[系统运维]企业dns服务器搭建

实验环境设定

不能上网的主机a，能上网的主机b，

b:安装named服务，修改配置文件

a:把dns指向b的ip

1.关于dns的名词解释

dns本地解析：
上网时不需要输入IP,只需域名 dns；
domain name service(域名解析服务)

高速缓存dns：
主机dig了网址之后，数据被缓存
其余主机再次dig网址时，时间为0毫秒

关于客户端:
/etc/resolv.conf ##dns指向文件
namesever 172.25.254.11
host www.baidu.com
##地址解析命令
dig www.baidu.com
##地址详细解析信息命令
##记录搜索花费时间

A记录
##ip地址叫做域名的Address记录
SOA ##授权起始主机
dns顶级
.13 次级
.com .net .edu .org …

关于服务端：
bind  ##安装包
named ##服务名称
/etc/named.conf ##主配置文件
/var/named ##数据目录
端口  ##53

2.dns服务的安装与启用

在能上网的主机b上

 dnf install bind.x86_64 -y
    systemctl enable --now named
 systemctl disable --now firewalld.service
  vim /etc/named.conf

改好重启服务
systemctl restart  named

?listen-on port 53 { any; };

?allow-query???? { any; };

在不能上网的主机A：

把dns指向b

?效果测试：

主机a

 dig www.baidu.com

3.高速缓存

高速缓存dns：
主机dig了网址之后，数据被缓存
其余主机再次dig网址时，时间为1毫秒

服务器端：

   forwarders { 114.114.114.114; };

?效果测试：

两台主机分别dig www.jd.com

两个不能上网的主机

4.dns的正向解析

在dns服务器上操作：先把服务器的dns改为服务器的真实ip

第一步

vim /etc/named.rfc1912.zones


zone "westos.org" IN {
 30         type master;
 31         file "westos.org.zone";  ####指向文件
 32         allow-update { none; };
 33 };

?二：将

cd /var/named/

cp -p named.localhost westos.org.zone

创建出上个配置文件指向的文件

vim westos.org.zone

?效果测试：

5.dns反向解析

规范域名转换

[root@westosa named]# vim westos.org.zone

效果测试：

?邮件收发解析

发送邮件时，先将域名转换成ip地址(正向解析)，再将ip转换成域名邮箱地址进行存储(反向解析)。

mx 邮件解析记录
软件sendmail postfix qmail提供smtp协议
邮件解析记录的查询

安装邮件服务：

dnf install postfix mailx -y
?? systemctl enable --now postfix

?1.发送端解析

原因：mail root@westos.org会失败，因为主机不认，不知道它ip是什么

措施：

vim /var/named/westos.org.zone 

[root@westosa named]# systemctl restart  named
[root@westosa named]# mail root@westos.org
用mailq查看

?2.接收端解析

vim /etc/named.rfc1912.zones

?zone "254.25.172.in-addr.arpa" IN {
??????? type master;
??????? file "172.25.254.ptr";
????? allow-update { none; };
? };

? cd /var/named/
?cp -p named.loopback 172.25.254.ptr
?vim 172.25.254.ptr

?效果测试：

dig -x 172.25.254.112

?6.dns的双向解析：不同主机dig显示不同内容

配置服务器网络

DEVICE=ens3
ONBOOT=yes
BOOTPROTO=none
PREFIX0=24
IPADDR0=172.25.254.112
PREFIX1=24
IPADDR1=1.1.1.112

nmcli connection  reload  
 nmcli connection up System\ ens3

?另一个虚拟机：ip设1.1.1.212

dns:1.1.1.112

?1.服务器上配置文件进行操作：

cp westos.org.zone westos.org.inter
chgrp named westos.org.inter

?修改配置文件：

vim westos.org.inter

?:%s/172.25.254/1.1.1/g

cp /etc/named.rfc1912.zones /etc/named.rfc1912.inter -p

 vim /etc/named.rfc1912.inter

 vim vim /etc/named.conf

view localnet {
        match-clients{ 1.1.1.0/24; };
        zone "." IN {
        type hint;
        file "named.ca";
   };

include "/etc/named.rfc1912.inter";
};


view anyone {
match-clients{ any; };
zone "." IN {
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";
};

systemctl restart? named? 重启服务

效果测试：

7、dns集群

随着访问量的增多，一台dns服务器上的解析资源可能无法应对访问压力，为了解决问题，我们需要搭建dns集群。

对westisb操作

1.将westosb（slave dns）作为辅助dns

 dnf install bind -y
   systemctl disable --now firewalld
    systemctl enable --now named.service

2.配置文件

vim? /etc/named.conf

两处改为any，一处改为no

?

??vim /etc/named.rfc1912.zones???? 新加一段

zone "westos.org" IN {
        type slave;
        masters { 172.25.254.112; };
        file "slaves/westos.org.zone";
};

?

?vim /etc/resolv.conf

westosb操作结束

westosa操作：

1.dns设为112

2.修改文件显示内容，特别是选中的部分

?vim /etc/named.rfc1912.zones

    also-notify { 172.25.254.212; };

?

?效果：

在dns主机修改的?? westos.org.zone

辅助dns能实施更新

两台主机火墙都要关

8. ddns（dhcp+dns）安全动态域名解析

对主dns进行操作：

1.设置好dhcp服务

?dnf install dhcp-server -y

?cp ? ? /usr/share/doc/dhcp-server/dhcpd.conf.example? /etc/dhcp/dhcpd.conf

/etc/dhcp/dhcpd.conf的配置前边有

  7 option domain-name "westos.org";
8 option domain-name-servers 172.25.254.112;
 32 subnet 172.25.254.0 netmask 255.255.255.0 {
 33   range 172.25.254.10 172.25.254.50;
 34   option routers 172.25.254.112;
 35 }

测试是否成功：删除westosb中原有的网络连接，为其添加工作方式为dhcp的网络连接，重启网络连接后westosb自动获取到IP
2.配置DHCP+DNS

 dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST westoskey
mv Kwestoskey.+163+30084.private Kwestoskey.+163+30084.key /mnt/
生成两个文件  移动到mnt
dnssec-keygen为dns生成更新许可密钥
(-a指定加密方式，选择默认加密方式；-b指定生成的密钥长度；
-n指定密钥的名称类型，这里是为本机HOST生成密钥)，

?

cp /etc/rndc.key  /etc/westos.key -p
vim /etc/westos.key
复制dns更新密钥指定模板，修改生成更新密钥指定文件，

 vim /etc/named.rfc1912.zones
编辑/etc/named.rfc1912.zones在维护域模块中修改allow-update参数的值，设定拥有指定密钥才可以更新dns的解析A记录文件

?zone "westos.org" IN {
????????? type master;
????????? file "westos.org.zone";
????????? allow-update { key westoskey; };
????????? also-notify { 172.25.254.212; };
? };

?vim? /etc/named.conf

编辑dns服务的主配置文件添加读取更新密钥指定文件语句，

2.dhcp配置文件

vim /etc/dhcp/dhcpd.conf

key westoskey {
? algorithm hmac-sha256;
? secret xIOQka7J8sCFhgL6Qxqtpg==;
};

zone westos.org. {
? primary 127.0.0.1;
? key westoskey;
}

systemctl restart named
?systemctl restart dhcpd

对westosb：

DEVICE

ONBOOT

BOOTPROTO=dhcp

配置文件的全部内容

网络经过reload和up之后

dig westosb.westos.org