1500字范文 > Linux实训项目——第十一章：基础DNS服务器与主从同步

Linux实训项目——第十一章：基础DNS服务器与主从同步

时间：2022-02-08 00:50:02

域名系统（DNS）的起源与发展、原理及解析流程

BIND是什么

WHO

WHEN

WHAT

WHY

WHERE

HOW

BUT

实训目的

1.掌握LINUX系统下主DNS服务器的配置

2.掌握LINUX系统下主从DNS服务器同步的配置方法

3.掌握LINUX系统下DNS正向解释区域文件的配置方法

4.掌握LINUX系统下DNS反向解释区域文件的配置方法

5.掌握DNS的常用检测命令的使用方法

项目设计

前置

无

端口

:53

说明&命令

bind是DNS服务器软件，服务名称是named

正向代理和反向代理详解（纯小白必看最好懂的白话文教程）

正向代理：小学生假装大学生到小卖部买烟

反向代理：小学生从大学生手里买烟，大学生从小卖部进货

一、DNS正向解释

1、准备三台虚拟机，分别作为主DNS，从DNS，以及客户端

2、主从DNS（域名dns1）服务器上安装DNS软件包

[root@centos-a1 ~]# yum install bind -y[root@centos-a2 ~]# yum install bind -y

3、配置主DNS的主配文件，增加mmnl.edu的区域字段

bind9named.conf详解

named.conf 详解

bind服务4—主配置文件详解

dnssec 详解需要慢慢分析

//// named.conf//// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS// server as a caching only nameserver (as a localhost DNS resolver only).//// See /usr/share/doc/bind*/sample/ for example named configuration files.//// See the BIND Administrator's Reference Manual (ARM) for details about the// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html// 由 Red Hat 绑定包提供，用于配置 ISC BIND named(8) DNS // 服务器作为仅缓存的名称服务器（仅作为 localhost DNS 解析器）。 // // 参见 /usr/share/doc/bind*/sample/ 例如命名的配置文件。 // // 有关位于 /usr/share/doc/bind-{version}/Bv9ARM.html 中的配置的详细信息，请参阅 BIND 管理员参考手册 (ARM)options {设定全局配置选项和默认值listen-on port 53 {127.0.0.1; };指定在[$IP]地址上面的[$PORT]端口提供服务,默认为53listen-on-v6 port 53 {::1; };在ipv6地址上监听directory "/var/named";服务器的工作目录dump-file "/var/named/data/cache_dump.db";当执行rndc dumpdb时服务器dump文件的路径statistics-file "/var/named/data/named_stats.txt";执行rndc stats将服务器的统计信息写入文件,默认为named.statsmemstatistics-file "/var/named/data/named_mem_stats.txt";默认为named.memestats,当退出的服务的时候将服务器的统计信息写到文件中.recursing-file "/var/named/data/named.recursing";secroots-file "/var/named/data/named.secroots";allow-query{localhost; };指定哪个服务器可以进行普通DNS查询,如果在zone中指定,将覆盖全局参数,默认允许来自全部主机的查询./* - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.- If you are building a RECURSIVE (caching) DNS server, you need to enable recursion. - If your recursive DNS server has a public IP address, you MUST enable access control to limit queries to your legitimate users. Failing to do so willcause your server to become part of large scale DNS amplification attacks. Implementing BCP38 within your network would greatlyreduce such attack surface */* - 如果您正在构建 AUTHORITATIVE DNS 服务器，请不要启用递归。 - 如果您正在构建 RECURSIVE（缓存）DNS 服务器，则需要启用递归。- 如果您的递归 DNS 服务器有一个公共 IP 地址，您必须启用访问控制以限制对您的合法用户的查询。否则将导致您的服务器成为大规模 DNS 放大攻击的一部分。在您的网络中实施 BCP38 将大大减少此类攻击面 *recursion yes;递归查询dnssec-enable yes;是否支持DNSSEC开关,默认为yes，DNSSEC 是防止任何 DNS 攻击媒介dnssec-validation yes;是否进行DNSSEC确认开关,默认为no,是解析服务器对响应的记录进行验证的功能，必须是信任链可信的域名才行,默认auto ，开启这个功能递归服务器就会去验证是否可信任/* Path to ISC DLV key *//* ISC DLV 密钥的路径 */bindkeys-file "/etc/named.root.key";managed-keys-directory "/var/named/dynamic";pid-file "/run/named/named.pid";服务器记录进程ID的文件路径.session-keyfile "/run/named/session.key";};logging {定义bing服务的日志, channel -> categroy.channel default_debug {file "data/named.run";severity dynamic;};};zone "." IN {定义一个区域type hint;区域Type:master: 主域服务slave: 从域服务stub: 只复制主域的NS记录,属于BIND特有功能.hint: 设定初始化设置根域服务器所用的参数.forward: 域转发设置delegation-only: 设定返回为NXDOMAIN?file "named.ca";};include "/etc/named.rfc1912.zones";表示当前的dns服务器当中，申明区域文件是谁。include "/etc/named.root.key";密钥。当dns服务器无法解析的时候，就会把请求发送到根dns上，但是根dns不允许被任何人访问，于是需要一种认证机制，这里的认证就是密钥

将全局里的监听IP和允许谁查询改为any，将DNSSEC两个选项关闭

listen-on port 53 {any; };allow-query {any;};dnssec-enable no;dnssec-validation no;

再增加mmnl.edu区域字段

zone "mmnl.edu" IN {type master;主域服务file "mmnl.edu.zone";};

4、主DNS上创建区域文件（带权限），并增加授权区域dns1，NS纪录dns1，以及对应的A记录、web的A记录和别名www

DNS服务详解(解析+搭建)

DNS服务和BIND

[root@centos-a1 ~]# cd /var/named[root@centos-a1 named]# lltotal 16drwxrwx--- 2 named named 6 Feb 24 01:17 datadrwxrwx--- 2 named named 6 Feb 24 01:17 dynamic-rw-r----- 1 root named 2253 Apr 5 named.ca-rw-r----- 1 root named 152 Dec 15 named.empty-rw-r----- 1 root named 152 Jun 21 named.localhost-rw-r----- 1 root named 168 Dec 15 named.loopbackdrwxrwx--- 2 named named 6 Feb 24 01:17 slaves[root@centos-a1 named]# cp named.localhost mmnl.edu.zone -p`必须加p拷贝，文件的属组必须是named，如果不加p，属组会改变，那么域名解析将不可能成功`会出现以下情况[root@centos7-a3 ~]# ping www.mmnl.eduping: www.mmnl.edu: Name or service not known[root@centos7-a3 ~]# curl www.mmnl.educurl: (6) Could not resolve host: www.mmnl.edu; Unknown error[root@centos7-a3 ~]# nslookup www.mmnl.eduServer: 192.168.111.21Address: 192.168.111.21#53** server can't find www.mmnl.edu: SERVFAIL

$TTL 1D域名有效解析生存周期（一般指缓存时间）@ IN SOA @ rname.invalid. (@：代表域名本身SOA：SOA标记（起始授权机构的资源记录，描述了域名的管理员、电子邮件地址和一些时间参数）0 ; serial配置文件修改版本（如：0826）1D; refresh更新频率（从向主的查询周期）1H; retry更新失败的重试时间周期1W; expire无法更新时的失效周期3H ) ; minimum缓存服务器无法更新的失效时间NS@设置DNS服务器的域名A 127.0.0.1IPV4的域名IP解析记录AAAA ::1IPV6的域名IP解析记录SOA(起始授权记录)1、记录提供有关dns区域工作方式的信息(描述域名的管理员、电子邮件地址、时间参数)2、具体来说就是当前主机具体负责哪个区域的解析 3、指定某个DNS服务提供解析NS 1、将自己的域名映射到DNS服务器上 2、将域名最终映射到哪一台主机（由哪一台主机去解析当前所定义的域主机） 3、标记DNS服务器注意：SOA是标明了要解析的域、一个主服务器，、NS是标明了本机的域名，多个服务器A (ipv4地址记录)1、将主机名映射到ipv4地址2、这是正向域名解析地址，即将域名解析成IPCNAME (规范名称)：记录域别名PTR(指针记录)1、将IPV4 IPV6地址映射到主机名用于反向DNS反向解析2、反向解析是将IP地址解析为域名AAAA (IPV6 地址记录) ：资源记录（四A记录）将主机名映射到ipv6地址MX （邮件交换记录）：标记邮件服务器serial number: 序列号定义当前使用的数据序列号 sn遵循“年+月+日+编号” 主和从的更新依据refresh：定义检查间隔时间（上次和这次变化的时间）retry：重试时间 < 检查时间> expire: 过期时间缓存放多久过期 negative answer ttl: 否定答案的缓存时长（没有指定生存期的数据可以保存在数据中的时间及TTL值）存放不能解析的域名，下次访问直接返回不能解析时间单位：M(分钟)、H(小时)、D(天)、W(周)，默认单位是秒

配置过程详见

DNS中NS和SOA区别

$TTL 1D@ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D; refresh1H; retry1W; expire3H ) ; minimum@ IN NS dns1.mmnl.edu.dns1 IN A 192.168.111.21webIN A 192.168.111.10wwwIN CNAME web

5、启动DNS服务并设置自动运行，检测DNS服务监听端口

[root@centos-a1 named]# systemctl start named[root@centos-a1 named]# systemctl enable namedCreated symlink from /etc/systemd/system/multi-user.target.wants/named.service to /usr/lib/systemd/system/named.service.[root@centos-a1 named]# netstat -an | grep :53tcp 00 127.0.0.1:53 0.0.0.0:*LISTENtcp 00 192.168.122.1:53 0.0.0.0:*LISTENtcp 00 192.168.111.21:42389 192.203.230.10:53 TIME_WAIT tcp 00 192.168.111.21:59742 192.203.230.10:53 TIME_WAIT tcp6 00 ::1:53 :::*LISTENudp 00 127.0.0.1:53 0.0.0.0:*udp 00 192.168.122.1:53 0.0.0.0:*udp 00 0.0.0.0:5353 0.0.0.0:*udp6 00 ::1:53 :::*

如果启动失败，尝试检查配置文件

[root@centos-a1 named]# named-checkconf /etc/named.conf[root@centos-a1 named]# named-checkzone mmnl.edu /var/named/mmnl.edu.zonezone mmnl.edu/IN: loaded serial 0OK

6、配置客户端的DNS地址指向主DNS服务器（配置前测试域名）

[root@centos7-a3 ~]# nslookup localhostServer: 192.168.111.21Address: 192.168.111.21#53

7、使用ping命令测试内网以及外网域名解释，查看确认

[root@centos7-a3 ~]# ping www.mmnl.eduPING www.mmnl.edu (192.168.111.10) 56(84) bytes of data.From centos7-a3 (192.168.111.23) icmp_seq=1 Destination Host UnreachableFrom centos7-a3 (192.168.111.23) icmp_seq=2 Destination Host UnreachableFrom centos7-a3 (192.168.111.23) icmp_seq=3 Destination Host UnreachableFrom centos7-a3 (192.168.111.23) icmp_seq=4 Destination Host Unreachable^C--- www.mmnl.edu ping statistics ---5 packets transmitted, 0 received, +4 errors, 100% packet loss, time 4002ms

8、使用nslookup命令测试内网以及外网域名解释，查看确认

nslookup命令详解

[root@centos7-a3 ~]# nslookup www.mmnl.eduServer: 192.168.111.21Address: 192.168.111.21#53Name: www.mmnl.eduAddress: 192.168.111.10[root@centos7-a3 ~]# nslookup Server: 192.168.111.21Address: 192.168.111.21#53Non-authoritative answer: canonical name = www..Name: www.Address: 14.215.177.38Name: www.Address: 14.215.177.39

9、使用dig命令测试内网以及外网域名解释，查看确认

dig命令

dig命令详解

工控网络基础入门篇之如何用 Dig命令检查域名的解析

F5 GTM DNS 知识点和实验 3 -加速dns解析

wireshark筛选dhcp包_使用wireshark抓包工具，对DHCP、HTTP、DNS的数据包进行分析

[root@centos7-a3 ~]# dig www.mmnl.edu +short192.168.111.10[root@centos7-a3 ~]# dig +shortwww..14.215.177.3914.215.177.38[root@centos7-a3 ~]# dig ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> ;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36871;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 6QR：查询/.响应 Query/Response，指明数据包是查询还是响应AA：权威应答 Authoritative Answer，表示由域内权威域名服务器发出的TC：截断 Truncation，指明响应太长，无法装入数据包而被截断RD：期望递归 Recursion Desired，表示客户端在目标服务器不含请求信息时要求递归查询RA：可用递归 Recursion Available，表示域名服务器支持递归查询Z：保留;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;. INA;; ANSWER SECTION:.291INCNAME www..www.. 300INA 14.215.177.39www.. 300INA 14.215.177.38;; AUTHORITY SECTION:. 293INNSns3... 293INNSns1... 293INNSns2... 293INNSns4... 293INNSns5..;; ADDITIONAL SECTION:ns1.. 293INA 110.242.68.42ns5.. 293INA 180.76.76.95ns3.. 293INA 112.80.255.253ns2.. 293INA 220.181.33.32ns4.. 293INA 14.215.177.229;; Query time: 47 msec;; SERVER: 192.168.111.21#53(192.168.111.21);; WHEN: Mon Jun 20 12:09:17 CST ;; MSG SIZE rcvd: 271[root@centos7-a3 ~]# dig www.mmnl.edu; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.mmnl.edu;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31734;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.mmnl.edu. INA;; ANSWER SECTION:www.mmnl.edu. 86400 INA 192.168.111.10;; AUTHORITY SECTION:mmnl.edu.86400 INNSdns1.mmnl.edu.;; ADDITIONAL SECTION:dns1.mmnl.edu.86400 INA 192.168.111.21;; Query time: 1 msec;; SERVER: 192.168.111.21#53(192.168.111.21);; WHEN: Mon Jun 20 12:10:50 CST ;; MSG SIZE rcvd: 92

10、测试百度域及主机的A、NS、MX记录，查看确认

[root@centos-a3 named]# dig -t A +shortwww..14.215.177.3914.215.177.38[root@centos-a3 named]# dig -t NS +shortwww..[root@centos-a3 named]# dig -t MX +shortwww..[root@centos7-a3 ~]# dig -t A www.mmnl.edu +short192.168.111.10[root@centos7-a3 ~]# dig -t NS www.mmnl.edu +short[root@centos7-a3 ~]# dig -t MX www.mmnl.edu +short

11、配置主DNS服务器关闭递归查询，测试内网以及外网域名解释，对比结果，确认权威应答

什么是递归查询，迭代查询？

DNS的递归查询和迭代查询

[root@centos-a1 named]# vim /etc/named.conf recursion no;关闭递归查询后，bind采用迭代查询[root@centos-a1 named]# systemctl restart named[root@centos7-a3 ~]# dig www.mmnl.edu @192.168.111.21; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.mmnl.edu @192.168.111.21;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25067;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2;; WARNING: recursion requested but not available`报错：递归请求但不可用，即有rd，但没ra`;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.mmnl.edu. INA;; ANSWER SECTION:www.mmnl.edu. 86400 INA 192.168.111.10;; AUTHORITY SECTION:mmnl.edu.86400 INNSdns1.mmnl.edu.;; ADDITIONAL SECTION:dns1.mmnl.edu.86400 INA 192.168.111.21;; Query time: 0 msec;; SERVER: 192.168.111.21#53(192.168.111.21);; WHEN: Mon Jun 20 12:43:29 CST ;; MSG SIZE rcvd: 92[root@centos7-a3 ~]# dig @192.168.111.21; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> @192.168.111.21;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: `REFUSED`, id: 45394;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1;; WARNING: recursion requested but not available`同样报错，但是refused，因为关闭了递归查询，所以客户端无法向服务器查询`;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;. INA;; Query time: 0 msec;; SERVER: 192.168.111.21#53(192.168.111.21);; WHEN: Mon Jun 20 12:43:31 CST ;; MSG SIZE rcvd: 42

二、DNS反向解释

反向DNS和PTR记录

1、编辑主DNS的编辑配置，增加域名反向解释区域字段

[root@centos-a1 ~]# vim /etc/named.conf zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";};

2、主DNS上创建反解区域文件（带权限），并增加授权区域dns1，NS记录dns1，以及对应的PTR记录，重启主DNS服务

[root@centos-a1 ~]# cd /var/named/[root@centos-a1 named]# lltotal 24drwxrwx--- 2 named named 23 Jun 20 11:31 datadrwxrwx--- 2 named named 60 Jun 20 13:04 dynamic-rw-r----- 1 root named 219 Jun 20 11:44 mmnl.edu.zone-rw-r----- 1 root root 152 Jun 20 10:38 mmnl.edu.zone.test-rw-r----- 1 root named 2253 Apr 5 named.ca-rw-r----- 1 root named 152 Dec 15 named.empty-rw-r----- 1 root named 152 Jun 21 named.localhost-rw-r----- 1 root named 168 Dec 15 named.loopbackdrwxrwx--- 2 named named 6 Feb 24 01:17 slaves[root@centos-a1 named]# cp named.loopback 192.168.111.zone -p[root@centos-a1 named]# vim 192.168.111.zone A 127.0.0.1AAAA ::1$TTL 1D@ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D; refresh1H; retry1W; expire3H ) ; minimumIN NS dns1.mmnl.edu.dns1 IN A 192.168.111.2121IN PTR dns1.mmnl.edu.10IN PTR www.mmnl.edu.

3、使用nslookup命令测试域名反解，查看确认

[root@centos7-a3 ~]# nslookup 192.168.111.2121.111.168.192.in-addr.arpaname = dns1.mmnl.edu.

4、使用dig命令测试域名反解，查看确认

[root@centos7-a3 ~]# dig -x 192.168.111.21 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> -x 192.168.111.21;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2157;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;21.111.168.192.in-addr.arpa. INPTR;; ANSWER SECTION:21.111.168.192.in-addr.arpa. 86400 IN PTRdns1.mmnl.edu.;; AUTHORITY SECTION:111.168.192.in-addr.arpa. 86400 INNSdns1.mmnl.edu.;; ADDITIONAL SECTION:dns1.mmnl.edu.86400 INA 192.168.111.21;; Query time: 0 msec;; SERVER: 192.168.111.21#53(192.168.111.21);; WHEN: Mon Jun 20 17:50:45 CST ;; MSG SIZE rcvd: 113

三、DNS主从配置

辅助域名服务器的概念和作用

辅域名服务器(SLAVE)-dns详细解析

辅助DNS服务器提供区域冗余，能够在这个区域的主服务器停止响应的情况下为客户端解析这个区域的DNS名称

辅域名服务器(SLAVE)

英文叫做slave server(bind9以后）或secondary server(bind4)

辅助域名服务器使用一个叫域传输的复制过程，调入其他域名服务器的内容。但通常情况下，数据是直接从主服务器上传输过来。使用辅助域名服务器的主要目的是实现容错和工作负载的分担。

特点：

1、一个域内可以由多个辅助域名服务器。

2、配置辅助域名服务器不需要编写hosts文件，它从主域名服务器上得到。

1、主DNS上增加从DNS（dns2）的正解及反解记录，并重启服务

[root@centos-a1 named]# vim mmnl.edu.zone$TTL 1D@ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D; refresh1H; retry1W; expire3H ) ; minimumIN NS dns1.mmnl.edu.IN NS dns2.mmnl.edu.dns1 IN A 192.168.111.21dns2 IN A 192.168.111.22wwwIN A 192.168.111.10webIN CNAME www[root@centos-a1 named]# vim 192.168.111.zone $TTL 1D@ IN SOA mmnl.edu. rname.invalid. (0 ; serial1D; refresh1H; retry1W; expire3H ) ; minimumIN NS dns1.mmnl.edu.IN NS dns2.mmnl.edu.21IN PTR dns1.mmnl.edu.22IN PTR dns2.mmnl.edu.10IN PTR www.mmnl.edu.10IN PTR web.mmnl.edu.[root@centos-a1 named]# systemctl restart named`dig检验`[root@centos-a1 named]# dig dns2.mmnl.edu @192.168.111.21 +short192.168.111.22[root@centos-a1 named]# dig -x 192.168.111.22 @192.168.111.21 +shortdns2.mmnl.edu.`无误`

2、从DNS上配置正解和反解区域字段（指向主），并启动服务

zone "mmnl.edu" IN {type slave;file "slaves/mmnl.edu.zone";masters {192.168.111.21; };};zone "111.168.192.in-addr.arpa" IN {type slave;file "slaves/192.168.111.zone";masters {192.168.111.21; };}; [root@centos-a2 slaves]# netstat -ltnpActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 00 0.0.0.0:111 0.0.0.0:*LISTEN1/systemd tcp 00 0.0.0.0:6000 0.0.0.0:*LISTEN6995/X tcp 00 192.168.111.22:53 0.0.0.0:*LISTEN62236/named tcp 00 127.0.0.1:53 0.0.0.0:*LISTEN62236/named tcp 00 192.168.122.1:53 0.0.0.0:*LISTEN6809/dnsmasq tcp 00 0.0.0.0:22 0.0.0.0:*LISTEN6509/sshd tcp 00 127.0.0.1:631 0.0.0.0:*LISTEN6508/cupsdtcp 00 127.0.0.1:953 0.0.0.0:*LISTEN62236/named tcp 00 127.0.0.1:25 0.0.0.0:*LISTEN6780/master tcp6 00 :::111 :::*LISTEN1/systemd tcp6 00 :::6000 :::*LISTEN6995/X tcp6 00 ::1:53 :::*LISTEN62236/named tcp6 00 :::22 :::*LISTEN6509/sshd tcp6 00 ::1:631 :::*LISTEN6508/cupsdtcp6 00 ::1:953 :::*LISTEN62236/named tcp6 00 ::1:25 :::*LISTEN6780/master [root@centos-a2 slaves]# lltotal 8-rw-r--r-- 1 named named 410 Jun 20 20:03 192.168.111.zone-rw-r--r-- 1 named named 337 Jun 20 20:03 mmnl.edu.zone

查看区域文件会出现乱码

详见

Centos7 bind服务器主从同步，从服务器区域文件乱码

3、设置客户端的DNS地址指向从DNS服务器（或@服务器），测试域名解释结果，查看确认

[root@centos7-a3 ~]# nslookup localhostServer: 192.168.111.22Address: 192.168.111.22#53Name: localhostAddress: 127.0.0.1Name: localhostAddress: ::1[root@centos7-a3 ~]# dig www.mmnl.edu @192.168.111.22 ; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el7_9.9 <<>> www.mmnl.edu @192.168.111.22;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26671;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.mmnl.edu. INA;; ANSWER SECTION:www.mmnl.edu. 86400 INA 192.168.111.10;; AUTHORITY SECTION:mmnl.edu.86400 INNSdns1.mmnl.edu.mmnl.edu.86400 INNSdns2.mmnl.edu.;; ADDITIONAL SECTION:dns1.mmnl.edu.86400 INA 192.168.111.21dns2.mmnl.edu.86400 INA 192.168.111.22;; Query time: 2 msec;; SERVER: 192.168.111.22#53(192.168.111.22);; WHEN: Mon Jun 20 20:15:31 CST ;; MSG SIZE rcvd: 127

4、在主DNS上，增加ftp的A记录，并重启服务。客户端测试ftp域名在从DNS服务器上的解释，确认结果（区域文件的序列号）

DNS 序列号概念

文件的序列号，当修改文件后需要增加该值的大小，使得主DNS通知辅DNS服务器zone数据文件需要重新更新了。一般用修改当天的时间和当天第几次修改就可以了

`正向`062001; serialftpIN A 192.168.111.11[root@centos7-a3 ~]# dig ftp.mmnl.edu @192.168.111.22 +short192.168.111.11

5、主DNS上每个区域设置为不允许更新数据（allow-update）

BIND配置文件详解（转）

zone "mmnl.edu" IN {type master;file "mmnl.edu.zone";allow-update {none; };};zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";allow-update {none; };};

6、主DNS上正解区域设置指定传送对象为从DNS服务器，反解区域指定传送对象为其他设备（allow-transfer）

allow-transfer

设定哪台主机允许和本地服务器进行域传输。allow-transfer也可以设置在zone语句中，这样全局options中的allow-transfer选项在这里就不起作用了。如果没有设定，默认值是允许和所有主机进行域传输。

zone "mmnl.edu" IN {type master;file "mmnl.edu.zone";allow-update {none; };allow-transfer {192.168.111.22; };};zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";allow-update {none; };allow-transfer {192.168.111.222; };};

7、在主DNS服务器上，增加ftp的PTR记录，修改序号并重启服务

`反向`062001; serial11IN PTR ftp.mmnl.edu.`如果不修改序列号，则文件不会更新，会出现查询为空的情况`[root@centos7-a3 ~]# dig -x 192.168.111.11 +short[root@centos7-a3 ~]返回值为空`所以必须修改序列号，使得从域更新文件`[root@centos7-a3 ~]# dig -x 192.168.111.11 +shortftp.mmnl.edu.

8、客户端测试ftp域名反解在从DNS服务器上的解释结果

[root@centos7-a3 ~]# dig -x 192.168.111.12 +shortftp.mmnl.edu.查询结果为之前的反解文件，说明从域未更新反向区域文件

9、主DNS上配置反解区域指定传送到从DNS，再次测试ftp域名反解在从DNS服务器上解释结果，查看确认

zone "111.168.192.in-addr.arpa" IN {type master;file "192.168.111.zone";allow-update {none; };allow-transfer {192.168.111.22; };};[root@centos7-a3 ~]# dig -x 192.168.111.11 @192.168.111.22 +shortftp.mmnl.edu.