背景介绍:总公司与北京分公司均由总公司进行统一管理。总公司的主从DNS担任解析总公司服务器与北京分公司的服务器解析任务。总公司DNS委派其他两个公司管理自己域下的服务器解析任务。要求任何一个节点都能解析到公司全部域名的结果。这里仅仅是搭建DNS服务器,以解析的结果为验证。所以暂不考虑网络方面的事情,只要确保DNS能相互解析就算配置成功。

一、步骤梳理

  • 设定主从服务器的配置
  • 设定主服务器字节区域解析数据库
  • bj.jd.com子域分配给自己管理
  • yd.jd.comsh.jd.com分别委派给各自的服务器
  • 子域服务器设定各自的区域解析数据库
  • 子域服务器设定将jd.com域转发至主从服务器中

二、bind配置文件结构

本地解析文件

   /etc/hosts

主配置文件

   /etc/named.conf

   /etc/named.rfc1912.zones

   /etc/rndc.key

解析库文件

   /var/named

           \----slaves		#文件夹,当为slave,则在master同步的数据放在此文件

           \----named.ca		#互联网根的信息

           \----name			#自定义的数据文件放在此目录下

三、搭建过程

1.主DNS服务器

安装bind并配置DNS的主配置文件

//安装bind

yum install bind

//

//配置bind的主配置文件

vim /etc/named.conf

  listen-on port 53 { 10.0.0.57; };    //设置监听的IP

  allow-query     { any; };            //设置允许所有人访问DNS服务

  forwarders { 114.114.114.114; };     //设定转发,本机没有的记录全部转发至其他DNS

  dnssec-enable no;                    //关闭DNS安全认证

  dnssec-validation no;                //关闭DNS安全确认

  include "/etc/named.rfc1912.zones";  //引入外部区域配置文件

在区域配置文件/etc/named.rfc1912.zones创建新的解析区域

//修改区域配置文件

vim /etc/named.rfc1912.zones

  zone "jd.com" IN {                   //创建jd.com域

          type master;                 //在jd域为主DNS

          file "jd.com.zone";          //区域数据库的配置文件名称,默认路径在/var/named/.....

  }; 

  zone "bj.jd.com" IN {                //创建子域bj.jd.com

          type master;                 //在子域中为主DNS

          file "bj.jd.com.zone";       //区域数据库的配置文件名称,默认路径在/var/named/.....

  };

创建解析数据库文件,数据库默认全部在/var/named目录下,创建的区域数据库文件名一定要与上面配置的区域数据库名称一致。NS类型的记录为设置管理此域的服务器,因为配置了主从两个服务器所以要将两个服务器都创建NS记录。但是仅仅创建NS记录是不够的,因为客户端访问的时候不能知道到底谁是NS服务器,所以还需要给管理此域的服务器建立一条A记录,解析出管理此域的服务器。

vim /var/named/jd.com.zone

  $TTL 1D

  @       IN SOA  dns1 root.jd.com. (

                                        16      ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum

          NS      dns1                  //NS指定管理此域的服务器

          NS      dns2                  //NS指定管理此域的服务器

  sh      NS      dns.sh                //将sh子域委派给sh.jd.com进行管理

  yd      NS      dns.yd                //将yd子域委派给sh.yd.com进行管理

  dns1    A       10.0.0.57             //为管理此域的服务器与子域服务器创建A记录

  dns2    A       10.0.0.56

  dns.sh  A       10.0.0.66

  dns.yd  A       10.0.0.67

  www     A       10.10.0.10            //为主服务器直接管理的解析记录创建A记录

  oa      A       10.10.0.11

  sql     A       10.10.0.12

因在/etc/named.rfc1912.zones文件中创建了两个区域,所以一共要对应两个区域解析数据库。上面创建的数据库时给jd.com创建的数据文件。现在需要创建的是bj.jd.com的数据库文件,也就是Master服务器自己管理的子域。因为总公司与北京分公司都在北京,所以主DNS直接自己管理自己的子域。

$TTL 1D

@       IN SOA   dns1 root.bj.jd.com. (

                                        5       ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum

        NS      dns1

        NS      dns2

dns1    A       10.0.0.57

dns2    A       10.0.0.56

ftp     A       10.20.0.12

oa      A       10.20.0.13

2.从服务器

修改从服务器的主配置文件

vim /etc/named.conf

options {

        listen-on port 53 { 10.0.0.56; };

        allow-query     { any; };

        recursion yes;

        dnssec-enable no;

        dnssec-validation no;

};

 include "/etc/named.rfc1912.zones";

创建区域文件,因为从服务器只是同步主服务器的数据,所以不需要解析的数据库文件,只需要设定好谁是主服务器即可。

zone "jd.com" IN {                       //设定需要同步的区域,主从是相对于区域而言的所以要设定区域。

        type slave;                      //设定服务器类型为slave从

        masters { 10.0.0.57 ;};          //设定主服务器的IP地址

        file "slaves/jd.com.zone";       //主服务配置文件都会在/var/named/slaves目录下,设定同步回来的数据库文件名

};

zone "bj.jd.com" IN {                    //含义与上面类似,这里设置同步自己管理的子域

        type slave;

        masters { 10.0.0.57 ;};

        file "slaves/bj.jd.com.zone";

};

3.印度

后面印度分公司与上海分公司的配置除了设定一下需要转发的区域,其他的跟之前的主服务器配置都是大同小异。所以下面的仅仅对不通配置进行标注。

options {

        listen-on port 53 { 10.0.0.67; };

//      listen-on-v6 port 53 { ::1; };

        allow-query     { any; };

        recursion yes;

        dnssec-enable no;

        dnssec-validation no;

};

 include "/etc/named.rfc1912.zones";

设定转发区域。由于子公司仅仅管理自己的yd.jd.com域,那公司内部需要访问总公司的域名,就需要将其转发至上游的总公司。

zone "yd.jd.com" IN {

        type master;

        file "yd.jd.com.zone";

};

zone "jd.com" IN {                        //设定转发,客户端访问jd.com域时全部转发至指定的服务器

        type forward;

        forward first;

        forwarders {10.0.0.57;};         //设定转发至10.0.0.57服务器。

};

创建印度分公司的区域解析文件

$TTL 1D

@       IN SOA  dns root.yd.jd.com. (

                                        1       ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum

        NS      dns

dns     A       10.0.0.67

oa      A       10.40.0.13

ftp     A       10.40.0.12

4.上海

修改主配置文件

options {

        listen-on port 53 { 10.0.0.66; };

        listen-on-v6 port 53 { ::1; };

        allow-query     { any; };

        recursion yes;

        dnssec-enable no;

        dnssec-validation no;

};

 include "/etc/named.rfc1912.zones";

创建区域记录,设定转发

zone "sh.jd.com" IN {

        type master;

        file "sh.jd.com.zone";

};

zone "jd.com" IN {                        //设定转发,客户端访问jd.com域时全部转发至指定的服务器

        type forward;

        forward first;

        forwarders {10.0.0.57;};         //设定转发至10.0.0.57服务器。

};

创建上海分公司自己管理的区域解析文件。

$TTL 1D

@       IN SOA  dns root.sh.jd.com. (

                                        0       ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum

        NS      dns

dns     A       10.0.0.66

ftp     A       10.30.0.12

oa      A       10.30.0.1

四、结果测试

将windwos的DNS设置为10.0.0.66,然后尝试解析10.0.0.67管理的域。成功得到解析结果。

五、测试工具

dig [-t type] name [@SERVER] [query options]

dig只用于测试dns系统,不会查询hosts文件进行解析

#常用组合

dig www.taobao.com @10.0.0.10                #指定以10.0.0.10为DNS进行解析

 dig +trace taobao.com                       #跟踪解析的过程

六、注意事项

  • 权限:BIND安装时会创建一个用户,BIND运行也是用此用户的身份运行的。所以在解析的时候要确保创建的namde用户拥有对数据可的读权限。
  • 端口:在bind的主配置文件named.conf确保监听的端口已经设置、确保可以对所有人提供DNS服务。
  • 主从更新机制:当Master的版本号变大时,Slave才会同步Master上的数据。
  • SELinux:SELinux安全的可能让自己也无法访问服务,索性直接关闭
  • Iptables:当任何配置都没有错误的时候注意防火墙是否配置正确
  • 创建委派:创建委派一定要将主主配置文件dnssec-enablednssec-validation设置为no
  • 其他疑问:鸟哥的文章或许能解开你的疑惑鸟哥官网

七、安全相关

在全局配置文件中/etc/named.conf可以配置与安全相关的选项

  • allow-query {}: 允许查询的主机;白名单
  • allow-transfer {}:允许区域传送的主机;白名单
  • allow-recursion {}: 允许递归的主机,建议全局使用
  • allow-update {}: 允许更新区域数据库中的内容

七、实验中遇到的坑

  • 启动服务时提示:Failed to start Berkeley Internet Name Domain (DNS).

    解决办法:多半是因为配置文件写错,根据systemclt status named 查看报警的具体配置
  • rndc reload同步配置rndc: neither /etc/rndc.conf nor /etc/rndc.key was found

    解决办法:这个是由于key的问题,可以忽略不管付传送门
  • 添加域后重启服务提示 loading from master file sh.jd.com.zone; failed: file not found

    解决办法:检查主配置文件与数据库文件的名字是否相符
  • 创建委派后提示:zone jd.com/IN: sh.jd.com/NS 'sh.jd.com' (out of zone) has no addresses records (A or AAAA)配置文件检查无误,返回但是解析无返回结果

    解决办法:在父域中创建委派,然后通过named-checkzone命令检查区域配置文件,一直提示A记录不存在。检查父域到子域能否ping通,检查子域防火墙是否关闭

企业内部DNS跨国配置案例的更多相关文章

  1. DNS服务器安装配置案例详解

    案例配置要求:假设有一个域名:tianyik.com主机为:192.168.31.36    mail 192.168.31.37    www  192.168.31.38    pop --> ...

  2. Kubernetes DNS服务配置案例

    首先创建DNS服务的RC配置文件skydns-rc.yaml apiVersion: v1 kind: ReplicationController metadata: name: kube-dns-v ...

  3. 搭建企业内部DNS服务器,docker 部署内部 dnsmasq

    获取镜像 docker pull jpillora/dnsmasq 配置域名 # http://oss.segetech.com/intra/srv/dnsmasq.conf #log all dns ...

  4. 单位内部DNS架设及域名解析服务

    越来越多的企业将企业内部局域网通过光缆.交换机等高速互连设备连接起来,形成较大规模的中型网络,网络上的主机和用户也随之日渐增多.作为 Internet的缩影,企业内部网上的各类服务器(如WWW服务器. ...

  5. 企业内部在centos7.2系统中必杀技NTP时间服务器及内网服务器时间同步(windows和linux客户端同步)

    网络时间协议NTP(Network Time Protocol)是用于互联网中时间同步的标准互联网协议.NTP的用途是把计算机的时间同步到某些时间标准.目前采用的时间标准是世界协调时UTC(Unive ...

  6. CISCO ASA 5505 经典配置案例

    nterface Vlan2 nameif outside  ----------------------------------------对端口命名外端口  security-level 0 -- ...

  7. (转)搭建企业内部yum仓库(centos6+centos7+epel源)

    搭建企业内部yum仓库(centos6+centos7+epel源) 原文:https://www.cnblogs.com/nulige/p/6081192.html https://www.linu ...

  8. DNS域名配置

    1.什么是DNS 2.DNS层次介绍及基础内容 3.DNS的工作原理及过程 域名服务器配置实战:    4.主域名服务器配置     5.辅域名服务器配置     6.缓存域名服务器配置 1.什么是D ...

  9. 使用BIND搭建内部DNS服务

    ​​‌‌​​​‌‌​‌​​‌‌‍​‌​‌‌‌​​‌‌‌‌​‌​‍​‌​​‌​​​‌​​​‌‌​‍​‌ ...

随机推荐

  1. Oracle数据库创建用户小结

    前言:使用Oracle开发系统过程中,会涉及到数据库用户的建立,及给该用户分配权限.刚开始接触开发的时候,对这些操作是一种茫茫然的状态.后,经过积累,对这方面有了一定的认识,现总结一些,一则,巩固自身 ...

  2. error_reporting

    有关error_reporting()函数: error_reporting() 设置 PHP 的报错级别并返回当前级别. ; 错误报告是按位的,或者将数字加起来得到想要的错误报告等级. ; E_AL ...

  3. CentOS7修改主机名(hostname)

    Linux中的hostname在大多数应用中至为重要,例如有些应用强制使用主机名称而不能使用IP地址,如果默认主机名称都为localhost.localdomain 的话那一定会出现问题,而且看起来也 ...

  4. awk的sub函数和gsub函数的用法

    1. sub函数 [root@nhserver1 10]# echo "a b c 2011-11-22 a:d" | awk 'sub(/-/,"",$4)' ...

  5. 【转】12 TOP Command Examples in Linux

    12个top命令 1. # top 2. # top,后输入shift+O,在“Current Sort Field:”中选左边的field对应的字母进行排序. 3. # top -u tecmint ...

  6. 101490E Charles in Charge

    题目连接 http://codeforces.com/gym/101490 题目大意 你有一张图,每两点之间有一定距离,计算出比最短路大x%之内的路径中最长边的最小值 分析 先跑一遍最短路,然后二分答 ...

  7. 【原创】源码角度分析Android的消息机制系列(四)——MessageQueue的工作原理

    ι 版权声明:本文为博主原创文章,未经博主允许不得转载. MessageQueue,主要包含2个操作:插入和读取.读取操作会伴随着删除操作,插入和读取对应的方法分别为enqueueMessage和ne ...

  8. JAVA中的数据存储空间简述

    在 JAVA 中,有六个不同的地方可以存储数据: 1. 寄存器( register ): 最快的存储区,因为它位于不同于其他存储区——处理器内部.但是寄存器的数量极其有限,所以寄存器由编译器根据需求进 ...

  9. Mysql基础安装,初视篇

    mysql 跟所有的数据库软件一样分为  服务端和客户端: 下载:在官网里面选择 download 社区版本,mysql,社区版本 安装: win环境下: 第一步:解压文件出来 第二步:在bin文件下 ...

  10. HDU 6181 Two Paths

    这是一道次短路的题 但是本题有两个坑 注意边权的范围,一定要在所有与距离有关的地方开 long long 本题所求的并不是次短路,而是与最短路不同的最短的路径,如果最短路不止一条,那么就输出最短路的长 ...