Server的安装与设定.doc

DNS Server的安裝與設定高雄市政府教育局資訊教育中心網路組張宏明更新日期：2002/3/26壹、DNS概念：DNS的結構 DNS是一個分層級的分散式名稱對應系統有點像電腦的目錄樹結構在最頂端的是一個“root”然後其下分為好幾個基本類別名稱如comorgedu等再下面是組織名稱如sonytoshibaintel等繼而是主機名稱如wwwmailftp等。因為當初internet是從美國發起的所以當時並沒有國域名稱但隨著後來internet的蓬勃發展DNS也加進了諸如twhkau等國域名稱。所以一個完整的dns名稱就好像是這樣的.tw而整個名稱對應的就是一個IP地址了。 在開始的時候root下面只有六個組織類別 edu 教育學術單位 org 組織機構 net 網路通訊單位 com 公司企業 gov 政府機關 mil 軍事單位 不過自從組織類別名稱開放以後各種各樣五花八門的名稱也相繼涌現出來了但無論如何取名的規則最好儘量適合網站性質。除了原來的類別資料由美國本土的NIC(Network Information Center)管理之外其它在國域以下的類別分別由該國的NIC管理。這樣的結構看起來就像這樣DNS的運作 在我們設定IP網路環境的時候通常都要告訴每台主機關於DNS伺服器的地址下面讓我們看看DNS是怎樣運作的 1. 當被詢問到有關本域名之內的主機名稱的時候DNS伺服器會直接做出回答2. 如果所查詢的主機名稱屬於其它域名的話會檢查記憶體看看有沒有相關資料3. 如果沒有發現則會轉向root伺服器查詢4. 然後root伺服器會將該域名之授權(authoritative)伺服器(可能會超過一台)的地址告知5. 本地伺服器然後會向其中的一台伺服器查詢並將這些伺服器名單存到記憶體中以備將來之需(省卻再向root查詢的步驟)6. 遠方伺服器回應查詢7. 將查詢結果回應給客戶並同時將結果儲存一個備份在自己的快取記憶裡面8. 如果在存放時間尚未過時之前再接到相同的查詢則以存放於快取記憶裡面的資料來做回應。 從這個過程我們可以看出沒有任何一台DNS主機會包含所有域名的DNS資料資料都是分散在全部的DNS伺服器中而NIC只需知道各DNS伺服器地址就可以了。分擔DNS工作 Primary(master) DNS伺服器是架設在某一個網域下被主要授權並控制所有名稱記錄的主控制伺服器管轄著所有該網域的記錄資料這些記錄資料只有primary(master)可以修改。 但如果在一個比較大型的網路中DNS伺服器就會變得很繁忙了所以您可以設定多個DNS來分擔master的工作但您或許不願意到每一個DNS伺服器去更新資料吧而且就算您願意這樣做也容易出現錯誤或資料不同步的情形。這樣您可以設定其它的伺服器為secondary (slave) DNS來複製master上面的記錄資料這樣其它的電腦可以被指定到不同的DNS做查詢既可以分擔master的工作而且資料也可以自動進行同步工作。您可以設定DNS資料同步的時間間隔在dns檔案中的Refresh設定就是了。同時您還會看到Serial當slave的上面的serial數字少於它資料就會被複製否則會被忽略。驗證DNS工作 當您建立好一個DNS伺服器之後除了可以直接使用命令 ping (這個會在後面章節說明)直接ping一下上面的記錄之外最好還是使用“nslookup”這個命令進行檢測或除錯(Windows9x系統並不包含此命令)。貳、DNS Server的相關套件及檔案：在 Linux 上面執行 DNS 程式是叫BIND但我們一般稱它的服務程式為named。您可到/products/BIND/尋找最新版BIND Version 9.1.3，目前在RedHat 7.2套件上的相關檔案：bind-9.1.3-14.i386.rpmbind-devel-9.1.3-14.i386.rpmbind-utils-9.1.3-14.i386.rpmbindconf-1.6.1-1.noarch.rpmcaching-nameserver-7.2-1.noarch.rpm您可由Redhat 7.2安裝光碟或到.tw/pub/Linux/Redhat/en_7.2/RedHat/RPMS/中最得最新檔案。RedHat 7.1套件上的相關檔案：bind-9.1.0-10.i386.rpmbind-devel-9.1.0-10.i386.rpmbind-utils-9.1.0-10.i386.rpmbindconf-1.4-1.noarch.rpmcaching-nameserver-7.1-3.noarch.rpm您可由Redhat 7.1安裝光碟或到.tw/pub/Linux/Redhat/en_7.1/RedHat/RPMS/中最得最新檔案。bind相關的設定檔：/etc/named.conf.主設定檔/var/named/named.ca. root zone資料表/var/named/localhost.zone.localhost正解資料表/var/named/named.local.localhost反解資料表/var/named/named.domain.domain正解資料表/var/named/named.Network No.domain反解資料表bind常用命令：/etc/rc.d/init.d/named start|stop|status|restart|condrestart|reload|probe/usr/sbin/named-checkconf/usr/sbin/named-checkzone/usr/sbin/rndc/usr/bin/dig/usr/bin/host/usr/bin/nslookup/usr/bin/nsupdate參、DNS Server的安裝與設定有關bind9.x系列之設定手冊在/resources/documentation/Bv9ARM.pdf 可取得英文之電子文件檔案，可提供您進一步的詳細資料。1. 檢查bind是否安裝至系統中：rpm -qa | grep bind2. 安裝bind相關套件：rpm -ivh bind-9.1.0-10.i386.rpmrpm -ivh bind-utils-9.1.0-10.i386.rpmrpm -ivh caching-nameserver-7.1-3.noarch.rpm3. 升級bind相關套件：rpm -Uvh bind-9.1.0-10.i386.rpmrpm -Uvh bind-utils-9.1.0-10.i386.rpmrpm -Uvh caching-nameserver-7.1-3.noarch.rpm4. 修改/etc/named.conf的內容：/ generated by named-bootconf.ploptions directory /var/named; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ / query-source address * port 53; forwarders 4; ; ;/ / a caching only nameserver config/ zone . IN type hint; file named.ca;/localhost正查的資料設定zone localhost IN type master; file localhost.zone; allow-update none; ;/localhost反查的資料設定zone 0.0.127. IN type master; file named.local; allow-update none; ;/貴單位網域之正查資料設定zone .tw IN type master; file named.domain; allow-update none; ;/貴單位網域之反查資料設定zone ?.18.163. IN type master; file name.domain.rev; allow-update none; ;/* 以下可省略key key algorithm hmac-md5; secret EEzrJpaYpKWFuQDHeePrmAekaJEUnkiVogXssD0Oi0aGyEuUtJUANqqKgQpf;*/5. 檢查/var/named/named.ca內容是否為十三個dns root的IP位置。6. 檢查localhost正查的資料表內容：(/var/named/localhost.zone)$TTL86400$ORIGIN localhost.1D IN SOA root (42; serial (d. adams)3H; refresh15M; retry1W; expiry1D ); minimum1D IN NS1D IN A7. 檢查localhost反查的資料表內容：(/var/named/named.local)$TTL86400 IN SOA localhost. root.localhost. ( 1997022700 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum IN NS localhost.1 IN PTR localhost.8. 增加貴單位正查之資料表：(/var/named/named.domain)$TTL86400INSOA.tw.root. .tw. (2001101201 ; serial1H ; refresh15 ; retry14D ; expire12H ; Minimum)INMX5.tw.INNS.tw.INNS.tw.INA163.18.?.1dnsINCNAMExyINA163.18.?.2mailINA163.18.?.3INMX0.tw.wwwINA163.18.?.4ftpINCNAMEwww9. 增加貴單位正查之資料表：(/var/named/named.domain.rev)$TTL86400INSOA.tw.root. .tw. (2001101201 ; serial1H ; refresh15 ; retry14D ; expire12H ; Minimum)INNS.tw.INNS.tw.1INPTR..tw.2INPTR.tw.3INPTR.tw.4INPTR.tw.10. 正反查資料表中的紀錄名稱：(1) TXT：只是一些說明文字可以用來說明主機/網路環境設定。(2) NS：名稱伺服器也就是該zone指定的DNS伺服器名稱。(3) MX：郵件伺服器負責經由DNS查詢進行郵件傳遞的郵件伺服器。這樣的好處是如果您要更換郵件伺服器的話只需修改DNS記錄就可以了而對方的郵件伺服器則無需理會您要使用的究竟是哪一台電腦來負責郵件交換。同時您也可以指定多台郵件伺服器來分擔郵件交換工作在MX後面的號數用來指定伺服器的使用順序數字越低越優先。(4) A：用來對應主機名稱和其IP地址這個記錄最常用而且也是最重要的記錄之一 (5) HINFO：和TXT差不多是回答“Host Information”查詢用的。(6) CNAME：是一個“別名”記錄可以給A記錄使用另外一個(或多個)名稱讓外面查詢。CNAME可以對應一個A記錄但不鼓勵對應另一個CNAME記錄。(7) PTR：它是“Pointer”的意思。 PTR 只會用於反查詢記錄當中它是將 IP 和 主機名稱對應起來(剛好和 A 記錄相反)。(8) AAAA：和A記錄一樣只不過對應的是IP v6 格式肆、測試DNS系統1. 啟動DNS Server：/etc/rc.d/init.d/named start2. 查看系統之log檔：vi /etc/log/messagesOct 11 16:52:19 jserver named430: starting BIND 9.1.0 -u namedOct 11 16:52:19 jserver named430: using 1 CPUOct 11 16:52:19 jserver named434: loading configuration from /etc/named.confOct 11 16:52:19 jserver named434: the default for the auth-nxdomain option is now noOct 11 16:52:19 jserver named434: no IPv6 interfaces foundOct 11 16:52:19 jserver named434: listening on IPv4 interface lo, #53Oct 11 16:52:19 jserver named434: listening on IPv4 interface eth0, 75#53Oct 11 16:52:19 jserver named434: dns_rdata_fromtext: named.class.rev:7: near : extra input textOct 11 16:52:19 jserver named434: dns_zone_load: zone 119.15.163./IN: loading master file named.class.rev: extra input textOct 11 16:52:20 jserver named434: dns_rdata_fromtext: named.class:7: near : extra input textOct 11 16:52:20 jserver named434: dns_zone_load: zone .tw/IN: loading master file named.class: extra input textOct 11 16:52:20 jserver named434: runningOct 11 16:54:21 jserver named434: shutting downOct 11 16:54:21 jserver named434: no longer listening on #53Oct 11 16:54:21 jserver named434: no longer listening on 75#53Oct 11 16:54:21 jserver named430: exiting設定檔有問題須改正。Oct 11 16:54:21 jserver 10月 11 16:54:21 named: named startup succeededOct 11 16:54:21 jserver named455: using 1 CPUOct 11 16:54:21 jserver named459: loading configuration from /etc/named.confOct 11 16:54:21 jserver named459: the default for the auth-nxdomain option is now noOct 11 16:54:22 jserver named459: no IPv6 interfaces foundOct 11 16:54:22 jserver named459: listening on IPv4 interface lo, #53Oct 11 16:54:22 jserver named459: listening on IPv4 interface eth0, 75#53Oct 11 16:54:22 jserver named459: runningDNS Server成功啟動。3. 設定/etc/resolv.conf檔，增加DNS Server的描述：nameserver163.18.?.14. 利用dig命令：dig server domain + - %commenta T_A network addressany T_ANY all/any information about specified domainmx T_MX mail exchanger for the domainns T_NS name serverssoa T_SOA zone of authority recordhinfo T_HINFO host informationaxfr T_AXFR zone transfer (must ask an authoritative server)txt T_TXT arbitrary number of stringsrootjserver /root# dig .tw .tw axfr; DiG 9.1.0 .tw .tw axfr; global options: .tw. 86400 IN SOA .tw. .tw. 2001101203 28800 14400 3600000 86400.tw. 86400 IN NS .tw. 86400 IN NS .tw. 86400 IN A .tw. 86400 IN MX 5 .tw. 86400 IN A 902.tw. 86400 IN A 88.tw. 86400 IN A 322.tw. 86400 IN A 912.tw. 86400 IN A 89.tw. 86400 IN A 332.tw. 86400 IN A 92.tw. 86400 IN A 342.tw. 86400 IN A 931.tw. 86400 IN A 242.tw. 86400 IN A 86.tw. 86400 IN A 302.tw. 86400 IN A 87.tw. 86400 IN A 31.tw. 86400 IN SOA .tw. .tw. 2001101203 28800 14400 3600000 86400; Query time: 382 msec; SERVER: #53(.tw); WHEN: Fri Oct 12 20:58:19 2001; XFR size: 235 records5. 利用nslookup命令：rootdns /root# nslookupDefault Server: .twAddress: help$Id: nslookup.help,v 8.5 2000/03/30 23:25:35 vixie Exp $Commands: (identifiers are shown in uppercase, means optional)NAME - print info about the host/domain NAME using default serverNAME1 NAME2 - as above, but use NAME2 as serverhelp or ? - print info on common commands; see nslookup(1) for detailsset OPTION - set an option all - print options, current server and host nodebug - print debugging information nod2 - print exhaustive debugging information nodefname - append domain name to each query norecurse - ask for recursive answer to query novc - always use a virtual circuit domain=NAME - set default domain name to NAME srchlist=N1/N2/./N6 - set domain to N1 and search list to N1,N2, etc. root=NAME - set root server to NAME retry=X - set number of retries to X timeout=X - set initial time-out interval to X seconds querytype=X - set query type, e.g., A,ANY,CNAME,HINFO,MX,PX,NS,PTR,SOA,TXT,WKS,SRV,NAPTR port=X - set port number to send query on type=X - synonym for querytype class=X - set query class to one of IN (Internet), CHAOS, HESIOD or ANYserver NAME - set default server to NAME, usin