的所有包過濾已被關(guān)閉（顯然，在實際使用中您可以利用Linux內(nèi)核的防火墻機制，然而我們在這里關(guān)掉它是為了減少潛在的問題）。

本次試驗中以root身份來使用下面命令達成上面的要求：

service iptables stop

chkconfig iptables off

3. 初始化安裝

⑴ 獲得必要的文件

需要bind,bind-utils和caching-nameserver軟件包。使用 rpm –q 來決定這些軟件包是否被安裝。如果沒有被安裝，通過輸入如下命令來安裝（以root身份）：

mkdir /mnt/server1; mount server1:/var/ftp/pub /mnt/server1

rpm –Uvh /mnt/server1/RedHat/RPMS/bind-9*

rpm –Uvh /mnt/server1/RedHat/RPMS/bind-utils*

rpm –Uvh /mnt/server1/RedHat/RPMS/caching-nameserver*

RPM軟件包bind包括DNS守護進程和支持腳本，但是沒有配置和區(qū)域文件。caching-nameserver提供了一個通用的配置和區(qū)域文件。

⑵ 配置本地的(轉(zhuǎn)換器)解析器

配置您的主機使得它能夠被用來作為域名服務(wù)，而不是192.168.0.254。

注意：直到您的域名服務(wù)器被正確安裝和配置，您的機器的DNS服務(wù)不會奏效。您也應(yīng)該注意到當您的系統(tǒng)重新啟動的時候或者重新設(shè)定您的網(wǎng)絡(luò)的時候您的/etc/resolve.conf將會被改寫（除非您對您的網(wǎng)絡(luò)界面設(shè)定了在本書中提及的PEERDNS）

按照如下編輯您的(轉(zhuǎn)換器)解析器配置文件

/etc/resolv.conf

search domainX.example.comnameserver 192.168.0.X

(記住將X替換成您的工作站的號碼)

第一行定義了如果出現(xiàn)簡單的不符合完整域名的主機名稱時默認添加的缺省域。第二行指定了將主機192.168.0.X (您的機器)來作為DNS查詢的解析器。

為了簡化情況，將除了localhost主機名稱的定義從您的主機名稱配置文件中刪除。

/etc/hosts

127.0.0.1 localhost localhost.localdomain

該步驟并不是必需的，但是可以簡化DNS的調(diào)式。有時候安裝程序會將符合完整域名的主機名放在localhost的這一行，這樣一來會使得您無法準確的確定您的域名服務(wù)器配置是否正確。

4．配置一個僅有緩存的域名服務(wù)器

第一個配置您將建立一個僅有緩存的域名服務(wù)器。這種類型的域名服務(wù)器對于任何區(qū)域都不授權(quán)。僅有緩存的域名服務(wù)器被設(shè)定為主域名服務(wù)器。當主機名稱或者IP地址需要被解析的時候，僅有緩存的域名服務(wù)器將查詢請求轉(zhuǎn)發(fā)到另外一臺域名服務(wù)器或者到根域名服務(wù)器來決定授權(quán)的用來解析的域名服務(wù)器。一旦解析完成，僅有緩存的域名服務(wù)器在緩存中存儲解析的信息，該解析信息有一段的生存周期。以后的查詢將會變得很快。

您已經(jīng)安裝完對于此項配置所有必須的文件。按照如下步驟來配置域名服務(wù)器：

⑴ 在由caching-nameserver提供的/etc/named.conf中的“option”區(qū)域添加下面的內(nèi)容：

forwarders {192.168.0.254; };

forward only;

這將導(dǎo)致您工作站上的僅有緩存的域名服務(wù)器轉(zhuǎn)發(fā)其不能解析的DNS查詢到在192.168.0.254的域名服務(wù)器，并且如果超時，不與根域名服務(wù)器直接聯(lián)系。

⑵ 啟動named: #service named start

⑶ 測試您的配置使用host或者dig來查詢一些example.com名稱和一些真實的Internet域名（如果您有Internet訪問接口的話）

5．配置一個輔助域名服務(wù)器

一個從域名服務(wù)器將為一個區(qū)域提供授權(quán)的回答,但不是區(qū)域的授權(quán)開始。您現(xiàn)在將重新配置您的域名服務(wù)器作為example.com區(qū)域和0.168.192.in-addr.arpa區(qū)域的從域名服務(wù)器。

⑴ 在您的/etc/named.conf文件中添加如下行

zone “example.com” {

type slave;

masters { 192.168.0.254; };

file “slave-example.com.zone”;

};

zone “0.168.192.in-addr.arpa” {

type slave;

masters { 192.168.0.254; };

file “slave-192.168.0.zone”;

};

⑵ 重新啟動named: # servcie named restart

⑶ 檢查slave-example.com.zone和slave-192.168.0.zone文件。這些文件應(yīng)該包含了從位于192.168.0.254的主域名服務(wù)器傳過來的區(qū)域數(shù)據(jù)庫的副本。

確保所有的正確工作。在您開始下一個部分之前，去除您剛才在第一步中在/etc/named.conf中加入的兩個從區(qū)域。

6．配置一個主域名服務(wù)器

現(xiàn)在您將配制您的域名服務(wù)器來負責(zé)對于區(qū)域“domainX.example.com”的解析工作。您將同樣負責(zé)向?qū)?yīng)的反查區(qū)域。將采用如下的步驟：

A.編輯配置文件（named.conf）

B. 準備區(qū)域“domainX.example.com”和區(qū)域“X.0.168.192.in-addr.arpa”的數(shù)據(jù)庫文件。

C. 重新啟動域名服務(wù)器

D. 測試您的配置

為了您能夠準備您的配置文件和區(qū)域文件，我們提供了模板文件。您可以通過匿名ftp方式從以下地址獲得：

ftp://192.168.0.154/pub/namedfiles/

在如下的步驟中，記得將范例文件中中每一出出現(xiàn)的X替換成您的工作站的號碼。

⑴ 主配置文件

下面是我們應(yīng)該考慮的三個區(qū)域

① “.”（根級別）區(qū)域

“.”區(qū)域是DNS層次中的最高層。根服務(wù)器提供了哪些服務(wù)器對于給定的域享有授權(quán)?！?”節(jié)應(yīng)該以如下的方式出現(xiàn)：

zone “.” {

type hint;

file “named.ca”;

};

② “domainX.example.com”（正向查詢）區(qū)域

添加如下的行，使得您的域名服務(wù)器成為區(qū)域的主服務(wù)器。

zone “domainX.exmaple.com” {

type master;

file “domainX.example.com.zone”;

};

③ “X.0.168.192.-in-addr.arpa”（反向查詢）區(qū)域

現(xiàn)在添加如下的行，使得您的域名服務(wù)器成為反查區(qū)域的主服務(wù)器。

zone “X.0.168.192.in-addr.arpa” {

type master;

file “192.168.0.X.zone”;

};

下面是位于192.168.0.2的station2的樣例配置文件

/etc/named.conf

options {directory “/var/named”;forwarders {192.168.0.254; };forward only;};zone “.” { type hint; file “named.ca”;};zone “localhost” IN { type master; file “localhost.zone”;};zone “0.0.127.in-addr.arpa” IN { type master; file “named.local”;};zone “domain2.exmaple.com” { type master; file “domain2.example.com.zone”;};zone “2.0.168.192.in-addr.arpa” { type master; file “192.168.0.2.zone”;};

⑵. 數(shù)據(jù)庫文件

您的主要配置文件指定了/var/named為數(shù)據(jù)庫所在的目錄。您現(xiàn)在必須在這個目錄下面為您區(qū)域和反查區(qū)域建立數(shù)據(jù)庫文件。這些數(shù)據(jù)庫文件包括您的SOA，NS，A，CNAME，MX，PTR和其他的可能的記錄。所有的數(shù)據(jù)文件以如下的行開頭：

$TTL 86400

該數(shù)值是缺省的以秒計的生存期間，該數(shù)值對所有在該域中的記錄有效

① 區(qū)域“domainX.example.com”

在主配置文件中,區(qū)域“domainX.example.com”數(shù)據(jù)庫文件被存放在/var/named/domainX.example.com。這個文件含有類似的如下的記錄：

① 起始授權(quán)記錄：

@ IN SOA stationX.domainX.example.com. root.stationX.domainX.example.com. (

2001101100; Serial

28800 ;Refresh

14400 ;Retry

3600000 ;Expire

）

“起始授權(quán)”（SOA）記錄是數(shù)據(jù)庫文件的第一個資源記錄，但是它可能帶了一個前導(dǎo)符$TTL（缺省存活時間）。SOA記錄使得數(shù)據(jù)庫文件稱為該區(qū)域的授權(quán)的信息源。第一個標記是后繼記錄適合的域，通常以“@”簡化形式出現(xiàn)，如果擴展開來那就是在named.conf文件中“zone”節(jié)中所指明的域名（或者是在文件通過$ORIGIN定義的當前區(qū)域，如果該定義存在的話）。

第四個標記使該域的主域名服務(wù)器，第五個是負責(zé)維護這個數(shù)據(jù)庫的系統(tǒng)管理員的電子郵件的地址，注意第一個分隔符替換了第一個標記的@符號（你能解釋為什么嗎？）。接下來在記錄中的條目指定了交互解析域名服務(wù)器的動態(tài)特性。

② 域名服務(wù)器記錄：

@ IN NS stationX.domainX.example.com.

域名服務(wù)器（NS）標識了主機作為特定域的授權(quán)的域名服務(wù)器。他們對于這個區(qū)域指定了主和從服務(wù)器和代表授權(quán)的子域的其他的服務(wù)器（例如，server1.example.com對于所有domainX.example.com的域名服務(wù)器有一個NS記錄）。正如您對于“domainX.example.com”只能有一個單一的域名服務(wù)器，您也只能有一個單一的NS記錄。

③ 地址記錄：

domainX.example.com IN A 192.168.0.X

stationX.domainX.example.com IN A 192.168.0.X

www IN A 192.168.0.X

ftp IN A 192.168.0.X

pop IN A 192.168.0.X

地址（A）記錄將主機名稱映射到IP地址（域名服務(wù)器的主要功能）。一個數(shù)據(jù)庫文件通常包含A記錄對應(yīng)著許多IP地址。然而在我們的教室的環(huán)境里，在您的區(qū)域里面只有一臺主機。注意第一個A記錄設(shè)定了域的“缺省的IP地址”。接下來的A記錄建立了多個主機名稱對應(yīng)一個IP地址。

主機名稱可以是一個完全符合標準的名稱（FQDN），也可以是一個縮寫。所有的不以點號結(jié)尾的主機名稱都將被視為縮寫，并且區(qū)域名稱被附加到主機名稱的后面。例如，第三個A記錄就是主機名稱http://www.domainx.example.com./

④ 規(guī)范名稱（別名）記錄：

www1 IN CNAME stationX.domainX.example.com.

www2 IN CNAME stationX.domainX.example.com.

www3 IN CNAME stationX.domainX.example.com.

別名（CNAME）記錄建立了主機名稱的別名。注意到別名映射到主機名稱而不是IP地址。

CNAME不應(yīng)該出現(xiàn)在右邊的數(shù)據(jù)區(qū)域作為真實的主機名稱，對于多重別名的解析的速度會很慢。

⑤ 郵件交換記錄

@ IN MX 10 stationX.domainX.example.com.

domainX.example.com IN MX 10 stationX.domainX.example.com.

郵件交換記錄（MX）記錄了一個主機它將會處理給定的域或者主機郵件的轉(zhuǎn)發(fā)。當一個郵件傳遞代理（MTA）試圖投遞信件的時候，它將首先試圖在DNS中查找目的主機的MX記錄。如果該MX記錄存在，那么將直接發(fā)送到MX記錄指定的主機。反之，如果不存在MX記錄，MTA對于目的主機進行標準的DNS查詢，并且直接投遞到該主機上去。MX記錄用來建立郵件的網(wǎng)關(guān)，和作為缺省的對于域的郵件的目的地。

② 區(qū)域“X.0.168.192.in-addr.arpa”

在/etc/named.conf中，我們指定了/var/named/192.168.0.X.zone作為區(qū)域X.0.168.192.in-addr.arpa的反查區(qū)域數(shù)據(jù)庫文件。他應(yīng)該包含SOA記錄，NS記錄，和對應(yīng)的PTR記錄。

I 起始授權(quán)記錄

@ IN SOA stationX.domainX.example.com. root.stationX.domainX.example.com. (

4;

10800；

3600；

604800；

86400）

IN NS stationX.domainX.example.com.

SOA和NS記錄與前面的區(qū)域文件中的名稱應(yīng)該相同。

注意在NS記錄開頭的空白的地方是非常特別的，并且被解釋為“和上一條記錄相同”的縮寫。在本例中，上一條記錄為符號“@”，其本身就是在主配置文件中定義的域名的縮寫。

II 指針記錄

X.0.168.192.IN-ADDR.ARPA. IN PTR stationX.domainX.example.com.

指針（PTR）記錄通過間接的機制將名稱映射到IP地址。作為分離的技術(shù)來進行IP地址的反查詢的替代，BIND采用了一種修改的對于特定主機名稱的正向查詢的方式。這種“反向域名查詢”以反轉(zhuǎn)的IP地址后面添加“in-addr.arpa”域的形式出現(xiàn)。這將允許域名服務(wù)器使用相同的機制進行正反兩方面的查詢。

③ 把他們放在一起

下面是位于192.168.0.2的station2的樣例配置文件：

/var/named/domain2.example.com.zone

$TTL 86400@ IN SOA station2.domain2.example.com. root.station2.domain2.example.com. ( 2001101100; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 0) ; Negative @ IN NS station2.domain2.example.com. @ IN A 192.168.0.2station2.domain2.example.com. IN A 192.168.0.2www IN A 192.168.0.2ftp IN A 192.168.0.2pop IN A 192.168.0.2www1 IN CNAME station2.domain2.example.com.www2 IN CNAME station2.domain2.example.com.www3 IN CNAME station2.domain2.example.com.@ IN MX 10 station2.domain2.example.com.station2 IN MX 10 station2.domain2.example.com.

/var/named/192.168.0.2.zone

$TTL 86400@ IN SOA station2.domain2.example.com. root.station2.domain2.example.com. (4 10800 3600 604800 86400) IN NS station2.domain2.example.com.2.0.168.192.IN-ADDR.ARPA. IN PTR station2.domain2.example.com.

⑶. 重新啟動域名服務(wù)器

再一次，我們將重新啟動域名服務(wù)器。然后通過運行pidof命令來確定其被運行：

service named restart

pidof named

查看一下服務(wù)器添加到/var/log/messages文件中的條目。確定您的域名在調(diào)入的時候沒有發(fā)生錯誤。

如果您已經(jīng)有一個域名服務(wù)器在運行并且不想重新啟動它，您可以使用service named reload 來重新裝入配置文件，這樣子對于停止和啟動服務(wù)器而言都比較快。

⑷. 測試域名服務(wù)器

進行如下DNS查詢，您能夠解釋所有的結(jié)果么？

host stationX

dig stationX.example.com

dig stationX.example.com @192.168.0.254

dig stationX.example.com

host server1.example.com

host 192.168.0.X

dig –x 192.168.0.X

dig –x 192.168.0.254

host www

host www1

記住dig期望給與一個FQDN作為查詢，然而host則通過查看位于文件/etc/resolv.conf的查詢信息。試著在別的人的域名服務(wù)器和子域上進行附加的查詢。如果設(shè)定正確，您將能夠在其他教室系統(tǒng)上進行正向和反向查詢。

挑戰(zhàn)性的項目

通過增加多個“A”記錄使得一個主機名稱對應(yīng)著不同的IP地址來配置一個“輪轉(zhuǎn)”的主機名稱。域名服務(wù)器該如何處理這種情況？提示： 試圖嘗試設(shè)定這些的A記錄的TTL為0。

在您的域中增加子域“support.somainX.example.com”。增加合適的資源記錄使得它能夠反向指向您的IP地址。

與另一臺工作站合作，成為另一臺工作站的從域名服務(wù)器，在您的區(qū)域中為您的工作站增加一個新的CNAME，確保這個改變能夠傳播到從服務(wù)器。

收尾工作

接下來的試驗就較為簡單了，一旦您重新啟動您的工作站，所有的DNS查詢將會重新設(shè)定到教室中的服務(wù)器上。為了確保收尾，確保您重新設(shè)定/etc/resolve.conf到其初始的狀態(tài)。

/etc/resolv.conf

search example.comnameserver 192.168.0.254

/etc/hosts

127.0.0.1 localhost localhost.localdomain localhost192.168.0.X stationX.example.com

(如果您關(guān)閉后啟動eth0接口，DHCP將會自動為您設(shè)定配置文件)