Linux系統(tǒng)管理及應(yīng)用項(xiàng)目式教程（RHEL9CentOSStream9）（微課版）（第2版） 課件 項(xiàng)目12 配置DNS服務(wù)器（第2版）

隨著數(shù)字化轉(zhuǎn)型的加速推進(jìn)，公司上線了文件管理系統(tǒng)、人力資源管理平臺(tái)等業(yè)務(wù)系統(tǒng)，降低了運(yùn)營成本，提高了管理效率。當(dāng)下，公司迫切需要部署一組域名服務(wù)器，以便為這些業(yè)務(wù)系統(tǒng)提供域名服?務(wù)。部門經(jīng)理大路決定搭建一組主、輔架構(gòu)的DNS服務(wù)器。其中，主DNS服務(wù)器為公司內(nèi)部各業(yè)務(wù)系統(tǒng)提供域名解析服務(wù)，另一臺(tái)輔助DNS服務(wù)器為主DNS服務(wù)器提供容錯(cuò)功能，當(dāng)主DNS服務(wù)器響應(yīng)失敗時(shí)，由輔助DNS服務(wù)器提供域名解析服?務(wù)。大路決定借此機(jī)會(huì)鍛煉小喬，安排她負(fù)責(zé)搭建此主、輔架構(gòu)DNS服務(wù)器，對(duì)公司域名下各業(yè)務(wù)系統(tǒng)的子域名進(jìn)行解?析。具有愛國情結(jié)和社會(huì)責(zé)任感。掌握DNS服務(wù)器的安裝與配置了解域名空間的概?念。了解DNS服務(wù)器的類型、域名解析的工作原?理會(huì)使用測試命令測試DNS服務(wù)?器。會(huì)配置主、輔架構(gòu)DNS服務(wù)?器。1了解DNS服務(wù)器的工作原理2安裝與配置DNS服務(wù)器3配置DNS客戶端12.1了解DNS服務(wù)器的工作原理12.1.1了解域名空間和DNS服務(wù)器的類型DNS服務(wù)是實(shí)現(xiàn)域名與IP地址之間轉(zhuǎn)換的網(wǎng)絡(luò)服務(wù)，使用DNS服務(wù)，在訪問網(wǎng)站時(shí)不再需要輸入難記的IP地址，只需知道要訪問的網(wǎng)站的域名即?可。1．域名空間互聯(lián)網(wǎng)中眾多的域名組成了一個(gè)巨大的域名空間，按照域名的分層機(jī)制，可以把域名空間看作一棵倒置的樹。樹的每一棵子樹都代表一個(gè)域（Domain），在域名空間頂端的是根域。根域的下一層為頂級(jí)域，也稱為一級(jí)域，常見的頂級(jí)域名有.com、.net、.org等。每個(gè)頂級(jí)域又可以進(jìn)一步劃分為不同的二級(jí)域，二級(jí)域還可以劃分為子域。子域下面可以是主機(jī)，也可以繼續(xù)劃分子域，直到底層是主機(jī)，如圖12-1所?示。域名空間中的每個(gè)域由域名表示，域名通常由一個(gè)完全限定域名（FullyQualifiedDomainName，F(xiàn)QDN）標(biāo)識(shí)，F(xiàn)QDN的格式是從底層節(jié)點(diǎn)到頂層根域反向書寫，并將每個(gè)節(jié)點(diǎn)用.分隔。例如，主機(jī)名是www，域名是，那么該主機(jī)的FQDN表示為。一個(gè)DNS域可以包含主機(jī)或子域，例如，在圖12-1所示的域名空間結(jié)構(gòu)中，ryjiaoyu是.com域的子域，它使用域名表示為；www是ryjiaoyu域中的主機(jī)，可以使用域名表?示。12.1.1了解域名空間和DNS服務(wù)器的類型

圖12-1域名空間的結(jié)構(gòu)12.1.1了解域名空間和DNS服務(wù)器的類型2．DNS服務(wù)器的類型DNS服務(wù)器是保持和維護(hù)域名空間中數(shù)據(jù)的程序。由于域名服務(wù)是分布式的，為了便于管理，對(duì)域名空間進(jìn)行劃分，將一個(gè)域中的一個(gè)子域或由具有上下隸屬關(guān)系的多個(gè)子域組成的范圍稱為區(qū)域（Zone）。因此，一個(gè)域可能被劃分為多個(gè)區(qū)?域。DNS服務(wù)器是通過區(qū)域來管理域名空間的，當(dāng)一個(gè)DNS服務(wù)器管理某個(gè)區(qū)域時(shí)，它是該區(qū)域的權(quán)威DNS服務(wù)?器。根據(jù)用途不同，DNS服務(wù)器分為4種類?型。（1）主DNS服務(wù)?器。主DNS（MasterDNS）服務(wù)器負(fù)責(zé)維護(hù)所管轄區(qū)域的域名信息。對(duì)于一個(gè)區(qū)域來說，主DNS服務(wù)器是唯一存在的，主DNS服務(wù)器中保存了該區(qū)域的數(shù)據(jù)庫文?件。（2）輔助DNS服務(wù)?器。輔助DNS（SlaveDNS）服務(wù)器用于分擔(dān)主DNS服務(wù)器的負(fù)載，加快查詢速度。啟動(dòng)輔助DNS服務(wù)器時(shí)，它會(huì)與主DNS服務(wù)器建立聯(lián)系，并從中復(fù)制信息。輔助DNS服務(wù)器會(huì)定期更新原有信息，盡可能地保證副本與原始數(shù)據(jù)的一致性。由于輔助DNS服務(wù)器中的區(qū)域數(shù)據(jù)庫文件是從主DNS服務(wù)器中傳送過來的，因此輔助DNS服務(wù)器不需要配置自己的區(qū)域數(shù)據(jù)庫文?件。12.1.1了解域名空間和DNS服務(wù)器的類型（3）轉(zhuǎn)發(fā)DNS服務(wù)?器。轉(zhuǎn)發(fā)DNS服務(wù)器對(duì)于自己無法解析的請(qǐng)求，可以向其他DNS服務(wù)器轉(zhuǎn)發(fā)解析請(qǐng)求。DNS服務(wù)器收到客戶端的解析請(qǐng)求后，首先嘗試從本地?cái)?shù)據(jù)庫中查找，若沒有找到，則需要向其他DNS服務(wù)器轉(zhuǎn)發(fā)解析請(qǐng)求；其他DNS服務(wù)器完成解析后返回解析結(jié)果，轉(zhuǎn)發(fā)DNS服務(wù)器將解析結(jié)果放入自己的DNS緩存中，并向客戶端返回解析結(jié)果。在緩存期內(nèi)，如果客戶端請(qǐng)求解析相同的域名，轉(zhuǎn)發(fā)DNS服務(wù)器就能立即回應(yīng)客戶?端。（4）緩存DNS服務(wù)?器。緩存DNS服務(wù)器主要用于提供域名解析的緩存。緩存DNS服務(wù)器是一種既不管理任何區(qū)域，又不負(fù)責(zé)域名解析的DNS服務(wù)器，它可以查詢其他DNS服務(wù)器獲得的解析記錄，并將該解析記錄放在自己的緩存中，為客戶端提供解析記錄查詢，以提高下次解析相同域名的效率。緩存DNS服務(wù)器不是權(quán)威的服務(wù)器，因?yàn)樗峁┑乃行畔⒍际情g接信?息。12.1.2掌握DNS查詢模式當(dāng)客戶端通過域名訪問互聯(lián)網(wǎng)上的某一臺(tái)主機(jī)時(shí)，客戶端首先向本地DNS服務(wù)器查詢對(duì)方的IP地址，如果在本地DNS服務(wù)器中無法查詢到結(jié)果，則本地DNS服務(wù)器繼續(xù)向另外一臺(tái)DNS服務(wù)器查詢，直到得出結(jié)果，這一過程稱為DNS查?詢。常見的查詢模式有遞歸查詢和迭代查?詢。1．遞歸查詢遞歸查詢用于客戶端向DNS服務(wù)器查詢。如果客戶端查詢的本地DNS服務(wù)器不知道被查詢域名的IP地址，本地DNS服務(wù)器就以DNS客戶端的身份，向其他DNS服務(wù)器繼續(xù)發(fā)出查詢請(qǐng)求（即替客戶端繼續(xù)查詢），而不是讓客戶端自己進(jìn)行下一步查詢。因此，遞歸查詢返回的查詢結(jié)果是所要查詢域名的IP地址，或者一個(gè)失敗的響應(yīng)，表示無法查詢到結(jié)?果。12.1.2掌握DNS查詢模式2．迭代查詢迭代查詢用于DNS服務(wù)器向其他DNS服務(wù)器查詢。當(dāng)根域名服務(wù)器收到本地DNS服務(wù)器發(fā)出的迭代查詢請(qǐng)求時(shí)，要么給出所要查詢的IP地址，要么告訴本地DNS服務(wù)器下一步應(yīng)當(dāng)向哪一個(gè)DNS服務(wù)器查詢，然后本地DNS服務(wù)器進(jìn)行后續(xù)的查詢。根域名服務(wù)器通常是把自己已知的頂級(jí)域名服務(wù)器的IP地址告訴本地DNS服務(wù)器，讓本地DNS服務(wù)器向頂級(jí)域名服務(wù)器發(fā)送查詢請(qǐng)求。頂級(jí)域名服務(wù)器收到本地DNS服務(wù)器的查詢請(qǐng)求后，要么給出所要查詢的IP地址，要么告訴本地DNS服務(wù)器下一步應(yīng)當(dāng)向哪個(gè)二級(jí)域名服務(wù)器發(fā)送查詢請(qǐng)求，以此類推，直到查詢到所需信息或返回查詢失敗響?應(yīng)。提示

：

DNS服務(wù)采用分布式結(jié)構(gòu)保存區(qū)域DNS數(shù)據(jù)信息，客戶端實(shí)際的查詢順序一般依次為本地hosts文件（/etc/hosts文件）、本地DNS服務(wù)器、向其他DNS服務(wù)器發(fā)起DNS查?詢。12.1.3掌握域名解析的工作原理假設(shè)客戶端已配置了本地DNS服務(wù)器的相關(guān)信息，該客戶端使用域名訪問網(wǎng)站，現(xiàn)在需要將域名解析為IP地址。DNS域名解析的工作過程如圖12-2所?示。圖12-2DNS域名解析的工作過程12.1.3掌握域名解析的工作原理①

客戶端向本地DNS服務(wù)器發(fā)送解析域名的請(qǐng)?求。②

本地DNS服務(wù)器無法解析此域名，將其轉(zhuǎn)發(fā)給根域名服務(wù)?器。③

根域名服務(wù)器管理.com、.net、.org等頂級(jí)域名的解析過程，它根據(jù)收到的請(qǐng)求，返回.com域的DNS服務(wù)器地?址。④

本地DNS服務(wù)器向.com域的DNS服務(wù)器發(fā)出解析請(qǐng)?求。⑤.com域的DNS服務(wù)器返回域的DNS服務(wù)器地?址。⑥

本地DNS服務(wù)器再向域的DNS服務(wù)器發(fā)出解析請(qǐng)求，在域的DNS服務(wù)器上查詢到域名對(duì)應(yīng)的IP地?址。⑦

域的DNS服務(wù)器將域名解析結(jié)果返回給本地DNS服務(wù)?器。⑧

本地DNS服務(wù)器將域名解析結(jié)果返回給客戶端，使客戶端能訪問網(wǎng)?站。12.1.4理解DNS解析類型部署DNS服務(wù)器時(shí)，必須考慮DNS解析類型，從而決定DNS服務(wù)器要配置的功能。DNS解析類型可以分為正向解析與反向解?析。1．正向解析正向解析是指根據(jù)域名解析出對(duì)應(yīng)的IP地址，它是DNS服務(wù)器的主要功?能。2．反向解析反向解析是通過IP地址解析出對(duì)應(yīng)的域名，用于對(duì)DNS服務(wù)器進(jìn)行身份驗(yàn)?證。12.2安裝與配置DNS服務(wù)器12.2安裝與配置DNS服務(wù)器BIND（BerkeleyInternetNameDomain）是一款被廣泛使用的開源DNS服務(wù)器軟件。接下來在Linux虛擬機(jī)中安裝BIND，并介紹使用BIND配置DNS服務(wù)器的方?法。DNS服務(wù)器的基本配置參數(shù)如表12-1所?示。表12-1DNS服務(wù)器的基本配置參數(shù)節(jié)點(diǎn)主機(jī)名IP地址/子網(wǎng)掩碼位數(shù)網(wǎng)絡(luò)工作模式DNS服務(wù)器類型Master/24NAT模式主DNS服務(wù)器12.2.1安裝DNS服務(wù)器1．獲取BIND軟件包RHEL9.2系統(tǒng)安裝光盤自帶BIND相關(guān)軟件包（版本號(hào)為9.16.23），由一組rpm軟件包組成，如表12-2所?示。為了便于處理安裝BIND時(shí)的依賴關(guān)系，下面采用yum方式安裝bind軟件?包。12.2.1安裝DNS服務(wù)器2．配置本地yum倉庫在Master節(jié)點(diǎn)虛擬機(jī)中配置本地yum倉庫，操作步驟請(qǐng)參考11.2.1節(jié)中配置本地yum倉庫的內(nèi)容，在此不贅?述。3．安裝bind軟件包（1）使用yum安裝bind軟件?包。[root@Master~]#yuminstall-ybind（2）查詢已安裝的bind軟件?包。[root@Master~]#yumlistinstalled|grepbindbind.x86_6432:9.16.23-11.el9@AppStreambind-dnssec-doc.noarch32:9.16.23-11.el9@AppStreambind-dnssec-utils.x86_6432:9.16.23-11.el9@AppStreambind-libs.x86_6432:9.16.23-11.el9@AppStreambind-license.noarch32:9.16.23-11.el9@AppStreambind-utils.x86_6432:9.16.23-11.el9@AppStreampython3-bind.noarch32:9.16.23-11.el9@AppStreambind軟件包安裝完畢，會(huì)自動(dòng)創(chuàng)建一個(gè)名稱為named.service的系統(tǒng)服務(wù)，主程序默認(rèn)為/usr/sbin/named。12.2.2熟悉BIND配置文件表12-3BIND的相關(guān)配置文件BIND的相關(guān)配置文件如表12-3所?示。建議將以上配置文件的所有者和所屬組設(shè)置為named:named，以確保DNS服務(wù)器有足夠的訪問權(quán)?限。文件名稱和位置作用主配置文件：/etc/named.conf設(shè)置BIND的運(yùn)行參數(shù)根域數(shù)據(jù)庫文件：/var/named/named.ca記錄了互聯(lián)網(wǎng)中13組根域名服務(wù)器的IP地址區(qū)域配置文件：/etc/named.rfc1912.zones用于聲明區(qū)域的文件區(qū)域數(shù)據(jù)庫文件：默認(rèn)存放在/var/named目錄下保存所管理區(qū)域的DNS數(shù)據(jù)12.2.2熟悉BIND配置文件1．主配置文件/etc/named.confBIND的主配置文件是/etc/named.conf文件，該文件主要用于設(shè)置DNS服務(wù)器的運(yùn)行參數(shù)。在/etc/named.conf文件中，以//開頭的行是注釋行，它僅為配置參數(shù)起解釋作?用。主配置文件/etc/named.conf的內(nèi)容由全局配置和局部配置兩部分組成，其結(jié)構(gòu)如?下。//第一部分：全局配置//options選項(xiàng)配置段options{……}//logging日志配置段logging{……}//第二部分：局部配置//zone區(qū)域配置段zone{……}12.2.2熟悉BIND配置文件查看/etc/named.conf文件的默認(rèn)內(nèi)?容。[root@Master~]#vi/etc/named.conf//第一部分：全局配置//全局運(yùn)行參數(shù)options{listen-onport53{;}; //服務(wù)器監(jiān)聽的IPv4地址和端口listen-on-v6port53{::1;}; //服務(wù)器監(jiān)聽的IPv6地址和端口directory"/var/named"; //設(shè)置named服務(wù)的工作目錄dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt";secroots-file"/var/named/data/named.secroots";recursing-file"/var/named/data/named.recursing";allow-query{localhost;}; //允許進(jìn)行DNS查詢的客戶端recursionyes; //是否啟用遞歸式DNS服務(wù)器dnssec-validationyes; //DNS安全驗(yàn)證開關(guān)……};//BIND服務(wù)的日志選項(xiàng)logging{channeldefault_debug{file"data/named.run";severitydynamic;};};12.2.2熟悉BIND配置文件//第二部分：局部配置zone"."IN{ //配置根域名服務(wù)器typehint; //設(shè)置區(qū)域的類型file"named.ca"; //設(shè)置區(qū)域數(shù)據(jù)庫文件的名稱};include"/etc/named.rfc1912.zones";include"/etc/named.root.key";12.2.2熟悉BIND配置文件（1）在options選項(xiàng)配置段可以配置DNS服務(wù)器的全局運(yùn)行參數(shù)，常見的全局運(yùn)行參數(shù)如?下。①listen-on：設(shè)置named服務(wù)監(jiān)聽的IP地址和端口。只有一個(gè)IP地址的服務(wù)器可不必設(shè)置此參數(shù)，默認(rèn)監(jiān)聽本機(jī)的53號(hào)端口。當(dāng)服務(wù)器安裝了多塊網(wǎng)卡并有多個(gè)IP地址時(shí)，需通過listen-on指定要監(jiān)聽的IP地址和端口，如果不設(shè)定，則默認(rèn)監(jiān)聽全部IP地址和53號(hào)端?口。②directory：設(shè)置named服務(wù)的工作目錄，默認(rèn)為/var/named目錄。每個(gè)DNS區(qū)域的正向、反向區(qū)域數(shù)據(jù)庫文件和DNS根域數(shù)據(jù)庫文件（named.ca）都應(yīng)放到該配置項(xiàng)指定的目錄?中。③allow-query{}：設(shè)置允許進(jìn)行DNS查詢的主機(jī)，DNS服務(wù)器只回應(yīng)被允許的主機(jī)發(fā)來的DNS查詢請(qǐng)?求。例如，配置DNS服務(wù)器僅允許回應(yīng)/24網(wǎng)段主機(jī)的DNS查詢請(qǐng)?求。allow-query{/24;};在該配置項(xiàng)中除了可以設(shè)定具體的IP地址外，還可以使用BIND內(nèi)置的4個(gè)ACL表示允許的主機(jī)，其中，any表示匹配任意主機(jī)，none表示不匹配任何主機(jī)，localhost表示匹配本機(jī)，localnets表示匹配本地網(wǎng)絡(luò)中的所有主?機(jī)。例如，配置DNS服務(wù)器允許回應(yīng)任意主機(jī)的DNS查詢請(qǐng)?求。allow-query{any;};12.2.2熟悉BIND配置文件④allow-transfer{}：用于設(shè)置允許哪些DNS服務(wù)器從當(dāng)前DNS服務(wù)器中同步傳輸區(qū)域數(shù)據(jù)，比如，只允許指定的輔助DNS服務(wù)器同步主DNS服務(wù)器的區(qū)域數(shù)據(jù)；若該參數(shù)省略，則默認(rèn)允許對(duì)所有的主機(jī)進(jìn)行區(qū)域數(shù)據(jù)傳?輸。例如，配置當(dāng)前DNS服務(wù)器允許向IP地址為的另一臺(tái)DNS服務(wù)器傳輸區(qū)域數(shù)?據(jù)。allow-transfer{;};⑤allow-update{}：用于指定允許哪些主機(jī)向主DNS服務(wù)器提交動(dòng)態(tài)DNS資源記錄更新，默認(rèn)拒絕任何主機(jī)進(jìn)行更?新。例如，配置為禁止動(dòng)態(tài)更新DNS。allow-update{none;};⑥forwarders{}：用于指定轉(zhuǎn)發(fā)DNS服務(wù)器。設(shè)置轉(zhuǎn)發(fā)DNS服務(wù)器后，對(duì)于所有非本地域的域名查詢和在緩存中無法找到的域名查詢，均可由指定的轉(zhuǎn)發(fā)DNS服務(wù)器來完成解析并緩?存。⑦dnssec-validation：配置是否啟用DNS安全驗(yàn)?證。（2）在logging日志配置段，對(duì)DNS服務(wù)器日志選項(xiàng)進(jìn)行配?置。（3）zone區(qū)域配置段用于區(qū)域聲明，表示該DNS服務(wù)器管轄的區(qū)?域。例如，使用zone語句聲明根域名服務(wù)?器。zone"."IN{ typehint; //該區(qū)域類型為hint，表示根DNS區(qū)域file"named.ca"; //該區(qū)域數(shù)據(jù)庫文件為/var/named目錄中的named.ca文件};12.2.2熟悉BIND配置文件2．根域數(shù)據(jù)庫文件/var/named/named.ca用戶訪問一個(gè)域名時(shí)（假設(shè)不考慮本地hosts文件），正常情況下會(huì)向指定的DNS服務(wù)器發(fā)送遞歸查詢請(qǐng)求，如果該DNS服務(wù)器中沒有此域名的解析信息，那么會(huì)通過根域名服務(wù)器逐級(jí)迭代查?詢。全球有13組根域名服務(wù)器（以A～M命名），它們的IP地址記錄在DNS服務(wù)器的/var/named/named.ca文件中，該文件稱為根域數(shù)據(jù)庫文?件。素養(yǎng)提升：電影《流浪地球2》中月球危機(jī)來臨之際，必須同步啟動(dòng)分散在地球各處的“行星發(fā)動(dòng)機(jī)”，在該任務(wù)中，重啟根域名服務(wù)器成為拯救地球的關(guān)鍵，那么現(xiàn)實(shí)中根域名服務(wù)器位于何處？在IPv4網(wǎng)絡(luò)中，全球有13組根域名服務(wù)器，但是沒有一組在我國。為了打破困局，我國牽頭發(fā)起了全球下一代互聯(lián)網(wǎng)（IPv6）根域名服務(wù)器測試和運(yùn)營實(shí)驗(yàn)項(xiàng)目—“雪人計(jì)劃”。該項(xiàng)目對(duì)我國互聯(lián)網(wǎng)發(fā)展而言具有里程碑意義。我國部署的IPv6網(wǎng)絡(luò)基礎(chǔ)設(shè)施越多，掌握的先進(jìn)經(jīng)驗(yàn)和技術(shù)也就越多，話語權(quán)也越高，甚至能站到制定規(guī)則的高度之?上。12.2.2熟悉BIND配置文件3．區(qū)域配置文件/etc/named.rfc1912.zones一臺(tái)DNS服務(wù)器可以管理一個(gè)或多個(gè)區(qū)域，一個(gè)區(qū)域也可以由多臺(tái)DNS服務(wù)器管理，比如，由一臺(tái)主DNS服務(wù)器和多臺(tái)輔助DNS服務(wù)器管理一個(gè)或多個(gè)區(qū)域。在DNS服務(wù)器中必須先聲明所管理的區(qū)域，然后在區(qū)域中添加資源記錄，才能完成域名解析工?作。DNS服務(wù)器中用于聲明區(qū)域的配置文件是/etc/named.rfc1912.zones，在該文件中聲明DNS服務(wù)器所管理的正向解析區(qū)域和反向解析區(qū)?域。（1）聲明主DNS服務(wù)器的正向解析區(qū)?域。使用zone語句聲明自定義區(qū)域的格式如?下。zone區(qū)域名稱IN{type區(qū)域類型;file"該區(qū)域的數(shù)據(jù)庫文件名稱";allow-update{none;};masters{主DNS服務(wù)器的IP地址;};}例如，聲明區(qū)域的代碼如?下。zone""IN{ //聲明DNS區(qū)域名稱為typemaster; //master表示主要DNS服務(wù)器file".zone"; //該區(qū)域的正向解析數(shù)據(jù)庫文件名稱allow-update{none;}; //設(shè)置DNS不允許動(dòng)態(tài)更新}以上區(qū)域聲明代碼既可以放在區(qū)域配置文件/etc/named.rfc1912.zones中，又可以直接放到/etc/named.conf文件的尾部，以簡化配?置。在區(qū)域聲明代碼中，參數(shù)type、file以及allow-update的作用如?下。①

參數(shù)type用于設(shè)置DNS區(qū)域的類型，常見的DNS區(qū)域類型如表12-4所?示。②

參數(shù)file用于指定該區(qū)域的數(shù)據(jù)庫文件，該文件默認(rèn)保存在/var/named目錄中，通常文件名與區(qū)域名相同，并使用.zone作為文件的擴(kuò)展?名。③

參數(shù)allow-update用于設(shè)置是否允許動(dòng)態(tài)更新DNS。區(qū)域類型說明master（主要DNS區(qū)域）在主要區(qū)域中可以創(chuàng)建、修改、讀取和刪除資源記錄slave（輔助DNS區(qū)域）從主要區(qū)域復(fù)制區(qū)域數(shù)據(jù)庫文件，在輔助區(qū)域中，資源記錄只能被讀取，不能創(chuàng)建、修改和刪除hint（根DNS區(qū)域）從根域名服務(wù)器中解析資源記錄12.2.2熟悉BIND配置文件②

參數(shù)file用于指定該區(qū)域的數(shù)據(jù)庫文件，該文件默認(rèn)保存在/var/named目錄中，通常文件名與區(qū)域名相同，并使用.zone作為文件的擴(kuò)展?名。③

參數(shù)allow-update用于設(shè)置是否允許動(dòng)態(tài)更新DNS。（2）聲明主DNS服務(wù)器的反向解析區(qū)?域。例如，聲明一個(gè)區(qū)域給網(wǎng)段的主機(jī)提供反向解析，代碼如?下。zone"200.168.192."IN{ //聲明DNS區(qū)域名稱為200.168.192.typemaster;file"200.168.192.zone"; //該區(qū)域的反向解析數(shù)據(jù)庫文件名稱allow-update{none;};};提示：雖然正向解析與反向解析采用不同的區(qū)域數(shù)據(jù)庫文件，但是反向解析的聲明格式與正向解析的基本相同，只是區(qū)域名稱和file參數(shù)指定的區(qū)域數(shù)據(jù)庫文件名不同。例如，要反向解析網(wǎng)段的主機(jī)，區(qū)域名稱一般設(shè)置為200.168.192.，區(qū)域數(shù)據(jù)庫文件名則為200.168.192.zone。12.2.2熟悉BIND配置文件4．區(qū)域數(shù)據(jù)庫文件用來保存一個(gè)區(qū)域內(nèi)所有數(shù)據(jù)（包括域名與IP地址的映射關(guān)系、刷新時(shí)間和過期時(shí)間等）的文件稱為區(qū)域數(shù)據(jù)庫文件。DNS服務(wù)器的區(qū)域數(shù)據(jù)庫文件默認(rèn)保存在/var/named目錄中，通常以.zone作為文件的擴(kuò)展名。一臺(tái)DNS服務(wù)器可以保存多個(gè)區(qū)域數(shù)據(jù)庫文件，同一個(gè)區(qū)域數(shù)據(jù)庫文件也可以存放在多臺(tái)DNS服務(wù)器?上。（1）區(qū)域數(shù)據(jù)庫文件的結(jié)?構(gòu)。在DNS服務(wù)器的/var/named目錄中默認(rèn)有named.localhost和named.loopback兩個(gè)文件。named.localhost是本地正向區(qū)域數(shù)據(jù)庫文件，用于將名稱localhost轉(zhuǎn)換為本機(jī)IP地址。named.loopback是本地反向區(qū)域數(shù)據(jù)庫文件，用于將本機(jī)IP地址轉(zhuǎn)換為名稱localhost。在配置DNS服務(wù)器時(shí)，named.localhost和named.loopback文件經(jīng)常分別被用作正向、反向區(qū)域數(shù)據(jù)庫文件的模?板。使用cat命令查看/var/named/named.localhost文件的內(nèi)?容。[root@Master~]#cat-n/var/named/named.localhost1 $TTL1D2 @ INSOA @rname.invalid.(3 0 ;serial4 1D ;refresh5 1H ;retry6 1W ;expire7 3H) ;minimum8 NS @9 A 10 AAAA ::112.2.2熟悉BIND配置文件以上配置的含義如?下。①$TTL指?令。該文件的第1行是$TTL指令，定義了當(dāng)前DNS資源記錄的有效期為1天，也可以以S（秒）、H（小時(shí)）、D（天）和W（星期）為時(shí)間單位。DNS服務(wù)器在響應(yīng)中提供TTL值，目的是允許其他服務(wù)器在TTL間隔內(nèi)緩存數(shù)據(jù)。如果本地的DNS服務(wù)器數(shù)據(jù)改變不大，則可以使用較大的TTL值，最長可以設(shè)為一星期。但是不推薦設(shè)置TTL值為0，以避免大量的DNS服務(wù)器數(shù)據(jù)傳?輸。②SOA資源記?錄。該文件的第2～第7行是起始授權(quán)機(jī)構(gòu)（StartofAuthority，SOA）資源記錄，每個(gè)區(qū)域數(shù)據(jù)庫文件都必須將SOA資源記錄設(shè)置為第一條資源記錄，而且只能有一條SOA資源記?錄。在SOA資源記錄中要設(shè)置管理此區(qū)域的主DNS服務(wù)器域名和附加參數(shù)，附加參數(shù)用于控制輔助DNS服務(wù)器區(qū)域更新的頻繁程?度。12.2.2熟悉BIND配置文件SOA資源記錄的格式如?下。@INSOA主DNS服務(wù)器域名

管理員的郵箱地址(

版本序列號(hào)；

刷新時(shí)間；

重試時(shí)間；

過期時(shí)間；

最短存活期 )；SOA資源記錄各個(gè)字段的含義如表12-5所?示。字段含義@表示當(dāng)前區(qū)域的名稱，例如，named.localhost文件中的@表示本地域IN表示網(wǎng)絡(luò)的類型為互聯(lián)網(wǎng)SOA表示資源記錄的類型為SOA主DNS服務(wù)器域名管理此區(qū)域的主DNS服務(wù)器的域名（FQDN），域名以.結(jié)尾管理員的郵箱地址管理員郵箱地址中的@用.代替，域名以.結(jié)尾版本序列號(hào)（serial）此區(qū)域數(shù)據(jù)庫文件的修訂版本號(hào)，每次修改該文件時(shí)，將此數(shù)字增加刷新時(shí)間（refresh）輔助DNS服務(wù)器等待連接主DNS服務(wù)器復(fù)制資源記錄的時(shí)間重試時(shí)間（retry）如果輔助DNS服務(wù)器連接主DNS服務(wù)器失敗，重試的時(shí)間間隔過期時(shí)間（expire）到達(dá)過期時(shí)間后，輔助DNS服務(wù)器會(huì)把它的區(qū)域文件內(nèi)的資源記錄當(dāng)作不可靠數(shù)據(jù)最短存活期（minimum）區(qū)域文件中所有資源記錄的生存時(shí)間的最小值（資源記錄在DNS緩存中保留的時(shí)間）12.2.2熟悉BIND配置文件例如，以下是.zone文件中區(qū)域的SOA資源記?錄。@INSOA..(0;serial1D;refresh1H;retry1W;expire3H);minimum以上代碼的含義如?下。a.@表示當(dāng)前區(qū)域的名稱是。b.IN表示網(wǎng)絡(luò)類型為互聯(lián)?網(wǎng)。c..表示該區(qū)域的管理員的郵箱地址是root@。d.SOA資源記錄的附加參數(shù)，如版本序列號(hào)、刷新時(shí)間等，放在SOA資源記錄后面的括號(hào)?中。③

其他資源記?錄。該文件第8～第10行的每一行都表示設(shè)置一條資源記錄。這些資源記錄是用于回應(yīng)客戶端請(qǐng)求的DNS數(shù)據(jù)記錄，包含與特定主機(jī)有關(guān)的信息，如IP地址、提供的服務(wù)類型?等。12.2.2熟悉BIND配置文件（2）資源記?錄。一條資源記錄通常包含5個(gè)字段，格式如?下。[區(qū)域名][TTL][IN]資源記錄類型

資源記錄的值各字段的含義和常用的DNS資源記錄類型分別如表12-6和表12-7所?示。字段含義區(qū)域名表示該資源記錄描述的區(qū)域或主機(jī)TTL指定該資源記錄生存時(shí)間的最小值IN表示資源記錄的網(wǎng)絡(luò)類型為互聯(lián)網(wǎng)資源記錄類型指定該資源記錄的類型，常見的DNS資源記錄類型有SOA、NS、A、MX、CNAME等資源記錄的值資源記錄的值，一般為主機(jī)的IP地址或域名（域名要以.結(jié)尾）類型說明描述SOA起始授權(quán)機(jī)構(gòu)SOA資源記錄表明一個(gè)區(qū)域的起點(diǎn)，包含區(qū)域名、管理員郵箱地址等信息，每個(gè)區(qū)域有且僅有一條SOA資源記錄NS名稱服務(wù)器NS資源記錄用于指定負(fù)責(zé)該區(qū)域DNS解析的權(quán)威名稱服務(wù)器，每個(gè)區(qū)域在區(qū)根處至少包含一條NS資源記錄A主機(jī)IPv4地址A資源記錄是主機(jī)地址資源記錄，用于將FQDN映射到對(duì)應(yīng)主機(jī)的IPv4地址上AAAA主機(jī)IPv6地址AAAA資源記錄用于將FQDN映射到對(duì)應(yīng)主機(jī)的IPv6地址上MX郵件交換器MX資源記錄用于定義郵件交換器，即負(fù)責(zé)該區(qū)域電子郵件收發(fā)的主機(jī)CNAME規(guī)范名CNAME資源記錄用于將一個(gè)別名指向某個(gè)A資源記錄PTR指針與A資源記錄的用途相反，PTR資源記錄用于將IP地址反向映射為FQDN12.2.2熟悉BIND配置文件①NS資源記?錄。名稱服務(wù)器（NameServer，NS）資源記錄用于定義本區(qū)域的權(quán)威名稱服務(wù)器。權(quán)威名稱服務(wù)器負(fù)責(zé)維護(hù)和管理所管轄區(qū)域中的DNS數(shù)據(jù)，被其他服務(wù)器或客戶端當(dāng)作權(quán)威的信息來?源。例如，配置區(qū)域的一條NS資源記?錄。@INNS.@表示當(dāng)前區(qū)域的名稱，即，該記錄定義域名由DNS服務(wù)器負(fù)責(zé)解?析。至少定義一條NS資源記錄，若存在多條NS資源記錄，則說明有多臺(tái)DNS服務(wù)器能進(jìn)行域名解析。在眾多NS資源記錄中，與SOA資源記錄對(duì)應(yīng)的DNS服務(wù)器是該區(qū)域中DNS數(shù)據(jù)的權(quán)威來?源。②A資源記?錄。主機(jī)地址（Address，A）資源記錄用于定義域名對(duì)應(yīng)的主機(jī)IPv4地?址。例如，使用兩種格式配置A資源記?錄。wwwINA0.INA第一種格式使用相對(duì)名稱，在名稱的末尾不用加.。第二種格式使用FQDN，即名稱的最后以.結(jié)?束。這兩種格式只是形式不同而已，在使用上沒有區(qū)別。在區(qū)域的配置中，使用相對(duì)名稱www，DNS服務(wù)器會(huì)自動(dòng)在相對(duì)名稱www的后面加上擴(kuò)展名..，所以相當(dāng)于FQDN的.。12.2.2熟悉BIND配置文件③MX資源記?錄。郵件交換器（MaileXchanger，MX）資源記錄用于定義郵件交換服務(wù)?器。例如，配置區(qū)域的一條MX資源記?錄。@INMX10.該MX資源記錄表示發(fā)往區(qū)域的電子郵件由域名為的郵件服務(wù)器負(fù)責(zé)處理。例如，一封電子郵件要發(fā)送到boss@時(shí)，發(fā)送方的郵件服務(wù)器通過DNS服務(wù)器查詢區(qū)域的MX資源記錄，然后把郵件發(fā)送到查詢到的郵件服務(wù)器中。至于域名對(duì)應(yīng)的主機(jī)IP地址，則需要通過A資源記錄設(shè)?置?？梢栽O(shè)置多條MX資源記錄，表示多個(gè)郵件服務(wù)器，郵件服務(wù)器的優(yōu)先級(jí)由MX標(biāo)識(shí)后面的數(shù)字決定，數(shù)字越小，郵件服務(wù)器的優(yōu)先級(jí)越?高。12.2.2熟悉BIND配置文件④CNAME資源記?錄。規(guī)范名（CanonicalName，CNAME）資源記錄是A資源記錄的別?名。例如，訪問域名或時(shí)，實(shí)際上是訪問IP地址為0的同一臺(tái)主機(jī)，可對(duì)區(qū)域的資源記錄做如下配?置。www

IN A 0oaIN CNAME .通過A資源記錄wwwINA0先將域名映射到0主機(jī)上，然后設(shè)置CNAME資源記錄oaINCNAME.，表示給該主機(jī)設(shè)置別名為oa。⑤PTR資源記?錄。指針（Pointer，PTR）資源記錄定義的是一個(gè)反向記錄，即通過IP地址反向查詢對(duì)應(yīng)的域名。PTR資源記錄一般在反向區(qū)域數(shù)據(jù)庫文件中使?用。例如，在反向區(qū)域數(shù)據(jù)庫文件200.168.192.zone中配置一條PTR資源記?錄。10INPTR.第一個(gè)字段表示主機(jī)的IP地址，例如，在反向區(qū)域200.168.192.中，10表示的IP地址是0。最后一個(gè)字段是通過IP地址反向查詢的對(duì)應(yīng)域名，該域名使用FQDN表?示。提示：輔助DNS服務(wù)器無須配置區(qū)域數(shù)據(jù)庫文件，會(huì)通過區(qū)域傳輸（ZoneTransfer）從主DNS服務(wù)器中獲得正向、反向區(qū)域的數(shù)據(jù)庫文件，并將文件保存到/var/named/slaves路徑中，因此在輔助DNS服務(wù)器獲取的區(qū)域數(shù)據(jù)庫文件中，只能讀取資源記錄，不能修改和刪?除。12.2.3配置DNS服務(wù)器接下來搭建一臺(tái)主DNS服務(wù)器用于管理區(qū)域，該區(qū)域中的域名如表12-8所?示。表12-8區(qū)域中的域名服務(wù)器FQDNIP地址DNS服務(wù)器FTP服務(wù)器Web服務(wù)器012.2.3配置DNS服務(wù)器DNS服務(wù)器的參數(shù)配置如?下。（1）DNS服務(wù)器的IP地址為。（2）DNS服務(wù)器的域名為。（3）正向區(qū)域名為。（4）反向區(qū)域名為200.168.192.。（5）正向區(qū)域數(shù)據(jù)庫文件名為/var/named/.zone。（6）反向區(qū)域數(shù)據(jù)庫文件名為/var/named/200.168.192.zone。12.2.3配置DNS服務(wù)器接下來將Master節(jié)點(diǎn)虛擬機(jī)配置為主DNS服務(wù)?器。1．關(guān)閉SELinux安全子系統(tǒng)[root@Master~]#setenforce0[root@Master~]#sed-i's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config2．配置本地yum倉庫在Master節(jié)點(diǎn)虛擬機(jī)中配置本地yum倉庫，操作步驟請(qǐng)參考11.2.1節(jié)中的配置本地yum倉庫相關(guān)內(nèi)容，在此不贅?述。3．安裝bind軟件包使用yum命令安裝bind軟件?包。[root@Master~]#yuminstall-ybind12.2.3配置DNS服務(wù)器4．配置BIND（1）配置/etc/named.conf文?件。[root@Master~]#vi/etc/named.conf//以下是/etc/named.conf文件的內(nèi)容options{listen-onport53{any;}; //修改監(jiān)聽的IP地址為any;listen-on-v6port53{::1;};directory"/var/named"; //區(qū)域數(shù)據(jù)庫文件存儲(chǔ)在默認(rèn)位置dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt";secroots-file"/var/named/data/named.secroots";recursing-file"/var/named/data/named.recursing";allow-query{any;}; //設(shè)置允許任意主機(jī)進(jìn)行查詢r(jià)ecursionyes;dnssec-validationyes;managed-keys-directory"/var/named/dynamic";geoip-directory"/usr/share/GeoIP";pid-file"/run/named/named.pid";session-keyfile"/run/named/session.key";include"/etc/crypto-policies/back-ends/bind.config";};12.2.3配置DNS服務(wù)器logging{channeldefault_debug{file"data/named.run";severitydynamic;};};zone"."IN{typehint;file"named.ca";};zone""IN{ //聲明正向區(qū)域typemaster; //區(qū)域類型為masterfile".zone"; //指定正向區(qū)域的數(shù)據(jù)庫文件allow-update{none;}; //設(shè)置不允許客戶端動(dòng)態(tài)更新DNS};zone"200.168.192."IN{ //聲明反向區(qū)域200.168.192.typemaster; //區(qū)域類型為masterfile"200.168.192.zone"; //指定反向區(qū)域的數(shù)據(jù)庫文件allow-update{none;}; //設(shè)置不允許客戶端動(dòng)態(tài)更新DNS};include"/etc/named.rfc1912.zones";include"/etc/named.root.key";12.2.3配置DNS服務(wù)器（2）創(chuàng)建正向區(qū)域（）的數(shù)據(jù)庫文?件。①

進(jìn)入/var/named目?錄。[root@Master~]#cd/var/named②

復(fù)制模板文件named.localhost，并將副本重命名為.zone。[root@Masternamed]#cp-anamed.localhost.zone說明：cp命令使用-a選項(xiàng)是為了確保新復(fù)制的.zone文件與源文件有相同的所有者、所屬組以及訪問權(quán)限，以便DNS服務(wù)器能正確加?載。12.2.3配置DNS服務(wù)器③

編輯正向區(qū)域數(shù)據(jù)庫文件/var/named/.zone。[root@Masternamed]#vi/var/named/.zone$TTL1D@INSOA..(2024061;serial1D;refresh1H;retry1W;expire3H);minimumNS@AAAAA::1@ INNS.dns INA. INAwww INA012.2.3配置DNS服務(wù)器（3）創(chuàng)建反向區(qū)域（200.168.192.）的數(shù)據(jù)庫文?件。①

進(jìn)入/var/named目?錄。[root@Masternamed]#cd/var/named②

復(fù)制模板文件named.loopback，并將副本重命名為200.168.192.zone。[root@Masternamed]#cp-anamed.loopback200.168.192.zone12.2.3配置DNS服務(wù)器③

編輯反向區(qū)域數(shù)據(jù)庫文件/var/named/200.168.192.zone。[root@Masternamed]#vi/var/named/200.168.192.zone$TTL1D@INSOA200.168.192...(2024061;serial1D;refresh1H;retry1W;expire3H);minimum@INNS.4INPTR.8INPTR.10INPTR.12.2.3配置DNS服務(wù)器（4）檢查配置文?件。使用named-checkconf-z命令檢查named.conf文件和區(qū)域數(shù)據(jù)庫文件的配置是否正確。如果有語法錯(cuò)誤，則提示具體的出錯(cuò)信?息。[root@Masternamed]#named-checkconf-z當(dāng)DNS服務(wù)器中主配置文件和區(qū)域數(shù)據(jù)庫文件被修改后，使用rndcreload命令重新配置，可以實(shí)現(xiàn)DNS服務(wù)器不停機(jī)更新數(shù)據(jù)，命令如?下。[root@Masternamed]#rndcreloadserverreloadsuccessful12.2.3配置DNS服務(wù)器5．配置防火墻配置防火墻，放行DNS服?務(wù)。[root@Masternamed]#firewall-cmd--permanent--add-service=dnssuccess[root@Masternamed]#firewall-cmd--reloadsuccess6．啟動(dòng)named服務(wù)安裝bind軟件包之后，會(huì)自動(dòng)創(chuàng)建一個(gè)名為named.service的服務(wù)，下面啟動(dòng)此服?務(wù)。（1）啟動(dòng)named服?務(wù)。[root@Masternamed]#systemctlstartnamed[root@Masternamed]#systemctlenablenamedCreatedsymlink/etc/systemd/system/multi-user.target.wants/named.service→/usr/lib/systemd/system/named.service.（2）查看named服務(wù)的運(yùn)行狀態(tài)，確保運(yùn)行狀態(tài)為active(running)。[root@Masternamed]#systemctlstatusnamed12.2.3配置DNS服務(wù)器7．修改本機(jī)的DNS設(shè)置（1）設(shè)置Master節(jié)點(diǎn)使用的DNS服務(wù)?器。[root@Masternamed]#nmclicmodens160ipv4.dns[root@Masternamed]#nmclicreload&&nmclicupens160（2）查看Master節(jié)點(diǎn)當(dāng)前使用的DNS服務(wù)器。[root@Master~]#cat/etc/resolv.conf#GeneratedbyNetworkManagernameserver8．本地測試DNS解析是否正常使用ping命令測試域?名。[root@Masternamed]#pingPING()56(84)bytesofdata.64bytesfromMaster():icmp_seq=1ttl=64time=0.009ms12.3配置DNS客戶端12.3.1在Linux客戶端中配置DNS服務(wù)器（1）準(zhǔn)備一臺(tái)Linux虛擬機(jī)（主機(jī)名為Client）作為DNS客戶端，該虛擬機(jī)的網(wǎng)絡(luò)連接采用NAT模式，并確保該虛擬機(jī)與DNS服務(wù)器在同一網(wǎng)絡(luò)?中。（2）在客戶端Client中配置ens160網(wǎng)卡使用的DNS服務(wù)器為。[root@Client~]#nmclicmodens160ipv4.dns（3）重啟ens160網(wǎng)卡以應(yīng)用更?改。[root@Client~]#nmclicreload&&nmclicupens160（4）查看Linux客戶端當(dāng)前使用的DNS服務(wù)?器。[root@Client~]#cat/etc/resolv.conf#GeneratedbyNetworkManagernameserver12.3.2在Windows客戶端中配置DNS服務(wù)器以Windows11系統(tǒng)為例，通過Windows網(wǎng)絡(luò)連接的屬性對(duì)話框打開“Internet協(xié)議版本4(TCP/IPv4)屬性”對(duì)話框（11.3.1節(jié)介紹了相關(guān)操作步驟，在此不贅述），在該對(duì)話框中輸入首選DNS服務(wù)器和備用DNS服務(wù)器的IP地址，如圖12-3所?示。圖12-3輸入首選DNS服務(wù)器和備用DNS服務(wù)器的IP地址12.3.3使用DNS測試命令bind-utils是常用的域名解析和DNS測試軟件包，包含nslookup等DNS測試命令。接下來介紹在Linux客戶端中安裝bind-utils和使用nslookup命令的方?法。1．安裝bind-utilsRHEL9.2系統(tǒng)安裝光盤自帶bind-utils軟件包，下面將系統(tǒng)安裝光盤配置為本地yum倉庫進(jìn)行安?裝。使用yum命令安裝bind-utils軟件?包。[root@Client~]#yuminstall-ybind-utils2．使用nslookup命令nslookup命令用于檢測能否從DNS服務(wù)器查詢到域名與IP地址的解析記錄。該命令有兩種使用模式：命令模式和交互模式。直接在命令提示符中輸入nslookup命令并按Enter鍵，即可進(jìn)入交互模?式?！纠?2-1】

使用nslookup命令正向查詢，將域名解析為IP地?址。[root@Client~]#nslookupServer: Address: #53Name: Address:0【例12-2】

使用nslookup命令反向查詢，將IP地址解析為域?名。[root@Client~]#nslookup92. name=.此外，在Windows系統(tǒng)中也可以使用自帶的nslookup命令對(duì)DNS服務(wù)器進(jìn)行測?試。項(xiàng)目實(shí)施1需求分析與規(guī)劃2安裝與配置主DNS服務(wù)器3安裝與配置輔助DNS服務(wù)器4在客戶端測試DNS服務(wù)器的功能任務(wù)12-1需求分析與規(guī)劃在本項(xiàng)目實(shí)施中，要搭建一組DNS服務(wù)器用于管理區(qū)域，為客戶端提供域名服務(wù)。為了保證域名服務(wù)的可靠性，采用主、輔架構(gòu)DNS服務(wù)器。區(qū)域中的域名如表12-9所示，同時(shí)還要為客戶端提供互聯(lián)網(wǎng)上的域名解?析。表12-9區(qū)域中的域名主機(jī)FQDNIP地址主DNS服務(wù)器輔助DNS服務(wù)器文件管理系統(tǒng)人力資源管理平臺(tái)公司網(wǎng)站0任務(wù)12-1需求分析與規(guī)劃在項(xiàng)目實(shí)施中，需要使用3臺(tái)Linux虛擬機(jī)。以兩臺(tái)最小安裝的RHEL9.2虛擬機(jī)分別作為主DNS服務(wù)器、輔助DNS服務(wù)器，另外一臺(tái)服務(wù)器Linux虛擬機(jī)作為DNS客戶端，將所有虛擬機(jī)的網(wǎng)絡(luò)工作模式都設(shè)置為NAT模式。虛擬機(jī)節(jié)點(diǎn)的規(guī)劃如表12-10所?示。表12-10虛擬機(jī)節(jié)點(diǎn)的規(guī)劃主機(jī)名IP地址/子網(wǎng)掩碼位數(shù)網(wǎng)絡(luò)工作模式說明Master/24NAT模式主DNS服務(wù)器Slave/24NAT模式輔助DNS服務(wù)器Client12/24NAT模式DNS客戶端任務(wù)12-1需求分析與規(guī)劃主DNS服務(wù)器、輔助DNS服務(wù)器的配置參數(shù)如?下。（1）使用BIND配置主DNS服務(wù)器、輔助DNS服務(wù)?器。（2）正向區(qū)域的名稱為。（3）反向區(qū)域的名稱為200.168.192.。（4）正向區(qū)域的數(shù)據(jù)庫文件為/var/named/.zone。（5）反向區(qū)域的數(shù)據(jù)庫文件為/var/named/200.168.192.zone。（6）管理員的郵箱地址為admin@。任務(wù)12-2安裝與配置主DNS服務(wù)器任務(wù)12-2安裝與配置主DNS服務(wù)器（1）配置網(wǎng)絡(luò)環(huán)?境。參考11.2.1節(jié)中配置網(wǎng)絡(luò)環(huán)境的操作方法，在“虛擬網(wǎng)絡(luò)編輯器”對(duì)話框中對(duì)VMnet8網(wǎng)絡(luò)完成以下配?置。①將子網(wǎng)IP地址設(shè)置為，將子網(wǎng)掩碼設(shè)置為。②將網(wǎng)關(guān)IP地址設(shè)置為。（2）配置主DNS服務(wù)器的主機(jī)?名。[root@localhost~]#hostnamectlset-hostnameMaster[root@localhost~]#bash任務(wù)12-2安裝與配置主DNS服務(wù)器（3）配置Master節(jié)點(diǎn)的IP地址等網(wǎng)絡(luò)參?數(shù)。[root@Master~]#nmclicmodifyens160\ipv4.methodmanualipv4.addr/24\ipv4.gatewayipv4.dns","\connection.autoconnectyes[root@Master~]#nmclicreload&&nmclicupens160（4）關(guān)閉SELinux安全子系統(tǒng)，配置防火?墻。[root@Master~]#setenforce0[root@Master~]#sed-i's/^SELINUX=.*/SELINUX=disabled/'/etc/selinux/config[root@Master~]#firewall-cmd--permanent--add-service=dns[root@Master~]#firewall-cmd--reload（5）配置本地yum倉?庫。參考11.2.1節(jié)中配置本地yum倉庫的操作方法，完成配?置。（6）在Master節(jié)點(diǎn)上安裝bind軟件?包。[root@Master~]#yuminstall-ybind任務(wù)12-2安裝與配置主DNS服務(wù)器（7）將Master節(jié)點(diǎn)配置為主DNS服務(wù)器。設(shè)置允許回應(yīng)任何主機(jī)的查詢請(qǐng)求，聲明區(qū)域名稱為的正向區(qū)域和名稱為200.168.192.的反向區(qū)域，并設(shè)置這兩個(gè)區(qū)域允許輔助DNS服務(wù)器進(jìn)行區(qū)域傳?輸。①

配置/etc/named.conf文?件。[root@Master~]#vi/etc/named.conf//以下是/etc/named.conf文件的內(nèi)容options{listen-onport53{any;}; //修改監(jiān)聽的IP地址為any;listen-on-v6port53{::1;};directory"/var/named"; //區(qū)域數(shù)據(jù)庫文件存儲(chǔ)在默認(rèn)位置dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt";secroots-file"/var/named/data/named.secroots";recursing-file"/var/named/data/named.recursing";allow-query{any;}; //設(shè)置允許任意主機(jī)進(jìn)行查詢r(jià)ecursionyesdnssec-validationno; //關(guān)閉DNS安全驗(yàn)證forwarders{;}; //將此DNS服務(wù)器無法解析的請(qǐng)求轉(zhuǎn)發(fā)給managed-keys-directory"/var/named/dynamic";geoip-directory"/usr/share/GeoIP";pid-file"/run/named/named.pid";session-keyfile"/run/named/session.key";include"/etc/crypto-policies/back-ends/bind.config";};任務(wù)12-2安裝與配置主DNS服務(wù)器logging{channeldefault_debug{file"data/named.run";severitydynamic;};};zone"."IN{typehint;file"named.ca";};zone""IN{typemaster; //區(qū)域類型為masterfile".zone"; //配置正向解析的區(qū)域數(shù)據(jù)庫文件名稱allow-transfer{;}; //允許本區(qū)域數(shù)據(jù)傳輸至指定的輔助DNS服務(wù)器};zone"200.168.192."IN{typemaster; //區(qū)域類型為masterfile"200.168.192.zone"; //配置反向解析的區(qū)域數(shù)據(jù)庫文件名稱allow-transfer{;}; //允許本區(qū)域數(shù)據(jù)傳輸至指定的輔助DNS服務(wù)器};include"/etc/named.rfc1912.zones";include"/etc/named.root.key";任務(wù)12-2安裝與配置主DNS服務(wù)器②

創(chuàng)建正向區(qū)域（）的數(shù)據(jù)庫文件/var/named/.zone，并添加正向區(qū)域的資源記?錄。[root@Master~]#cp-a/var/named/named.localhost/var/named/.zone[root@Master~]#vi/var/named/.zone;添加以下內(nèi)容$TTL1D@INSOA..(0;serial1D;refresh1H;retry1W;expire3H);minimumNS@AdnsINAdns2INAftpINAhrINAwwwINA0任務(wù)12-2安裝與配置主DNS服務(wù)器③

創(chuàng)建反向區(qū)域的數(shù)據(jù)庫文件/var/named/200.168.192.zone，并添加反向區(qū)域的資源記?錄。[root@Master~]#cp-a/var/named/named.loopback/var/named/200.168.192.zone[root@Master~]#vi/var/named/200.168.192.zone$TTL1D@INSOA200.168.192...(0;serial1D;refresh1H;retry1W;expire3H);minimumNS@A4INPTR.5INPT