項目 6 配置與管理DNS 服務(wù)器項目描述：某高校組建了學(xué)校的校園網(wǎng)，為了使校園網(wǎng)中的計算機簡單快捷地訪問本地網(wǎng)絡(luò)及Internet 上資源，需要在校園網(wǎng)中架設(shè)DNS 服務(wù)器，用來提供域名轉(zhuǎn)換成IP

項目 6 配置與管理DNS 服務(wù)器

項目描述：

某高校組建了學(xué)校的校園網(wǎng)，為了使校園網(wǎng)中的計算機簡單快捷地訪問本地網(wǎng)絡(luò)及Internet 上資源，需要在校園網(wǎng)中架設(shè)DNS 服務(wù)器，用來提供域名轉(zhuǎn)換成IP 地址的功能。

在完成該項目之前，首先應(yīng)當確定網(wǎng)絡(luò)中DNS 服務(wù)器的部署環(huán)境，明確DNS 服務(wù)器的各種角色及其作用。

項目目標：

●

●

●

●

●

●

● 了解DNS 服務(wù)器的作用及其在網(wǎng)絡(luò)中的重要性 理解DNS 的域名空間結(jié)構(gòu)及其工作過程 理解并掌握緩存DNS 服務(wù)器的配置 理解并掌握主DNS 服務(wù)器的配置 理解并掌握輔助DNS 服務(wù)器的配置 理解并掌握DNS 客戶機的配置 掌握DNS 服務(wù)的測試

6.1 相關(guān)知識

DNS （Domain Name Service ，域名服務(wù)）是Internet/Intranet中最基礎(chǔ)也是非常重要的一項服務(wù)，它提供了網(wǎng)絡(luò)訪問中域名和IP 地址的相互轉(zhuǎn)換。

6.1.1 DNS 概述

在TCP/IP網(wǎng)絡(luò)中，每臺主機必須有一個唯一的IP 地址，當某臺主機要訪問另外一臺主機上的資源時，必須指定另一臺主機的IP 地址，通過IP 地址找到這臺主機后才能訪問這臺主機。但是，當網(wǎng)絡(luò)的規(guī)模較大時，使用IP 地址就不太方便了，所以，便出現(xiàn)了主機名（Host Name）與IP 地址之間的一種對應(yīng)解決方案，可以通過使用形象易記的主機名而非IP 地址進行網(wǎng)絡(luò)的訪問，這比單純使用IP 地址要方便得多。其實，在這種解決方案中使用了解析的概念和原理，單獨通過主機名是無法建立網(wǎng)絡(luò)連接的，只有通過解析的過程，在主機名和IP 地址之間建立了映射關(guān)系后，才可以通過主機名間接地通過IP 地址建立網(wǎng)絡(luò)連接。

主機名與IP 地址之間的映射關(guān)系，在小型網(wǎng)絡(luò)中多使用hosts 文件來完成，后來，隨著網(wǎng)絡(luò)規(guī)模的增大，為了滿足不同組織的要求，以實現(xiàn)一個可伸縮、可自定義的命名方案的需要，InterNIC 制定了一套稱為域名系統(tǒng)（DNS ）的分層名字解析方案，當DNS 用戶提出IP 地址查

項目6 配置與管理DNS 服務(wù)器

139

詢請求時，可以由DNS 服務(wù)器中的數(shù)據(jù)庫提供所需的數(shù)據(jù)，完成域名和IP 地址的相互轉(zhuǎn)換。DNS 技術(shù)目前已廣泛應(yīng)用于Internet 中。

組成DNS 系統(tǒng)的核心是DNS 服務(wù)器，它是回答域名服務(wù)查詢的計算機，它為連接Intranet 和Internet 的用戶提供并管理DNS 服務(wù)，維護DNS 名字數(shù)據(jù)并處理DNS 客戶端主機名的查詢。DNS 服務(wù)器保存了包含主機名和相應(yīng)IP 地址的數(shù)據(jù)庫。

DNS 服務(wù)器分為三類：

（1）主DNS 服務(wù)器（Master 或Primary ）。主DNS 服務(wù)器負責(zé)維護所管轄域的域名服務(wù)信息。它從域管理員構(gòu)造的本地磁盤文件中加載域信息，該文件（區(qū)文件）包含著該服務(wù)器具有管理權(quán)的一部分域結(jié)構(gòu)的最精確信息。配置主DNS 服務(wù)器需要一整套的配置文件，包括主配置文件（/etc/named.conf）、正向域的區(qū)文件、反向域的區(qū)文件、高速緩存初始化文件（/var/named/named.ca）和回送文件（/var/named/named.local）。

（2）輔助DNS 服務(wù)器（Slave 或Secondary ）。輔助DNS 服務(wù)器用于分擔主DNS 服務(wù)器的查詢負載。區(qū)文件是從主服務(wù)器中轉(zhuǎn)移出來的，并作為本地磁盤文件存儲在輔助服務(wù)器中。這種轉(zhuǎn)移稱為“區(qū)文件轉(zhuǎn)移”。在輔助DNS 服務(wù)器中有一個所有域信息的完整復(fù)制，可以權(quán)威地回答對該域的查詢請求。配置輔助DNS 服務(wù)器不需要生成本地區(qū)文件，因為可以從主服務(wù)器下載該區(qū)文件。因而只需配置主配置文件、高速緩存文件和回送文件就可以了。

（3）唯高速緩存DNS 服務(wù)器（Caching-only DNS server）。供本地網(wǎng)絡(luò)上的客戶機用來進行域名轉(zhuǎn)換。它通過查詢其他DNS 服務(wù)器并將獲得的信息存放在它的高速緩存中，為客戶機查詢信息提供服務(wù)。唯高速緩存DNS 服務(wù)器不是權(quán)威性的服務(wù)器，因為它提供的所有信息都是間接信息。

6.1.2 DNS 查詢模式

按照DNS 搜索區(qū)域的類型，DNS 的區(qū)域分為正向搜索區(qū)域和反向搜索區(qū)域。正向搜索是DNS 服務(wù)的主要功能，它根據(jù)計算機的DNS 名稱（域名），解析出相應(yīng)的IP 地址；而反向搜索是根據(jù)計算機的IP 地址解析出它的DNS 名稱（域名）。

1．正向查詢

正向查詢就是根據(jù)域名，搜索出對應(yīng)的IP 地址。其查詢方法為：當DNS 客戶機（也可以是DNS 服務(wù)器）向首選DNS 服務(wù)器發(fā)出查詢請求后，如果首選DNS 服務(wù)器數(shù)據(jù)庫中沒有與查詢請求所對應(yīng)的數(shù)據(jù)，則會將查詢請求轉(zhuǎn)發(fā)給另一臺DNS 服務(wù)器，依此類推，直到找到與查詢請求對應(yīng)的數(shù)據(jù)為止，如果最后一臺DNS 服務(wù)器中也沒有所需的數(shù)據(jù)，則通知DNS 客戶機查詢失敗。

2．反向查詢

反向查詢與正向查詢正好相反，它是利用IP 地址查詢出對應(yīng)的域名。

6.1.3 DNS 域名空間結(jié)構(gòu)

在域名系統(tǒng)中，每臺計算機的域名由一系列用點分開的字母數(shù)字段組成。例如，某臺計算

140 Linux 網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程

機的FQDN （Full Qualified Domain Name）為computer.jnrp.cn ，其具有的域名為jnrp.cn ；另一臺計算機的FQDN 為www.computer.jnrp.cn ，其具有的域名為computer.jnrp.cn 。域名是有層次的，域名中最重要的部分位于右邊。FQDN 中最左邊的部分是單臺計算機的主機名或主機別名。

DNS 域名空間的分層結(jié)構(gòu)如圖6-1所示。

圖6-1 DNS 域名空間結(jié)構(gòu)

整個DNS 域名空間結(jié)構(gòu)如同一棵倒掛的樹，層次結(jié)構(gòu)非常清晰。如圖6-1所示，根域位于頂部，緊接在根域下面的是頂級域，每個頂級域又可以進一步劃分為不同的二級域，二級域再劃分出子域，子域下面可以是主機也可以再劃分子域，直到最后的主機。在Internet 中的域是由InterNIC 負責(zé)管理的，域名的服務(wù)則由DNS 來實現(xiàn)。

6.1.4 DNS 域名解析過程

DNS 解析過程如圖6-2所示。

圖6-2 DNS 域名解析過程

項目6 配置與管理DNS 服務(wù)器

141

（1）客戶機提出域名解析請求，并將該請求發(fā)送給本地的域名服務(wù)器。

（2）當本地的域名服務(wù)器收到請求后，就先查詢本地的緩存，如果有該記錄項，則本地的域名服務(wù)器就直接把查詢的結(jié)果返回。

（3）如果本地的緩存中沒有該記錄，則本地域名服務(wù)器就直接把請求發(fā)給根域名服務(wù)器，然后根域名服務(wù)器再返回給本地域名服務(wù)器一個所查詢域（根的子域）的主域名服務(wù)器的地址。

（4）本地服務(wù)器再向上一步返回的域名服務(wù)器發(fā)送請求，然后接受請求的服務(wù)器查詢自己的緩存，如果沒有該記錄，則返回相關(guān)的下級域名服務(wù)器的地址。

（5）重復(fù)步驟（4），直到找到正確的記錄。

（6）本地域名服務(wù)器把返回的結(jié)果保存到緩存，以備下一次使用，同時還將結(jié)果返回給客戶機。

6.1.5 DNS 常見資源記錄

從DNS 服務(wù)器返回的查詢結(jié)果可以分為兩類：權(quán)威的（authoritative ）和非權(quán)威的（non-authoritative ）。所謂權(quán)威的查詢結(jié)果，是指該查詢結(jié)果是從被授權(quán)管理該區(qū)域的域名服務(wù)器的數(shù)據(jù)庫中查詢而來的。所謂非權(quán)威的查詢結(jié)果，是指該查詢結(jié)果來源于非授權(quán)的域名服務(wù)器，是該域名服務(wù)器通過查詢其他域名服務(wù)器而不是本地數(shù)據(jù)庫得來的。

在能夠返回權(quán)威查詢結(jié)果的域名服務(wù)器中存在一個本地數(shù)據(jù)庫，該數(shù)據(jù)庫中存儲與域名解析相關(guān)的條目，這些條目稱為DNS 資源記錄。 資源記錄的內(nèi)容通常包括5項，基本格式如下：

Domain TTL Class Record Type Record Data

各項的含義如表6-1所示。

表6-1 資源記錄條目中各項含義 項目

域名（Domain ）

存活期（TTL ）

類別（Class ） 擁有該資源記錄的DNS 域名 該記錄的有效時間長度 說明網(wǎng)絡(luò)類型，目前大部分資源記錄采用“IN ”，表示Internet 含義

記錄類型（Record Type） 說明該資源記錄的類型，常見資源記錄類型如表6-2所示

記錄數(shù)據(jù)（Record Data） 說明和該資源記錄有關(guān)的信息，通常是解析結(jié)果，該數(shù)據(jù)格式和記錄類型有關(guān)

表6-2 DNS 資源記錄類型

資源記錄類型

A

CNAME

SOA

NS

PTR

MX

HINFO 說明 主機資源記錄，建立域名到IP 地址的映射 別名資源記錄，為其他資源記錄指定名稱的替補 起始授權(quán)機構(gòu) 名稱服務(wù)器，指定授權(quán)的名稱服務(wù)器 指針資源記錄，用來實現(xiàn)反向查詢，建立IP 地址到域名的映射 郵件交換記錄，指定用來交換或者轉(zhuǎn)發(fā)郵件信息的服務(wù)器 主機信息記錄，指明CPU 與OS

142 Linux 網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程

例如為了能夠解析www.jnrp.cn 這個域名對應(yīng)的IP 地址，需要在jnrp.cn 所在的域名服務(wù)器中添加如下條目：

www.jnrp.cn. IN A 192.168.0.1 或者：

www IN A 192.168.0.1

6.1.6 /etc/hosts文件

hosts 文件是Linux 系統(tǒng)中一個負責(zé)IP 地址與域名快速解析的文件，以ASCII 格式保存在/etc目錄下，文件名為“hosts ”。hosts 文件包含了IP 地址和主機名之間的映射，還包括主機名的別名。在沒有域名服務(wù)器的情況下，系統(tǒng)上的所有網(wǎng)絡(luò)程序都通過查詢該文件來解析對應(yīng)于某個主機名的IP 地址，否則就需要使用DNS 服務(wù)程序來解決。通?？梢詫⒊Ｓ玫挠蛎虸P 地址映射加入到hosts 文件中，以實現(xiàn)快速方便的訪問。hosts 文件的格式如下：

IP 地址 主機名/域名

【例6-1】假設(shè)要添加域名為www.jnrp.cn ，IP 地址為192.168.0.1；域名為computer.jnrp.cn ，IP 地址為192.168.21.1。則可在hosts 文件中添加如下記錄。

www.jnrp.cn 192.168.0.1

computer.jnrp.cn 192.168.21.1

6.1.7 DNS 規(guī)劃與域名申請

在建立DNS 服務(wù)之前，進行DNS 規(guī)劃是非常必要的。

1．DNS 的域名空間規(guī)劃

決定如何使用DNS 命名，以及通過使用DNS 要達到什么目的。要在Internet 上使用自己的DNS ，公司必須先向一個授權(quán)的DNS 域名注冊頒發(fā)機構(gòu)申請并注冊一個二級域名，注冊并獲得至少一個可在Internet 上有效使用的IP 地址。這項業(yè)務(wù)通?？捎蒊SP 代理。

2．DNS 服務(wù)器的規(guī)劃

確定網(wǎng)絡(luò)中需要的DNS 服務(wù)器的數(shù)量及其各自的作用，根據(jù)通信負載、復(fù)制和容錯問題，確定在網(wǎng)絡(luò)上放置DNS 服務(wù)器的位置。對于大多數(shù)安裝配置來說，為了實現(xiàn)容錯，至少應(yīng)該對每個DNS 區(qū)域使用兩臺服務(wù)器。DNS 被設(shè)計成每個區(qū)域有兩臺服務(wù)器，一個是主服務(wù)器，另一個是備份或輔助服務(wù)器。在單個子網(wǎng)環(huán)境中的小型局域網(wǎng)上僅使用一臺服務(wù)器時，可以配置該服務(wù)器扮演區(qū)域的主服務(wù)器和輔助服務(wù)器兩種角色。

3．申請域名

同時，為了將企業(yè)網(wǎng)絡(luò)與Internet 很好地整合在一起，實現(xiàn)局域網(wǎng)與Internet 的相互通信，建議向域名服務(wù)商（如萬網(wǎng)http://www.net.cn和新網(wǎng)http://www.xinnet.com）申請合法的域名。然后設(shè)置相應(yīng)的域名解析。

提示：若要實現(xiàn)其他網(wǎng)絡(luò)服務(wù)（如Web 服務(wù)、E-mail 服務(wù)等），DNS 服務(wù)是必不可少的。

項目6 配置與管理DNS 服務(wù)器

143

沒有DNS 服務(wù)，就無法將域名解析為IP 地址，客戶端也就無法享受相應(yīng)的網(wǎng)絡(luò)服務(wù)。若要實現(xiàn)服務(wù)器的Internet 發(fā)布，就必須申請合法的DNS 域名。

6.2 項目設(shè)計及準備

6.2.1 項目設(shè)計

為了保證校園網(wǎng)中的計算機能夠安全可靠地通過域名訪問本地網(wǎng)絡(luò)以及Internet 資源，需要在網(wǎng)絡(luò)中部署主DNS 服務(wù)器、輔助DNS 服務(wù)器、緩存DNS 服務(wù)器。

6.2.2 項目準備

（1）安裝Linux 企業(yè)服務(wù)器版，用作DHCP 服務(wù)器。

（2）安裝有Windows XP操作系統(tǒng)的計算機1臺，用來部署DNS 客戶端。

（3）安裝有Linux 操作系統(tǒng)的計算機1臺，用來部署DNS 客戶端。

（4）確定每臺計算機的角色，并規(guī)劃每臺計算機的IP 地址及計算機名。

（5）或者用VMware 虛擬機軟件部署實驗環(huán)境。

DNS 服務(wù)器的IP 地址必須是靜態(tài)的。

6.3 項目實施

6.3.1 任務(wù)1：安裝DNS 服務(wù)

Linux 下架設(shè)DNS 服務(wù)器通常使用BIND （Berkeley Internet Name Domain Service）程序來實現(xiàn)，其守護進程是named 。

1．認識BIND

BIND 是一款實現(xiàn)DNS 服務(wù)器的開放源碼軟件。BIND 原本是美國DARPA 資助伯克利大學(xué)（Berkeley ）開設(shè)的一個研究生課題，后來經(jīng)過多年的變化發(fā)展，已經(jīng)成為世界上使用最為廣泛的DNS 服務(wù)器軟件，目前Internet 上絕大多數(shù)的DNS 服務(wù)器都是用BIND 來架設(shè)的。

BIND 經(jīng)歷了第4版、第8版和最新的第9版，第9版修正了以前版本的許多錯誤，并提升了執(zhí)行時的效能，BIND 能夠運行在當前大多數(shù)的操作系統(tǒng)平臺之上。目前BIND 軟件由因特網(wǎng)軟件聯(lián)臺會（Internet Software Consortium ，ISC ）這個非贏利性機構(gòu)負責(zé)開發(fā)和維護。

144 Linux 網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程

2．安裝BIND 軟件包

BIND 包含以下幾個軟件包：

● bind ：DNS 服務(wù)器軟件包。

● bind-utils ：DNS 測試工具，包括dig 、host 與nslookup 等。

● bind-chroot ：使BIND 運行在指定的目錄中的安全增強工具。

● caching-nameserver ：高速緩存DNS 服務(wù)器的基本配置文件，建議一定安裝。

要安裝DNS 服務(wù)，可將Red Hat Enterprise Linux 4.0第4張安裝盤放入光驅(qū)，加載光驅(qū)后使用命令“rpm -ivh /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm”可以安裝bind 軟件包。其命令執(zhí)行結(jié)果如下：

[root@RHEL4 RPMS]# rpm -ivh /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm

warning: /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm: V3 DSA signature: NOKEY, key ID db42a60e Preparing... ########################################### [100]

package bind-9.2.4-2 is already installed

3．安裝chroot 軟件包

chroot 是Change Root的縮寫，它可以改變程序運行時所參考的“／”根目錄位置，即將某個特定的子目錄作為程序的虛擬“／”根目錄。chroot 對程序運行時可以使用的系統(tǒng)資源、用戶權(quán)限和所在目錄進行嚴格控制，程序只在這個虛擬的根目錄具有權(quán)限，一旦跳出該目錄就無任何權(quán)限了。舉個簡單的例子，使用過FTP 的讀者都知道，用戶登錄到FTP 服務(wù)器時，看到的根目錄并不是服務(wù)器上真正的根目錄，而是它的主目錄。用戶不能訪問除主目錄外的任何資源，用戶的任何操作僅對自己的主目錄有效，不會影響系統(tǒng)和其他用戶的文件，chroot 的作用也是類似的。

對于網(wǎng)絡(luò)管理員而言，可以使用chroot 技術(shù)增強DNS 服務(wù)的安全性。將Red Hat Enterprise Linux 4.0第4張安裝盤放入光驅(qū)，加載光驅(qū)后使用命令“rpm -ivh /media/cdrom/RedHat/RPMS/ bind-chroot-9.2.4-2.i386.rpm ”可以安裝chroot 軟件包。其命令執(zhí)行結(jié)果如下：

[root@RHEL4 RPMS]# rpm -ivh /media/cdrom/RedHat/RPMS/bind-chroot-9.2.4-2.i386.rpm

warning: /media/cdrom/RedHat/RPMS/bind-chroot-9.2.4-2.i386.rpm: V3 DSA signature: NOKEY , key ID db42a60e

Preparing... ########################################### [100]

package bind-chroot-9.2.4-2 is already installed

使用了chroot 后，由于BIND 程序的虛擬目錄是/var/named/chroot，所以DNS

服務(wù)器的配置文件、區(qū)域數(shù)據(jù)文件和配置文件內(nèi)的語句，都是相對這個虛擬目

錄而言的。如/etc/named.conf文件的真正路徑是

/var/named/chroot/etc/named.conf，

/var/named目錄的真正路徑是/var/named/chroot/var/named。

4．配置BIND 配置文件

建立DNS 服務(wù)器過程中，通常用到以下BIND 配置文件，如表6-3所示。

（1）/etc/named.conf。BIND 默認主配置文件是/etc/named.conf。該文件的每一行都以分號作為結(jié)束符，行注釋可使用“#”或者“//”。對多行文字的注釋采用/*…..*/。該文件的主要

項目6 配置與管理DNS 服務(wù)器

145

內(nèi)容如下：

表6-3 BIND 配置文件 配置文件

/etc/named.conf

/var/named/named.ca

/var/named/localhost.zone

/var/named/named.local

/var/named/domainname.zone BIND 的主配置文件 指向根域名服務(wù)器的指示文件 用于localhost 到本地回環(huán)地址的解析 用于本地回環(huán)地址到localhost 的解析 用戶自己建立的DNS 區(qū)域的數(shù)據(jù)庫文件

[root@RHEL4 ~]# cat /etc/named.conf

//定義全局配置語句

options {

//定義服務(wù)器區(qū)域配置文件的存放目錄

directory "/var/named";

};

// 以下內(nèi)容聲明一個控制通道，用于rndc 實用程序控制named 守護進程

controls {

inet 127.0.0.1 allow { localhost; } keys { rndckey; };

};

//zone用于聲明一個區(qū)，以下部分定義根域的區(qū)聲明

zone "." IN {

type hint;

file "named.ca";

};

//定義本地回環(huán)地址的正向解析區(qū)聲明

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { none; };

};

//定義本地回環(huán)地址的反向解析區(qū)聲明

zone "0.0.127.in-addr.arpa" IN {

type master;

file "named.local";

allow-update { none; };

};

//定義包含文件，即將/etc/rndc.key文件包含進當前配置文件

include "/etc/rndc.key"; 說明

說明：

① options 配置段。該配置段屬于全局性的設(shè)置，常用配置項命令及功能如下： directory ：用于指定named 守護進程的工作目錄，各區(qū)域正反向搜索解析文件和DNS

146 Linux 網(wǎng)絡(luò)服務(wù)器配置管理項目實訓(xùn)教程

根服務(wù)器地址列表文件（named.ca ）應(yīng)放在該配置項指定的目錄中。

pid-file ：指定創(chuàng)建用于保存named 守護進程號的文件名及路徑。守護進程號文件一般保存在/var/run目錄中，BIND 軟件包安裝時在/var/run目錄下創(chuàng)建了一個named 目錄，因此，可將進程號文件保存在該目錄中，相應(yīng)的配置命令為：“pid-file "/ var / run / named / named.pid";”。

statistics-file ：用于指定記錄狀態(tài)信息的文件的位置。若將其保存在與進程號文件相同的位置，相應(yīng)的配置命令為“statistics-file "/var/ run/ named/ named.stats";”。 allow-recursion{}：指定允許查詢該DNS 服務(wù)器的IP 地址或網(wǎng)絡(luò)。在{}中可指定允許查詢的IP 地址或網(wǎng)絡(luò)地址列表，地址間用分號分隔。若不配置該項，則默認所有主機均可以查詢。allow-query{}與此功能相同。另外，還可使用地址匹配符來表達允許的主機。比如，any 可匹配所有的IP 地址，none 不匹配任何IP 地址，localhost 匹配本地主機使用的所有IP 地址，localnets 匹配同本地主機相連的網(wǎng)絡(luò)中的所有主機。比如若僅允許127.0.0.1和192.168.1.0/24網(wǎng)段的主機查詢該DNS 服務(wù)器，則命令為：allow-recursion{127.0.0.1;192.168.1.0/24;}或表達式為：allow-query{127.0.0.1;192. 168.1.0/24;}。

transfer-format ：用于控制在發(fā)送的每個信息中包含一個資源記錄，還是包含多個資源記錄。若每個信息包中包含多個資源記錄，則效率更高，但只有8.1或以上版本的BIND 域名服務(wù)器才支持，默認為one-answer 。

每個信息包含多個資源記錄的配置命令為“transfer-format many-answers; ”。 每個信息包含一個資源記錄的配置命令為“transfer-format one-answer; ”。

listen-on ：設(shè)置named 守護進程監(jiān)聽的IP 地址和端口。若未指定，默認監(jiān)聽DNS 服務(wù)器的所有IP 地址的53號端口。當服務(wù)器安裝有多塊網(wǎng)卡，有多個IP 地址時，可通過該配置命令指定所要監(jiān)聽的IP 地址。對于只有一個地址的服務(wù)器，不必設(shè)置。若要設(shè)置DNS 服務(wù)器監(jiān)聽192.168.1.2這個IP 地址，端口使用標準的5353號，則配置命令為“l(fā)isten-on 5353{192.168.1.2;};”。

forwarders{}：用于定義DNS 轉(zhuǎn)發(fā)器。當設(shè)置了轉(zhuǎn)發(fā)器后，所有非本域的和在緩存中無法找到的域名查詢，可由指定的DNS 轉(zhuǎn)發(fā)器來完成解析工作并做緩存。forward 用于指定轉(zhuǎn)發(fā)方式，僅在forwarders 轉(zhuǎn)發(fā)器列表不為空時有效，其用法為：“forward first | only ; ”。forward first為默認方式，DNS 服務(wù)器會將用戶的域名查詢請求，先轉(zhuǎn)發(fā)給forwarders 設(shè)置的轉(zhuǎn)發(fā)器，由轉(zhuǎn)發(fā)器來完成域名的解析工作，若指定的轉(zhuǎn)發(fā)器無法完成解析或無響應(yīng)，則再由DNS 服務(wù)器自身來完成域名的解析。若設(shè)置為“forward only;”，則DNS 服務(wù)器僅將用戶的域名查詢請求，轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)器，若指定的轉(zhuǎn)發(fā)器無法完成域名解析或無響應(yīng)，DNS 服務(wù)器自身也不會試著對其進行域名解析。例如，某地區(qū)的DNS 服務(wù)器為 61.128.192.68 和 61.128.128.68，若要將其設(shè)置為DNS 服務(wù)器的轉(zhuǎn)發(fā)器，則配置命令為： ● ● ● ● ● ●

options{

forwarders {61.128.192.68;61.128.128.68;};

forward first;

};

② controls 聲明段。BIND 軟件包提供了一個rndc 工具。通過該工具，使用命令行參數(shù)可

項目6 配置與管理DNS 服務(wù)器

147

實現(xiàn)本地或遠程管理named 守護進程，為了使rndc 能夠連接named 守護進程，在named.conf 配置文件中必須添加controls 聲明段，用于指定控制通道，以允許管理員在本地執(zhí)行rndc 命令，實現(xiàn)named 進程的管理。在進行身份驗證時所需的密鑰信息，默認存放在/etc/rndc.key文件中，因此在named.conf 配置文件的末尾，使用“include "/etc/rndc.key";”語句將其包含了進來。

③ Zone 區(qū)域聲明： ● 主域名服務(wù)器的正向解析區(qū)域聲明格式為：

zone " 區(qū)域名稱" IN {

type master ;

file " 實現(xiàn)正向解析的區(qū)域文件名";

allow-update {none;};

}; ● 從域名服務(wù)器的正向解析區(qū)域聲明格式為：

zone " 區(qū)域名稱" IN {

type slave ;

file " 實現(xiàn)正向解析的區(qū)域文件名";

masters {主域名服務(wù)器的IP 地址;};

};

反向解析區(qū)域的聲明格式與正向相同，只是file 所指定要讀的文件不同，另外就是區(qū)域的名稱不同。若要反向解析x.y.z 網(wǎng)段的主機，則反向解析的區(qū)域名稱應(yīng)設(shè)置為：z.y.x.in-addr.arpa 。

（2）根區(qū)域文件/var/named/named.ca。/var/named/named.ca是一個非常重要的文件，該文件包含了Internet 的頂級域名服務(wù)器的名字和地址。利用該文件可以讓DNS 服務(wù)器找到根DNS 服務(wù)器，并初始化DNS 的緩沖區(qū)。當DNS 服務(wù)器接到客戶端主機的查詢請求時，如果在Cache 中找不到相應(yīng)的數(shù)據(jù)，就會通過根服務(wù)器進行逐級查詢。/var/named/named.ca文件的主要內(nèi)容如下：

[root@RHEL4 ~]# cat /var/named/named.ca

; formerly NS.INTERNIC.NET

;

. 3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

;

; formerly NS1.ISI.EDU

;

. 3600000 NS B.ROOT-SERVERS.NET.

B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201

;

; formerly C.PSI.NET

;

. 3600000 NS C.ROOT-SERVERS.NET.

C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12

;

; formerly TERP.UMD.EDU

;

. 3600000 NS D.ROOT-SERVERS.NET.

D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90

;