网域名称伺服系统DNS规划与建置.ppt

1,網域名稱伺服系統 (DNS) 規劃與建置,交 通 大 學 計 算 機 中 心 陳 昌 盛 .tw,TANet DNS Tutorial Course, 88.06.04,2,1999 TANet DNS Tutorial Course,DNS 入門簡介 (p.4-18) DNS 建置與規劃 (p.19-25) DNS 設定範例與解說 (p.26-53) 常見的 DNS 規劃與設定問題 (p.54-56) 附錄 (p.57-75),3,0. 從何處取得DNS 系統的相關資訊 ?,DNS Resource Directory /dnsrd .tw ( 中文) the OReilly DNS bible DNS and BIND 第 3 版已出書, 有介紹 BIND 8.x DNS related RFC ( Request For Comments ) RFC 1033, 1034, 1035, ., 1912, . Newsgroups: tocols.tcp-ip.domains ( 行政管理) tocols.dns.* ( 技術),4,1. DNS 入門,(1.0) 什麼時候會用到 DNS 系統 ? 往外連線時 (out-going 連線) 存取檢查, 系統記錄 (incoming 連線) (1.1) DNS 系統的做用 定義網域名稱 提供網域名稱查詢 (1.2) DNS 實務操作及應用,5,1.1.1 定義網域名稱,網域授權 (domain zone - NS RR) 網域名稱 ( domain name - A RR) telnet .tw 電子郵件交換 ( mail exchange - MX RR) mail .tw 網址對應 (pointer - PTR RR) - .tw 常用別名 (alias naming - CNAME RR) .tw - .tw 其他功能,6,網域名稱系統(Domain Name System),網域名稱系統, 按英文常簡稱 DNS 系統. DNS 系統, 概分成三個部份 網域空間 (Domain Name Space ) 網域名稱伺服系統 (Domain Name Server) BIND/named, . 網域名稱解譯程式 (Domain Name Resolver) DNS client, agent, server,7,網域空間(Domain Name Space),分散式 與 階層式 的組織架構 tree-structure vs. DAG-structure 地理區域 與 功能組織 的分類組合方式 正解網域 (forward domain zones): tw, edu.tw, . 反解網域 (reverse domain zones): 113.140., 1.113.140.., .,8,Fig.1 DNS 運作基本架構圖,com, org,net,cn,hk,tw,gov, mil,Arpa,in-addr,INT,IP6,root servers,140,org,gov,mil,edu,nctu,com,net,hc,hchs,www,cis,hgsh,ncku,203,www,. ,127,cc,ns1,ccserv2,113,6,250,2,114,ee,bbs,.,.,nehs,.tw ,mail,192,. . .,NSAP,.,9,1.1.2 DNS - 提供查詢,DNS 相關程式 client(用戶端), agent(代理查詢), server(伺服器) DNS 查詢 (query) iterative mode (往復式 ; referral) recursive mode (遞迴式 ) DNS server (伺服系統) primary/master (原始資料 server) vs secondary/slave caching, forwarder (查詢轉送) DNS caching Time-To-Live (TTL; 資料有效期限) positive caching(正確資料) vs negative caching,10,DNS - 提供網路查詢(續),資料項 round-robin mode (輪流) load sharing/balancing round-trip-time ( RTT; 來回傳送時間) reverse pointer query (IP addr. 反解查詢) inverse query ( 廣義反向查詢),11,1.2 DNS 實務操作及應用,Domain Zone 的註冊與授權 forward / reverse domain zones Primary/master; Secondary/slave DNS server DNS 上容易有錯誤觀念與設定的地方 電子郵件轉接轉送(Mail Relay)服務 Anti-SPAM checking ( access control) 正反解 DNS 資料項, 必須匹配 DNS 查詢轉送 (forwarders; 參見 3.2.2 ),12,1.2.1 正解 Domain Zone 註冊問題,.tw ( 到 MOECC 登記) .tw ( 到 NCTU-CC 登記) .tw (臺北建國高中) 直接由 MOECC 負責 (edu.tw) .tw ( 新竹市載熙國小) .tw 目前由新竹區域網路中心負責,13,1.2.2 反解 Domain Zone 註冊問題,140.113 ( Class B; 透過 MOECC 向 InterNIC 註冊) 140.126.3 ( 由 class B 分割; 到區域網路中心註冊) 140.126 (Class B; 透過 MOECC 向 InterNIC 註冊) 192.83.166 ( 個別 class C ) 透過 MOECC 到 InterNIC 註冊) 203.68.12 ( class C; 到 MOECC 註冊) 203.68 ( 整批 class C 到 APNIC 註冊),14,1.2.3 DNS server 的網址選定,$Origin NCTU.edu.tw. IN NS .tw. IN NS .tw. IN NS .tw. IN NS .tw. ; TANet 骨幹 ; ns IN A 35 ns1 IN A ; 指定 x.y.z.1 ns2 IN A ns3 IN A 46 ; 高速專用道,15,1.2.4 容易有錯誤觀念與設定的地方,$Origin NCTU.edu.tw. .tw. IN NS .tw. ; domain zone = dig .tw .tw .tw. 7200 IN A ; domain name = telnet .tw .tw. IN MX 0 .tw. ; mail exchange = E-mail: .tw ;- .tw. IN NS .tw.,16,1.2.5 Mail Relay 的相關設定,DNS side : ; e-mail 最終目的地 .tw. IN MX 10 .tw. ; mail relay = 宜善加利用, 可作為“備援與轉接”之用 .tw. IN MX 20 .tw. ; 高速專用道 (MOECC) .tw. IN MX 30 .tw. Mail relay server side: 轉接系統 (relay access permission) 借道權限, 必須打開 (sendmail.cf) = .tw + .tw,17,1.2.6 Anti-SPAM checking (DNS entry 正反解必須匹配),domain name 驗證流程. reverse forward IP addr. A - domain name B - IP addr. C Fig. 2 anti-SPAM checking 圖示 其中, IP addr. C (可能是一個 group), 必須包含或等於 A 才算通過 DNS 查驗.,18,DNS 系統新設計的功能 (部份已完成實作),New DNS RR (rfc 1183) RP, AFSDB, ISDN, X25, RT resolver implicit search problem (rfc 1535) LOC (rfc 1876) IPv6 ( rfc 1886) AAAA (new record type), IP6.INT (new domain top ) incremental zone transfer IXFR ( rfc 1995 ) DNS notify (rfc 1996) - BIND_NOTIFY SRV (rfc 2052) Secure Zone Dynamic update ( IP/host ),19,2. DNS Server Hosts 配置與規劃,主機系統選擇 ( platform/OS ) Unix , Windows NT, OS/2, . ( 現階段, 仍以 Unix 為佳 ) 硬體設備需求 主要 memory size, 原則是 named 將 90% 以上的 dns query 放在 RAM 中 caching 起來, 不需用到 swap. 系統軟體 ( BIND/named, . ) 網路位址 (多重 servers) primary/secondary server host 分離, 放在不同的網路區段, 當然如果能放在不同單位, 通常更好.,20,2.1 關於 BIND 的許多資訊,目前最新版本 8.2-P1 (1999.03.16) 4.9.7 ( 舊式 ); BIND 8.x ( 新式) 如何得知系統上的 named 版本 ? 多數 Unix 廠家目前支援的版本 4.8.3 有沒有 Windows 下的版本 ? 不同版本 BIND 之間功能差別 ?,21,BIND ( Berkeley Internet Name Domain ),Standalone Daemon ( named ) UDP/TCP port 53 UDP query/response ( 512 bytes) + zone transfer DNS message format Question/Answer section Authority section Additional section example dig output,22,2.1.1 如何得知系統上的 named 版本 ?,通常可以這麼作. 1) 確定 named program 的 pathname. e.g. /etc/named, /usr/sbin/d, . 作法: 使用 which, find, . - 2) 用 what 配合 grep 找出相關字串 % what /usr/sbin/named | grep named named: named 8.1.1 Thu Jun 26 15:03:59 EAT 1997 rootns:/home/DNS/bind-8.1.1-REL/src/bin/named,23,2.1.2 不同版本 BIND 之間功能的差別 ?,V8.x 整套程式 , 重新改寫 /etc/named.boot (v4) - /etc/named.conf ( v8) zone transfer ( named vs named-xfer ) no more fork for each AFXR jobs ( for v 8.1.X and later ) BIND 4.9.7/8.1.2 與先前版本的重大差異 新的功能 negative caching bind_notify, IPv6 support, RFC 1535 compliant, .,24,2.1.3 從何處取得 BIND 原始程式?,BIND home at the ISC /bind.html /isc/bind/* NCTUCCCA & mirror sites ftp:/NCTUCCCA.edu.tw/packages/networking/bind/*,25,2.2 BIND V8.x/4.9.x 程式的安裝,BIND 4.9.x compiling & installation $bind-src/README, OPTIONS $bind-src/conf/options.h check and/or update /etc/named.boot BIND 8.x compiling & instatllation $bind-src/INSTALL, README $bind-src/port/README check and/or update /etc/named.conf DNS syslogging /etc/syslog.conf /var/adm/messages,26,3. DNS 設定範例與說明,BIND server options /etc/named.boot 設定範例 /etc/named.conf (V8.x) 自動轉換程式 named-bootconf.pl zone data files 設定範例 /etc/resolv.conf ( resolver) 設定範例 參見 .tw 上的範例,27,3.1 DNS Server Options,primary/master vs. secondary/slave caching only server forwarders ( slave server) recursive vs. non-recursive,28,3.1.2 DNS server list of “NCTU.edu.tw “,master/slave server 的差別 ? 如何分工 ? 目前 domain zone “NCTU.edu.tw” 登記有 4 個 DNS servers (*) .tw / 35 (primary/master) .tw / (secondary/slave) .tw / (secondary/slave) .tw /46 (臨時增加) master/slave servers 最好分佈在不同的 sub-nets,29,DNS Server options,; type domain source file or host ;- directory /var/named ; cache . named.root ; primary localhost Localhost primary 0.0.127.IN-ADDR.ARPA Rev-127.0 ; 省略 primary NCTU.edu.tw Zone.NCTU secondary ADM..tw Zone.ADM primary CC..tw Zone.CC ; 省略 . . . primary 113.140.IN-ADDR.ARPA R-140.113 primary 1.113.140.. R-140.113.1 secondary 2.113.140.. R-140.126.2,3.2 DNS Server Options - /etc/named.boot (v4.x),30,DNS Server Options ( 續) - /etc/named.conf (新版; v8.x),options check-names master fail; check-names slave fail; / default warn directory “/var/named“; fake-iquery yes; / default warn forwarders 03; 44; ; ; zone “.“ type hint; file “named.root“; ; / cache root.cache zone “localhost“ type master; file “Localhost” ; zone “0.0.127.IN-ADDR.ARPA“ type master; file “Rev-127.0“; zone “HC.edu.tw“ type slave; file “sec/zone-HC.edu.tw“; masters 35; ; ; zone “237.126.140.IN-ADDR.ARPA“ type slave; file “sec/R-140.126.237“; masters 35; ;,31,directory /var/named ; cache . named.root ; ; BIND 4.9.x ,DNS Server options,3.2.1 Caching Only Server - /etc/named.boot,32,3.2.2 DNS Server Options (2) - /etc/named.boot,directory /var/named ; cache . named.root ; 省略 ; 設定 DNS forwarders, 以轉送 DNS query ( 末端網路節點適用 ) ;- forwarders ; ; options forward-only xfernets 2 bogusns ,33,3.2.3 DNS Server Options (3) - /etc/named.boot,directory /var/named ; cache . named.root ; . . 省略 options fake-iquery ; options non-recursion ; options forwarder-only ; options query-log,34,3.3 Domain Zone files 設定,Basic DNS Resource Record Types SOA, NS, A, PTR, CNAME, MX TXT, WKS, HINFO RP, AFSDB, AAAA ( IPv6) , LOC, SRV, .,35,3.3.1 Special Symbols on DNS database,Special Symbols for defining the DNS database “”, current origin “*,” wildcard ( only for some of the types ) “ . ” , root domain - “345”,36,; for forward/reverse Domain Zones. ;- IN SOA ns.NCTU.edu.tw. .tw. ( 1997090200 ; Serial number 86400 ; Refresh - 1 days 1800 ; Retry 1728000 ; Expire - 20 days 259200 ) ; Minimum TTL - 3 days ;- IN NS NCTU.edu.tw. IN NS ns.NCTU.edu.tw. ; primary / master IN NS .tw. ; localhosts. IN A ; forward case ; 1 IN PTR localhost. ; reverse case,3.3.2 SOA ( Start Of Authority ) RR,37,; forward domain zones (正解) ;- ; 上下兩層 “NCTU.edu.tw” Glued Records .tw. IN A 71 IN A 71 operator IN A ccsun7 IN A ,3.3.3 Domain Zone delegation (授權) - NS (Name Server) RR,38,;上下兩層 “113.140..” domain zone “23.113.140.” B $ORIGIN 23.113.140.. IN NS .tw. IN NS .tw.,NS RR (2) - reverse domain (反解),39,NS RR (3) - 錯誤示範 * RFC 1034,1035,1912,; case 1 - 任意指定 2nd NS RR ( 常犯錯誤) ;- $Origin NCTU.edu.tw. err1 IN NS ns-OK.NCTU.edu.tw. IN NS No-named-Host.NCTU.edu.tw. ; Lame IN NS .tw. ; 誤設 ; case 2 - NS 指到一個 alias ( CNAME ), intermittent error ;- $Origin 200.113.140.. err2 IN NS alias-ns.NCTU.edu.tw. ; 間些性 error IN NS ns-OK.NCTU.edu.tw.,40,NS RR (4) - 錯誤示範 * RFC 1034,1035,1912,; case 3 - NS 指到一個 IP address ;- $Origin NCTU.edu.tw. err3 IN NS ; 應為 fqdn/hostname ; case 4 - NS 指到一個不存在的機器 ; $Origin 200.113.140.. err4 IN NS Non-existent.NCTU.edu.tw. IN NS ns-OK..tw.,41,NS RR (5) Lame Servers * RFC 1034,1035,1912,; case 5 - 上一層有額外指定 2nd NS RR ( 常犯錯誤) ; 但對應的 entry, 卻不在下一層中. ;- $Origin NCTU.edu.tw. err5 IN NS ns-OK.NCTU.edu.tw. IN NS No-Good-ns.NCTU.edu.tw. ; 上一個 NS entry ,下一層domain 中, 未定義 ; $Origin err5.NCTU.edu.tw. IN NS ns-OK..tw. IN NS ns2-OK..tw. ; Its Ok ! 雖然, 上一層沒有對應的 NS RR ; 用途, inside firewall, .,42,3.3.4 A (Address) RR,; 一個 IP addr. , 但同時有多個 FQDN $Origin NCTU.edu.tw. IN A ; .tw. ns1 IN A ; .tw. ; www IN A ; ; 一個 FQDN, 但有好幾個對應的 IP addr. $Origin CSIE..tw. IN A 71 ; multi-homed IN A 71,43,A RR - 錯誤示範 (1),; zone file “NCTU.edu.tw” ;- $Origin NCTU.edu.tw. ( 往下授權 ) ; CIS IN NS CisServ.CIS..tw. IN NS CisSol1.CIS..tw. CisServ.CIS IN A ; glued record CisSol1.CIS IN A 01 ; err-A.CIS IN A 54 ; 無效的設定 ; zone file “CIS..tw” $Origin CIS..tw. CIS-gw IN A 54 ; OK,44,A RR - 錯誤示範 (2),$Origin NCTU.edu.tw. IN NS .tw ; IN A ; OK ; IN NS .tw. IN A ; invalid ; 這行有 語意問題, .tw - ; It might induce some mail routing problem(s). IN NS ns.NCTU.edu.tw. ns IN A 35,45,3.3.5 PTR (Pointer) RR,; zone file “113.140.” $Origin 113.140.. 1 IN NS .tw. IN NS .tw. . 省略 ; 9.254 IN PTR CSIE-.tw. ;- 上下兩 file 分開 - ; zone file “1.113.140.” $Origin 1.113.140.. IN NS .tw. IN NS .tw. .省略 1 IN PTR NCTU.edu.tw. 110 IN PTR moesun.NCTU.edu.tw.,46,;- ; for both normal mail exchange Dis-couraged,3.3.6 MX ( Mail eXchange) RR,47,; Zone file for domain $Origin NCTU.edu.tw. news IN MX 0 .tw. ; FQDN . . . ; news IN A ? ; No such records ; $Origin cc.NCTU.edu.tw. IN MX 0 CC..tw. . . . .tw. IN A ,MX RR (2),48,; zone file 1 $Origin NCTU.edu.tw. ; netnews IN CNAME .tw. ; fqdn ; zone file 2 $Origin EDU.tw. ftp IN CNAME nctuccca ; hostname ; ; zone file 3 $Origin TWNIC.net. archie IN CNAME .tw,3.3.7 CNAME (Canonical NAME) RR,49,CNAME RR- 常見錯誤實例 (1),$Origin NCTU.edu.tw. ; case 1 - cname looping cname-chain IN CNAME .tw. ; case 2 - ns-cname chaining ( 不能用 alias ) err-ns IN CNAME ns-OK.NCTU.edu.tw. ; FQDN err6 IN NS err-ns.NCTU.edu.tw. ; alias,50,CNAME RR- 常見錯誤實例 (2),$Origin NCTU.edu.tw. ; case 3 - mx-cname chaining 連鎖 (不能用 alias ) err-mail IN CNAME .tw. err-mx-zone IN MX 10 err-mail.NCTU.edu.tw. ; case 4 - cname-cname chaining ( 不宜; 雖然現在可以用) alias1 IN CNAME host1.NCTU.edu.tw. ; FQDN alias2 IN CNAME alias1.NCTU.edu.tw. ; alias,51,3.4 Resolver related Configuration - /etc/resolv.conf,; comment lines # another comment - Not supported by ALL domain local-domain search search-list nameserver server-address sortlist sort-list options option-list,52,3.4.1 Resolver related Configuration (2) - - /etc/resolv.conf,; domain 最多 3 個 nameserver nameserver nameserver 35 nameserver 71,53,3.4.2 Implict search problem (RFC 1535) - ,non RFC 1535 compliant (before V 4.9.3) .CC.NCTU.EDU.TW. .NCTU.EDU.TW .EDU.tw .TW RFC 1535 compliant .CC.NCTU.EDU.TW .NCTU.EDU.TW .EDU.tw .TW another example - .tw vs ,54,4. 常見的 DNS 規劃與設定問題,forward/reverse DNS database 登錄不全 domain zones 中完全沒有 secondary DNS servers. 同一 DNS server, 多重 domain zones 的設定問題. 不正確的 secondary server caching 做法. 取不適當的 domain zone and/or invalid hostname 使用版本過舊的 DNS server 軟體. 基本資料設定錯誤 CNAME, Lame server,.,55,4.1 常見的 DNS 設定錯誤,named.cache (/etc/named.boot) 的誤用 DNS secondary caching (/etc/named.boot) 嚴重誤用 同一系統上, 多重 domain zones 的設定問題 Bad referral, 不正確的 SOA 記錄 Forwarding loop, SOA 設定問題 Lame Server, 配合不良的 NS 指標記錄 NS - CNAME pointer MX - CNAME pointer Illegal char, DNS database 中不正確的字元 domain RR 忘了結尾的 . 點,56,4.2 DNS error logging messages,Mar 7 08:00:21 ns1 named169: “NCHU.edu.tw IN NS“ points to a CNAME (.tw) Mar 30 12:09:31 ns named3544: Lame server on .tw (in catv.COM.tw?): .53 .tw: learnt (A=39, NS=0) Apr 4 08:45:40 ns named3544: ns_forw: query(FPGEDU..tw) forwarding loop (.tw:00) learnt (A= :NS=) Jul 21 21:56:32 alpha named4234: host name “secc_.tw“ (owner “40.“) IN (primary) is invalid - rejecting Jul 22 08:38:33 ns1 named28511: bad referral (127.140. ! 79.127.140.IN-ADDR.ARP (e.g., last output ),57,5. 附錄,Debugging 偵錯工具使用與介紹 Where to Learn More Chinese Big5 DNS Resource Directory,58,5.1 DNS Debugging Tools,nslookup ( default built-in on most systems ) dig host ( zone transfer ) dnswalk, doc ( PERL scripts ) Misc utility programs $BIND-src/contrib/* /dnsrd,59,5.1.1 DIG output,ns1% dig .tw ns ; DiG 2.2 .tw ns ; res options: init recurs defnam dnsrch ; got answer: ; -HEADER- opcode: QUERY, status: NOERROR, id: 6 ; flags: qr rd ra; Ques: 1, Ans: 2, Auth: 0, Addit: 2 ; QUESTIONS: ; .tw, type = NS, class = IN ; ANSWERS: .tw. 86400 NS .tw. .tw. 86400 NS .tw. ; ADDITIONAL RECORDS: .tw. 86400 A .tw. 86400 A 01 ; Total query time: 8 msec ; FROM: ns1 to SERVER: default - ; WHEN: Wed Sep 17 11:44:04 1997 ; MSG SIZE sent: 33 rcvd: 109,60,5.1.2 nslookup 工具程式使用與介紹 (1),1. nslookup 程式功能列表 ( 參見附錄) 2. 奇怪的 nslookup output 3. 某 domain name, A RR 查詢 (正常; FQDN - IP addr. ) 4. 某 domain name, PTR RR 查詢 (正常; IP addr. - FQDN ) 5.某 domain name, CNAME RR 查詢 (正常; CNAME - FQDN/IP addr. ),61,nslookup 工具程式使用與介紹 (2),6. 某 domain name, MX RR 查詢 (正常; MX - FQDN/IP addr. ) 7. 某 domain zone 的 SOA RR 的查詢 (正常) 8. 某 domain zone 的 NS RR 的查詢 (正常) 9. 對某 domain zone 進行 zone transfer (正常;debug),62,. 奇怪的 nslookup output, 本校的dns 主機是 sun os 4.1.3 ip 而我的主機是 solaris 2.5.1 ip /etc/resolv.conf 設定如下 domain .tw nameserver nameserver