子域授权

子域授权

前言：如果我们现在在公司的内网搭建一个内部的DNS服务，那么现在对于yhyblog.cn来说，公司内部有很多部门。例如ops.yhyblog.cn，java.yhyblog.cn, python.yhyblog.cn。且每一个部门有很多的服务器需要得到解析，例如：www.ops.yhyblog.cn需要被公司内部的DNS服务器解析。那么如何让公司内网的DNS主机只解析二级域，不会解析三级域，那么如何让其他的主机解析三级域呢？

---

• 子域授权

  • 正向解析区域授权子域的方法
    
    • ops.yhyblog.cn. IN NS ns1.ops.yhyblog.cn.
    • ops.yhyblog.cn. IN NS ns2.ops.yhyblog.cn.
    • ns1.ops.yhyblog.cn. IN A IP
    • ns2.ops.yhyblog.cn. IN A IP
      
      • 例如：在主DNS服务器/var/named/yhyblog.cn.zone 中添加：
      • ops IN NS ns1.ops
ns1.ops IN A 192.168.23.12
      • 例如：子域服务器中，在/etc/named.rfc1912.zones中添加：
        zone "ops.yhyblog.cn" IN {
type master;
file "ops.yhyblog.cn.zone";
};
      • 例如：子域服务器中，在/var/named//var/named/ops.yhyblog.cn.zone中添加
      • $TTL 3600
$ORIGIN ops.yhyblog.cn.
@ IN SOA ns1.ops.yhyblog.cn. dnsadmin.ops.yhyblog.cn. (
2017010802
1H
10M
3D
1D )
IN NS ns1
ns1 IN A 192.168.23.12
www IN A 192.168.23.10
      • 如下步骤是演示

      • 1：在主服务器上，编辑/var/named/yhyblog.cn，添加一条子域的NS记录, 和子域的A记录，且修改序列号
        $ORIGIN yhyblog.cn.
        @        IN     SOA       ns1.yhyblog.cn.    dnsadmin.yhyblog.cn. (
                2017082103
                1H
                10M
                3D
                1D )
        
                IN      NS              ns1
                IN      NS              ns2
                IN      MX      10      mx1
                IN      MX      20      mx2
        ns1     IN      A       192.168.23.10
        ns2     IN      A       192.168.23.11
        mx1     IN      A       192.168.23.10
        mx2     IN      A       192.168.23.10
        www     IN      A       192.168.23.3
        web     IN      CNAME   www
        bbs     IN      A       192.168.23.7
        bbs     IN      A       192.168.23.8
        pop3    IN      A       192.168.23.9
        
        
        ops     IN      NS      ns1.ops
        ns1.ops IN      A      192.168.23.12
        
        
        2：主服务器重新reload
        systemctl reload named.service
        
        3：那么现在在子域服务器上配置子域解析库
        yum install -y bind
        
        4: 修改配置文件
        listen-on port 53 { 192.168.23.12; };
        //allow-query     { localhost; };
        dnssec-enable no;
        dnssec-validation no;
        dnssec-lookaside no;
        
        5：启动服务
        systemctl start named.service
        
        6：编辑/etc/named.rfc1912.zones ，添加子域的正向解析区域
        zone "ops.yhyblog.cn" IN {
                type master;
                file "ops.yhyblog.cn.zone";
        };   
        
        7：编辑/var/named/ops.yhyblog.cn.zone文件，添加
        $TTL 3600
        $ORIGIN ops.yhyblog.cn.
        @        IN     SOA       ns1.ops.yhyblog.cn.    dnsadmin.ops.yhyblog.cn. (
                2017082101
                1H
                10M
                3D
                1D )
        
                IN      NS              ns1
        ns1     IN      A       192.168.23.12
        www     IN      A       192.168.23.100
        
        8：修改权限
        chmod o= /var/named/ops.yhyblog.cn.zone
        chown .named /var/named/ops.yhyblog.cn.zone
        
        9：做语法检查
        named-checkzone /var/named/ops.yhyblog.cn.zone
        named-checkzone ops.yhyblog.cn /var/named/ops.yhyblog.cn.zone
        
        10：重启reload
        systemctl reload named.service
        
        11：最后使用dig命令对www.ops.yhyblog.cn进行检查
        dig -t A www.ops.yhyblog.cn @192.168.23.10
        dig -t A www.ops.yhyblog.cn @192.168.23.11