DNS服务的配置与管理.ppt

DNS服务的配置与管理,11.1 DNS 服务概述,11.2 DNS的安装,11.5 配置DNS服务器实例,结束,11.3 DNS的启动、停止及测试,11.4 DNS服务器配置,11.7 DNS服务器的常见问题分析,11.6 DNS客户端配置,网络技术应用网,11.1 DNS 服务概述,返回,11.1.1 DNS域名空间,11.1.2 DNS的工作原理,11.1.3 DNS的分类,结束,11.1.4 域名的注册申请,DNS允许系统管理员使用一个主机作为DNS服务器。当网络上的计算机要定位另一台计算机时，它会将解析请求发送给对应的DNS服务器，由DNS服务器负责查找并完成域名到IP地址的转换，然后将转换后的IP地址发送回发出请求的计算机，整个解析过程不再需要用户参与。,网络技术应用网,11.1.1 DNS域名空间,为了将Internet上茫茫的IP地址进行划分，DNS使用了域名空间的概念。域名系统由不同的域名空间组成。每个网络都有自己的域名，每个域内的DNS服务器管理本域内的域名信息，并且每个域名服务器都有指向其父域和子域的指针。当本地的DNS服务器没能成功解析主机的域名信息时，这个请求就会利用指针转交给含有相关信息的其他域名服务器进行解析。,返回,网络技术应用网,11.1.2 DNS的工作原理,在各个不同域中的DNS服务器构成了分布式的域名数据库系统。每个DNS服务器维护自身域中的数据库信息，包括域内的主机名和IP地址信息。分布在Internet各个域中的DNS会按照一定的协议进行数据库信息的检索和查询，并采用客户端/服务器模式执行域名与IP地址之间的转换。,返回,网络技术应用网,11.1.3 DNS的分类,DNS服务器可以分为主DNS服务器、辅/从DNS服务器、缓存DNS服务器，转发DNS服务器等多种，每种服务器在域名服务系统中所起的作用都不一样。,返回,网络技术应用网,11.1.4 域名的注册申请,申请域名之前，首先需要选择好要注册的域名。选择域名时必须符合RCF 1123中的规定，可以使用大写字母（AZ）、小写字母（az）、数字以及连字符（-）。如果是ChinaNet的用户可以直接到当地电信局填报希望登记注册的域名，然后由Internet服务提供商（ISP）设定其所需的DNS功能并向Internet网络信息中心（NIC）登记注册。,返回,网络技术应用网,11.2 DNS的安装,返回,11.2.1 Bind软件包,11.2.2 Bind的安装,结束,Linux下架设DNS服务器通常是使用Bind（Berkeley Internet Name Domain Service）程序来实现。Bind是为BSD操作系统开发的一套网络域名服务系统，是一款实现DNS服务器的开放源码软件。Bind原本是美国DARPA资助伯克里大学(Berkeley)开设的一个研究生课题，后来经过不断地发展，已经成为世界上使用最为广泛的DNS服务器软件。,网络技术应用网,11.2.1 Bind软件包,在RedHatEnterpriseLinux 5中，系统默认安装了Bind。,返回,网络技术应用网,11.2.2 Bind的安装,如果系统没有安装Bind，可以使用面板中的【应用程序】菜单中的【添加/删除软件】进行安装，按照系统提示放入适当的安装光盘即可。,返回,网络技术应用网,11.3 DNS的启动、停止及测试,返回,11.3.1 DNS的启动与停止,11.3.2 测试DNS服务器,结束,网络技术应用网,11.3.1 DNS的启动与停止,DNS安装完毕后，需要启动才能使用，启动方法有两种：使用图形化方式 在终端窗口中使用命令方式,返回,网络技术应用网,11.3.2 测试DNS服务器,bind-utils软件包中自带了dig、host和nslookup测试工具。使用这几个工具如果能对地址进行正确解析，则说明DNS服务器已经正常工作,返回,网络技术应用网,11.4 DNS服务器配置,返回,11.4.1 根服务器信息文件named.root,11.4.2 DNS配置文件name.conf,11.4.3 DNS正向解析区域文件,结束,11.4.4 DNS反向解析区域文件,网络技术应用网,11.4.1 根服务器信息文件named.root,named.root文件中记录了Internet根域名服务器的名字和地址。DNS服务器在收到客户端的查询请求时，如果在本地找不到相应的数据，就会通过根服务器进行逐级查询。,返回,网络技术应用网,11.4.2 DNS配置文件name.conf,named.conf是Bind的主配置文件，用于实现Bind的基本配置。在安装完毕后，系统并没有自动生成named.conf文件，用户需要自行创建。用户也可以安装Red Hat Enterprise Linux 5第4张光盘中自带的caching-nameserver软件包，根据参考创建named.conf文件。,返回,网络技术应用网,11.4.3 DNS正向解析区域文件,一个DNS正向解析区域文件中包含了该区域所有相关数据，包括主机名、IP地址、刷新时间、过期时间等信息。,返回,网络技术应用网,11.4.4 DNS反向解析区域文件,反向解析区域文件采用与正向解析区域文件相同的组织格式，即该文件由多条DNS资源记录（Resource Record，RR）组成，但该文件用于建立IP地址到DNS域名的转换记录，使用PTR资源指针记录而不再是CNAME或A记录。,返回,网络技术应用网,11.5 配置DNS服务器实例,返回,11.5.1 搭建一个简单的DNS服务器,11.5.2 搭建具有视图功能的DNS服务器,11.5.3 利用DNS服务器实现负载均衡,结束,11.5.4 泛域名的解析,11.5.5 直接解析域名,网络技术应用网,11.5.1 搭建一个简单的DNS服务器,设存在一个局域网（），网内有主机rhel（）、rhel1（）、www（www服务器，）、sns（从DNS服务器，）以及DNS服务器（）。,返回,网络技术应用网,11.5.2 搭建具有视图功能的DNS服务器,在Red Hat Enterprise Linux 5中，使用配置一个DNS服务器，要求具有内外两个视图，能够根据客户端地址的不同实现不同的解析结果。,返回,网络技术应用网,11.5.3 利用DNS服务器实现负载均衡,随着互联网技术的发展，网络的规模越来越大，网络用户也急剧增加，与此同时网络服务器的负担也变得越来越重，仅靠一台服务器要同时应付成千上万用户的并发访问，必然会使服务器一直处于满负荷状态，从而导致运行效率变低，响应时间变长，甚至根本无暇响应用户的请求。为此可以使用DNS服务器进行负载均衡，使网络流量分散到多台服务器上。,返回,网络技术应用网,11.5.4 泛域名的解析,泛域名的解析是指一个域名下的所有主机、子域都被解析到同一个IP地址上。实现泛域名解析只需在DNS服务器正向解析区域文件中加入一条以“*”表示的资源记录即可。,返回,网络技术应用网,11.5.5 直接解析域名,用户在使用域名访问网站时，经常在输入网站地址时省去主机名“www”或“mail”，例如访问北京理工大学邮箱主页只需输入“http:/”，访问百度只需输入。实现该功能只需要DNS服务器正向解析区域中加入一条以“.”表示的资源记录即可。,返回,网络技术应用网,11.6 DNS客户端配置,返回,11.6.1 Windwos下客户端配置,11.6.2 Linux下客户端配置,结束,在Windows或Linux下，如果用户采用DHCP方式获得IP地址，一般DNS也会自动得到配置。如果用户采用手动方式设置IP地址，则DNS也需要手动设定。,网络技术应用网,11.6.1 Windwos下客户端配置,返回,网络技术应用网,11.6.2 Linux下客户端配置,在Red Hat Enterprise Linux 5中可以采用图形方式配置DNS服务器地址。,返回,网络技术应用网,11.7 DNS服务器的问题分析,返回,11.7.1 DNS服务器的安全配置,11.7.2 不能完成反向解析,结束,11.7.3 缺少主机名后的“”,11.7.4 工作目录设置错误,网络技术应用网,11.7 DNS服务器的问题分析,返回,结束,11.7.5 忘记改变顺序号,11.7.6 重新装载named进程,11.7.7 从DNS服务器不能复制分区数据库,网络技术应用网,11.7.1 DNS服务器的安全配置,由于DNS服务器保存了大量的网络配置信息，因此一直以来就是网络攻击的主要目标之一。一些针对DNS服务器的攻击（如DNS欺骗、拒绝服务攻击、缓冲区漏洞攻击、分布式拒绝服务攻击等），一旦侵入DNS服务器将会给网络用户造成巨大的损失。,返回,网络技术应用网,11.7.2 不能完成反向解析,由于正向解析区域文件和反向解析区域文件分别完成主机名到IP地址和IP地址到主机名的翻译任务，所以在增删主机、修改主机名或修改主机的IP地址时，要同时修改正向解析文件和反向解析文件。,返回,网络技术应用网,11.7.3 缺少主机名后的“”,在区域文件中，带域名的主机名后必须有一个点“.”，表示DNS根域。如果忘记这个点，将导致错误的DNS解析结果。,返回,网络技术应用网,11.7.4 工作目录设置错误,在启动named进程时，系统提示工作目录设置错误。,返回,网络技术应用网,11.7.5 忘记改变顺序号,通常，在修改完数据库文件后，应同时修改数据库文件的顺序号（Serial Number）。如果忘记修改顺序号值，或顺序号没有按增量规律修改，将导致从DNS服务器不能及时更新从DNS数据库中的数据。,返回,网络技术应用网,11.7.6 重新装载named进程,当系统管理员修改了DNS的数据库或配置文件后，需要重新装载named进程才能使新设置生效。可以通过发送HUP信号，通知named进程进行重新装载。,返回,网络技术应用网,11.7.7 从DNS服务器不能复制分区数据库,如果从DNS服务器不能从主DNS服务器复制分区数据，通常在其日志文件/var/log/messages中会有下面的信息：Sep 27 03:04:51 dns named96：zoneref：Master for secondary zone my.internal.zone unreachable,返回,网络技术应用网,