一、輔助dns
輔助dns就像是一個幫手,在使用者流量較大的時候,隻有一個dns伺服器,很容易造成伺服器的擁堵和超負荷運作,這時候為了緩解伺服器的壓力,我們需要增加輔助dns的個數。
(1)輔助dns端設定
hostnamectl set-hostname dns-slave.westos.com
yum install bind -y
systemctl start named ##開啟named服務
vim /etc/named.conf 和之前的設定一樣(兩個any和一個no)
systemctl restart named ##重新開機named服務,使設定生效
vim /etc/resolv.conf
nameserver 172.25.254.131 ##解析服務主機
vim /etc/named.rfc1912.zones
zone "westos.com" IN { ##維護域
type slave; ##輔助dns
masters { 172.25.254.131; }; ##為dns伺服器服務
file "slaves/westos.com.zone"; ##查詢檔案
allow-update { none; };
};
systemctl restart named
(2)主dns設定
将雙向解析中的設定注釋掉,使原來注釋的代碼可用。同時在輔助配置檔案中設定允許輔助dns主動更新。如果不允許輔助dns更新,那麼使用者在通路時會出現查詢資訊錯誤。
vim /etc/named.rfc1912.zones
zone "westos.com" IN {
type master;
file "westos.com.zone";
allow-transfer { 172.25.254.231; };
allow-update { none; };
};
systemctl restart named
(3)測試
更改westos.com.zone中的ip位址,觀察輔助dns是否會自動更新
二、遠端更新dns
(一)基于ip的直接更新
1.關閉selinux
selinux在強制狀态下,會阻止伺服器的更新,可以直接關閉selinux,也可以在強制狀态下,将相應的功能開關打開。
注意:加強型防火牆強制狀态改為關閉狀态需要reboot重新開機。
2.在輔助配置檔案中設定伺服器允許遠端更新
cd /etc/named
cp -p westos.com.zone /opt ##備份檔案,注意檔案權限
chmod 770 /var/named
vim /etc/named.rfc1912.zones ##輔助配置檔案
allow-updata { 172.25.254.131; }; ##允許該主機更新
systemctl restart named ##重新開機
3.測試
(1)通過遠端更新解析規則,觀察dig指令查詢某一域名,是否更新
nsupdate ##更新
server 172.25.254.131 ##更新對象
update add test.westos.com 86400 A 172.25.254.111 ##更新内容
send ##發送
quit ##退出
(2)檢視是否更新
dig test.westos.com
(3)删除更新内容
nsupdate ##更新
server 172.25.254.131 ##更新對象
update delete test.westos.com ##删除
send
quit
(二)遠端加密更新
1.對dns進行加密,生成加密檔案
cp -p /etc/rndc.key /etc/westos.key ##複制模闆
ll /etc/rndc.key /etc/westos.key ##檢視檔案權限是否一緻
cd /mnt
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST westos ##生成dns密鑰,通過ls可以檢視到公鑰和私鑰兩個鑰匙
2.設定加密資訊
cat /mnt/xxx.private ##檢視私鑰擷取密碼,将該密碼複制到westos.key檔案中
vim /etc/westos.key
key "westos" {
algorithm hmac-md5;
secret "密碼";
};
3.删除之前遠端更新産生的檔案
在/var/named目錄下,删除以【.jnl】為字尾的檔案,避免與密鑰更新沖突。為保證明驗環境的純淨,我們需要将之前備份的westos.com.zone檔案複制到目前目錄下。
cd /var/named
rm -fr westos.com.zone.jnl
rm -fr westos.com.zone
cp -p /opt/westos.com.zone . ##複制檔案
4.将密鑰檔案與dns服務建立聯系
vim /etc/named.conf
include "/etc/westos.key"; ##将加密與dns服務互相關聯
遠端更新時,通過查詢該檔案擷取密碼,進行更新。
5.設定更新方式為密鑰更新
vim /etc/named.rfc1912.zones
zone "westos.com" IN {
type master;
file "westos.com.zone";
also-notify { 172.25.254.231; }
allow-update { key westos; }; ##密鑰更新
};
systemctl restart named
6.測試
注意在更新時,需要寫上密鑰名稱,不然會報錯
nsupdate -k 私鑰
server 172.25.254.131
update add test.westos.com 86400 A 172.25.254.111
send
quit
nsupdate -k 私鑰
server 172.25.254.131
update delete test.westos.com
send
quit
三、動态運作解析ddns(花生殼)
DDNS是将使用者的動态ip位址映射到一個固定的域名解析服務上,使用者每次連接配接網絡的時候用戶端程式就會通過資訊傳遞把該主機的動态ip位址傳送給位于服務商主機上的伺服器程式,伺服器程式負責提供DNS服務并實作動态域名解析。
服務端:
1.搭建dhcp服務
yum install dhcp -y ##安裝軟體
cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf
vim /etc/dhcp/dhcpd.conf
删掉27和28和37之後的所有内容
7 option domain-name "westos.com"; ##域名
8 option domain-name-servers 172.25.254.131; ##提供dhcp服務的ip
14 ddns-update-style interim;
29 subnet 172.25.254.0 netmask 255.255.255.0 { ##子網路遮罩,ip位址前三位
range 172.25.254.60 172.25.254.90; ##位址池
option routers 172.25.254.65; ##網關
}
systemctl restart dhcpd
2. dns與fhcp建立連接配接
vim /etc/dhcp/dhcpd.conf
key westos {
algorithm hamc-md5;
secret 密碼;
};
zone westos.com. {
primary 127.0.0.1;
key westos;
}
systemctl restart dhcpd
用戶端:
3.修改網絡類型為動态,重新開機網絡,會自動擷取動态ip位址
hostnamectl set-hostname news.westos.com
vim /etc/sysconfig/network-scripts/ifcfg-eth0
4.測試
觀察動态擷取的ip位址與解析域名是否對應
dig news.westos.com
四、dns系統排錯
它顯示來自DNS查找的詳細資訊,其中包括為什麼查詢失敗:
(1)NOERROR:查詢成功
(2)NXDOMAIN:DNS伺服器提示不存在這樣的名稱,我們需要檢查我們的維護域是否正确
(3)SERVFAIL:DNS伺服器停機或DNSSEC響應驗證失敗,出現服務停機錯誤,我們可以檢查以下/var/named目錄下檔案的權限是否正确。
(4)REFUSED:DNS伺服器拒絕回答(也許是處于通路控制原因)