Bind配置檢查

1、bind常見問題集iju w 編輯站長網(wǎng) ()編輯來源網(wǎng)()berkeley internert name domain (bind)是我們所熟知的域名軟件，它具有廣泛的使用基礎(chǔ)internet:! 的絕大多數(shù)dns服務器都是基于這個軟件的。bind目前i isc (internet software consortium)負責維護,具體的開 發(fā)由nominum(wnv. nominum. com)公司來完成。下面編譯的這個常見問題集就是山該公司所發(fā)布的(同時也見于 http：/www. isc. org/bind),可以說，它具有較強的針對性和實用性。1) 哪里可以找到btnd?bind以源

2、碼的格式發(fā)布。當前的版本為bind 9,不過bind & 2. 2-p5仍然是廣泛發(fā)布的版本。考慮到早期 版木的安金問題，如果您還在運行比8. 2. 2-p5更早的版本，那么我們強烈推薦您升級軟件。以下的url包插了源碼和其他相關(guān)資源的鏈接，你可能會覺得很冇用處：http:/ww. isc. org/products/btnd/源碼也可以使用 ftp 從 ftp:/ftp. isc. org/isc/bind/src/8. 2. 2-p5/bind-src. tar. gz 獲得。鏡像bind的ftp服務器列表和其它1sc維護的開發(fā)源碼軟件可以在ftp:/ftp. isc. org/i

3、sc/mlrrors上找 到。2) 怎樣安裝btnd?下載源碼到一個空的h錄。如果你需要的話，你也可以下載文檔和捆綁的包。接下來,你需要解壓(unzip)和解包(untar)發(fā)布的包。gunzip < bind-src.tar. gz | tar xf -然后，你需要編譯和安裝軟件。常見src/lnstall以獲知指令。在安裝z前鉆備份系統(tǒng)，因為安裝可能會 覆蓋舊的二進制代碼；這是依賴于系統(tǒng)的。如果你是從bind 4轉(zhuǎn)過來的，那么你需要將配置文件named, boot轉(zhuǎn)成新的語法。這里包含了一個轉(zhuǎn)換程 序。ncimed-bootco nf< /etc/namcd. boot>

4、 /etc/named, conf同時，如果你正從bind 4轉(zhuǎn)換而來，那么系統(tǒng)啟動腳木需要進行修改，以使z査找/etc/named. conf,而 不是/etc/named, boot。接著，你需要終止老的named并啟動新的。kill -termndc start檢查系統(tǒng)n志(在大多數(shù)unix系統(tǒng)上，錯誤都存放在/var/adm/messages中)，因為當前的版本比先前的 版本容錯性會差一些。3) 哪里有基于nt的bind?最新的基于nt 的 btnd 可以從 ftp:/ftp. isc. org/i sc/bind/src/8. 2. 2 p5/bind src. tar. gz 上的

5、8. 2. 2p5 源碼中找到。你應該能夠使用winzip來解壓/解包82. 2p5文件。一旦解壓了源碼,你會在src/port/winnt目錄下 找到nt的移植程序。你需要visual c+ 6.0來編譯它。4）哪里可以找到有關(guān)bind的信息？先從 http:/www. isc. org/products/bind/jf始。對于bind用戶，有一個可用的郵件列表。使用http:/www isc org/services/public/lists/bind-lists html 二|的表單訂閱。在你提交你的問題到郵件列表z詢，請檢查郵件列表的檔案以查看是否你的問題已經(jīng)回答過了。 可搜索的bin

6、d-users 郵件列表檔案位于 http:/www. isc. org/ml-archives/bind-users/0bind-users郵件列表同時指向了中等的usenet新聞組comp, protocols, dns. bin.你可以在htap:/wvw. deja. com/_t搜索該新聞組。bind 的"圣經(jīng)"是 dns tind bind, third edition,作者:paul albitz 和 cricket liu。5）為什么我應該升級bind到最新的版木？最新的bind版本解決了在以前版本屮發(fā)現(xiàn)的bug和/或安全漏洞。6）我現(xiàn)在使用的是btnd的什

7、么版本？有兒種方法可用來確定你正在使用什么版本的biud。請注懣有一些是針對于特定操作系統(tǒng)的，而其它一些 不能在早于4. 9. 5的bind版本上工作。我們會在下面的描述中指明這些限制。最簡單的告知版本號的方法是查找named啟動時寫到系統(tǒng)日志文件屮的消息。例如：jul 14 12:54:21 ns named15677: starting, named 8. 2. 2-p5jul 14 12:54:21 hostmastcrnslnominumcom:/usr/sbin/named rained帶開關(guān)會顯示版木：# named -vnamed 8.2.2-p5 thu jul 20 17:1

8、9:57 pdt 2000hostmaster®nsl nominum. com:/usr/sbin/named當使川更新版本的bind時,bind的name后臺守護程序的控制接口程序可以提供版本信息：ndc status源代碼控制系統(tǒng)（scss）的氣山泣"命令提供了文件的標示信息。what /named以下命令當在運行bind 4. 9. 5及以上版本的服務器上檢查時會起作用。這兩個程序都包拾在bind的發(fā)布 版本中。 ns lookup# ns lookupdefault server: ns. yourco.bogusaddress: 333. 333. 333. 3

9、33> set class=chaos> set type二txt> version. bindserver: ns. youtco bogusaddress: 333. 333. 333. 333version-bind text = "8.2.2-p5" digdig version, bind txt chaos server name或者dig server name txt chaos version, bind7) 我得到一個錯誤提示:no default ttl set using soa minimum instead.為什么會這樣?怎么辦

10、?從bind 8. 2開始，你需要一條$ttl指示來設置域的默認ttl。可在域的soa記錄之前添加一條'$ttl xxxxxx' 指示。(xxxxxx表示計算到秒的默認ttl.)8) 主機名可使用哪些有效字符？主機名可以包括字母，數(shù)字以及連字符，但不能以連字符開頭。下劃線(_)在寶機名中不是有效的字符。 盡管有一些dns服務軟件包可以允許f劃線在主機名中出現(xiàn)，但人多數(shù)是不行的。使用一個帶有下劃線的域或者主機名會 導致大多數(shù)internet ±的名字服務器不能識別相關(guān)的主機/1p地址。9) 為什么當我在本域中的一臺主機上使用nslookup時會得到non-authori

11、tative的答復？這通常發(fā)生在域(zone)文件中冇錯謀出現(xiàn)的時候。檢查系統(tǒng)口志文件* messages*以查證錯謀。10) 我已經(jīng)修改了自己的域，但是在internet ±的其它地方看不到這種改變，為什么？每當你修改了你的域文件，例如當你添加或者修改了主機記錄的時候，你也必須更新域的soa記錄的文件 版本，或者是"serial number",因為名字服務器從你的服務器檢索信息時需要知道發(fā)生了修改。如果從上次査詢z后版 本號沒冇修改，就不會執(zhí)行更新。舉例如下：;foo. com.$ttl 14400 in soasomeplace, foo. com. adm

12、in, foo. com.(1 ; this file's version change43200 ; refresh twice a day1800 ; retry refresh every 15 minutes604800 ; expire after 1000 hours (over week)259200 ) ; minimum ttl of 3 day顯而易見,帶'file's version'的行是我們想要修改的。版本序號可以為任何數(shù)字；1, 2, 3, 4或者2001,2002,2003,等等。唯一的限制是版本號不能多于10位。在這個示例中，如果

13、你對域文件作了修改，你需要將版 本序號改為't o11) 為什么沒有ip地址？在/etc/resolv. conf小沒有名字服務器記錄。12) 在我的口志文件中出現(xiàn)的"lame server"錯誤是什么？"lame server"指的是不能確信其是否具有域的授權(quán)的服務器。如果你有l(wèi)ame server,或者是授權(quán)給了 lame server 的域，那么"lame server"消息很有用。如果你寧愿不看到"lame server"消息，你口j以使用1 ogging語句丟 棄它們：logging catego

14、ry lame-servers null; ;；13) microsoft windows 2000 和 bind 的關(guān)系怎樣?bind默認會檢查所有記永以確保只在需要主機名的地方使用了主機名，這能夠防止意外的-致性問題。microsoft windows 2000使用一個稱為"_msdcs"來存放動態(tài)目錄數(shù)據(jù)。盡管這種子域不會與合法的主機名 產(chǎn)生不一致，但是也使得在了域屮存放非法的主機名成為可能。這種主機名的使用默認是被bind拒絕的。動態(tài)目錄希望在msdcs中有"全局目錄(global catalog)z，(例如，gc. msdcs. example, com

15、),這默認是拒絕 的。為了解決此問題，我們推薦動態(tài)目錄設為獨立的域(例如，msdcs. example, com")并配置成不檢查非法的主機名。 這應該是合理的，因為window 2000服務器創(chuàng)建這些數(shù)據(jù)，而且不應該會與其它希塑訪問這些數(shù)據(jù)的windows 2000機器 產(chǎn)生不一致問題。例如，zone " msdcs. example, com，(type master;file "_msdcs. example, db"check-names ignore;allow-update localnets; ;；14) 什么是 tstg key?tsig

16、 key提供了一種鑒別和驗證交換的dns數(shù)據(jù)有效性的方法，它在解析器和服務器之間或者兩臺服務器 之間使用一個密鑰。15) 我怎樣使用tstg key來動態(tài)更新我的dns?首先你需要使用以下命令生成一個tstg密鑰(我們將使用tsig-key作為密鑰文件名)：dnskeygen -h 128 -h -n tsig-keyo這會生成一對密鑰文件：'ktsig-key.+157+00000. key',這是一個 asci i 文件,它包括以下行:tsig-key. in key 513 3 157awwl0trfpge+rrkf2+deiw=和j kvip-key. +157+00000. private* ,這包括：private-key-format: vl. 2 algori thm: 157 (hmac)key: arwl0trfpge+rrkf2+deiv=你將需要獲取base64編碼的密鑰awl0trfpge+rrke2+deiw=并在配置你的服務器命名設置屮使用它。例 如：key tsig-key. algorithm hmac-md5: secret "“wwl0trfpge+rrkf2+de