Linux系统管理基础项目教程课件 V12-1 DNS服务配置与管理

Linux操作系统DNS服务配置与管理目录/Contents010203DNS服务基本概念DNS服务配置与管理DNS查询验证01DNS服务基本概念DNS（DomainNameSystem，域名系统）是互联网的基础服务之一，用于将人类可读的主机名（域名）转换为计算机可识别的IP地址，实现主机间通信的地址解析功能。简单来说，DNS就像是互联网的“电话簿”，用户访问如

时，DNS会将其解析为相应的IP地址（如0），使浏览器能够与目标服务器建立连接。通过这种映射关系，DNS使得用户无需记住复杂的数字地址，也能迅速定位和访问互联网资源。DNS还支持其他类型的数据记录（如MX记录用于邮件交换、TXT记录用于存储文本信息等），从而为网络服务提供了多方面的信息支持。DNS系统采用分布式、分层结构，具有高可用性、可扩展性，是现代互联网和企业网络中不可或缺的关键服务。DNS服务基本概念DNS系统是一个分层命名的树状结构，主要分为以下几个层级：根域（.）：DNS树的最高层，包含所有顶级域顶级域（TLD）：如.com、.org、.cn、net、fun等二级域（SLD）：如、opencloud.fun主机名（子域）：如、www.opencloud.fun。整个域名自右向左解析，每一级由“.”分隔。以域名www.opencloud.fun.为例，通过“.”分隔组成，共同标识互联网中的某个唯一资源。最右边的“.”表示根域，是整个DNS系统的最高层级；“fun”是顶级域（TLD），属于通用顶级域之一，用于表示娱乐、创意等类别；“opencloud”是二级域（SLD），通常由注册用户在顶级域下注册，代表某个组织、品牌或项目；“www”是主机名或子域名，用于指定具体的服务器或服务，一般代表网站服务器。整个域名由这些层级DNS服务基本概念DNS解析过程通常包含以下几个步骤：递归查询（由客户端发起）：客户端向本地DNS服务器发送查询请求；迭代查询（由本地服务器完成）：若本地DNS没有缓存，则依次向根服务器、顶级域服务器、权威域服务器查询；返回结果：最终解析出目标主机的IP地址，并返回给客户端；缓存优化：DNS查询结果会被缓存，减少重复查询，提高效率。DNS服务基本概念DNS采用层次化的树状结构，分为根域、顶级域、二级域以及更低层次的子域。各级域由相应的权威DNS服务器进行管理，负责维护和提供对应区域内域名和IP地址的映射记录。缓存DNS服务器：负责存储近期查询结果，以减少后续查询的延迟；权威DNS服务器：保存其管理区域的正确信息，直接响应最终查询请求；递归DNS解析器：充当中介角色，代表客户端完成从根服务器到权威服务器的整个解析过程，最终返回结果给客户端。DNS服务由各种DNS软件驱动，DNS软件可以分为两大类：一种是用于维护和管理DNS记录的服务器端软件，另一种是用于发送查询和接收DNS信息的客户端软件。服务器端DNS软件负责存储、维护和提供DNS记录，以响应外部的DNS查询。常见的服务器端DNS软件有：BIND、Unbound、PowerDNS、KnotDNS、BIND（BerkeleyInternetNameDomainService）是最广泛使用的一款。它最初由加州大学伯克利分校开发，目前由互联网系统协会（ISC）负责维护。BIND支持权威解析、递归解析和转发等功能，几乎成为DNS的事实标准。其配套组件包括bind-chroot（用于增强安全性）和bind-utils（包含常用查询工具如dig、host和nslookup），常用于Linux系统中的DNS服务部署。

Unbound由NLnetLabs开发并遵循BSD开源许可证发布。Unbound以模块化架构设计，采用C语言重写以提高性能，支持DNSSEC验证、IPv6、缓存和递归解析等功能。它不仅适用于FreeBSD、Linux、Windows等系统，还特别适合小型组织或作为大型架构中的递归和缓存层使用。客户端DNS软件主要用于在用户设备上发起DNS查询并接收响应，帮助解析域名到IP地址。常见的客户端DNS软件有：Dnsmasq、Stubby、DNSCrypt等。Dnsmasq是一款轻量级、开源的DNS转发器，同时集成了DHCP和TFTP服务功能。它使用C语言开发，资源占用少，配置简单，广泛应用于家庭和小型局域网中，尤其在如OpenWRT这类嵌入式设备上有很高的使用率。此外，还有如Stubby和DNSCrypt等注重隐私保护的客户端工具，支持加密DNS协议（如DoT、DoH），提升了DNS查询的安全性。DNS常用软件02DNS服务配置与管理BIND是实现DNS服务器的开放源码软件，它已经成为世界上使用极为广泛的DNS服务器软件，目前互联网上半数以上的DNS服务器都是用BIND来架设的，它已经成为DNS事实上的标准。除了BIND主程序外，针对Linux平台还提供了bind-chroot与bind-utils软件包，bind-chroot软件包的主要功能是使BIND软件运行在chroot模式下，以提高系统安全性；bind-utils软件包提供了一些DNS查询工具，常见的DNS查询工具有host、nslookup、dig等。BIND软件配置文件如下表所示。DNS服务配置与管理文件描述主配置文件（/etc/named.conf）定义BIND服务器的全局配置，包括访问控制、日志配置、区域文件的引用等。可以包含其他配置文件，如区域配置文件/etc/named.rfc1912.zones的内容区域配置文件（/etc/named.rfc1912.zones）定义域名区域（zone）的信息，包括正向解析和反向解析，告诉BIND服务器哪些区域文件需要加载及其文件路径数据配置文件目录（/var/named）存储区域数据文件的目录，包含具体的DNS记录，如A记录、NS记录、MX记录等。区域文件通常以域名作为前缀命名，比如.zone主程序文件（/usr/sbin/named）BIND的主执行程序文件，负责启动DNS服务器进程，处理DNS查询请求，并根据配置文件进行相应操作DNS服务主配置文件DNS服务主配置文件示例：options{listen-onport53{any;};#表示允许监听任何IPv4地址listen-on-v6port53{any;};allow-query{any;};#代表允许外部主机查询zone"."IN{#zone"."表示根区域（rootzone）。在DNS中，"."代表根区域，即整个DNS层次结构的顶端

typehint;#typehint表示这是一个提示区域（hintzone），用于告诉DNS服务器从哪里开始查找根服务器的地址

file"named.ca";#file"named.ca"表示指定包含根服务器地址的文件，named.ca文件包含根服务器的名称和地址};include"/etc/named.rfc1912.zones";#表示包含了定义DNS区域的配置文件，让BIND服务器知道需要管理哪些域及其对应的区域文件位置。include"/etc/named.root.key";域名系统是一个将域名和IP地址相互映射的分布式数据库，在DNS（DomainNameSystem）系统中，资源记录（ResourceRecords，简称RR）是域名与其对应信息之间建立映射关系的基本单元。每条记录用于描述一个特定的资源信息，保存在DNS区域文件中，是DNS正确解析域名的核心内容。DNS资源记录（ResourceRecords，RR）是DNS区域中的关键条目，用于定义有关该区域中特定名称或对象的信息。资源记录通过一组标准化的字段来组织数据，确保域名系统能够高效地解析和管理网络资源。每个资源记录都包含以下五个基本字段：owner-name、TTL、class、type和data。DNS服务配置与管理序号字段名作用1owner-name该资源记录名，通常表示此记录所描述的域名或主机名。例如，.是该记录的owner-name，表示此记录与相关2TTL资源记录的生存时间（以秒为单位），指定DNS解析器应缓存此记录的时间长度，在TTL到期后，解析器将从缓存中删除此记录，并在下一次需要时重新查询3class记录的“类”，IN是最常见的类，表示Internet4type此记录存储的信息类型。例如，A记录表示将域名映射到IPv4地址。其他常见类型包括AAAA、MX、CNAME、PTR等5data此记录存储的数据。数据的格式和内容根据记录类型而有所不同。例如，对于A记录，data是与域名相关联的IPv4地址。在以上示例中，0就是A记录的具体数据DNS重要的资源记录类型及其作用序号资源记录类型作用1A（IPv4地址）记录将主机名映射到IPv4地址，示例如下。.INA其中，.是域名，IN表示Internet，A表示IPv4地址记录，

表示该域名对应的IPv4地址

2AAAA（IPv6地址）记录将主机名映射到IPv6地址，示例如下。.INAAAA2001:db8::1其中，.表示域名，IN表示Internet，AAAA表示IPv6地址记录，2001:db8::1表示该域名对应的IPv6地址

3CNAME（规范名称）记录将一个域名（别名）指向另一个域名（规范域名）。当客户端请求别名域名时，DNS服务器会返回规范域名的DNS记录，从而使客户端能够访问到实际的目标服务器。这种记录便于域名管理，使得多个域名可以指向同一个服务器。例如，将www.opencloud.fun配置为指向opencloud.fun，那么访问www.opencloud.fun时，实际上会获得opencloud.fun的IP地址信息。这样可以简化域名管理，并方便域名的变更和维护。示例如下。.INCNAME.其中，.表示别名域名，CNAME表示规范域名记录，.表示规范域名

4PTR（指针）记录将IP地址映射到域名，主要用于反向DNS查找，常用于电子邮件服务器，主要用于验证发件人地址是否合法。示例如下。92..INPTR.其中，92..表示反向IP地址，PTR表示指针记录，.表示该IP地址对应的域名在Linux系统中使用BIND等DNS服务器软件时，这些资源记录以文本格式定义在区域文件中。常见的资源记录类型如下表所示。DNS重要的资源记录类型及其作用序号资源记录类型作用5MX记录指定负责接收该域邮件的邮件服务器，并设定优先级。示例如下。.INMX10.其中，.表示域名，MX表示邮件交换记录，10表示优先级（数值越小表示优先级越高），.表示邮件服务器的域名

6NS（名称服务器）记录指定域名的权威DNS服务器，指示DNS查询应由哪个DNS服务器来进行处理，以获取该域名的相关信息。通过NS记录，域名可以指向多个DNS服务器，提供冗余和负载均衡，以确保域名解析的可靠性和可用性。示例如下。.INNS.其中，.表示域名，NS表示名称服务器记录，.表示权威DNS服务器的域名

7TXT（文本）记录用于存储任意的文本信息，最初，TXT记录用于存储域名的描述性信息或备注，随着互联网的发展，它的用途变得更加广泛，常用于验证域名所有权、支持电子邮件反垃圾邮件机制，以及传输其他域名相关的元数据8SRV记录指定某个服务在特定域名下的主机和端口信息。SRV记录广泛应用于需要定位特定服务的网络应用程序，如即时通信、VoIP（VoiceoverInternetProtocol，基于IP的语音）等。通过SRV记录，客户端可以查询到某个服务在指定域名下的具体服务器的地址和服务端口，从而建立连接

9SOA（授权起始）记录定义区域的重要信息，包括区域的序列号、主DNS服务器的名称、管理员的电子邮件地址，以及从DNS服务器的刷新时间、重试时间和过期时间等。当区域文件中的序列号发生变化时，从DNS服务器会根据SOA记录中的信息更新其副本，以保持与主DNS服务器的同步，确保DNS解析信息的一致性和可靠性DNS服务区域配置文件为了避免经常修改主配置文件named.conf而导致DNS服务出错，可以将规则的区域信息保存在/etc/named.rfc1912.zones文件中。如下示例中，区被标识为，类型被设置为master，并且指示named服务读取/var/named/.zone文件。它还仅允许次要名称服务器

传输区域。zone""IN{typemaster;file".zone";allow-transfer{;};};DNS服务区域配置文件如下示例中，次要服务器的zone语句略有不同。type设置为slave，master指令会告知主服务器的IP地址。named服务配置为查询IP地址的主服务器，以获取有关

区域的信息。然后，收到的信息会保存到/var/named/slaves/.zone文件中。请注意，您必须将所有次要区域放在/var/named/slaves/目录中，否则该服务将无法传输区域。zone""{typeslave;file"slaves/.zone";masters{;};};DNS服务正向解析数据文件/var/named/目录中的named.localhost是正向解析的模板文件，可以参考该文件中的DNS解析参数。[root@servernamed]#vim/var/named/opencloud.fun.zone$TTL1D#设置该区域内所有DNS记录的默认生存时间为1天（1D=86400秒）@INSOAns1.opencloud.fun.root.opencloud.fun.(#起始授权机构（SOA）记录2025041701;serial#序列号，区域文件版本号，主从同步时用于判断更新1D;refresh#刷新时间，从服务器多久向主服务器请求更新一次（1天）1H;retry#重试时间，请求失败后多久重试一次（1小时）1W;expire#过期时间，主服务器无响应后，从服务器多长时间停止响应查询（1周）3H);minimum#最小TTL，其他DNS缓存服务器缓存失败记录的时间（3小时）INNSns1.opencloud.fun.#指定本域名的权威DNS服务器是ns1.opencloud.fun.INMX10mail.opencloud.fun.#指定邮件服务器为mail.opencloud.fun.，优先级为10ns1INA53#将子域名ns1.opencloud.fun.映射到IP地址53ma