Bind配置檢查--

1、bind常見問題集berkeley tnternert name domain （btnd）是我們所熟知的域名軟件,它具有廣泛的使用基礎(chǔ),internet上 的絕人多數(shù)dns服務(wù)器都是基于這個軟件的。bind目前由lsc（lnternet software consortium）負(fù)責(zé)維護，具體的開 發(fā)山nominum（ww. nominuin. com）公司來完成。卜-面編譯的這個常見問題集就是由該公司所發(fā)布的（同時也見于 http:/ww. /bind）, nj'以說，它具有較強的針對性和實用性。1）哪里可以找到btnd?bind以源碼的格式發(fā)布。當(dāng)前的版本為bind

2、9,不過bind & 2. 2-p5仍然是廣泛發(fā)布的版木?？紤]到早期 版木的安全問題，如果您還在運行比8.2.2-p5更早的版本，那么我們強烈推薦您升級軟件。以下的url包括了源碼和其他相關(guān)資源的鏈接，你可能會覺得很冇用處：http:/www. isc. org/products/bind/源碼也可以使用 ftp 從 ftp:/ftp. isc. org/isc/bind/src/8. 2. 2-p5/bind-src. tar. gz 獲得。鏡像bind的ftp服務(wù)器列表和其它isc維護的開發(fā)源碼軟件可以在ftp:/ftp. isc. org/isc/mirrors. i:找 到。2

3、）怎樣安裝btnd?下載源碼到一個空的冃錄。如果你需要的話，你也可以下載文檔和捆綁的包。接下來，你需要解壓（unzip）和解包（untar）發(fā)布的包。gunzip < bind-src.tar. gz | tar xf -然后,你需要編譯和安裝軟件。常見src/lnstall以獲知指令。在安裝z前請備份系統(tǒng)，因為安裝可能會 覆蓋舊的二進制代碼；這是依賴于系統(tǒng)的。如果你是從bind 4轉(zhuǎn)過來的，那么你需要將配置文件named, boot轉(zhuǎn)成新的語法。這里包含了 一個轉(zhuǎn)換程 序。named-bootconf< /etc/named, boot> /etc/named, conf同

4、時，如果你正從bind 4轉(zhuǎn)換而來，那么系統(tǒng)啟動腳本需要進行修改，以使之查找/etc/namcd. conf,而 不是/etc/named, boot。接著，你需要終止老的named并啟動新的。kill -termndc start檢查系統(tǒng)日志（在大多數(shù)unix系統(tǒng)上,錯誤都存放在/var/adm/messages中）,因為當(dāng)前的版本比先前的 版木容錯性會差3）哪里有某于7t的btnd?最新的基于nt 的 bind 可以從 ftp: /ftp. isc. org/isc/bind/src/8. 2. 2-p5/bind-src. tar. gz上的 8. 2. 2p5 源碼中找到。你應(yīng)該能夠使

5、用winzip來解壓/解包8.2.2p5文件。一旦解壓了源碼，你會在sre/port/winnt目錄下 找到nt的移植程序。你需耍visual c+ 6.0來編譯它。4) 哪里可以找到有關(guān)bind的信息？先從 http:/ww. isc. org/products/bind/開始。對于bhd用戶，有一個可用的郵件列表。使用http:/ww. isc. org/services/public/1 ists/bind lists, html 上的表單訂閱。在你提交你的問題到郵件列表之前，請檢查郵件列農(nóng)的檔案以查看是否你的問題已經(jīng)回答過了?？伤阉鞯腷ind-users 郵件列表檔案位于 http:/

6、ww. isc. org/nil-archives/bind-users/<>bind-users郵件列表同時指向了中等的usenet新聞組comp, protocols, dns. bin.你可以在http:/www. deja. com/上搜索該新聞組。bind 的"圣經(jīng)"是 dns and bind, third edition,作者:paul albitz 和 cricket liu。5) 為什么我應(yīng)該升級bind到最新的版木？最新的btnd版本解決了在以前版本中發(fā)現(xiàn)的bug和/或安全漏洞。6) 我現(xiàn)在使用的是bind的什么版本？有兒種方法可用來確定你正

7、在使用什么版本的bindo請注意有一些是針對于特定操作系統(tǒng)的，而其它一些不能在早于4. 9. 5的bind版本上工作。我們會在下而的描述中指明這些限制。戢簡單的告知版木號的方袪是查找named啟動時寫到系統(tǒng)日志文件中的消息。例如：jul 14 12:54:21 ns named15677: starting, named & 2. 2-p5jul 14 12:54:21 hostmastcrnsl. nominum. com:/usr/sbin/namcd named帶"-v"開關(guān)會顯示版本： named vnamed 8.2.2-p5 thu jul 20 17:

8、19:57 pdt 2000hostmaster©nsl. nominum. com:/usr/sbin/named當(dāng)使用更新版本的bind時，bind的name后臺守護程序的控制接口程序可以提供版本信息：ndc status源代碼控制系統(tǒng)(scss)的氣hat"命令提供了文件的標(biāo)示信息。what /named以下命令當(dāng)在運行bind 4. 9. 5及以上版本的服務(wù)器上檢査時會起作用。這兩個程序都包括在bind的發(fā)布 版本中。 nslookup nslookupdefault server: ns. yourco. bogusaddress: 333. 333. 333.

9、333> set class-chaos> set type=txt> version, bindserver: ns.yourco. bogusaddress: 333. 333. 333. 333version. bind text = "8. 2. 2-p5") digdig version .bind txt chaos server name或者dig server name txt chcios version, bind7) 我得到一*個錯誤提示:no default ttl set using soa minimum instead.為什么

10、會這樣?怎么辦?從bind & 2開始，你需要一條$ttl指示來設(shè)置域的默認(rèn)ttl?？稍谟虻膕oa記錄z前添加一條'$ttl xxxxxx' 指示。(xxxxxx表示計算到秒的默認(rèn)ttl.)8) 主機名可使用哪些有效字符？主機名町以包括字母，數(shù)字以及連字符，但不能以連字符開頭。下劃線(_)在主機名屮不是有效的字符。 盡管冇一些dns服務(wù)軟件包可以允許下劃線在主機名中出現(xiàn)，但人多數(shù)是不行的。使用一個帶冇下劃線的域或者主機名會 導(dǎo)致大多數(shù)internet上的名字服務(wù)器不能識別相關(guān)的主機/ip地址。9) 為什么當(dāng)我徃木域屮的一臺主機上使用ns lookup時會得到non-au

11、thori tative的答復(fù)？這通常發(fā)生在域(zone)文件屮冇錯謀出現(xiàn)的時候。檢查系統(tǒng)口志文件5 messages*以查證錯誤。10) 我已經(jīng)修改了自己的域，但是在internet ±的其它地方看不到這種改變，為什么？每當(dāng)你修改了你的域文件，例如當(dāng)你添加或者修改了主機記錄的時候，你也必須更新域的soa記錄的文件 版本，或者是"serial number",因為名字服務(wù)器從你的服務(wù)器檢索信息時需要知道發(fā)生了修改。如果從上次査詢乙后版 木號沒有修改，就不會執(zhí)行更新。舉例如下：;foo. com.$ttl 14400 in soasomeplace, foo. co

12、m. admin, foo. com.(1 ; this file* s version - change43200 ; refresh twice a day1800 ; retry refresh every 15 minutes604800 ; expire after 1000 hours (over week)259200 ) ; minimum ttl of 3 day顯而易見,帶'file's version'的行是我們想要修改的。版本序號可以為任何數(shù)字；1, 2, 3, 4或者2001, 2002,2003,等等。唯一的限制是版木號不能多于10位。在這個

13、示例屮，如果你對域文件作了修改，你需要將版 木序號改為*2*。11) 為什么沒有tp地址？在/ctc/rcsolv. conf中沒有名字服務(wù)器記錄。12) 在我的日志文件中出現(xiàn)的"lame server"錯誤是什么？"lame server"指的是不能確信其是否具冇域的授權(quán)的服務(wù)器。如果你冇lame server,或者是授權(quán)給了 lame server 的域，那么"lame server"消息很冇用。如果你寧愿不看到"lame server"消息,你可以使用logging語句丟 棄它們：logging catego

14、ry lame-servers null; ;；13) microsoft windows 2000 和 bind 的關(guān)系怎樣?bind默認(rèn)會檢査所冇記錄以確保只在需要主機名的地方使用了主機名，這能夠防止意外的一致性問題。microsoft windows 2000使用一個稱為"msdcs"來存放動態(tài)日錄數(shù)據(jù)。盡管這種了域不會與合法的主機名 產(chǎn)生不一致，但是也使得在子域中存放非法的主機名成為可能。這種主機名的使用默認(rèn)是被btnd拒絕的。動態(tài)目錄希望在_msdcs中有"全局目錄（global catalog）"（例如，gc. _msdcs. example

15、, com）,這獄認(rèn)是拒絕 的。為了解決此問題，我們推薦動態(tài)目錄設(shè)為獨立的域（例如,msdcs. example, com"）并配置成不檢査菲法的主機名。 這應(yīng)該是合理的，因為window 2000服務(wù)器創(chuàng)建這些數(shù)據(jù)，而且不應(yīng)該會與其它希望訪問這些數(shù)據(jù)的windows 2000機器產(chǎn)生不一致問題。例如，zone " ms des. example, com" type master;file " msdes. example. db，z;check-names ignore;allow-update localnets; ;；14）什么是 tstg ke

16、y?tsig key捉供了一種鑒別和驗證交換的dns數(shù)據(jù)有效性的方法，它在解析器和服務(wù)器之間或者兩臺服務(wù)器 之間使川一個密 鑰。15）我怎樣使用tstg key來動態(tài)更新我的dns?首先你需要使用以下命令生成一個tstg密鑰（我們將使用tsig-key作為密鑰文件名）：dnskeygen -h 128 -h -n tsig-keyo這會生成一對密鑰文件：'ktsig-key. +157+00000. key',這是一個 ascii 文件,它包括以下行:tsig-key. tn key 513 3 157awl0trfpge+rrke2+deiw=和j kvip-kev. +157+00000. private，,這包括：private-key-format: vl. 2 algorithm: 157 （1imac）key: awwl0trfpge+rrkf2+deiw=你將需要獲取base64編碼的密鑰awi.0trfpge » rrkf2 >dei w=并在配置你的服務(wù)器命名設(shè)置中使用它。例 如：key tsig-key. algorithm hmac-md5; secret "awwl0trfpge+rrkf2+deiv二二"；