項目 6 配置與管理DNS 服務器項目描述：某高校組建了學校的校園網，為了使校園網中的計算機簡單快捷地訪問本地網絡及Internet 上資源，需要在校園網中架設DNS 服務器，用來提供域名轉換成IP

項目 6 配置與管理DNS 服務器

項目描述：

某高校組建了學校的校園網，為了使校園網中的計算機簡單快捷地訪問本地網絡及Internet 上資源，需要在校園網中架設DNS 服務器，用來提供域名轉換成IP 地址的功能。

在完成該項目之前，首先應當確定網絡中DNS 服務器的部署環(huán)境，明確DNS 服務器的各種角色及其作用。

項目目標：

●

●

●

●

●

●

● 了解DNS 服務器的作用及其在網絡中的重要性 理解DNS 的域名空間結構及其工作過程 理解并掌握緩存DNS 服務器的配置 理解并掌握主DNS 服務器的配置 理解并掌握輔助DNS 服務器的配置 理解并掌握DNS 客戶機的配置 掌握DNS 服務的測試

6.1 相關知識

DNS （Domain Name Service ，域名服務）是Internet/Intranet中最基礎也是非常重要的一項服務，它提供了網絡訪問中域名和IP 地址的相互轉換。

6.1.1 DNS 概述

在TCP/IP網絡中，每臺主機必須有一個唯一的IP 地址，當某臺主機要訪問另外一臺主機上的資源時，必須指定另一臺主機的IP 地址，通過IP 地址找到這臺主機后才能訪問這臺主機。但是，當網絡的規(guī)模較大時，使用IP 地址就不太方便了，所以，便出現了主機名（Host Name）與IP 地址之間的一種對應解決方案，可以通過使用形象易記的主機名而非IP 地址進行網絡的訪問，這比單純使用IP 地址要方便得多。其實，在這種解決方案中使用了解析的概念和原理，單獨通過主機名是無法建立網絡連接的，只有通過解析的過程，在主機名和IP 地址之間建立了映射關系后，才可以通過主機名間接地通過IP 地址建立網絡連接。

主機名與IP 地址之間的映射關系，在小型網絡中多使用hosts 文件來完成，后來，隨著網絡規(guī)模的增大，為了滿足不同組織的要求，以實現一個可伸縮、可自定義的命名方案的需要，InterNIC 制定了一套稱為域名系統（DNS ）的分層名字解析方案，當DNS 用戶提出IP 地址查

項目6 配置與管理DNS 服務器

139

詢請求時，可以由DNS 服務器中的數據庫提供所需的數據，完成域名和IP 地址的相互轉換。DNS 技術目前已廣泛應用于Internet 中。

組成DNS 系統的核心是DNS 服務器，它是回答域名服務查詢的計算機，它為連接Intranet 和Internet 的用戶提供并管理DNS 服務，維護DNS 名字數據并處理DNS 客戶端主機名的查詢。DNS 服務器保存了包含主機名和相應IP 地址的數據庫。

DNS 服務器分為三類：

（1）主DNS 服務器（Master 或Primary ）。主DNS 服務器負責維護所管轄域的域名服務信息。它從域管理員構造的本地磁盤文件中加載域信息，該文件（區(qū)文件）包含著該服務器具有管理權的一部分域結構的最精確信息。配置主DNS 服務器需要一整套的配置文件，包括主配置文件（/etc/named.conf）、正向域的區(qū)文件、反向域的區(qū)文件、高速緩存初始化文件（/var/named/named.ca）和回送文件（/var/named/named.local）。

（2）輔助DNS 服務器（Slave 或Secondary ）。輔助DNS 服務器用于分擔主DNS 服務器的查詢負載。區(qū)文件是從主服務器中轉移出來的，并作為本地磁盤文件存儲在輔助服務器中。這種轉移稱為“區(qū)文件轉移”。在輔助DNS 服務器中有一個所有域信息的完整復制，可以權威地回答對該域的查詢請求。配置輔助DNS 服務器不需要生成本地區(qū)文件，因為可以從主服務器下載該區(qū)文件。因而只需配置主配置文件、高速緩存文件和回送文件就可以了。

（3）唯高速緩存DNS 服務器（Caching-only DNS server）。供本地網絡上的客戶機用來進行域名轉換。它通過查詢其他DNS 服務器并將獲得的信息存放在它的高速緩存中，為客戶機查詢信息提供服務。唯高速緩存DNS 服務器不是權威性的服務器，因為它提供的所有信息都是間接信息。

6.1.2 DNS 查詢模式

按照DNS 搜索區(qū)域的類型，DNS 的區(qū)域分為正向搜索區(qū)域和反向搜索區(qū)域。正向搜索是DNS 服務的主要功能，它根據計算機的DNS 名稱（域名），解析出相應的IP 地址；而反向搜索是根據計算機的IP 地址解析出它的DNS 名稱（域名）。

1．正向查詢

正向查詢就是根據域名，搜索出對應的IP 地址。其查詢方法為：當DNS 客戶機（也可以是DNS 服務器）向首選DNS 服務器發(fā)出查詢請求后，如果首選DNS 服務器數據庫中沒有與查詢請求所對應的數據，則會將查詢請求轉發(fā)給另一臺DNS 服務器，依此類推，直到找到與查詢請求對應的數據為止，如果最后一臺DNS 服務器中也沒有所需的數據，則通知DNS 客戶機查詢失敗。

2．反向查詢

反向查詢與正向查詢正好相反，它是利用IP 地址查詢出對應的域名。

6.1.3 DNS 域名空間結構

在域名系統中，每臺計算機的域名由一系列用點分開的字母數字段組成。例如，某臺計算

140 Linux 網絡服務器配置管理項目實訓教程

機的FQDN （Full Qualified Domain Name）為computer.jnrp.cn ，其具有的域名為jnrp.cn ；另一臺計算機的FQDN 為www.computer.jnrp.cn ，其具有的域名為computer.jnrp.cn 。域名是有層次的，域名中最重要的部分位于右邊。FQDN 中最左邊的部分是單臺計算機的主機名或主機別名。

DNS 域名空間的分層結構如圖6-1所示。

圖6-1 DNS 域名空間結構

整個DNS 域名空間結構如同一棵倒掛的樹，層次結構非常清晰。如圖6-1所示，根域位于頂部，緊接在根域下面的是頂級域，每個頂級域又可以進一步劃分為不同的二級域，二級域再劃分出子域，子域下面可以是主機也可以再劃分子域，直到最后的主機。在Internet 中的域是由InterNIC 負責管理的，域名的服務則由DNS 來實現。

6.1.4 DNS 域名解析過程

DNS 解析過程如圖6-2所示。

圖6-2 DNS 域名解析過程

項目6 配置與管理DNS 服務器

141

（1）客戶機提出域名解析請求，并將該請求發(fā)送給本地的域名服務器。

（2）當本地的域名服務器收到請求后，就先查詢本地的緩存，如果有該記錄項，則本地的域名服務器就直接把查詢的結果返回。

（3）如果本地的緩存中沒有該記錄，則本地域名服務器就直接把請求發(fā)給根域名服務器，然后根域名服務器再返回給本地域名服務器一個所查詢域（根的子域）的主域名服務器的地址。

（4）本地服務器再向上一步返回的域名服務器發(fā)送請求，然后接受請求的服務器查詢自己的緩存，如果沒有該記錄，則返回相關的下級域名服務器的地址。

（5）重復步驟（4），直到找到正確的記錄。

（6）本地域名服務器把返回的結果保存到緩存，以備下一次使用，同時還將結果返回給客戶機。

6.1.5 DNS 常見資源記錄

從DNS 服務器返回的查詢結果可以分為兩類：權威的（authoritative ）和非權威的（non-authoritative ）。所謂權威的查詢結果，是指該查詢結果是從被授權管理該區(qū)域的域名服務器的數據庫中查詢而來的。所謂非權威的查詢結果，是指該查詢結果來源于非授權的域名服務器，是該域名服務器通過查詢其他域名服務器而不是本地數據庫得來的。

在能夠返回權威查詢結果的域名服務器中存在一個本地數據庫，該數據庫中存儲與域名解析相關的條目，這些條目稱為DNS 資源記錄。 資源記錄的內容通常包括5項，基本格式如下：

Domain TTL Class Record Type Record Data

各項的含義如表6-1所示。

表6-1 資源記錄條目中各項含義 項目

域名（Domain ）

存活期（TTL ）

類別（Class ） 擁有該資源記錄的DNS 域名 該記錄的有效時間長度 說明網絡類型，目前大部分資源記錄采用“IN ”，表示Internet 含義

記錄類型（Record Type） 說明該資源記錄的類型，常見資源記錄類型如表6-2所示

記錄數據（Record Data） 說明和該資源記錄有關的信息，通常是解析結果，該數據格式和記錄類型有關

表6-2 DNS 資源記錄類型

資源記錄類型

A

CNAME

SOA

NS

PTR

MX

HINFO 說明 主機資源記錄，建立域名到IP 地址的映射 別名資源記錄，為其他資源記錄指定名稱的替補 起始授權機構 名稱服務器，指定授權的名稱服務器 指針資源記錄，用來實現反向查詢，建立IP 地址到域名的映射 郵件交換記錄，指定用來交換或者轉發(fā)郵件信息的服務器 主機信息記錄，指明CPU 與OS

142 Linux 網絡服務器配置管理項目實訓教程

例如為了能夠解析www.jnrp.cn 這個域名對應的IP 地址，需要在jnrp.cn 所在的域名服務器中添加如下條目：

www.jnrp.cn. IN A 192.168.0.1 或者：

www IN A 192.168.0.1

6.1.6 /etc/hosts文件

hosts 文件是Linux 系統中一個負責IP 地址與域名快速解析的文件，以ASCII 格式保存在/etc目錄下，文件名為“hosts ”。hosts 文件包含了IP 地址和主機名之間的映射，還包括主機名的別名。在沒有域名服務器的情況下，系統上的所有網絡程序都通過查詢該文件來解析對應于某個主機名的IP 地址，否則就需要使用DNS 服務程序來解決。通常可以將常用的域名和IP 地址映射加入到hosts 文件中，以實現快速方便的訪問。hosts 文件的格式如下：

IP 地址 主機名/域名

【例6-1】假設要添加域名為www.jnrp.cn ，IP 地址為192.168.0.1；域名為computer.jnrp.cn ，IP 地址為192.168.21.1。則可在hosts 文件中添加如下記錄。

www.jnrp.cn 192.168.0.1

computer.jnrp.cn 192.168.21.1

6.1.7 DNS 規(guī)劃與域名申請

在建立DNS 服務之前，進行DNS 規(guī)劃是非常必要的。

1．DNS 的域名空間規(guī)劃

決定如何使用DNS 命名，以及通過使用DNS 要達到什么目的。要在Internet 上使用自己的DNS ，公司必須先向一個授權的DNS 域名注冊頒發(fā)機構申請并注冊一個二級域名，注冊并獲得至少一個可在Internet 上有效使用的IP 地址。這項業(yè)務通?？捎蒊SP 代理。

2．DNS 服務器的規(guī)劃

確定網絡中需要的DNS 服務器的數量及其各自的作用，根據通信負載、復制和容錯問題，確定在網絡上放置DNS 服務器的位置。對于大多數安裝配置來說，為了實現容錯，至少應該對每個DNS 區(qū)域使用兩臺服務器。DNS 被設計成每個區(qū)域有兩臺服務器，一個是主服務器，另一個是備份或輔助服務器。在單個子網環(huán)境中的小型局域網上僅使用一臺服務器時，可以配置該服務器扮演區(qū)域的主服務器和輔助服務器兩種角色。

3．申請域名

同時，為了將企業(yè)網絡與Internet 很好地整合在一起，實現局域網與Internet 的相互通信，建議向域名服務商（如萬網http://www.net.cn和新網http://www.xinnet.com）申請合法的域名。然后設置相應的域名解析。

提示：若要實現其他網絡服務（如Web 服務、E-mail 服務等），DNS 服務是必不可少的。

項目6 配置與管理DNS 服務器

143

沒有DNS 服務，就無法將域名解析為IP 地址，客戶端也就無法享受相應的網絡服務。若要實現服務器的Internet 發(fā)布，就必須申請合法的DNS 域名。

6.2 項目設計及準備

6.2.1 項目設計

為了保證校園網中的計算機能夠安全可靠地通過域名訪問本地網絡以及Internet 資源，需要在網絡中部署主DNS 服務器、輔助DNS 服務器、緩存DNS 服務器。

6.2.2 項目準備

（1）安裝Linux 企業(yè)服務器版，用作DHCP 服務器。

（2）安裝有Windows XP操作系統的計算機1臺，用來部署DNS 客戶端。

（3）安裝有Linux 操作系統的計算機1臺，用來部署DNS 客戶端。

（4）確定每臺計算機的角色，并規(guī)劃每臺計算機的IP 地址及計算機名。

（5）或者用VMware 虛擬機軟件部署實驗環(huán)境。

DNS 服務器的IP 地址必須是靜態(tài)的。

6.3 項目實施

6.3.1 任務1：安裝DNS 服務

Linux 下架設DNS 服務器通常使用BIND （Berkeley Internet Name Domain Service）程序來實現，其守護進程是named 。

1．認識BIND

BIND 是一款實現DNS 服務器的開放源碼軟件。BIND 原本是美國DARPA 資助伯克利大學（Berkeley ）開設的一個研究生課題，后來經過多年的變化發(fā)展，已經成為世界上使用最為廣泛的DNS 服務器軟件，目前Internet 上絕大多數的DNS 服務器都是用BIND 來架設的。

BIND 經歷了第4版、第8版和最新的第9版，第9版修正了以前版本的許多錯誤，并提升了執(zhí)行時的效能，BIND 能夠運行在當前大多數的操作系統平臺之上。目前BIND 軟件由因特網軟件聯臺會（Internet Software Consortium ，ISC ）這個非贏利性機構負責開發(fā)和維護。

144 Linux 網絡服務器配置管理項目實訓教程

2．安裝BIND 軟件包

BIND 包含以下幾個軟件包：

● bind ：DNS 服務器軟件包。

● bind-utils ：DNS 測試工具，包括dig 、host 與nslookup 等。

● bind-chroot ：使BIND 運行在指定的目錄中的安全增強工具。

● caching-nameserver ：高速緩存DNS 服務器的基本配置文件，建議一定安裝。

要安裝DNS 服務，可將Red Hat Enterprise Linux 4.0第4張安裝盤放入光驅，加載光驅后使用命令“rpm -ivh /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm”可以安裝bind 軟件包。其命令執(zhí)行結果如下：

[root@RHEL4 RPMS]# rpm -ivh /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm

warning: /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm: V3 DSA signature: NOKEY, key ID db42a60e Preparing... ########################################### [100]

package bind-9.2.4-2 is already installed

3．安裝chroot 軟件包

chroot 是Change Root的縮寫，它可以改變程序運行時所參考的“／”根目錄位置，即將某個特定的子目錄作為程序的虛擬“／”根目錄。chroot 對程序運行時可以使用的系統資源、用戶權限和所在目錄進行嚴格控制，程序只在這個虛擬的根目錄具有權限，一旦跳出該目錄就無任何權限了。舉個簡單的例子，使用過FTP 的讀者都知道，用戶登錄到FTP 服務器時，看到的根目錄并不是服務器上真正的根目錄，而是它的主目錄。用戶不能訪問除主目錄外的任何資源，用戶的任何操作僅對自己的主目錄有效，不會影響系統和其他用戶的文件，chroot 的作用也是類似的。

對于網絡管理員而言，可以使用chroot 技術增強DNS 服務的安全性。將Red Hat Enterprise Linux 4.0第4張安裝盤放入光驅，加載光驅后使用命令“rpm -ivh /media/cdrom/RedHat/RPMS/ bind-chroot-9.2.4-2.i386.rpm ”可以安裝chroot 軟件包。其命令執(zhí)行結果如下：

[root@RHEL4 RPMS]# rpm -ivh /media/cdrom/RedHat/RPMS/bind-chroot-9.2.4-2.i386.rpm

warning: /media/cdrom/RedHat/RPMS/bind-chroot-9.2.4-2.i386.rpm: V3 DSA signature: NOKEY , key ID db42a60e

Preparing... ########################################### [100]

package bind-chroot-9.2.4-2 is already installed

使用了chroot 后，由于BIND 程序的虛擬目錄是/var/named/chroot，所以DNS

服務器的配置文件、區(qū)域數據文件和配置文件內的語句，都是相對這個虛擬目

錄而言的。如/etc/named.conf文件的真正路徑是

/var/named/chroot/etc/named.conf，

/var/named目錄的真正路徑是/var/named/chroot/var/named。

4．配置BIND 配置文件

建立DNS 服務器過程中，通常用到以下BIND 配置文件，如表6-3所示。

（1）/etc/named.conf。BIND 默認主配置文件是/etc/named.conf。該文件的每一行都以分號作為結束符，行注釋可使用“#”或者“//”。對多行文字的注釋采用/*…..*/。該文件的主要

項目6 配置與管理DNS 服務器

145

內容如下：

表6-3 BIND 配置文件 配置文件

/etc/named.conf

/var/named/named.ca

/var/named/localhost.zone

/var/named/named.local

/var/named/domainname.zone BIND 的主配置文件 指向根域名服務器的指示文件 用于localhost 到本地回環(huán)地址的解析 用于本地回環(huán)地址到localhost 的解析 用戶自己建立的DNS 區(qū)域的數據庫文件

[root@RHEL4 ~]# cat /etc/named.conf

//定義全局配置語句

options {

//定義服務器區(qū)域配置文件的存放目錄

directory "/var/named";

};

// 以下內容聲明一個控制通道，用于rndc 實用程序控制named 守護進程

controls {

inet 127.0.0.1 allow { localhost; } keys { rndckey; };

};

//zone用于聲明一個區(qū)，以下部分定義根域的區(qū)聲明

zone "." IN {

type hint;

file "named.ca";

};

//定義本地回環(huán)地址的正向解析區(qū)聲明

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { none; };

};

//定義本地回環(huán)地址的反向解析區(qū)聲明

zone "0.0.127.in-addr.arpa" IN {

type master;

file "named.local";

allow-update { none; };

};

//定義包含文件，即將/etc/rndc.key文件包含進當前配置文件

include "/etc/rndc.key"; 說明

說明：

① options 配置段。該配置段屬于全局性的設置，常用配置項命令及功能如下： directory ：用于指定named 守護進程的工作目錄，各區(qū)域正反向搜索解析文件和DNS

146 Linux 網絡服務器配置管理項目實訓教程

根服務器地址列表文件（named.ca ）應放在該配置項指定的目錄中。

pid-file ：指定創(chuàng)建用于保存named 守護進程號的文件名及路徑。守護進程號文件一般保存在/var/run目錄中，BIND 軟件包安裝時在/var/run目錄下創(chuàng)建了一個named 目錄，因此，可將進程號文件保存在該目錄中，相應的配置命令為：“pid-file "/ var / run / named / named.pid";”。

statistics-file ：用于指定記錄狀態(tài)信息的文件的位置。若將其保存在與進程號文件相同的位置，相應的配置命令為“statistics-file "/var/ run/ named/ named.stats";”。 allow-recursion{}：指定允許查詢該DNS 服務器的IP 地址或網絡。在{}中可指定允許查詢的IP 地址或網絡地址列表，地址間用分號分隔。若不配置該項，則默認所有主機均可以查詢。allow-query{}與此功能相同。另外，還可使用地址匹配符來表達允許的主機。比如，any 可匹配所有的IP 地址，none 不匹配任何IP 地址，localhost 匹配本地主機使用的所有IP 地址，localnets 匹配同本地主機相連的網絡中的所有主機。比如若僅允許127.0.0.1和192.168.1.0/24網段的主機查詢該DNS 服務器，則命令為：allow-recursion{127.0.0.1;192.168.1.0/24;}或表達式為：allow-query{127.0.0.1;192. 168.1.0/24;}。

transfer-format ：用于控制在發(fā)送的每個信息中包含一個資源記錄，還是包含多個資源記錄。若每個信息包中包含多個資源記錄，則效率更高，但只有8.1或以上版本的BIND 域名服務器才支持，默認為one-answer 。

每個信息包含多個資源記錄的配置命令為“transfer-format many-answers; ”。 每個信息包含一個資源記錄的配置命令為“transfer-format one-answer; ”。

listen-on ：設置named 守護進程監(jiān)聽的IP 地址和端口。若未指定，默認監(jiān)聽DNS 服務器的所有IP 地址的53號端口。當服務器安裝有多塊網卡，有多個IP 地址時，可通過該配置命令指定所要監(jiān)聽的IP 地址。對于只有一個地址的服務器，不必設置。若要設置DNS 服務器監(jiān)聽192.168.1.2這個IP 地址，端口使用標準的5353號，則配置命令為“l(fā)isten-on 5353{192.168.1.2;};”。

forwarders{}：用于定義DNS 轉發(fā)器。當設置了轉發(fā)器后，所有非本域的和在緩存中無法找到的域名查詢，可由指定的DNS 轉發(fā)器來完成解析工作并做緩存。forward 用于指定轉發(fā)方式，僅在forwarders 轉發(fā)器列表不為空時有效，其用法為：“forward first | only ; ”。forward first為默認方式，DNS 服務器會將用戶的域名查詢請求，先轉發(fā)給forwarders 設置的轉發(fā)器，由轉發(fā)器來完成域名的解析工作，若指定的轉發(fā)器無法完成解析或無響應，則再由DNS 服務器自身來完成域名的解析。若設置為“forward only;”，則DNS 服務器僅將用戶的域名查詢請求，轉發(fā)給轉發(fā)器，若指定的轉發(fā)器無法完成域名解析或無響應，DNS 服務器自身也不會試著對其進行域名解析。例如，某地區(qū)的DNS 服務器為 61.128.192.68 和 61.128.128.68，若要將其設置為DNS 服務器的轉發(fā)器，則配置命令為： ● ● ● ● ● ●

options{

forwarders {61.128.192.68;61.128.128.68;};

forward first;

};

② controls 聲明段。BIND 軟件包提供了一個rndc 工具。通過該工具，使用命令行參數可

項目6 配置與管理DNS 服務器

147

實現本地或遠程管理named 守護進程，為了使rndc 能夠連接named 守護進程，在named.conf 配置文件中必須添加controls 聲明段，用于指定控制通道，以允許管理員在本地執(zhí)行rndc 命令，實現named 進程的管理。在進行身份驗證時所需的密鑰信息，默認存放在/etc/rndc.key文件中，因此在named.conf 配置文件的末尾，使用“include "/etc/rndc.key";”語句將其包含了進來。

③ Zone 區(qū)域聲明： ● 主域名服務器的正向解析區(qū)域聲明格式為：

zone " 區(qū)域名稱" IN {

type master ;

file " 實現正向解析的區(qū)域文件名";

allow-update {none;};

}; ● 從域名服務器的正向解析區(qū)域聲明格式為：

zone " 區(qū)域名稱" IN {

type slave ;

file " 實現正向解析的區(qū)域文件名";

masters {主域名服務器的IP 地址;};

};

反向解析區(qū)域的聲明格式與正向相同，只是file 所指定要讀的文件不同，另外就是區(qū)域的名稱不同。若要反向解析x.y.z 網段的主機，則反向解析的區(qū)域名稱應設置為：z.y.x.in-addr.arpa 。

（2）根區(qū)域文件/var/named/named.ca。/var/named/named.ca是一個非常重要的文件，該文件包含了Internet 的頂級域名服務器的名字和地址。利用該文件可以讓DNS 服務器找到根DNS 服務器，并初始化DNS 的緩沖區(qū)。當DNS 服務器接到客戶端主機的查詢請求時，如果在Cache 中找不到相應的數據，就會通過根服務器進行逐級查詢。/var/named/named.ca文件的主要內容如下：

[root@RHEL4 ~]# cat /var/named/named.ca

; formerly NS.INTERNIC.NET

;

. 3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

;

; formerly NS1.ISI.EDU

;

. 3600000 NS B.ROOT-SERVERS.NET.

B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201

;

; formerly C.PSI.NET

;

. 3600000 NS C.ROOT-SERVERS.NET.

C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12

;

; formerly TERP.UMD.EDU

;

. 3600000 NS D.ROOT-SERVERS.NET.

D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90

;