DNS从服务器也叫辅服DNS服务器,如果网络上某个节点只有一台DNS服务器的话,首先服务器的抗压能力是有限的,当压力达到一定的程度,服务器就可能会宕机罢工,
其次如果这台服务器出现了硬件故障那么服务器管理的区域的域名将无法访问。为了解决这些问题,最好的办法就是使用多个DNS服务器同时工作,
并实现数据的同步,这样两台服务器就都可以实现域名解析操作。
主DNS服务器架设好后,辅助的DNS服务器的架设就相对简单多了。
很重要的一点:主从服务器时间不同步的话,则会导致各种意想不到的问题发生。因此,先配置NTP时间同步吧。
1.记录下主DNS服务器的/etc/named.rfc1912.zones中需要进行主从设置的区域信息
2.在辅助的DNS服务器的/etc/named.rfc1912.zones文件,添加需要进行同步的区域记录,这两个记录是主DNS服务器配置文件里已经存在的记录。
3. 主DNS服务器设置允许辅助DNS服务器作区域传送。
4. 辅助DNS服务器设置禁止从本服务器作区域传送。
5.使用命令检查主配置文件和区域数据库
6.重新加载主配置文件和区域数据库文件
7.测试
Transaction signatures(TSIG)通常是一种确保DNS消息安全,并提供安全的服务器与服务器之间通讯(通常用在主从服务器之间)的机制。
TSIG可以保护以下类型的DNS服务器:Zone区域传送、Notify、动态更新、递归查询邮件。
TSIG适用于BIND v8.2及以上版本。TSIG使用共享秘密和单向散列函数来验证的DNS信息。
TSIG 可确认 DNS 之信息是由某特定 DNS Server 所提供。通常TSIG 应用于域名服务器间的区带传输,确保数据不会被篡改或产生 dns spoofing
从日志和传送过来的区域中可以看出来
使用专用的动态更新工具来测试
在主DNS服务器日志中可以看到
在从DNS服务器日志中可以看到
在从DNS服务器传送过来的区域中可以看到序列为61的更新记录
最后一个测试,进入从DNS的slaves目录把所有区域删除,不用担心,前面讲过重启从DNS服务后,会立即同步主DNS的区域文件。
至此,TSIG已经正常工作了
可以向DNS服务器提交更新记录的请求,它可以从区文件中添加或删除资源记录,而不需要手动进行编辑zone文件
必须的条件:指定的zone语句块或全局中添加:allow-update { any; }; 或 allow-update { IP范围; };
本文转自 ljpwinxp 51CTO博客,原文链接:http://blog.51cto.com/191226139/2069648