操作系统10-DNS与DHCP服务器.ppt

《操作系统10-DNS与DHCP服务器.ppt》由会员分享，可在线阅读，更多相关《操作系统10-DNS与DHCP服务器.ppt（59页珍藏版）》请在三一办公上搜索。

1、第十章 DNS与DHCP服务器,DNS服务器的安装和配置DHCP服务器的安装和配置,BIND简介,Redhat Linux用BIND来实现名字服务。BIND（BerkeleyInternetNameDomain）是由加州大学柏克莱分校所开发的BSDUNIX中的一部份，目前则由ISC组织负责维护与发展。BIND是个被广泛使用的DNS服务器软件，它提供了强大及稳定的域名解析服务，因此Internet上有近九成的DNS服务器主机都使用BIND。,10.1.1 BIND服务器软件的安装和启动,如果在安装Redhat Linux 9的时候没有安装BIND，可以从Linux的安装光盘中找到以下三个文件：安

2、装rpm封装的软件包:rootjsjwl root#rpm ivhrootjsjwl root#rpm ivhrootjsjwl root#rpm ivh安装配置好DNS服务后，可以使用命令#service dhcpd start或#service dhcpd restart启动或重启DNS服务。欲在系统启动时就启动DNS服务，可以运行ntsysv命令，在出现的对话框中选中“named”服务，按【确定】即可。还可在终端命令提示符下使用命令#/sbin/chkconfig level 345 named on,10.1.2 BIND的基本配置,配置可以通过命令行方式，也可通过图形界面进行。图形界

3、面的启动是点击“系统设置”|“服务器设置”|“域名服务”后，在桌面上出现其配置界面。点击“新建”，即可开始配置。域名服务的配置界面,10.1.3 BIND的基本配置,1DNS服务器的类型DNS 设置需要配置的主要文件是“/etc/named.conf”。DNS服务器的类型大致上可以分为三类，分别是主DNS服务器、辅助DNS服务器和专用缓存域名服务器。,10.1.3 BIND的基本配置,主DNS服务器（Master）这种类型的 DNS 本身包含域名的配置文件（也就是“ZONE”）。是配置文件中正向解析或者是反向解析的数据库。它本身具有提供 Internet 查询所需的数据。例如，可以在我的主机上

4、面设置提供“”这个网域，那么我的主机就是 Master 类型的主机了,10.1.3 BIND的基本配置,辅助DNS服务器（Slave）DNS 系统通常会至少有两部主机提供 DNS 的服务，这个时候就需要有 slave 类型的 DNS 主机。不论是 Master 还是 Slave 主机，都必须要可以同时提供 DNS 的服务才好。在 DNS 系统当中，域名的查询是“先抢先赢”的状态，所以，用于一般不会知道哪部主机的数据会先被查询到的。为了提供稳定的 DNS 服务，每部 DNS 主机都应当能正常工作。,10.1.3 BIND的基本配置,（3）专用缓存域名服务器（Cache-only，也即forwar

5、d DNS）这种域名服务器通常设定在防火墙上。它没有自己的数据库，仅仅是帮助 Client 端向外部的 DNS 服务器要求并缓存数据，起一个“代理”的角色。,10.1.3 BIND的基本配置,2Cache-Only DNS服务器的设置cache-only DNS 服务器（也称为 forward DNS）是最简单的DNS 服务器类型。它本身并没有主机名与 IP 地址对应关系的设定文件，完全是由对外的查询来提供他的数据来源！因为没有“zone”的设定设定文件，所以它必须要连上一台合法的 DNS服务器。整个工作流程如下：图10-3 Cache-Only DNS服务器的工作流程,10.1.3 BIND

6、的基本配置,Cache-only 的主机实际上都是请一个(Forwarders)DNS 主机来帮忙查询的，本身并没有 zone 的设定文件。基本上cache-only 的 DNS 只是一个中间传递数据的 DNS服务器而已。设定一Cache-only 的 DNS 主机相对比较简单，只要编辑“/etc/named.conf”即可。在这个文件中，主要是定义跟服务器有关的事项，以及各个“Zone”的代表含意与文件。,10.1.3 BIND的基本配置,下面是一个配置实例：rootjsjwl root#vi/etc/named.conf/This settings is only for forwardi

7、ng DNS Serveroptions pid-file/var/run/named/named.pid;forward only;/只允许 forward。forwarders 202.96.128.86/这是电信的 DNS。219.128.253.49;/这是我们单位的DNS。;pid-file所在的目录（也就是那个/var/run/named 目录），BIND执行文件程序的拥有者(正常应该是 name 这个使用者)必须要能够写入，也就是说，/var/run/named 的owner 必须是 named 这个 user 才行。pid-file：指的是每一个 services 的记录自己的

8、 PID(Process ID)的文件。这个文件通常用在重新启动或者是 reload 整个 services 最常被使用到的。,10.2 主DNS服务器配制-演示,10.2【实验10.1】配置主DNS服务器,1.配置文件/etc/named.conf该文件是域名服务器守护进程named启动时读取到内存的第一个文件。在该文件中定义了域名服务器的类型、所授权管理的域以及相应数据库文件和其所在的目录。该文件的内容如下：options directory/var/named;notify no;forwarders202.96.128.86;zone.IN type hint;file named.c

9、a;,10.2【实验10.1】配置主DNS服务器,zone 0.0.127.in-addr.arpa IN type master;file named.local;allow-update none;zone IN type master;file named.hosts;allow-update none;zone 1.168.192.in-addr.arpa IN type master;file named.1.168.192;allow-update none;,10.2【实验10.1】配置主DNS服务器,（1）directory指定了dns记录文件的存放目录是/var/named。

10、（2）第一个zone语句定义了dns服务器的根域名服务器的信息是从name.ca获得。这个记录文件是系统自带的，不用去改动它。（3）第二个zone语句是回送地址的数据库文件，文件名是named.local。这个记录文件也是系统自带的，不用去改动它。（4）forwarders 202.96.128.86;，其中是电信的dns服务器的地址，forwarders参数指明了其后的IP所在的服务器作为备选的dns服务器。也就是说，把本机的dns不能解析的主机发送到这个备选的dns服务器上，让它来进行解析。（5）第三个zone和第四个zone定义了这个域和对应的反向查询域。（6）named.hosts和n

11、amed.192.168.1是域的记录文件。这两个文件也是自己创建的。（7）在named.conf文件中涉及到的文件名当然也可以自己命名，但是要和/var/named目录下的文件名保持一致。（8）在行zone 1.168.192.in-addr.arpa IN 行中，网络号一定反序写出。,10.2【实验10.1】配置主DNS服务器,2.创建/var/named/named.ca在Linux系统上通常在/var/named目录下已经提供了一个named.ca，该文件中包含了Internet的顶层域名服务器，但这个文件通常会有变化，所以建议最好从Inter NIC下载最新的版本。该文件可以通过匿名

12、ftp下载。,10.2【实验10.1】配置主DNS服务器,3.创建/var/named/named.hosts该文件指定了域中主机域名同IP地址的映像，内容如下：$TTL 86400INSOA.(2001110600;serial28800;refresh14400;retry3600000;expire86400;minimum)INNS.INMX.localhostwww INCNAME a101,10.2 配置主DNS服务器【实验】,（1）行IN NS.说明该域的域名服务器，其名字为”.”，至少应该定义一个域名服务器。注意名字是以“.”结束，这称为“完整标识域名或全称域名”。（2）行IN

13、 MX 1.是MX记录，表明该计算机同时也是邮件服务器，专门处理邮件地址的主机部分为的邮件，1表示优先级别。请参阅邮件服务器一章。（3）行a100 IN A 192.168.1.100是一条A（主机）记录，表示主机名和IP地址的对应关系。a100是主机名，是它的IP地址。此处即使本DNS服务器的名字和其IP地址。（4）行a101 IN A 192.168.1.34是另一条A（主机）记录，表示网络中某台计算机的主机名和IP地址的对应关系。a101是主机名，是它的IP地址。（5）行www IN CNAME a100表示一条定义别名的记录。即和表示同一台主机的不同名字。如果该主机作为web服务器，则

14、通过这两个域名可以对应两个站点，Web客户使用和可访问到相应的站点,10.2 配置主DNS服务器【实验】,4.创建该文件主要定义了IP地址到主机名的转换。即DNS客户通过IP地址可以查询到主机名。该文件的内容如下：$TTL 86400INSOA.(2001110600;serial28800;refresh14400;retry3600000;expire86400;minimum)INNS.61 INPTR.62 IN PTR.,10.2 配置主DNS服务器【实验】,（1）PTR记录用于定义IP地址名到主机域名的映射。（2）PTR记录的最后一项必须是一个完整的标识域名，以.结束。5.创建/v

15、ar/named/named.local该文件用来说明回送地址的IP地址到主机名的映射。该文件的内容如下：$TTL 86400INSOA.(2001110600;serial28800;refresh14400;retry3600000;expire86400;minimum)INNS.1 IN PTRlocalhost.,10.2 配置主DNS服务器【实验】,（1）此文件的内容是特定的，在不同的域的域名服务器上，所要修改的只是SOA记录和NS记录。（2）PTR记录的最后域名为完全标识域名，以.结束。6 配置文件/etc/resolv.conf该文件用来告诉解析器调用的本地域名、域名查找的顺序

16、以及要访问域名服务器的IP地址。该文件的内容如下：domain nameserversearch 7修改/etc/nsswitch.conf该文件中和域名服务有关的一项是hosts。修改如下：hosts:files dns nisplus nis8重启DNS在终端命令提示符下键入/etc/rc.d/init.d/named restart，或Service named restart,10.3【实验10.2】客户端的设置及测试,1.Linux客户端的设定完成了 DNS 服务器的配置后，接下来进行 DNS Client 的联机测试，以判断服务器是否正常提供DNS服务了。Linux客户端需要先配置

17、如下文件：/etc/hosts：这个是最早的 hostname IP 的文件；/etc/resolv.conf：指定DNS 服务器的IP地址，DNS Client端就是利用里面设定的 IP地址去查找到DNS服务器的。,10.3【实验10.2】客户端的设置及测试,/etc/nsswitch.conf：这个文件则是决定先使用/etc/hosts 还是/etc/resolv.conf 的设置。一般而言，Linux 的默认Hostname搜索是先从/etc/hosts开始。可以以查看一下/etc/nsswitch.conf，并找到 hosts 的项目：/etc/nsswitch.conf#An exa

18、mple Name Service Switch config file.This file should be#sorted with the most-used services at the beginning.rootjsjwl root#vi/etc/nsswitch.confhosts:files nisplus nis dns在该文件中“hosts:files dns nisplus nis”行规定了主机上的应用程序进行域名解析时的顺序。files就是使用/etc/hosts，而最后的 dns 则是使用/etc/resolv.conf 的 DNS 主机 IP 查找。测试前，还需要

19、在/etc/resolv.conf文件中指定DNS服务器的IP地址：rootjsjwl root#vi/etc/resolv.confnameservernameserver,10.3客户端的设置及测试,DNS服务器的IP地址可以设定多个，这可以让DNS有备份的功能。例如在上面设定了两个DNS服务器。当192.168.1.100 不能解析时，Client端会立刻以作为 DNS 查询的服务器（如果实验网络能连接Internet，则Internet上的主机域名解析就得由才能完成）。在Xwindow下，配置Linux客户端则简单明瞭，在“网络”界面下设置第一、第二DNS服务器的地址参数即可，如图10

20、-5所示。,10.3客户端的设置及测试,图10-5 DNS客户端的设置,10.3客户端的设置及测试,2.Windows客户端的设置若客户端开启Windows 2000 Professional系统，这在其TCP/IP属性设置里指定“首选DNS服务器”的地址为。如需要使用网络中的DNS服务器，则在“备用DNS服务器”一栏里把此地址填入。具体操作如下：1)在DNS Client上，打开“网络和拨号连接”。右键单击要配置的网络连接，然后单击“属性”。2)在“常规”选项卡（用于本地连接）上，单击“Internet 协议(TCP/IP)”，然后单击“属性”。手动配置 DNS 服务器地址，单击“使用以下

21、DNS 服务器地址”，在“首选 DNS 服务器”栏中，键入IP地址，在“备用 DNS 服务器”栏中,键入。,10.3客户端的设置及测试,3.测试DNS服务器配置好DNS并启动named进程后，即可对DNS进行测试。（1）使用Ping命令判断DNS服务器是否能正确提供域名解析的最简单的方式就是最简单的测试方式是使用Ping命令，在DNS Client 的终端命令行提示符（启动Linux系统时）或命令提示符下（启动Windows系统时）ping某主机的域名，如能ping通，则说明DNS工作正常。（2）使用BIND测试工具BIND软件包本身提供了三个测试工具：host、nslookup和dig。其中

22、最常用的是nslookup，而host最简单。,10.3客户端的设置及测试,1)Host格式如下：rootjsjwl root#host-a FQDN serverrootjsjwl root#host-l domain server参数说明：-a：列出所有的信息，列出的信息包含有 TTL的DNS 主机的IP，待寻找的主机的 IP 等。-l：将后面的 domain 内的所有的 host 都列出来，注意，要使用此选项，就必须要有 allow-transfer 的项目在/etc/named.conf 里面被启动。server：这个参数可有可无，当想要利用非/etc/resolv.conf 内的 D

23、NS 主机来解析主机名称与 IP 的对应时，就可以利用这个参数。,10.3客户端的设置及测试,例子：#强制以 192.168.100 DNS 服务器来提供查询rootjsjwl root#host Using domain server:Name:192.168.1.100 Address:192.168.1.100#53 查询出主机的IP地址是。,10.3客户端的设置及测试,2)nslookupnslookup是用来询域名信息的命令，既可有域名查询IP地址，又可由IP地址查询域名。其使用分交互模式和非交互模式两种方式。交互模式就是直接运行nslookup，而非交互模式还需加上待查询的域名或I

24、P地址，如：nslookup，nslookup注意，当用nslookup查询时出现“Non-authoritative answer：”，表明这次并没有到网络外去查询，而是在缓存区中查找并找到数据。交互模式除了能查询单个的主机，还可以查询DNS记录的任何类型，并且传输一个域的整个区域信息。当不加参数地调用，nslookup将显示它所用的名字服务器，并且进入交互模式。在提示符下，你可以键入任何想要查询的域名。默认地，它请求类A记录，这些是包含与域名相关的IP地址的。你可以通过发出“set type=type”来改变这个类型，这里type是上面描述的资源记录名，或ANY。,10.3客户端的设置及测

25、试,例如，在如图10-4所示的实验网络中，查找主机的IP地址：rootjsjwl root#53如果只输入：a101nslookup能够根据文件/etc/resolv.conf中的定义，自动添加的域名，然后显示与上面相同的结果。,10.3客户端的设置及测试,又如：要查看域名信息及某IP地址如对应的域名，可按如下操作：rootjsjwl root#nslookupset type=Address:192.168.1.100#nameserver=.Alias:nslookup完整的命令集可以通过nslookup中的help命令得到,10.3客户端的设置及测试,3)dig语法：root jsjwl

26、 root#dig server-t type FQDN参数说明：-t type：查询某主机的某个卷标，例如 MX/NS 等等，以及所有标签 any 等server：如果不想以/etc/resolv.conf 来作为 DNS 主机，则可在此填入其它的 DNS IP。例子：roottest root$dig 192.168.1.100;DiG 9.2.3 192.168.1.100;global options:printcmd;Got answer:;-HEADER-opcode:QUERY,status:NOERROR,id:40211;flags:qr aa rd ra;QUERY:1,A

27、NSWER:1,AUTHORITY:1,ADDITIONAL:0;QUESTION SECTION:.IN A,10.3客户端的设置及测试,;ANSWER SECTION:;AUTHORITY SECTION:J.600 IN NS.;Query time:4 msec;SERVER:192.168.1.100#53(192.168.1.100);WHEN:Fri DEC 10 12:20:00 2004;MSG SIZE rcvd:60#用 DNS 主机 192.168.1.100 去查询 这台主机，#可以得到 A 与 NS 的结果。,10.4.1 DHCP服务器软件的安装,1DHCP服务器

28、的安装在RedHat Linux 9中自带的DHCP服务器版本为dhcp-3.0pl1-23，在安装之前可用如下命令检查是否已安装DHCPd：rootjsjwl root#rpm qa dhcp*Dhcp-3.0pl1-23Dhcclient-3.0pl1-23若没有则可从第一、二张安装盘/RedHat/RPMS目录下找出以“dhcp”开头的rpm文件，然后输入以下指令：rootjsjwl root#rpm ivh dhcp*.rpm在启动DHCP之前，需要对服务器进行配置。,10.4.2 DHCP服务器的配置,DHCP服务器的配置主要步骤有：配置/etc/dhcpd.conf文件生成dhcp

29、d.leases文件启动DHCPd服务,10.4.2 DHCP服务器的配置,1配置/etc/dhcpd.conf文件DHCPd默认的配置文件是/etc/dhcpd.conf，这是一个文本文件。如果不存在，可以手动创建它，而是一个配置样例文件，将其复制到/etc目录下并改名为dhcpd.conf，再修改，这样配置起来更方便。DHCP提供一种机制，使得服务器可以向客户端提供有关如何配置网卡和客户端如何访问各种网络服务的信息。这些选项可以通过dhcpd.conf种的option语句来定义。,10.4.2【实验10.3】DHCP服务器的配置,DHCPd里有一个语法分析器，能对这个文件进行语法分析，获得

30、配置参数。dhcpd.conf 文件对关键字大小写敏感，注释以“#”开头，一直到该行结束。这里给出一个简单的dhcpd.conf的例子，假定所服务的网络为C类保留网络。dhcpd.conf的内容如下：#/etc/dhcpd.conf examples#默认租约时间default-lease-time 28800;#最大租约时间max-lease-time 43200;#子网掩码选项option subnet-mask 255.255.255.0;#广播地址option broadcast-address 192.168.1.255;#路由器地址option routers 192.168.1.

31、1;#DNS地址,10.4.2 DHCP服务器的配置【实验】,option domain-name-servers 192.168.1.100;#域名option domain-name;#以上都是全局参数#子网声明和掩码subnet 192.168.1.0 netmask 255.255.255.0#范围range 192.168.1.10 192.168.1.99;#范围range 192.168.1.150 192.168.1.200;,10.4.2 DHCP服务器的配置【实验】,这段配置文件将允许DHCP服务器分配两段地址范围给DHCP客户，192.168.1.10-99 和，如果DH

32、CP客户在申请租约时不请求一个特定租约失效时间，则以default-lease-time(28800秒)为租约时间，如果有请求一个特定的租约失效时间，则采用max-lease-time（432000秒）。服务器发送下面的参数给DHCP客户机：子网掩码是广播地址是默认网关是DNS是。如果要为一台叫做“puma”的机器指定固定的IP地址，可以在dhcpd.conf文件加一条host puma#puma上网卡的硬件地址hardware ethernet 00:D0:F8:41:58:21;#固定IPfixed-address 192.168.1.220;,10.4.2 DHCP服务器的配置【实验】,

33、2配置dhcpd.leases 文件dhcpd.leases 是DHCP客户租约的数据库文件，默认目录在/var/state/dhcp/，文件包含租约声明，每次一个租约被获取、更新或释放，它的新值就被记录到文件的的末尾。在DHCPd第一次安装后，并不会生成这个文件。但DHCPd的运行需要这个文件，所以可以建立一个空的文件：rootjsjwl root#touch/var/state/dhcp/dhcpd.leasesDHCPd记录这个文件的格式：lease ip-address statements.,10.4.2 DHCP服务器的配置【实验】,3.DHCP服务器的启动启动DHCPd，方式如下

34、：rootjsjwl root#/etc/rc.d/init.d/dhcpd startrootjsjwl root#service dhcpd start 这样启动后，DHCPd是启动在eth0 上，如果DHCPd上的服务器还有另外一块网卡eth1，想在eth1上启动dhcpd，就键入：rootjsjwl root#/usr/sbin/dhcpd eth1,10.4.2 DHCP服务器的配置-演示,10.4.2 DHCP服务器的配置【实验】,rootjsjwl root#ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:50:FC:25:9D:

35、57 inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:333678 errors:0 dropped:0 overruns:0 frame:0 TX packets:377219 errors:0 dropped:0 overruns:0 carrier:0 collisions:195 txqueuelen:100 RX bytes:42243563(40.2 Mb)TX bytes:2783733

36、16(265.4 Mb)Interrupt:10 Base address:0 x6100 看到上面eth0输出信息的第三行有MULTICAST选项，如果没有，则必须手工加入这个IP地址到routing-table中（以root用户登录，输入：rootjsjwl root#route add host 255.255.255.255 dev eth0）。这样DHCPd就能够为Windows 95机器提供服务了。,10.4.3【实验10.4】DHCP 客户端的设置,DHCP的客户端可以有多种类型，可以是Windows系统如Windows 98、Windows2000，也可以是 Linux/Uni

37、x机器。下面分别介绍Linux客户端和Windows 2000客户端的设置。Linux客户端的设置通常使用以下两种方法设置：（1）修改/etc/sysconfig/network-scripts/ifcfg-eth0Redhat Linux下手工修改/etc/sysconfig/network-scripts/ifcfg-eth0文件，把BOOTPROTO=”none”改为BOOTROTO=”dhcp”，再执行命令ifup即可，如下所示。roottest root#vi/etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO

38、=dhcp/只要设置这一行即可。BROADCAST=192.168.1.255 IPADDR=192.168.1.230 NETMASK=255.255.255.0 NETWORK=192.168.1.0 ONBOOT=yes,10.4.3【实验10.4】DHCP 客户端的设置,（2）通过“以太网设备”选项卡在Xwindow下通过【系统设置】|【网络】图形界面的【以太网设备】选项卡上选取“自动获取IP地址设置使用：dhcp”，如图10-6所示。图10-6 DHCP客户端的设置,10.4.3 DHCP 客户端的设置,修改完后，先关闭网卡再开启，然后通过ifconfig查看dhcp运行情况：roo

39、tjsjwl root#ifdown eth0rootjsjwl root#ifup eth0 Determining IP information for eth0.done roottest root#ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:54:DG:08:QE:BE inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0 BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1 RX packets:59

40、0 errors:0 dropped:0 overruns:0 frame:0 TX packets:208 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:55145(53.8 Kb)TX bytes:29113(28.4 Kb)Interrupt:10 Base address:0 xd000从上面可以看出DHCP正常运行。,10.4.3 DHCP 客户端的设置,Windows 2000 下DHCP客户端的设置在Windows 2000的控制面板中选择网络连接，选中需要配置的网卡，把“

41、Internet协议（TCP/IP）”属性配置为“自动获得IP地址”，如图10-7所示。如果DHCP服务器还提供DNS、WINS等，也可以把它们设置为自动获得。图10-7 自动获取IP地址,10.4.3 DHCP 客户端的设置,在命令提示符下，执行ipconfig/all命令可以查看到TCP/IP分配情况：C:ipconfig/all Windows 2000 IP Configuration Ethernet adapter 本地连接:Connection-specific DNS Suffix.:Description.:Realtek RTL8139(A)PCI Fast Etherne

42、t Adapter Physical Address.:00-00-35-30-43-D4 DHCP Enabled.:Yes Autoconfiguration Enabled.:Yes IP Address.:192.168.1.82 Subnet Mask.:255.255.255.0 Default Gateway.:192.168.1.2 DHCP Server.:192.168.1.2 DNS Servers.:168.95.1.1 139.175.10.20 Lease Obtained.:2004年12月20日 AM 12:30:51 Lease Expires.:2004年1

43、2月20日 AM 12:30:51 用C:ipconfig/renew命令可以更新IP地址，要释放地址用C:ipconfig/release命令,10.4.3 DHCP 客户端的设置,以上就是DHCPd常用配置，实际应用DHCP还要考虑IP分配的一些策略问题，同时要保证网络的健壮性，必须至少要有两台DHCP服务器一起工作，如果一台出了故障，另一台可以继续为DHCP客户服务。然而目前DHCP协议里并没有能让两台DHCP服务器协同工作的机制，不能保证分配的地址的唯一性，所以这两台DHCP服务器里的可分配地址空间必须进行调整，不能有交叉重复的IP地址。,DNS和DHCP服务器的故障诊断,1DNS的故

44、障诊断大多数DNS故障的原因是配置文件的语法错误，或者是对错误的计算机分配了错误的地址。当进行DNS故障诊断时，参照下面的原则：对全部记录，检查和确认主机名称的拼写。绝对地址是以“.”结尾.；如果在区文件中作了任何修改，务必修改SOA记录中的序列号。这将保证服务器正确地重新上载文件；确定输入到主区的名称和IP地址匹配反向指针文件中的反向指针信息；Microsoft的DNS服务器采用了非标准的资源记录，可能会导致问题；检查防火墙相关程序。,DNS和DHCP服务器的故障诊断,1）如果需要快速地查找DNS存在的问题，可以用tail命令，如下所示：rootjsjwl root#tail f/var/l

45、og/messagesDec 20 10:54:18 moon named2424:starting BIND 9.2.1-u named Dec 23 10:54:18 moon named2424:using 1 CPU Dec 23 10:54:18 moon named2427:loading configuration from/etc/named.conf Dec 23 10:54:18 moon 12月 23 10:54:18 named:named 启动 succeeded Dec 23 10:54:18 moon named2427:no IPv6 interfaces fo

46、und Dec 23 10:54:18 moon named2427:listening on IPv4 interface lo,127.0.0.1#53 Dec 23 10:54:18 moon named2427:listening on IPv4 interface eth0,235.68.1.212#53 Dec 23 10:54:18 moon named2427:listening on IPv4 interface eth1,17.130.240.67#53 Dec 23 10:54:18 moon named2427:command channel listening on

47、127.0.0.1#953 Dec 23 10:54:18 moon named2427:named.local:1:no TTL specified;using SOA MINTTL instead,DNS和DHCP服务器的故障诊断,Dec 23 10:54:18 moon named2427:zone 0.0.127.IN-ADDR.ARPA/IN:loaded serial 2000092201 Dec 23 10:54:18 moon named2427:zone 1.68.195.IN-ADDR.ARPA/IN:loaded serial 2001021103 Dec 23 10:5

48、4:18 moon named2427:zone localhost/IN:loaded serial 2002111601 Dec 23 10:54:18 moon named2427:zone/IN:loaded serial 2001021103 Dec 23 10:54:18 moon named2427:running Dec 23 10:54:18 moon named2427:zone localhost/IN:sending notifies(serial 2002111601),DNS和DHCP服务器的故障诊断,2)测试网络客户端和服务器网络连接情况，只要有一方ping不到，

49、请检查双方网路的设置，尤其注意防火墙。ClientServer不通表示Server端的DNS可能不正常(虽从log看来有启动，但不能说明所有的设定都正确)，或者是Client端关于DNS的设定有错。如果ServerClient不通表示Server端的DNS肯定是不正常了(虽从log看来有启动，但不能说明所有的设定都正确)。相互能ping通，通常为Server端的Service不正常(包含设定)，但很可能是自身运行了防火墙。3）检查防火墙相关程序。先用lokkit将防火墙关闭(设定为无)；检查TCP_WRAPPER设定(设定文件在/etc/hosts.allow 及/etc/hosts.deny

50、)；检查service level安全设定，如telnet应检查/etc/xinetd.conf(global)及/etc/xinetd.d/telnet中有无only_from或no_access设定。,DNS和DHCP服务器的故障诊断,4）如何提高DNS服务器的安全性？为了提高域名服务器的安全性，必须要控制区文件的传输.在配置named.conf时，可以采取几方面的控制来加强安全。options allow-transfer 202.103.166.100;这句指令指定只有授权的辅服务器才能从本主服务器上获得区数据信息。options allow-query 192.168.1/24;12