キャッシュDNSサーバと主従DNSサーバの高速構築の詳細―続き


前節では、キャッシュDNSとプライマリDNSの高速構築方法について説明しましたが、ここでは、DNSの冗長負荷分散を実現するためにプライマリDNSサーバを構築する方法を説明するための続編です.ここでのすべての構成は前章の内容に基づいているので、理解できない場合は前章(http://ywhwzhang.blog.51cto.com/3821405/1169441)、ご迷惑をおかけしたことをご了承ください.
一、設定内容
前章ではwangej.comドメイン名をネット上に登録したと仮定し,得られたIPネットワークは172.16.12.0/24である.
プライマリDNSサーバの構成は次のとおりです.
nsサーバYes:172.16.12.1
wwwサーバ:172.16.12.1、もう一つのアドレス:172.16.12.2.3
mailサーバ:172.16.12.5
DNSからの構成はほぼ同様(サーバIPから172.16.12.2.2)
二、準備作業:
前節で述べたので,ここでは説明しない.
三、命令解析
DNSサービスは私たちが会社や他の機関に提供するドメイン名解析サービスです.では、ここには必ず範囲の定義があります.安全のためだけでなく、一部の人に悪意のある攻撃ではなく、サービスの資源をより大きく顧客にサービスさせることができます.
前回ではdigコマンドについて説明しましたが、digコマンドはDNSサービスが正常に使用されているかどうかをテストするだけでなく、メインサーバのすべてのコンテンツとインクリメンタルコンテンツをクエリーで転送することもできます.ここでは、クエリー可能なオブジェクトをさらに限定しなければなりません.そうすれば、サーバのセキュリティをできるだけ保証することができます.recursionコマンドを使用して、再帰機能をオンまたはオフにすることができます.デフォルトの再帰機能はオンです.allow-recursionの使用 { NET;};あるセグメントに再帰的なサービスを提供します.allow-queryを使用して、クエリーを許可するユーザーを決定します(ただし、構築されたDNSサーバは公共サービスに直面するのに十分ではありません).allow-transferを使用して、データの転送を許可する使用を定義します.ここでは、サーバから情報を転送できるように設定するのが一般的です.
[root@ywhwzhang named]# dig -t axfr wangej.com @172.16.12.1 DNSサーバのすべての情報を完全に問い合わせることができます

   
   
   
   
  1. [root@ywhwzhang named]# dig -t axfr wangej.com @172.16.12.1 
  2.  
  3. ; <<>> DiG 9.7.0-P2-RedHat-9.7.0-6.P2.el5_7.4 <<>> -t axfr wangej.com @172.16.12.1 
  4. ;; global options: +cmd 
  5. wangej.com.     3600    IN  SOA ns1.wangej.com. admin.wangej.com. 3 3600 300 172800 21600 
  6. wangej.com.     3600    IN  NS  ns1.wangej.com. 
  7. wangej.com.     3600    IN  MX  10 mail.wangej.com. 
  8. *.wangej.com.       3600    IN  A   172.16.12.1 
  9. ftp.wangej.com.     3600    IN  CNAME   www.wangej.com. 
  10. mail.wangej.com.    3600    IN  A   172.16.12.2 
  11. ns1.wangej.com.     3600    IN  A   172.16.12.1 
  12. www.wangej.com.     3600    IN  A   172.16.12.1 
  13. www.wangej.com.     3600    IN  A   172.16.12.3 
  14. wangej.com.     3600    IN  SOA ns1.wangej.com. admin.wangej.com. 3 3600 300 172800 21600 
  15. ;; Query time: 2 msec 
  16. ;; SERVER: 172.16.12.1#53(172.16.12.1) 
  17. ;; WHEN: Wed Apr  3 16:55:16 2013 
  18. ;; XFR size: 10 records (messages 1, bytes 249

[root@ywhwzhang named]# dig -t IXFR=3 wangej.com @172.16.12.1 プライマリDNSサーバの構成を変更した後、インクリメンタルクエリーを行います.

   
   
   
   
  1. [root@ywhwzhang named]# dig -t IXFR=3 wangej.com @172.16.12.1 
  2.  
  3. ; <<>> DiG 9.7.0-P2-RedHat-9.7.0-6.P2.el5_7.4 <<>> -t IXFR=3 wangej.com @172.16.12.1 
  4. ;; global options: +cmd 
  5. wangej.com.     3600    IN  SOA ns1.wangej.com. admin.wangej.com. 3 3600 300 172800 21600 
  6. ;; Query time: 4 msec 
  7. ;; SERVER: 172.16.12.1#53(172.16.12.1) 
  8. ;; WHEN: Wed Apr  3 16:57:03 2013 
  9. ;; XFR size: 1 records (messages 1, bytes 74

[root@ywhwzhang ~]# dig -t axfr wangej.com @172.16.12.1 許可されていないホストクエリーを使用して

   
   
   
   
  1. [root@ywhwzhang ~]# dig -t axfr wangej.com @172.16.12.1 
  2.  
  3. ; <<>> DiG 9.7.0-P2-RedHat-9.7.0-6.P2.el5_7.4 <<>> -t axfr wangej.com @172.16.12.1 
  4. ;; global options: +cmd 
  5. ; Transfer failed. 

四、DNSサーバーからの構成
1、まずbind 97.i 386、bind 97-libs.i 386、bind 97-utils.i 386の3つのパッケージをインストールする必要があります.私たちのDNS環境プラットフォームを構築します.その後、SELinuxサービスを一時的に閉鎖し、SELinuxが私たちの構成に不必要な影響を与えることを防止します.
2、メインサーバーを追加したメインプロファイルの変更:vim /etc/named.conf

   
   
   
   
  1. [root@ywhwzhang named]# vim /etc/named.conf 
  2. options { 
  3.     directory "/var/named"
  4. }; 
  5.  
  6. zone "." IN { 
  7.     type hint; 
  8.     file "named.ca"
  9. }; 
  10.  
  11. zone "localhost" IN { 
  12.     type master; 
  13.     file "named.localhost"
  14. }; 
  15.  
  16. zone "0.0.127.in-addr.arpa" IN { 
  17.     type master; 
  18.     file "named.loopback"
  19. }; 
  20.  
  21. zone "wangej.com" IN { 
  22.     type master;                                    #  
  23.     file "wangej.com.zone";                         #  
  24.     allow-transfer { 172.16.12.2; };                # 172.16.12.2  
  25. }; 
  26.  
  27. zone "12.16.172.in-addr.arpa" IN { 
  28.     type master;                                    #  
  29.     file "172.16.12.zone";                          #  
  30.     allow-transfer { 172.16.12.2; };                # 172.16.12.2  
  31. }; 

3.スレーブサーバーのマスタープロファイルを設定する(ここではスレーブサーバーにエリアデータファイルを追加する必要はない)
vim /etc/named.conf

   
   
   
   
  1. [root@ywhwzhang named]# vim /etc/named.conf 
  2. options { 
  3.     directory "/var/named"
  4. }; 
  5.  
  6. zone "." IN { 
  7.     type hint; 
  8.     file "named.ca"
  9. }; 
  10.  
  11. zone "localhost" IN { 
  12.     type master; 
  13.     file "named.localhost"
  14. }; 
  15.  
  16. zone "0.0.127.in-addr.arpa" IN { 
  17.     type master; 
  18.     file "named.loopback"
  19. }; 
  20.  
  21. zone "wangej.com" IN { 
  22.     type slave;                                     #  
  23.     file "slaves/wangej.com.zone";                  #  
  24.     masters { 172.16.12.1; };                       #  
  25.     allow-transfer { none; };                       #  
  26. }; 
  27.  
  28. zone "12.16.172.in-addr.arpa" IN { 
  29.     type slave;                                     #  
  30.     file "slaves/172.16.12.zone";                   #  
  31.     masters { 172.16.12.1; };                       #  
  32.     allow-transfer { none; };                       #  
  33. }; 

4、サービスを再起動して、主従サーバーが正常にデータを使用して転送できるかどうかをテストする
tail /var/log/messages

   
   
   
   
  1. [root@ywhwzhang ~]# tail /var/log/messages 
  2. Apr  3 17:07:13 localhost named[6146]: client 172.16.12.1#52450: zone transfer 'wangej.com/AXFR/IN' denied 
  3. Apr  3 17:18:35 localhost named[6146]: client 172.16.12.2#41948: transfer of '12.16.172.in-addr.arpa/IN': AXFR started 
  4. Apr  3 17:18:35 localhost named[6146]: client 172.16.12.2#41948: transfer of '12.16.172.in-addr.arpa/IN': AXFR ended 
  5. Apr  3 17:18:36 localhost named[6146]: client 172.16.12.2#56157: transfer of 'wangej.com/IN': AXFR started 
  6. Apr  3 17:18:36 localhost named[6146]: client 172.16.12.2#56157: transfer of 'wangej.com/IN': AXFR ended 

   同期結果の表示:(バージョン番号が1であることに注意)

   
   
   
   
  1. [root@ywhwzhang named]# cat ./slaves/wangej.com.zone  
  2. $ORIGIN . 
  3. $TTL 3600   ; 1 hour 
  4. wangej.com      IN SOA  ns1.wangej.com. admin.wangej.com. ( 
  5.                 1          ; serial 
  6.                 3600       ; refresh (1 hour) 
  7.                 300        ; retry (5 minutes) 
  8.                 172800     ; expire (2 days) 
  9.                 21600      ; minimum (6 hours) 
  10.                 ) 
  11.             NS  ns1.wangej.com. 
  12.             MX  10 mail.wangej.com. 
  13. $ORIGIN wangej.com. 
  14. ftp         CNAME   www 
  15. mail            A   172.16.12.5 
  16. ns1         A   172.16.12.1 
  17. www         A   172.16.12.1 
  18.             A   172.16.12.3 

   次に、プライマリ・サーバの解析ドメイン・エントリを変更し、プライマリ・セカンダリ・サーバが自動的に更新されるかどうかを確認します.
    プライマリDNSサーバログ:

   
   
   
   
  1. [root@ywhwzhang named]# tail /var/log/messages 
  2. Apr  3 16:16:14 localhost last message repeated 4 times 
  3. Apr  3 16:19:08 localhost named[6146]: client 172.16.12.2#51841: transfer of 'wangej.com/IN': AXFR-style IXFR started 
  4. Apr  3 16:19:08 localhost named[6146]: client 172.16.12.2#51841: transfer of 'wangej.com/IN': AXFR-style IXFR ended          

   DNSサーバログから:(変更後のバージョン番号がログに表示されていることに注意)

   
   
   
   
  1. [root@ywhwzhang named]# tail /var/log/messages 
  2. Apr  3 16:16:14 localhost last message repeated 4 times 
  3. Apr  3 16:19:08 localhost named[6801]: zone wangej.com/IN: Transfer started. 
  4. Apr  3 16:19:08 localhost named[6801]: transfer of 'wangej.com/IN' from 172.16.12.1#53: connected using 172.16.12.2#51841 
  5. Apr  3 16:19:08 localhost named[6801]: zone wangej.com/IN: transferred serial 2 
  6. Apr  3 16:19:08 localhost named[6801]: transfer of 'wangej.com/IN' from 172.16.12.1#53: Transfer completed: 1 messages, 10 records, 249 bytes, 0.030 secs (8300 bytes/sec) 

   最後に、サーバからデータが本当に受信されたかどうかを確認します(この場合、サービスからのデータバージョン番号が2に変わりました).

   
   
   
   
  1. [root@ywhwzhang named]# cat ./slaves/wangej.com.zone  
  2. $ORIGIN . 
  3. $TTL 3600   ; 1 hour 
  4. wangej.com      IN SOA  ns1.wangej.com. admin.wangej.com. ( 
  5.                 2          ; serial 
  6.                 3600       ; refresh (1 hour) 
  7.                 300        ; retry (5 minutes) 
  8.                 172800     ; expire (2 days) 
  9.                 21600      ; minimum (6 hours) 
  10.                 ) 
  11.             NS  ns1.wangej.com. 
  12.             MX  10 mail.wangej.com. 
  13. $ORIGIN wangej.com. 
  14. *           A   172.16.12.1 
  15. ftp         CNAME   www 
  16. mail            A   172.16.12.5 
  17. ns1         A   172.16.12.1 
  18. www         A   172.16.12.1 
  19.             A   172.16.12.3 


五、次の紹介:
DNSサーバの使用中にさまざまな問題に直面します.多くの場合、1台のサーバだけでは解決できません.この場合、自分のサーバにサブドメインを追加し、サブドメインに権限を与える必要があります.
DNSサーバが多くのドメインにサービスを提供している場合、上記の簡単な構成はますます煩雑になります.ACLは、ますます煩雑な仕事の中で近道を見つけるのに役立ちます.
へへへ、私のブログを见て生活の心があります.亲、次の期に会いましょう!