[RHEL5企業(yè)級(jí)Linux 服務(wù)攻略]--第4季 DNS服務(wù)全攻略1 DNS原理1.1 DNS簡(jiǎn)介DNS （Domain Name System）域名系統(tǒng)，在TCP/IP網(wǎng)絡(luò)中有非常重要的地位，能夠

[RHEL5企業(yè)級(jí)Linux 服務(wù)攻略]--第4季 DNS服務(wù)全攻略

1 DNS原理

1.1 DNS簡(jiǎn)介

DNS （Domain Name System）域名系統(tǒng)，在TCP/IP網(wǎng)絡(luò)中有非常重要的地位，能夠提供域名與

IP 地址的解析服務(wù)。

1.2 域名空間

DNS 是一個(gè)分布式數(shù)據(jù)庫(kù)，命名系統(tǒng)采用層次的邏輯結(jié)構(gòu)，如同一棵倒置的樹(shù)，這個(gè)邏輯的樹(shù)形結(jié)構(gòu)稱為域名空間，由于DNS 劃分了域名空間，所以各機(jī)構(gòu)可以使用自己的域名空間創(chuàng)建DNS

信息。

注：DNS 域名空間中，樹(shù)的最大深度不得超過(guò)127層，樹(shù)中每個(gè)節(jié)點(diǎn)最長(zhǎng)可以存儲(chǔ)63個(gè)字符。

1）域和域名

DNS 樹(shù)的每個(gè)節(jié)點(diǎn)代表一個(gè)域，通過(guò)這些節(jié)點(diǎn)，對(duì)整個(gè)域名空間進(jìn)行劃分，成為一個(gè)層次結(jié)構(gòu)。域名空間的每個(gè)域的名字，通過(guò)域名進(jìn)行表示。域名通常由一個(gè)完全正式域名（FQDN ）標(biāo)識(shí)。FQDN 能準(zhǔn)確表示出其相對(duì)于DNS 域樹(shù)根的位置，也就是節(jié)點(diǎn)到DNS 樹(shù)根的完整表述方式，從節(jié)點(diǎn)到樹(shù)根采用反向書寫，并將每個(gè)節(jié)點(diǎn)用“.”分隔，對(duì)于DNS 域google 來(lái)說(shuō)，其完全正式域名（FQDN ）

為google.com 。

一個(gè)DNS 域可以包括主機(jī)和其他域（子域），每個(gè)機(jī)構(gòu)都擁有名稱空間的某一部分的授權(quán)，負(fù)責(zé)該部分名稱空間的管理和劃分，并用它來(lái)命名DNS 域和計(jì)算機(jī)。例如，google 為com 域的子域，其表示方法為google.com ，而www 為google 域中的Web ，可以使用www.google.com 表示。

注意：通常，F(xiàn)QDN 有嚴(yán)格的命名限制，長(zhǎng)度不能超過(guò)256字節(jié)，只允許使用字符a-z,0-9,A-Z 和減號(hào)（-）。點(diǎn)號(hào)（. ）只允許在域名標(biāo)志之間（例如“google.com”）或者FQDN 的結(jié)尾使用。

域名不區(qū)分大小。

2.Internet 域名空間

Internet 域名空間結(jié)構(gòu)為一棵倒置的樹(shù)，并進(jìn)行層次劃分。由樹(shù)根到樹(shù)枝，也就是從DNS 根到下面的節(jié)點(diǎn)，按照不同的層次，進(jìn)行了統(tǒng)一的命名。域名空間最頂層，DNS 根稱為根域（root ）。根域的下一層為頂級(jí)域，又稱為一級(jí)域。其下層為二級(jí)域，再下層為二級(jí)域的子域，按照需要進(jìn)行規(guī)劃，可以為多級(jí)。所以對(duì)域名空間整體進(jìn)行劃分，由最頂層到下層，可以分成：根域、頂級(jí)域、二級(jí)域、子域。并且域中能夠包含主機(jī)和子域。主機(jī)www 的FQDN 從最下層到最頂層根域進(jìn)

行反寫，表示為www.europe.example.com 。

Internet 域名空間的最頂層是根域（root ），其記錄著Internet 的重要DNS 信息，由Internet

域名注冊(cè)授權(quán)機(jī)構(gòu)管理，該機(jī)構(gòu)把域名空間各部分的管理責(zé)任分配給連接到Internet 的各個(gè)組

織。

DNS 根域下面是頂級(jí)域，也由Internet 域名注冊(cè)授權(quán)機(jī)構(gòu)管理。共有3種類型的頂級(jí)域。 組織域：采用3個(gè)字符的代號(hào)，表示DNS 域中所包含的組織的主要功能或活動(dòng)。比如com 為商業(yè)機(jī)構(gòu)組織，edu 為教育機(jī)構(gòu)組織，gov 為政府機(jī)構(gòu)組織，mil 為軍事機(jī)構(gòu)組織，net 為網(wǎng)絡(luò)機(jī)構(gòu)組

織，org 為非營(yíng)利機(jī)構(gòu)組織，int 為國(guó)際機(jī)構(gòu)組織。

地址域：采用兩個(gè)字符的國(guó)家或地區(qū)代號(hào)。如cn 為中國(guó)，kr 為韓國(guó)，us 為美國(guó)。

反向域：這是個(gè)特殊域，名字為in-addr.arpa ，用于將IP 地址映射到名字（反向查詢）。 對(duì)于頂級(jí)域的下級(jí)域，Internet 域名注冊(cè)授權(quán)機(jī)構(gòu)授權(quán)給Internet 的各種組織。當(dāng)一個(gè)組織獲得了對(duì)域名空間某一部分的授權(quán)后，該組織就負(fù)責(zé)命名所分配的域及其子域，包括域中的計(jì)算機(jī)

和其他設(shè)備，并管理分配的域中主機(jī)名與IP 地址的映射信息。

1.3 區(qū)(Zone)

區(qū)是DNS 名稱空間的一個(gè)連續(xù)部分，其包含了一組存儲(chǔ)在DNS 服務(wù)器上的資源記錄。每個(gè)區(qū)都位于一個(gè)特殊的域節(jié)點(diǎn)，但區(qū)并不是域。DNS 域是名稱空間的一個(gè)分支，而區(qū)一般是存儲(chǔ)在文件中的DNS 名稱空間的某一部分，可以包括多個(gè)域。一個(gè)域可以再分成幾部分，每個(gè)部分或區(qū)可以由一臺(tái)DNS 服務(wù)器控制。使用區(qū)的概念，DNS 服務(wù)器回答關(guān)于自己區(qū)中主機(jī)的查詢，它是哪個(gè)區(qū)的

授權(quán)服務(wù)器。

1.4 主域名服務(wù)器與輔助域名服務(wù)器

DNS 服務(wù)器可以不存儲(chǔ)任何區(qū)的信息或者存儲(chǔ)一個(gè)或多個(gè)區(qū)的信息。當(dāng)DNS 服務(wù)器接收到DNS 查詢時(shí)，它檢索它的本地區(qū)以定位所請(qǐng)求的信息。如果因?yàn)榉?wù)器不是所DNS 域的授權(quán)服務(wù)器，從而沒(méi)有所請(qǐng)求域的數(shù)據(jù)而使用檢索失敗，服務(wù)器就檢查它的高速緩存并與其他DNS 服務(wù)器通信以

解析該請(qǐng)求，或者把客戶機(jī)提交給另一個(gè)可能知道答案的DNS 服務(wù)器。

DNS 服務(wù)器可以管理主區(qū)和輔助區(qū)。用戶可以把服務(wù)器配置成管理多個(gè)不同的主區(qū)和輔助區(qū)，以盡量接近實(shí)際情況，這意味著服務(wù)器可能管理一個(gè)區(qū)的主拷貝和另一個(gè)區(qū)的輔助拷貝，或只管理一個(gè)區(qū)的主拷貝和輔助拷貝。對(duì)每個(gè)區(qū)，管理其主區(qū)的計(jì)算機(jī)是該區(qū)的主服務(wù)器，管理其輔助區(qū)

的服務(wù)器是該區(qū)的輔助服務(wù)器。

主區(qū)是本地更新的，在區(qū)數(shù)據(jù)改變時(shí)，例如把該區(qū)的某個(gè)部分授權(quán)給另一臺(tái)DNS 服務(wù)器，或在區(qū)中添加資源記錄，這些改動(dòng)必須在該區(qū)的主DNS 服務(wù)器上進(jìn)行，以便新信息能加進(jìn)本地區(qū)。 相反，輔助區(qū)是從其他服務(wù)器復(fù)制的。在輔助服務(wù)器上定義區(qū)時(shí)，區(qū)配置有服務(wù)器的IP ，輔助區(qū)就是從該地址復(fù)制信息。復(fù)制區(qū)文件的服務(wù)器可以是該區(qū)的主服務(wù)器或輔助服務(wù)器，有時(shí)稱為

輔助區(qū)的主控服務(wù)器。

當(dāng)區(qū)的輔助服務(wù)器啟動(dòng)時(shí)，它與該區(qū)的主控服務(wù)器進(jìn)行連接并啟動(dòng)一次區(qū)傳輸，區(qū)輔助服務(wù)器定

期與區(qū)主控服務(wù)器通信，查看區(qū)數(shù)據(jù)是否改變。如果改變了，它就啟動(dòng)一次區(qū)傳輸。

每個(gè)區(qū)必須有主服務(wù)器，另外每個(gè)區(qū)至少要有一臺(tái)輔助服務(wù)器，否則如果該區(qū)的主服務(wù)器崩潰了，

就無(wú)法解析該區(qū)的名稱。

輔助服務(wù)器的優(yōu)點(diǎn)：

1）容錯(cuò)能力

配置輔助服務(wù)器后，在該區(qū)主服務(wù)器崩潰的情況下，客戶機(jī)仍能解析該區(qū)的名稱。一般把區(qū)的主服務(wù)器和區(qū)的輔助服務(wù)器安裝在不同子網(wǎng)上，這樣如果到一個(gè)子網(wǎng)的連接中斷，DNS 客戶機(jī)還能

直接查詢另一個(gè)子網(wǎng)上的名稱服務(wù)器。

2）減少?gòu)V域鏈路的通信量

如果某個(gè)區(qū)在遠(yuǎn)程有大量客戶機(jī)，用戶就可以在遠(yuǎn)程添加該區(qū)的輔助服務(wù)器，并把遠(yuǎn)程的客戶機(jī)配置成先查詢這些服務(wù)器，這樣就能防止遠(yuǎn)程客戶機(jī)通過(guò)慢速鏈路通信來(lái)進(jìn)行DNS 查詢。

3）減輕主服務(wù)器的負(fù)載

輔助服務(wù)器能回答該區(qū)的查詢，從而減少該區(qū)主服務(wù)器必須回答的查詢數(shù)。

1.6 DNS查詢?cè)砑傲鞒?/p>

1）DNS 相關(guān)概念

（1）DNS 服務(wù)器

運(yùn)行DNS 服務(wù)器程序的計(jì)算機(jī)，儲(chǔ)存DNS 數(shù)據(jù)庫(kù)信息。DNS 服務(wù)器會(huì)嘗試解析客戶機(jī)的查詢請(qǐng)求。在解答查詢時(shí)，如果DNS 服務(wù)器能提供所請(qǐng)求的信息，就直接回應(yīng)解析結(jié)果，如果該DNS 服務(wù)器沒(méi)有相應(yīng)的域名信息，則為客戶機(jī)提供另一個(gè)能幫助解析查詢的服務(wù)器地址，如果以上兩種方法

均失敗，則回應(yīng)客戶機(jī)沒(méi)有所請(qǐng)求的信息或請(qǐng)求的信息不存在。

（2）DNS 緩存

DNS 服務(wù)器在解析客戶機(jī)請(qǐng)求時(shí)，如果本地沒(méi)有該DNS 信息，則可以會(huì)詢問(wèn)其他DNS 服務(wù)器，當(dāng)其他域名服務(wù)器返回查詢結(jié)果時(shí)，該DNS 服務(wù)器會(huì)將結(jié)果記錄在本地的緩存中，成為DNS 緩存。當(dāng)下一次客戶機(jī)提交相同請(qǐng)求時(shí)，DNS 服務(wù)器能夠直接使用緩存中的DNS 信息進(jìn)行解析。

（3）資源記錄

DNS 服務(wù)器的信息數(shù)據(jù)，按照分類進(jìn)行存儲(chǔ)，能夠解析客戶端的DNS 請(qǐng)求。

（4）區(qū)文件

包含區(qū)資源記錄的文件，選擇DNS 服務(wù)器為授權(quán)服務(wù)器，管理該區(qū)域。在大部分DNS 實(shí)現(xiàn)中，用

文本文件實(shí)現(xiàn)區(qū)。

2）遞歸查詢和迭代查詢

（1）遞歸查詢

遞歸查詢是一種DNS 服務(wù)器的查詢模式，在該模式下DNS 服務(wù)器接收到客戶機(jī)請(qǐng)求，必須使用一個(gè)準(zhǔn)確的查詢結(jié)果回復(fù)客戶機(jī)。如果DNS 服務(wù)器本地沒(méi)有存儲(chǔ)查詢DNS 信息，那么該服務(wù)器會(huì)詢

問(wèn)其他服務(wù)器，并將返回的查詢結(jié)果提交給客戶機(jī)。

（2）迭代查詢

DNS 服務(wù)器另外一種查詢方式為迭代查詢，DNS 服務(wù)器會(huì)向客戶機(jī)提供其他能夠解析查詢請(qǐng)求的DNS 服務(wù)器地址，當(dāng)客戶機(jī)發(fā)送查詢請(qǐng)求時(shí)，DNS 服務(wù)器并不直接回復(fù)查詢結(jié)果，而是告訴客戶機(jī)另一臺(tái)DNS 服務(wù)器地址，客戶機(jī)再向這臺(tái)DNS 服務(wù)器提交請(qǐng)求，依次循環(huán)直到返回查詢的結(jié)果

為止。

3）DNS 查詢流程

（1）DNS 域名解析工作原理

<1> 客戶機(jī)提交域名解析請(qǐng)求，并將該請(qǐng)求發(fā)送給本地的域名服務(wù)器。

<2> 當(dāng)本地的域名服務(wù)器收到請(qǐng)求后，就先查詢本地的緩存。如果有查詢的DNS 信息記錄，則直

接返回查詢的結(jié)果。如果沒(méi)有該記錄，本地域名服務(wù)器就把請(qǐng)求發(fā)給根域名服務(wù)器。

<3> 根域名服務(wù)器再返回給本地域名服務(wù)器一個(gè)所查詢域的頂級(jí)域名服務(wù)器的地址。

<4> 本地服務(wù)器再向返回的域名服務(wù)器發(fā)送請(qǐng)求。

<5> 接收到該查詢請(qǐng)求的域名服務(wù)器查詢其緩存和記錄，如果有相關(guān)信息則返回客戶機(jī)查詢結(jié)

果，否則通知客戶機(jī)下級(jí)的域名服務(wù)器的地址。

<6> 本地域名服務(wù)器將查詢請(qǐng)求發(fā)送給返回的DNS 服務(wù)器。

<7> 域名服務(wù)器返回本地服務(wù)器查詢結(jié)果（如果該域名服務(wù)器不包含查詢的DNS 信息，查詢過(guò)程

將重復(fù)<6>、<7>步驟，直到返回解析信息或解析失敗的回應(yīng)）。

<8> 本地域名服務(wù)器將返回的結(jié)果保存到緩存，并且將結(jié)果返回給客戶機(jī)。

（2）域名解析實(shí)例

假設(shè)客戶機(jī)使用電信ADSL 接入Internet ，電信為其分配的DNS 服務(wù)器地址為219.141.140.10，

域名解析過(guò)程如下哈~

<1> 客戶機(jī)向本地的域名服務(wù)器219.141.140.10發(fā)送解析www.google.com 請(qǐng)求。

<2> 當(dāng)本地的域名服務(wù)器收到請(qǐng)求后，就先查詢本地的緩存。如果有查詢的DNS 信息記錄，則直接返回查詢的結(jié)果。如果沒(méi)有該記錄，本地域名服務(wù)器就把解析www.google.com 請(qǐng)求發(fā)給根域

名服務(wù)器。

<3> 根域名服務(wù)器收到請(qǐng)求后，根據(jù)完全正式域名FQDN ，判斷該域名屬于com 域，查詢所有的

com 域DNS 服務(wù)器的信息，并返回給本地域名服務(wù)器。

<4> 本地域名服務(wù)器219.141.140.10收到回應(yīng)后，先保存返回的結(jié)果，再選擇一臺(tái)com 域的域

名服務(wù)器，向其提交解析域名www.google.com 的請(qǐng)求。

<5> com域名服務(wù)器接收到該查詢請(qǐng)求后，判斷該域名屬于google.com 域，通過(guò)查詢本地的記

錄，列出管理google 域的域名服務(wù)器信息，然后將查詢結(jié)果返回給本地的域名服務(wù)器

219.141.140.10。

<6> 本地域名服務(wù)器219.141.140.10收到回應(yīng)后，先緩存返回的結(jié)果，再向google.com 域的服

務(wù)器發(fā)出請(qǐng)求解析域名www.google.com 的數(shù)據(jù)包。

<7> 域名服務(wù)器google.com 收到請(qǐng)求后，查詢DNS 記錄中的www 主機(jī)的信息，并將結(jié)果返回給

本地服務(wù)器219.141.140.10。

<8> 本地域名服務(wù)器將返回的查詢結(jié)果保存到緩存，并且將結(jié)果返回給客戶機(jī)。

1.7 正向解析與反向解析

1）正向解析

正向解析是指域名到IP 地址的解析過(guò)程。

2）反向解析

反向解析是從IP 地址到域名的解析過(guò)程。反向解析的作用為服務(wù)器的身份驗(yàn)證。

1.8 資源記錄

為了將名字解析為IP 地址，服務(wù)器查詢它們的區(qū)（又叫DNS 數(shù)據(jù)庫(kù)文件或簡(jiǎn)單數(shù)據(jù)庫(kù)文件）。區(qū)中包含組成相關(guān)DNS 域資源信息的資源記錄（RR ）。例如，某些資源記錄把友好名字映射成

IP 地址，另一些則把IP 地址映射到友好名字。

某些資源記錄不僅包括DNS 域中服務(wù)器的信息，還可以用于定義域，即指定每臺(tái)服務(wù)器授權(quán)了哪

些域，這些資源記錄就是SOA 和NS 資源記錄。

1）SOA 資源記錄

每個(gè)區(qū)在區(qū)的開(kāi)始處都包含了一個(gè)起始授權(quán)記錄（Start of Authority Record ）, 簡(jiǎn)稱SOA 記錄。SOA 定義了域的全局參數(shù)，進(jìn)行整個(gè)域的管理設(shè)置。一個(gè)區(qū)域文件只允許存在唯一的SOA 記錄。

2）NS 資源記錄

名稱服務(wù)器（NS ）資源記錄表示該區(qū)的授權(quán)服務(wù)器，它們表示SOA 資源記錄中指定的該區(qū)的主和

輔助服務(wù)器，也表示了任何授權(quán)區(qū)的服務(wù)器。每個(gè)區(qū)在區(qū)根處至少包含一個(gè)NS 記錄。

3）A 資源記錄

地址（A ）資源記錄把FQDN 映射到IP 地址，因而解析器能查詢FQDN 對(duì)應(yīng)的IP 地址。

4）PTR 資源記錄

相對(duì)于A 資源記錄，指針（PTR ）記錄把IP 地址映射到FQDN 。

5）CNAME 資源記錄

規(guī)范名字（CNAME ）資源記錄創(chuàng)建特定FQDN 的別名。用戶可以使用CNAME 記錄來(lái)隱藏用戶網(wǎng)絡(luò)的

實(shí)現(xiàn)細(xì)節(jié)，使連接的客戶機(jī)無(wú)法知道。

6）MX 資源記錄

郵件交換（MX ）資源記錄為DNS 域名指定郵件交換服務(wù)器。郵件交換服務(wù)器是為DNS 域名處理或轉(zhuǎn)發(fā)郵件的主機(jī)。處理郵件指把郵件投遞到目的地或轉(zhuǎn)交另一不同類型的郵件傳送者。轉(zhuǎn)發(fā)郵件指把郵件發(fā)送到最終目的服務(wù)器，用簡(jiǎn)單郵件傳輸協(xié)議SMTP 把郵件發(fā)送給離最終目的地最近的

郵件交換服務(wù)器，或使郵件經(jīng)過(guò)一定時(shí)間的排隊(duì)。

DNS 理論和概念了解得差不多了，下面我們開(kāi)始DNS 安裝和配置哈~~~

2 安裝DNS 服務(wù)

2.1 BIND簡(jiǎn)介

BIND 全稱為Berkeley Internet Name Domain(伯克利因特網(wǎng)名稱域系統(tǒng)) 。BIND 主要有三個(gè)版

本：BIND4、BIND8、BIND9。

BIND8融合了許多提高效率、穩(wěn)定性和安全性的技術(shù)，而BIND9增加了一些超前的理念：IPv6

支持、公開(kāi)密鑰加密、多處理器支持、線程安全操作、增量區(qū)傳送等等。

2.2 DNS所需軟件

bind-9.3.3-10.el5.i386.rpm ：該包為DNS 服務(wù)的主程序包。服務(wù)器端必須安裝該軟件包，后面

的數(shù)字為版本號(hào)。

bind-utils-9.3.3-10.el5.i386.rpm ：該包為客戶端工具，默認(rèn)安裝，用于搜索域名指令。

2.3 DNS的安裝

首先我們來(lái)看下RHEL5預(yù)裝了哪些包哈，rpm -qa | grep bind

下面我們使用rpm 命令安裝bind 主程序包

查看下效果

3 DNS常規(guī)服務(wù)器配置

一個(gè)比較簡(jiǎn)單的DNS 服務(wù)器設(shè)置流程主要分為以下三步哈：

1）建立主配置文件named.conf ，該文件的最主要目的是設(shè)置DNS 服務(wù)器能夠管理哪些區(qū)域（Zone ）

以及這些區(qū)域所對(duì)應(yīng)的區(qū)域文件名和存放路徑。

2）建立區(qū)域文件，按照named.conf 文件中指定的路徑建立區(qū)域文件，該文件主要記錄該區(qū)域內(nèi)

的資源記錄。例如：www.51cto.com 對(duì)應(yīng)的IP 地址為211.103.156.229。

3）重新加載配置文件或重新啟動(dòng)named 服務(wù)使用配置生效。

下面我們來(lái)看一個(gè)具體實(shí)例哈~~~

1）客戶端需要獲得www.michael.com 這臺(tái)主機(jī)所對(duì)應(yīng)的IP 地址，將查詢請(qǐng)求發(fā)送給DNS 服務(wù)器。

2）服務(wù)器接收到請(qǐng)求后，查詢主配置文件named.conf ，檢查是否能夠管理michael.com 區(qū)域。而named.conf 中記錄著能夠解析michael.com 區(qū)域，并提供michael.com 區(qū)域文件所在路徑及

文件名。

3）服務(wù)器則根據(jù)named.conf 文件中提供的路徑和文件名找到michael.com 區(qū)域所對(duì)應(yīng)的配置文

件，并從中找到www.michael.com 主機(jī)所對(duì)應(yīng)的IP 地址。

4）將查詢結(jié)果反饋給客戶端，完成整個(gè)查詢過(guò)程。

3.1 主配置文件named.conf

named.conf 是BIND 的核心配置文件，它包含了BIND 的基本配置，但其并不包括區(qū)域數(shù)據(jù)。named.conf 文件定義了DNS 服務(wù)器的工作目錄所在位置，所有的區(qū)域數(shù)據(jù)文件都存放在該目錄中，該文件還定義了DNS 服務(wù)器能夠管理哪些區(qū)域，如果DNS 服務(wù)器可以管理某個(gè)區(qū)域，它將完

成該區(qū)域內(nèi)的域名解析工作。

如果沒(méi)有安裝caching-nameserver-9.3.3-10.el5.i386.rpm 包，則我們需要手動(dòng)建立

named.conf 文件，為了便于管理，通常把該文件建立在/etc目錄下哈~

當(dāng)手動(dòng)建立好named.conf 文件后，此文件是空白滴，和其他配置文件差不多，named.conf 配置

文件分為整體和局部?jī)蓚€(gè)部分。

區(qū)域名為服務(wù)器要管理區(qū)域的名稱，如果添加了一個(gè)區(qū)域，并且該區(qū)域存在相應(yīng)資源記錄，那么

DNS 服務(wù)器就可以解析該區(qū)域的DNS 信息。

type 字段指定區(qū)域的類型，對(duì)于區(qū)域的管理至關(guān)重要，一共分為六種：

Master ：主DNS 服務(wù)器：擁有區(qū)域數(shù)據(jù)文件，并對(duì)此區(qū)域提供管理數(shù)據(jù)

Slave ：輔助DNS 服務(wù)器：擁有主DNS 服務(wù)器的區(qū)域數(shù)據(jù)文件的副本，輔助DNS 服務(wù)器會(huì)從主DNS

服務(wù)器同步所有區(qū)域數(shù)據(jù)。

Stub ：stub 區(qū)域和slave 類似，但其只復(fù)制主DNS 服務(wù)器上的NS 記錄而不像輔助DNS 服務(wù)器會(huì)

復(fù)制所有區(qū)域數(shù)據(jù)。

Forward ：一個(gè)forward zone 是每個(gè)域的配置轉(zhuǎn)發(fā)的主要部分。一個(gè)zone 語(yǔ)句中的type forward 可以包括一個(gè)forward 和/或forwarders 子句，它會(huì)在區(qū)域名稱給定的域中查詢。如果沒(méi)有forwarders 語(yǔ)句或者forwarders 是空表，那么這個(gè)域就不會(huì)有轉(zhuǎn)發(fā)，消除了options 語(yǔ)句中有

關(guān)轉(zhuǎn)發(fā)的配置。

Hint ：根域名服務(wù)器的初始化組指定使用線索區(qū)域hint zone ，當(dāng)服務(wù)器啟動(dòng)時(shí)，它使用根線索來(lái)查找根域名服務(wù)器，并找到最近的根域名服務(wù)器列表。如果沒(méi)有指定class IN的線索區(qū)域，

服務(wù)器使用編譯時(shí)默認(rèn)的根服務(wù)器線索。不是IN 的類別沒(méi)有內(nèi)置的默認(rèn)線索服務(wù)器。

Delegation-only ：用于強(qiáng)制區(qū)域的delegation .ly狀態(tài)。

3.2 配置正向解析區(qū)域

授權(quán)DNS 服務(wù)器管理michael.com 區(qū)域，并把該區(qū)域的區(qū)域文件命名為michael.com

1）建立主配置文件named.conf

vim /etc/named.conf

directory 路徑名：用于定義服務(wù)器的工作目錄，該目錄存放區(qū)域數(shù)據(jù)文件。配置文件中所有

相對(duì)路徑的路徑名都基于此目錄。如果沒(méi)有指定，默認(rèn)的是BIND 啟動(dòng)的目錄。

2）建立michael.com 區(qū)域文件

vim /var/named/michael.com

3.3 配置反向解析區(qū)域

1) 添加反向解析區(qū)域

vim /etc/named.conf

2）建立反向區(qū)域文件

vim /var/named/named.0.168.192

3）測(cè)試

3.4 區(qū)域文件與資源記錄

區(qū)域文件實(shí)際上就是DNS 的數(shù)據(jù)庫(kù)，而資源記錄就是數(shù)據(jù)庫(kù)中的數(shù)據(jù)。這些數(shù)據(jù)其中包括多種記錄類型，比如SOA 、NS 、A 記錄等等，這些記錄統(tǒng)稱為資源記錄。如果沒(méi)有資源記錄那么DNS 服

務(wù)器將無(wú)法為客戶端提供域名解析服務(wù)。

3.5 SOA資源記錄

SOA 資源記錄為起始授權(quán)機(jī)構(gòu)記錄，是最重要、最常用的一種資源記錄。區(qū)域以服務(wù)器授權(quán)機(jī)構(gòu)的概念為基礎(chǔ)。當(dāng)DNS 服務(wù)器配置成加載區(qū)域時(shí)，其使用SOA 和NS 兩種資源記錄來(lái)確定區(qū)域的

授權(quán)屬性。

SOA 和NS 資源記錄在區(qū)域配置中具有特殊作用，它們是任何區(qū)域都需要的記錄并且一般是文件

中列出的第一個(gè)資源記錄。

起始授權(quán)機(jī)構(gòu)SOA 資源記錄總是處于任何標(biāo)準(zhǔn)區(qū)域中的第一位。它表示最初創(chuàng)建它的DNS 服務(wù)器或現(xiàn)在是該區(qū)域的主服務(wù)器的DNS 服務(wù)器。它還用于存儲(chǔ)會(huì)影響區(qū)域更新或過(guò)期的其他屬性，比如版本信息和計(jì)時(shí)。這些屬性會(huì)影響在該區(qū)域的域名服務(wù)器之間進(jìn)行同步數(shù)據(jù)的頻繁程度。

SOA 資源記錄語(yǔ)法格式：

區(qū)域名（當(dāng)前） 記錄類型 SOA 主域名服務(wù)器（FQDN ） 管理員郵件地址 （序列號(hào) 刷新間隔 重

試間隔 過(guò)期間隔 TTL）

SOA 資源記錄字段：

主域名服務(wù)器：區(qū)域的主DNS 服務(wù)器的FQDN

管理員：管理區(qū)域的負(fù)責(zé)人的電子郵件。在該電子郵件名稱中使用英文句號(hào)“.”代替at 符號(hào)

“@”。

序列號(hào)：該區(qū)域文件的修訂版本號(hào)。每次區(qū)域中的資源記錄改變時(shí)，這個(gè)數(shù)字便會(huì)增加，每次區(qū)域改變時(shí)增加這個(gè)值非常重要，它使部分區(qū)域改動(dòng)或完全修改的區(qū)域都可以在后續(xù)傳輸中復(fù)制到

其他輔助DNS 服務(wù)器上。

刷新間隔：以秒計(jì)算的時(shí)間，輔助DNS 服務(wù)器請(qǐng)求與源服務(wù)器同步的等待時(shí)間。當(dāng)刷新間隔到期時(shí)，輔助DNS 服務(wù)器請(qǐng)求源服務(wù)器的SOA 記錄副本，然后輔助DNS 服務(wù)器將源服務(wù)器的SOA 記錄的序列號(hào)與其本地SOA 記錄的序列號(hào)相比較，如果二者不同，則輔助DNS 服務(wù)器從主DNS 服務(wù)器

請(qǐng)求區(qū)域傳輸。這個(gè)域的默認(rèn)時(shí)間是900秒（15分鐘）。

重試間隔：以秒計(jì)算時(shí)間，輔助DNS 服務(wù)器在請(qǐng)求區(qū)域傳輸失敗后，等待多長(zhǎng)時(shí)間再次請(qǐng)求區(qū)域

傳輸時(shí)間。通常，這個(gè)時(shí)間短于刷新間隔。默認(rèn)值為600秒（10分鐘）。

過(guò)期間隔：以秒計(jì)算時(shí)間，當(dāng)這個(gè)時(shí)間到期時(shí)，如果輔助DNS 服務(wù)器還無(wú)法與源服務(wù)器進(jìn)行區(qū)域傳輸，則輔助DNS 服務(wù)器會(huì)把它的本地?cái)?shù)據(jù)當(dāng)作不可靠數(shù)據(jù)。默認(rèn)值為86400秒（24小時(shí)）。 最小（默認(rèn)）TTL ：區(qū)域的默認(rèn)生存時(shí)間（TTL ）和緩存否定應(yīng)答名稱查詢的最大間隔。默認(rèn)值為

3600秒（1小時(shí)）。

3.6 NS記錄

用于指定一個(gè)區(qū)域的權(quán)威DNS 服務(wù)器，通過(guò)在NS 資源記錄中列出服務(wù)器的名字，其他主機(jī)就認(rèn)為它是該區(qū)域的權(quán)威服務(wù)器。這意味著在NS 資源記錄中指定的任何服務(wù)器都被其他服務(wù)器當(dāng)作

權(quán)威的來(lái)源并且能應(yīng)答區(qū)域內(nèi)所含名稱的查詢。

NS 資源記錄語(yǔ)法格式：

區(qū)域名 IN NS 完整主機(jī)名（FQDN ）

3.7 A資源記錄

A 資源記錄是使用最為頻繁的一種，通常用于將指定的主機(jī)名稱解析為它們對(duì)應(yīng)的IP 地址。

A 資源記錄語(yǔ)法格式：

完整主機(jī)名（FQDN ） IN A IP地址

3.8 DNS應(yīng)用案例I

技術(shù)部所在域?yàn)椤皌ech.org”，部門內(nèi)有三臺(tái)主機(jī)，主機(jī)名分別是

client1.tech.org,client2.tech.org,client3.tech.org 。現(xiàn)要求DNS 服務(wù)器dns.tech.org 可

以解析3臺(tái)主機(jī)名和IP 地址的對(duì)應(yīng)關(guān)系。

分析：此案例是DNS 搭建的最基本配置。在搭建之前整理好設(shè)定流程。首先在服務(wù)器上建立主配置文件，設(shè)置設(shè)置可以解析“tech.org”區(qū)域。然后建立“tech.org”的區(qū)域文件，并在區(qū)域文

件中設(shè)置SOA 、NS 以及A 資源記錄。最后配置客戶端。

1）建立主配置文件named.conf

touch /etc/named.conf

2）設(shè)置named.conf 文件并添加“tech.org”區(qū)域

3）建立“tech.org”的區(qū)域文件

touch /var/named/tech.org

4）配置“tech.org”區(qū)域文件并添加資源記錄

（1）定義@變量的值，通常定義為本區(qū)域。

（2）定義資源記錄在緩存的存放時(shí)間

（3）設(shè)置SOA 記錄，注意root 表示管理員的郵件地址，本應(yīng)該表示為

[email=“root@tech.org]“root@tech.org[/email].”,但是這是不能使用“@”符號(hào)，因?yàn)椤癅”在這里表示區(qū)域哈~~所以需要用“.”來(lái)代替它。表示“root.tech.org.”，可以簡(jiǎn)寫成

“root”。

（4）設(shè)置NS 記錄。

（5）設(shè)置A 記錄。