DNS的主从、子域授权和转发服务器

DNS的主从、子域授权和转发服务器

主从DNS

	注意：
		1.全局配置options{} 里面的内容，其中
			listen-on port 53 {any or local；}；或者直接注释掉，或删掉
			allow-query {any or local；}；
			dnssec-enable no； 
			dnssec-validation no；
		2.防火墙和selinux关闭
		3.主从同步分别采用push和pull。
			push就是master主动告知，采用的是区域传送
				全量传送：axfr，传输整个数据库
				增量传送：ixfr，仅传送变量的数据
			pull就是由slave主动提取要求。
				在解析库文件中，SOA中作出限定的时长
			
		
	主DNS服务器配置格式
		1。在bind的主配置文件/etc/named.conf或/etc/named.rfc1912.zones中的新定义zone来设置允许哪些从服务器来同步信息：
			vim /etc/named.conf
			zone "adc.com" IN {
				type master ;  表示本机是主服务器类型
				file "adc.com.zone" ;  正向解析库文件，存放在/var/named/目录下
				allow-transfer {
					192.168.110.1；
					...
					N.N.N.N ;
					} ; #这里就是定义哪些从服务器可以来进行同步，括号当中多个ip之间用分号隔开并以分号结尾。
			};
		2。在正向解析库文件当中添加从服务器的ns解析记录
			vim /var/named/adc.com
			$TTL 1D
			@	        IN    SOA    dns1    admin.adc.com. (
														   2017091901	; serial
															 1D	; refresh
																  1H	; retry
															1W	; expire
															3H )	; minimum
			@              IN    NS	     dns1
			dns1   	        A	  192.168.213.130
			websrv               A      192.168.213.130
			www                 CNAME       websrv
		
	从服务器配置格式
		1。注意：
			1 、应该为一台独立的名称服务器
			2 、主服务器的区域解析库文件中必须有一条NS 记录指向从服务器
			3 、从服务器只需要定义区域，而无须提供解析库文件；解析库文件应该放置于/var/named/slaves/ 目录中
			4 、主服务器得允许从服务器作区域传送
			5 、主从服务器时间应该同步，可通过ntp 进行；
			6 、bind 程序的版本应该保持一致；否则，应该从高，主低
				定义从区域的方法：
				zone "ZONE_NAME" IN {
				type slave;
				masters { MASTER_IP; };
				file "slaves/ZONE_NAME.zone";
				};
		
		2。在从服务器上只用在bind的主配置文件/etc/named.conf或/etc/named.rfc1912.zones中新定义zone，数据解析库文件不需要定义（这是因为库文件是要从主服务器上同步过来）
			vim /etc/named.conf
			zone "adc.com"  IN {
				type slave ;  表示本机是从服务器类型
				file "slaves/adc.com.zone" ;  将同步后的文件放置的位置，这里是相对路径，实际路径为/var/named/slaves/adc.com。
				masters {192.168.N.N ;} ;   主服务器的地址
			} ；
			zone "ip网段的反正地址.in-addr.arpa" IN {
				type slave ;
				file "slaves/ip网段.zone" ；
				masters {192.168.N.N ; } ;
			} ;
			
		3。重启主和从服务器上的named服务，观察日志文件/var/log/messages，查看从服务器上的解析库文件是否进行了同步。

子域授权

	1）在DNS查询流程中，我们将DNS解析请求发给我们所指定的DNS服务器后，它会一级一级地去查找域名进行解析，这里的每一级都是一个域，并且每个域都为上级域的子域。
	2）子域授权就是说本级域只负责解析该域名，对于下一级域名的解析，只告诉你它所在的DNS服务器，具体的解析权交给了下级来完成。
	3）授权原理就是本域名服务器上的正向解析库文件当中定义域对应的DNS服务器的主机名和其A记录即可。
	4）另外，子域还需要定义其对应子域的解析库文件，这样才能对子域进行解析。
	5）定义一个子区域：
		zone "sub.shenxm.com" IN {
			type master;
			file "sub.shenxm.com.zone";
		};
	6）定义子区域资源库：
		主上
		$TTL 1D
		@	IN SOA	dns2  admin.shenxm.com. (
							6	; serial
							1D	; refresh
							1H	; retry
							1W	; expire
							3H )	; minimum
			NS	dns2
			NS	dns2.sub
		dns2	A	192.168.213.129
		dns2.sub    A	192.168.213.128
		websrv  A       192.168.213.129
		mail    A      	192.168.213.129
		www   CNAME  websrv
		子上
		$TTL 1D
		@	IN SOA	ns1  admin.sub.shenxm.com. (
							2	; serial
							1D	; refresh
							1H	; retry
							1W	; expire
							3H )	; minimum
			NS	ns1
		ns1	A	192.168.213.128
		www	A	192.168.213.128
	6）注意：关闭dnssec 功能
		dnssec-enable no;
		dnssec-validation no;

转发服务器

	1）注意：
		被转发的服务器需要能够为请求者做递归，否则转发请求不予进行
	2）全局转发: 
		 对非本机所负责解析区域的请求，全转发给指定的服务器
		Options {
		forward first|only;
		forwarders { server_ip;};
		};
	3）特定区域转发：
		仅转发对特定的区域的请求，比全局转发优先级高
		zone "ZONE_NAME" IN {
		type forward;
		forward first|only;
		forwarders { server_ip;};
		};
	4）first：首先转发，转发器不响应时，自行去迭代查询。
		only：只转发。
		server_ip:转发服务器的ip地址