bind9 配置说明
bind9 配置說明
配置語法配置語法
named.conf
| acl | 定義訪問控制列表 |
| controls | 定義rndc命令使用的控制通道,若省略,則只允許經(jīng)過rndc.key認(rèn)證的127.0.0.1的rndc控制 |
| include | 包含其他文件到配置文件 |
| key | 定義用于TSIG的授權(quán)密鑰 |
| logging | 日志記錄 |
| lwres | 將named同時(shí)配置成一個(gè)輕量級的解析器 |
| options | 定義全局選項(xiàng) |
| trusted-keys | 為服務(wù)器定義 DNSSEC 加密密鑰 |
| server | 設(shè)置每個(gè)服務(wù)器的特有選項(xiàng) |
| view | 定義域名空間的一個(gè)視圖 |
| zone | 定義一個(gè)區(qū)聲明 |
注釋
可以使用三種注釋風(fēng)格:
/* C語言風(fēng)格 */ // C++ 風(fēng)格 # shell 風(fēng)格include
建議使用絕對路徑,如果使用相對路徑,則是指相對 directory 選項(xiàng)指定的路徑。下面是我的debian系統(tǒng)named.conf文件中的一個(gè)include使用示例:
root@jianlee:~/lab/koji/koji# tail -1 /etc/bind/named.conf include "/etc/bind/named.conf.local";options
fedora10上bind的文件一個(gè)示例:
[root@dev3-57 demoCA]# sed -n -e '10,19p' /etc/named.conf options {listen-on port 53 { 127.0.0.1; };listen-on-v6 port 53 { ::1; };directory "/var/named";dump-file "/var/named/data/cache_dump.db";statistics-file "/var/named/data/named_stats.txt";memstatistics-file "/var/named/data/named_mem_stats.txt";allow-query { localhost; };recursion yes; };options 中一般選項(xiàng)的含義:
directory “路徑”zone
root@jianlee:~/lab/koji/koji# sed -n -e '20,23p' /etc/bind/named.conf zone "localhost" {type master;file "/etc/bind/db.local"; }; type master/slave/hint/forwardDNS 數(shù)據(jù)庫
一個(gè)域的 DNS 數(shù)據(jù)庫是由這個(gè)域的主域名服務(wù)器的管理員所維護(hù)的文本文件的集合。這些文件經(jīng)常被稱為區(qū)文件,區(qū)文件定義了一個(gè)區(qū)的域名信息。每個(gè)區(qū)文件都是由若干個(gè)資源記錄(RR,resource records)和分析器指令所組成。
資源記錄
標(biāo)志資源記錄格式 :
[name] [ttl] [class] type data各個(gè)字段之間由空格或制表符分割,字段可以包含下面特殊字符:
| ; | 注釋 |
| @ | 表示當(dāng)前域 |
| () | 允許數(shù)據(jù)夸行,通常用于 SOA 記錄 |
| * | 僅用于 name 字符的通配符 |
name
name 字段說明資源記錄引用的對象名,可以是一臺(tái)單獨(dú)的主機(jī)也可以是個(gè)域名。
- 對象名可以是相對域名或全域名,全域名應(yīng)該以“.”結(jié)束
- 若幾條連續(xù)的 RR 記錄涉及同一個(gè)對象名,則第一條 RR 記錄后的 RR 記錄可以省略對象名
- 若出現(xiàn)字段名字段,則必須出現(xiàn)在第一個(gè)字段
關(guān)于相對域名和全域名:
舉例來說,在 ubuntu.org.cn 域中,相對域名 osmond 與全域名 osmond.ubuntu.org.cn. 等效;而 osmond.ubuntu.org.cn 由于沒有以“.”結(jié)尾,被認(rèn)為是一個(gè)相對域名,與其等效的全域名為 osmond.ubuntu.org.cn.ubuntu.org.cn.。因此在書寫對象名時(shí)要特別小心。
ttl (time to live)
它以秒為單位定義該資源記錄中的信息存放在高速緩存中的時(shí)間長度。通常省略該字段,而使用位于文件開始處的 $TTL 語句所指定值。
class
class 字段用于指定網(wǎng)絡(luò)類型,可選的值有:IN、CH 和 HS,其中 IN (Internet)是廣泛使用的一種。雖然 IN 是該字段的默認(rèn)值,但通常我們會(huì)顯示地指出。
type
type 字段用于說明 RR 的類型。常用的 RR 類型如下:
1 區(qū)記錄
| SOA (Start Of Authority) | SOA 記錄標(biāo)示一個(gè)授權(quán)區(qū)定義的開始。SOA 記錄后的所有信息是控制這個(gè)區(qū)的 |
| NS (Name Server) | 標(biāo)識(shí)區(qū)的域名服務(wù)器以及授權(quán)子域 |
2 基本記錄
| A (Address) | 用于將主機(jī)名轉(zhuǎn)換為 IP 地址,任何一個(gè)主機(jī)都只能有一個(gè) A記錄 |
| PTR (PoinTeR) | 將地址轉(zhuǎn)換為主機(jī)名 |
| MX (Mail eXchanger) | 郵件交換記錄。控制郵件的路由 |
3 安全記錄
| KEY (Public Key) | 儲(chǔ)存一個(gè)關(guān)于DNS 名稱的公鑰 |
| NXT (Next) | 與 DNSSEC 一起使用,用于指出一個(gè)特定名稱不在域中 |
| SIG (Signatrue) | 指出帶簽名和身份認(rèn)證的區(qū)信息,細(xì)節(jié)見 RFC 2535 |
4 可選記錄
| CNAME (Canonical NAME) | 給定主機(jī)的別名,主機(jī)的規(guī)范名在A記錄中給出 |
| SRV (Services) | 指出知名網(wǎng)絡(luò)服務(wù)的信息 |
| TXT (Text) | 注釋或非關(guān)鍵的信息 |
RR的順序:
- SOA RR 應(yīng)該放在最前面
- 通常 NS RR 緊跟在 SOA RR 之后
- 其他記錄的順序無關(guān)緊要
data
取決于RR的類型
常用的資源記錄
SOA 開始一個(gè)區(qū)
基本格式:
zone IN SOA Hostname Contact (SerialNumberRefreshRetryExpireMinimum ) Hostname- 對 Contact 來說,因?yàn)椤?#64;”在文件中有特殊含義,所以郵件地址 root@ubuntu.jamond.net 寫為 root.ubuntu.jamond.net.
- 對 SerialNumber 來說,它可以是 32 位的任何整數(shù),每當(dāng)更新區(qū)文件時(shí)都應(yīng)該增加此序列號的值,否則 named 將不會(huì)把區(qū)的更新數(shù)據(jù)傳送到從服務(wù)器
- 緩存時(shí)間字段 Refresh、Retry、Expire、Minimum 可以使用時(shí)間單位字符 m、 h、d、w 分別表示分鐘、小時(shí)、天、星期。
- 各個(gè)緩存時(shí)間字段的經(jīng)驗(yàn)值為
- Refresh — 1 到 6 小時(shí)
- Retry — 20 到 60 分鐘
- Expire — 1 周 到 1 月
- Minimum — 1 到 3 小時(shí)
- Minimum 設(shè)置被緩存的否定回答的存活時(shí)間,而肯定回答(即真實(shí)記錄)的默認(rèn)值是在區(qū)文件開始處用 $TTL 語句設(shè)置的。
NS 標(biāo)識(shí)一個(gè)區(qū)的權(quán)威服務(wù)器
包括主服務(wù)器和從服務(wù)器,并將子域授權(quán)賦予其他服務(wù)器,格式:
zone [ttl] IN NS hostname示例:
jamond.net. IN NS ubuntu.jamond.net. ;指定 jamond.net. 的主服務(wù)器 jamond.net. IN NS dapper.jamond.net. ;指定 jamond.net. 的從服務(wù)器 osmond.jamond.net. IN NS ubuntu.osmond.jamond.net. ;指定委派域 osmond.jamond.net. 的主服務(wù)器 osmond.jamond.net. IN NS dapper.osmond.jamond.net. ;指定委派域 osmond.jamond.net. 的從服務(wù)器若上面的記錄緊跟在 SOA 記錄后,也可以寫成如下的形式:
IN NS ubuntu.jamond.net. ;指定 jamond.net. 的主服務(wù)器IN NS dapper.jamond.net. ;指定 jamond.net. 的從服務(wù)器 osmond IN NS ubuntu.osmond.jamond.net. ;指定委派域 osmond.jamond.net. 的主服務(wù)器 osmond IN NS dapper.osmond.jamond.net. ;指定委派域 osmond.jamond.net. 的從服務(wù)器A — DNS數(shù)據(jù)庫的核心
提供主機(jī)名到IP地址的映射,格式為:
hostname [ttl] IN A IPAddress舉例:
ubuntu IN A 192.168.0.251 dapper IN A 192.168.0.252 ubuntu.osmond IN A 192.168.1.251 dapper.osmond IN A 192.168.1.252PTR
PTR RR 提供了 IP 地址到主機(jī)名的映射。其格式為:
IPAddress [ttl] IN PTR hostname例如: 在 168.192.in-addr.arpa 區(qū)中,前面的 ubuntu.jamond.net. 和 dapper.jamond.net. 所對應(yīng)的 PTR 記錄為
251.0 IN PTR ubuntu.jamond.net. 252.0 IN PTR dapper.jamond.net.而在 0.168.192.in-addr.arpa 區(qū)中,前面的 ubuntu.jamond.net. 和 dapper.jamond.net. 所對應(yīng)的 PTR 記錄為
251 IN PTR ubuntu.jamond.net. 252 IN PTR dapper.jamond.net.在 1.168.192.in-addr.arpa 區(qū)中,前面的 ubuntu.osmond.jamond.net. 和 dapper.osmond.jamond.net. 所對應(yīng)的 PTR 記錄為
251 IN PTR ubuntu.osmond.jamond.net. 252 IN PTR dapper.osmond.jamond.net.在 PTR RR 中 hostname 應(yīng)該使用全域名。例如 osmond.jamond.net 域的主機(jī) ubuntu 應(yīng)該寫為 ubuntu.osmond.jamond.net. 。而 ubuntu.osmond.jamond.net 將被解析為 ubuntu.osmond.jamond.net.1.168.192.in-addr.arpa. 。
PTR RR 所提供的反向解析能夠?yàn)槿魏螌M(jìn)入網(wǎng)絡(luò)的請求進(jìn)行認(rèn)證的程序所使用,這些程序包括:sshd、tcpd、sendmail、syslogd 等。
MX
MX RR 用于郵件系統(tǒng)實(shí)現(xiàn)郵件路由。有關(guān)電子郵件的更多介紹請參見 FIXME 。 其格式為:
zone [ttl] IN MX preference host其中 preference 是優(yōu)先級字段,數(shù)值越小優(yōu)先級越高。
例如:
jamond.net. IN MX 5 ubuntu.jamond.net. jamond.net. IN MX 10 ubuntu.jamond.net.CNAME
CNAME RR 用于設(shè)置主機(jī)的別名。 其格式為:
nikename [ttl] IN CNAME hostname例如:
ubuntu IN A 192.168.0.251 www IN CNAME ubuntu ftp IN CNAME ubuntu文件內(nèi)必須有規(guī)范名字的 A RR。
分析器指令
在區(qū)文件中還可以使用分析器指令,分析器指令可以為 RR 的輸入提供方便。
- $ORIGIN — 設(shè)置默認(rèn)域(或初始域)
- $TTL — 為沒有定義精確的生存期的 RR 定義缺省的 TTL 值
實(shí)例
為其他機(jī)器提供DNS服務(wù)
默認(rèn)bind9安裝后都只監(jiān)聽127.0.0.1網(wǎng)絡(luò),即只為本機(jī)提供DNS服務(wù),如果需要為局域網(wǎng)其他機(jī)器提供DNS服務(wù),可以修改 listen-on 語句:
options {listen-on port 53 { 127.0.0.1;172.16.70.30; };... };可以把 listen-on 注釋掉,或者加上本機(jī)的外網(wǎng) IP 。bind9在各個(gè)linux發(fā)行版安裝的路徑不一樣。
debian5.0 /etc/bind/named.conf /etc/bind/named.conf.options fedora10 /etc/named.conf其中fedora默認(rèn)安裝后,bind9只對本機(jī)提供DNS服務(wù)。debian5默認(rèn)安裝后可以為其他機(jī)器提供DNS服務(wù)。debian5的bind9全局選項(xiàng)單獨(dú)放在 /etc/bind/named.conf.options 文件中。
------------------------------
BIND主要相關(guān)配置文件??????? 返回
共有兩類文件,一是主配置文件,二是區(qū)文件
主配置文件:/etc/named.conf
根域服務(wù)器指向文件:/var/named/named.ca
本地正向解析區(qū)文件:/var/named/localhost.zone
本地反向解析區(qū)文件:/var/named/named.local
域正向解析區(qū)文件:/var/named/正向解析區(qū)文件名
域反向解析區(qū)文件:/var/named/反向解析區(qū)文件名
新建域net03.org的步驟??????? 返回
說明:在以下步驟中,請注意紅色顯示部分,域服務(wù)器名稱為ns.net03.org,IP地址是192.168.6.10。aaa.net03.org,bbb.net03.org為域內(nèi)的兩臺(tái)主機(jī),IP地址分別為192.168.6.110,192.168.6.119
1. 在主配置文件/etc/named.conf中添加正向區(qū)域、反向區(qū)域的說明,如下:
zone “net03.org” {
type master;
file “named.net03.org“;
};
zone “6.168.192.in-addr.arpa” {
type master;
file “named.192.168.6“;
};
2. 新建域正向解析區(qū)文件/var/named/chroot/var/named/正向解析區(qū)文件(或從本地正向解析文件localhost.zone復(fù)制成新建域正向解析區(qū)文件,再進(jìn)行修改),并添加以下內(nèi)容:
$TTL 86400
@ IN SOA ns.net03.org. root.ns.net03.org. (
2004051501
28800
14400
3600000
86400 )
@ IN NS ns.net03.org.
ns IN A 192.168.6.10
aaa IN A 192.168.6.110
mmm IN A 192.168.6.113
net03.org. IN MX 10 mmm.net03.org.
bbb IN A 192.168.6.119
bbb IN A 192.168.6.120
bbb IN A 192.168.6.121
然后在/var/named目錄下為該文件建立同名鏈接
3. 新建域反向解析區(qū)文件/var/named/chroot/var/named/反向解析區(qū)文件(或從本地反向解析文件localhost.zone復(fù)制成新建域反向解析區(qū)文件named.local,再進(jìn)行修改),并添加以下內(nèi)容:
$TTL 86400
@ IN SOA ns.net03.org. root.ns.net03.org. (
2000051501 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
@ IN NS ns.net03.org.
10 IN PTR ns.net03.org.
110 IN PTR aaa.net03.org.
119 IN PTR bbb.net03.org.
然后在/var/named目錄下為該文件建立同名鏈接
4. 注意事項(xiàng): 因?yàn)樵赗HEL中,考慮到安全性,文件/etc/sysconfig/named中有以下參數(shù):
ROOTDIR=/var/named/chroot
如果不注釋掉,則所有zone文件均保存在/var/named/chroot/var/named/*,所以需要將區(qū)文件保存在/var /named/chroot/var/named下。如果你將該句注釋掉,則區(qū)文件保存在/var/named/目錄下(同Red Hat 9相同)。
同時(shí)要注意兩個(gè)目錄擁有者,/var/named/chroot/擁有者為named,/var/named/擁有者為root
客戶端設(shè)置
1 )windows客戶端,設(shè)置首選DNS服務(wù)器
2 )Linux客戶端,在/etc/resolv.conf中添加以下內(nèi)容:
nameserver 192.168.6.10
測試DNS服務(wù)器的配置
使用命令nslookup
輔助DNS服務(wù)器的配置??????????? 返回
說明:如果要為域net03.org的域服務(wù)器ns.net03.org(192.168.6.10)建立輔助(slave)域服務(wù)器,bak.net03.org(192.168.6.11),需要做以下操作:
1.針對net03.org的正向區(qū)域、反向區(qū)域,修改域服務(wù)器ns.net03.org的主配置文件/etc/named.conf,修改后內(nèi)容如下:
zone “net03.org” {
type master;
file “named.net03.org”;
allow-transfer { 192.168.6.11; };
};
zone “6.168.192.in-addr.arpa” {
type master;
file “named.192.168.6″;
allow-transfer { 192.168.6.11; };
};
2.在計(jì)算機(jī)192.168.6.11上配置DNS服務(wù),設(shè)置其主配置文件/etc/named.conf,修改后應(yīng)有以下區(qū)的說明:
zone “net03.org” {
type slave;
file “slaves/named.net03.org”;
masters {192.168.6.10;};
};
zone ‘6.168.192.in-addr.arpa’ {
type slave;
file ’slaves/named.192.168.6′;
masters {192.168.6.10;};
};
3.注意事項(xiàng):
1)主從服務(wù)器中正/反向zone名稱必須一致;
2)從服務(wù)器中file可指定相對路徑,也可指定絕對路徑;
3) 需將輔助DNS服務(wù)器的首選DNS服務(wù)器指向?yàn)橹鱀NS服務(wù)器.
4.測試:
在客戶端將首選DNS服務(wù)器設(shè)置為輔助DNS服務(wù)器,也可暫時(shí)關(guān)閉主DNS服務(wù)器。并用nslookup進(jìn)行測試
注意:主DNS服務(wù)器與輔助DNS服務(wù)器的數(shù)據(jù)傳輸有一定的時(shí)間間隔
緩存(Cache-only)DNS服務(wù)器的配置??????? 返回
1. 修改named主配置文件
/etc/named.conf
options {
directory “/var/named”;
dump-file “/var/named/data/cache_dump.db”;
statistics-file “/var/named/data/named_stats.txt”;
version “4.9.11″;
forward only;
forwarders {
192.168.6.10;
};
};
2.測試:
在客戶端將首選DNS服務(wù)器設(shè)置為緩存DNS服務(wù)器。并用nslookup進(jìn)行測試
DNS子域授權(quán)??????????? 返回
說明:假定我們是要將net03.org域下建立一個(gè)子域xxx.net03.org,并將該子域授權(quán)給主機(jī)dns.xxx.net03.org(IP地址為192.168.6.114)來管理
特別提示:RHEL 4為了提高系統(tǒng)安全性,默認(rèn)情況下,大部分常用端口都是關(guān)閉的,包括dns服務(wù)的53號端口,為使dns服務(wù)能被正常使用,我們需要在圖形界面下打開該端口,具體操作如下:
桌面–>管理–>安全與防火墻–>其它端口–>添加
1.在net03.org的正向解析區(qū)文件中添加以下內(nèi)容:
xxx.net03.org. IN NS dns.xxx.net03.org.
dns.xxx.net03.org. IN A 192.168.6.114
2.參照新建域net03.org的步驟,在IP地址為192.168.6.114的計(jì)算機(jī)上配置DNS服務(wù),新建區(qū)域xxx.net03.org,添加有關(guān)記錄
3.將客戶端的首選DNS服務(wù)器設(shè)置成net03.org的域服務(wù)器(192.168.6.10)或xxx.net03.org的域服務(wù)器(192.168.6.114),使用nslookup或ping等命令進(jìn)行測試。
利用DNS實(shí)現(xiàn)負(fù)載均衡??????????? 返回
原理就是在DNS服務(wù)器中為同一個(gè)域名配置多個(gè)IP地址,如域中FTP服務(wù)器的網(wǎng)絡(luò)負(fù)荷很大,需要多臺(tái)服務(wù)器進(jìn)行負(fù)載均衡,可以在DNS服務(wù)器上加入以下記錄:
ftp IN A 192.168.6.219
ftp IN A 192.168.6.220
ftp IN A 192.168.6.221
實(shí)現(xiàn)直接解析域名
直接將域名解析成相應(yīng)的IP地址,承接上例,如想將域名net03.org解析成域內(nèi)www服務(wù)器的IP地址(192.168.6.2),可以在區(qū)域文件中加入以下記錄.
net03.org. IN A 192.168.6.2
實(shí)現(xiàn)泛域名的解析
泛域名是指一個(gè)域名下所有的主機(jī)和子域名都被解析到同一個(gè)IP上.在區(qū)文件中的設(shè)置如下:
*.example.com. IN??? A??? 192.168.16.9
或
*??????? IN???? A??????? 192.168.6.9
故障排除??????????? 返回
檢查主配置文件語法:
#named-checkconf
檢查區(qū)域文件語法:
#named-checkzone ssti.net /var/named/chroot/var/named/ssti.net.zone
DNS客戶查詢名稱的順序??? 返回
DNS客戶端發(fā)出DNS請求,直到得到結(jié)果,可能的過程是怎樣的,見下面兩圖
附:rndc??????????? 返回
概念:
rndc(remote name daemon control):是一個(gè)系統(tǒng)管理員操作名稱服務(wù)(DNS服務(wù))的程序,使用rndc命令可以實(shí)現(xiàn)重新加載域名服務(wù)的配置文件或區(qū)文件,停止域名服務(wù),顯示域名服務(wù)狀態(tài)等功能。
使用:
執(zhí)行命令:
#rndc-confgen
該命令的輸出結(jié)果中前半部分是配置文件/etc/rndc.conf的設(shè)置,后半部分給出了如何修改/etc/named.conf中key{…}、controls{…}的內(nèi)容,這樣做的目的是實(shí)現(xiàn)操作DNS服務(wù)時(shí)的數(shù)字認(rèn)證。
或者像下面操作:
#rndc-confgen?>?/etc/rndc.conf
從rndc.conf文件中提取named.conf用的key
#cd?/etc
#tail?-10?rndc.conf?|?head?-9?|?sed?s/#\?//g?>>?named.conf
rndc的常見用法:
#rndc status
#rndc start | stop | restart
#rndc reload ssti.net
實(shí)訓(xùn)??????????? 返回
1. 為域it.net配置主域服務(wù)器:建立正向搜索區(qū)域,為網(wǎng)絡(luò)各臺(tái)計(jì)算機(jī)建立主機(jī)記錄、別名記錄。為網(wǎng)絡(luò)建立郵件交換記錄。建立反向搜索區(qū)域,為網(wǎng)絡(luò)各臺(tái)計(jì)算機(jī)建立指針記錄。并測試。
2. 為域it.net配置輔助域服務(wù)器,并測試。
3. 配置緩存DNS服務(wù)器,并測試。
4. 為域it.net配置子域xxx.it.net,并在it.net的主域服務(wù)器上為xxx.it.net做子域授權(quán)。在客戶端將DNS服務(wù)器設(shè)為it.net的域服務(wù)器,查詢it.net及其子域中的DNS記錄。
5. 通過DNS記錄實(shí)現(xiàn)負(fù)載均衡功能,并測試。
6. 在DNS服務(wù)器上實(shí)現(xiàn)泛域名解析,并測試。
==================================
?
?
轉(zhuǎn)載于:https://blog.51cto.com/ylive/389892
總結(jié)
以上是生活随笔為你收集整理的bind9 配置说明的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 字体中字号,磅值和mm之间的转换
- 下一篇: Hadoop框架:HDFS高可用环境配置