キャッシュDNSサーバと主従DNSサーバの高速構築の詳細―続き
27793 ワード
前節では、キャッシュDNSとプライマリDNSの高速構築方法について説明しましたが、ここでは、DNSの冗長負荷分散を実現するためにプライマリDNSサーバを構築する方法を説明するための続編です.ここでのすべての構成は前章の内容に基づいているので、理解できない場合は前章(http://ywhwzhang.blog.51cto.com/3821405/1169441)、ご迷惑をおかけしたことをご了承ください.
一、設定内容
前章ではwangej.comドメイン名をネット上に登録したと仮定し,得られたIPネットワークは172.16.12.0/24である.
プライマリDNSサーバの構成は次のとおりです.
nsサーバYes:172.16.12.1
wwwサーバ:172.16.12.1、もう一つのアドレス:172.16.12.2.3
mailサーバ:172.16.12.5
DNSからの構成はほぼ同様(サーバIPから172.16.12.2.2)
二、準備作業:
前節で述べたので,ここでは説明しない.
三、命令解析
DNSサービスは私たちが会社や他の機関に提供するドメイン名解析サービスです.では、ここには必ず範囲の定義があります.安全のためだけでなく、一部の人に悪意のある攻撃ではなく、サービスの資源をより大きく顧客にサービスさせることができます.
前回ではdigコマンドについて説明しましたが、digコマンドはDNSサービスが正常に使用されているかどうかをテストするだけでなく、メインサーバのすべてのコンテンツとインクリメンタルコンテンツをクエリーで転送することもできます.ここでは、クエリー可能なオブジェクトをさらに限定しなければなりません.そうすれば、サーバのセキュリティをできるだけ保証することができます.recursionコマンドを使用して、再帰機能をオンまたはオフにすることができます.デフォルトの再帰機能はオンです.allow-recursionの使用 { NET;};あるセグメントに再帰的なサービスを提供します.allow-queryを使用して、クエリーを許可するユーザーを決定します(ただし、構築されたDNSサーバは公共サービスに直面するのに十分ではありません).allow-transferを使用して、データの転送を許可する使用を定義します.ここでは、サーバから情報を転送できるように設定するのが一般的です.
[root@ywhwzhang named]# dig -t axfr wangej.com @172.16.12.1 DNSサーバのすべての情報を完全に問い合わせることができます
[root@ywhwzhang named]# dig -t IXFR=3 wangej.com @172.16.12.1 プライマリDNSサーバの構成を変更した後、インクリメンタルクエリーを行います.
[root@ywhwzhang ~]# dig -t axfr wangej.com @172.16.12.1 許可されていないホストクエリーを使用して
四、DNSサーバーからの構成
1、まずbind 97.i 386、bind 97-libs.i 386、bind 97-utils.i 386の3つのパッケージをインストールする必要があります.私たちのDNS環境プラットフォームを構築します.その後、SELinuxサービスを一時的に閉鎖し、SELinuxが私たちの構成に不必要な影響を与えることを防止します.
2、メインサーバーを追加したメインプロファイルの変更:vim /etc/named.conf
3.スレーブサーバーのマスタープロファイルを設定する(ここではスレーブサーバーにエリアデータファイルを追加する必要はない)
vim /etc/named.conf
4、サービスを再起動して、主従サーバーが正常にデータを使用して転送できるかどうかをテストする
tail /var/log/messages
同期結果の表示:(バージョン番号が1であることに注意)
次に、プライマリ・サーバの解析ドメイン・エントリを変更し、プライマリ・セカンダリ・サーバが自動的に更新されるかどうかを確認します.
プライマリDNSサーバログ:
DNSサーバログから:(変更後のバージョン番号がログに表示されていることに注意)
最後に、サーバからデータが本当に受信されたかどうかを確認します(この場合、サービスからのデータバージョン番号が2に変わりました).
五、次の紹介:
DNSサーバの使用中にさまざまな問題に直面します.多くの場合、1台のサーバだけでは解決できません.この場合、自分のサーバにサブドメインを追加し、サブドメインに権限を与える必要があります.
DNSサーバが多くのドメインにサービスを提供している場合、上記の簡単な構成はますます煩雑になります.ACLは、ますます煩雑な仕事の中で近道を見つけるのに役立ちます.
へへへ、私のブログを见て生活の心があります.亲、次の期に会いましょう!
一、設定内容
前章ではwangej.comドメイン名をネット上に登録したと仮定し,得られたIPネットワークは172.16.12.0/24である.
プライマリDNSサーバの構成は次のとおりです.
nsサーバYes:172.16.12.1
wwwサーバ:172.16.12.1、もう一つのアドレス:172.16.12.2.3
mailサーバ:172.16.12.5
DNSからの構成はほぼ同様(サーバIPから172.16.12.2.2)
二、準備作業:
前節で述べたので,ここでは説明しない.
三、命令解析
DNSサービスは私たちが会社や他の機関に提供するドメイン名解析サービスです.では、ここには必ず範囲の定義があります.安全のためだけでなく、一部の人に悪意のある攻撃ではなく、サービスの資源をより大きく顧客にサービスさせることができます.
前回ではdigコマンドについて説明しましたが、digコマンドはDNSサービスが正常に使用されているかどうかをテストするだけでなく、メインサーバのすべてのコンテンツとインクリメンタルコンテンツをクエリーで転送することもできます.ここでは、クエリー可能なオブジェクトをさらに限定しなければなりません.そうすれば、サーバのセキュリティをできるだけ保証することができます.recursionコマンドを使用して、再帰機能をオンまたはオフにすることができます.デフォルトの再帰機能はオンです.allow-recursionの使用 { NET;};あるセグメントに再帰的なサービスを提供します.allow-queryを使用して、クエリーを許可するユーザーを決定します(ただし、構築されたDNSサーバは公共サービスに直面するのに十分ではありません).allow-transferを使用して、データの転送を許可する使用を定義します.ここでは、サーバから情報を転送できるように設定するのが一般的です.
[root@ywhwzhang named]# dig -t axfr wangej.com @172.16.12.1 DNSサーバのすべての情報を完全に問い合わせることができます
- [root@ywhwzhang named]# dig -t axfr wangej.com @172.16.12.1
-
- ; <<>> DiG 9.7.0-P2-RedHat-9.7.0-6.P2.el5_7.4 <<>> -t axfr wangej.com @172.16.12.1
- ;; global options: +cmd
- wangej.com. 3600 IN SOA ns1.wangej.com. admin.wangej.com. 3 3600 300 172800 21600
- wangej.com. 3600 IN NS ns1.wangej.com.
- wangej.com. 3600 IN MX 10 mail.wangej.com.
- *.wangej.com. 3600 IN A 172.16.12.1
- ftp.wangej.com. 3600 IN CNAME www.wangej.com.
- mail.wangej.com. 3600 IN A 172.16.12.2
- ns1.wangej.com. 3600 IN A 172.16.12.1
- www.wangej.com. 3600 IN A 172.16.12.1
- www.wangej.com. 3600 IN A 172.16.12.3
- wangej.com. 3600 IN SOA ns1.wangej.com. admin.wangej.com. 3 3600 300 172800 21600
- ;; Query time: 2 msec
- ;; SERVER: 172.16.12.1#53(172.16.12.1)
- ;; WHEN: Wed Apr 3 16:55:16 2013
- ;; XFR size: 10 records (messages 1, bytes 249)
[root@ywhwzhang named]# dig -t IXFR=3 wangej.com @172.16.12.1 プライマリDNSサーバの構成を変更した後、インクリメンタルクエリーを行います.
- [root@ywhwzhang named]# dig -t IXFR=3 wangej.com @172.16.12.1
-
- ; <<>> DiG 9.7.0-P2-RedHat-9.7.0-6.P2.el5_7.4 <<>> -t IXFR=3 wangej.com @172.16.12.1
- ;; global options: +cmd
- wangej.com. 3600 IN SOA ns1.wangej.com. admin.wangej.com. 3 3600 300 172800 21600
- ;; Query time: 4 msec
- ;; SERVER: 172.16.12.1#53(172.16.12.1)
- ;; WHEN: Wed Apr 3 16:57:03 2013
- ;; XFR size: 1 records (messages 1, bytes 74)
[root@ywhwzhang ~]# dig -t axfr wangej.com @172.16.12.1 許可されていないホストクエリーを使用して
- [root@ywhwzhang ~]# dig -t axfr wangej.com @172.16.12.1
-
- ; <<>> DiG 9.7.0-P2-RedHat-9.7.0-6.P2.el5_7.4 <<>> -t axfr wangej.com @172.16.12.1
- ;; global options: +cmd
- ; Transfer failed.
四、DNSサーバーからの構成
1、まずbind 97.i 386、bind 97-libs.i 386、bind 97-utils.i 386の3つのパッケージをインストールする必要があります.私たちのDNS環境プラットフォームを構築します.その後、SELinuxサービスを一時的に閉鎖し、SELinuxが私たちの構成に不必要な影響を与えることを防止します.
2、メインサーバーを追加したメインプロファイルの変更:vim /etc/named.conf
- [root@ywhwzhang named]# vim /etc/named.conf
- options {
- directory "/var/named";
- };
-
- zone "." IN {
- type hint;
- file "named.ca";
- };
-
- zone "localhost" IN {
- type master;
- file "named.localhost";
- };
-
- zone "0.0.127.in-addr.arpa" IN {
- type master;
- file "named.loopback";
- };
-
- zone "wangej.com" IN {
- type master; #
- file "wangej.com.zone"; #
- allow-transfer { 172.16.12.2; }; # 172.16.12.2
- };
-
- zone "12.16.172.in-addr.arpa" IN {
- type master; #
- file "172.16.12.zone"; #
- allow-transfer { 172.16.12.2; }; # 172.16.12.2
- };
3.スレーブサーバーのマスタープロファイルを設定する(ここではスレーブサーバーにエリアデータファイルを追加する必要はない)
vim /etc/named.conf
- [root@ywhwzhang named]# vim /etc/named.conf
- options {
- directory "/var/named";
- };
-
- zone "." IN {
- type hint;
- file "named.ca";
- };
-
- zone "localhost" IN {
- type master;
- file "named.localhost";
- };
-
- zone "0.0.127.in-addr.arpa" IN {
- type master;
- file "named.loopback";
- };
-
- zone "wangej.com" IN {
- type slave; #
- file "slaves/wangej.com.zone"; #
- masters { 172.16.12.1; }; #
- allow-transfer { none; }; #
- };
-
- zone "12.16.172.in-addr.arpa" IN {
- type slave; #
- file "slaves/172.16.12.zone"; #
- masters { 172.16.12.1; }; #
- allow-transfer { none; }; #
- };
4、サービスを再起動して、主従サーバーが正常にデータを使用して転送できるかどうかをテストする
tail /var/log/messages
- [root@ywhwzhang ~]# tail /var/log/messages
- Apr 3 17:07:13 localhost named[6146]: client 172.16.12.1#52450: zone transfer 'wangej.com/AXFR/IN' denied
- Apr 3 17:18:35 localhost named[6146]: client 172.16.12.2#41948: transfer of '12.16.172.in-addr.arpa/IN': AXFR started
- Apr 3 17:18:35 localhost named[6146]: client 172.16.12.2#41948: transfer of '12.16.172.in-addr.arpa/IN': AXFR ended
- Apr 3 17:18:36 localhost named[6146]: client 172.16.12.2#56157: transfer of 'wangej.com/IN': AXFR started
- Apr 3 17:18:36 localhost named[6146]: client 172.16.12.2#56157: transfer of 'wangej.com/IN': AXFR ended
同期結果の表示:(バージョン番号が1であることに注意)
- [root@ywhwzhang named]# cat ./slaves/wangej.com.zone
- $ORIGIN .
- $TTL 3600 ; 1 hour
- wangej.com IN SOA ns1.wangej.com. admin.wangej.com. (
- 1 ; serial
- 3600 ; refresh (1 hour)
- 300 ; retry (5 minutes)
- 172800 ; expire (2 days)
- 21600 ; minimum (6 hours)
- )
- NS ns1.wangej.com.
- MX 10 mail.wangej.com.
- $ORIGIN wangej.com.
- ftp CNAME www
- mail A 172.16.12.5
- ns1 A 172.16.12.1
- www A 172.16.12.1
- A 172.16.12.3
次に、プライマリ・サーバの解析ドメイン・エントリを変更し、プライマリ・セカンダリ・サーバが自動的に更新されるかどうかを確認します.
プライマリDNSサーバログ:
- [root@ywhwzhang named]# tail /var/log/messages
- Apr 3 16:16:14 localhost last message repeated 4 times
- Apr 3 16:19:08 localhost named[6146]: client 172.16.12.2#51841: transfer of 'wangej.com/IN': AXFR-style IXFR started
- Apr 3 16:19:08 localhost named[6146]: client 172.16.12.2#51841: transfer of 'wangej.com/IN': AXFR-style IXFR ended
DNSサーバログから:(変更後のバージョン番号がログに表示されていることに注意)
- [root@ywhwzhang named]# tail /var/log/messages
- Apr 3 16:16:14 localhost last message repeated 4 times
- Apr 3 16:19:08 localhost named[6801]: zone wangej.com/IN: Transfer started.
- Apr 3 16:19:08 localhost named[6801]: transfer of 'wangej.com/IN' from 172.16.12.1#53: connected using 172.16.12.2#51841
- Apr 3 16:19:08 localhost named[6801]: zone wangej.com/IN: transferred serial 2
- Apr 3 16:19:08 localhost named[6801]: transfer of 'wangej.com/IN' from 172.16.12.1#53: Transfer completed: 1 messages, 10 records, 249 bytes, 0.030 secs (8300 bytes/sec)
最後に、サーバからデータが本当に受信されたかどうかを確認します(この場合、サービスからのデータバージョン番号が2に変わりました).
- [root@ywhwzhang named]# cat ./slaves/wangej.com.zone
- $ORIGIN .
- $TTL 3600 ; 1 hour
- wangej.com IN SOA ns1.wangej.com. admin.wangej.com. (
- 2 ; serial
- 3600 ; refresh (1 hour)
- 300 ; retry (5 minutes)
- 172800 ; expire (2 days)
- 21600 ; minimum (6 hours)
- )
- NS ns1.wangej.com.
- MX 10 mail.wangej.com.
- $ORIGIN wangej.com.
- * A 172.16.12.1
- ftp CNAME www
- mail A 172.16.12.5
- ns1 A 172.16.12.1
- www A 172.16.12.1
- A 172.16.12.3
五、次の紹介:
DNSサーバの使用中にさまざまな問題に直面します.多くの場合、1台のサーバだけでは解決できません.この場合、自分のサーバにサブドメインを追加し、サブドメインに権限を与える必要があります.
DNSサーバが多くのドメインにサービスを提供している場合、上記の簡単な構成はますます煩雑になります.ACLは、ますます煩雑な仕事の中で近道を見つけるのに役立ちます.
へへへ、私のブログを见て生活の心があります.亲、次の期に会いましょう!