金沙澳门官网网址企业内部DNS跨国配置案例

作者: 金沙澳门官网网址  发布:2019-11-14

金沙澳门官网网址 1

背景介绍:总公司与京城支行均由母集团进行合併保管。总集团的基本DNS担当分析总公司服务器与香岛市分行的服务器深入分析职分。总集团DNS委派其余三个公司保管自身域下的服务器深入剖析职责。供给别的一个节点都能深入分析到公司任何域名的结果。这里只有是搭建DNS服务器,以拆解解析的结果为注解。所以暂不思量互联网方面包车型客车作业,只要确认保证DNS能相互深入解析就算配置成功。

风姿浪漫、步骤梳理

  • 设定基本服务器的配备
  • 设定主服务器字节区域剖判数据库
  • bj.jd.com子域分配给和睦解和管理理
  • yd.jd.comsh.jd.com分别委派给各自的服务器
  • 子域服务器设定各自的区域深入深入分析数据库
  • 子域服务器设定将jd.com域转载至主从服务器中

二、bind配置文件结构

本地解析文件
   /etc/hosts
主配置文件
   /etc/named.conf
   /etc/named.rfc1912.zones
   /etc/rndc.key
解析库文件
   /var/named
           ----slaves      #文件夹,当为slave,则在master同步的数据放在此文件
           ----named.ca        #互联网根的信息
           ----name            #自定义的数据文件放在此目录下

三、搭建进程

1.主DNS服务器

安装bind并配备DNS的主配置文件

//安装bind
yum install bind
//
//配置bind的主配置文件
vim /etc/named.conf
  listen-on port 53 { 10.0.0.57; };    //设置监听的IP
  allow-query     { any; };            //设置允许所有人访问DNS服务
  forwarders { 114.114.114.114; };     //设定转发,本机没有的记录全部转发至其他DNS
  dnssec-enable no;                    //关闭DNS安全认证
  dnssec-validation no;                //关闭DNS安全确认
  include "/etc/named.rfc1912.zones";  //引入外部区域配置文件

在区域布局文件/etc/named.rfc1912.zones创制新的深入分析区域

//修改区域配置文件
vim /etc/named.rfc1912.zones
  zone "jd.com" IN {                   //创建jd.com域
          type master;                 //在jd域为主DNS
          file "jd.com.zone";          //区域数据库的配置文件名称,默认路径在/var/named/.....
  }; 

  zone "bj.jd.com" IN {                //创建子域bj.jd.com
          type master;                 //在子域中为主DNS
          file "bj.jd.com.zone";       //区域数据库的配置文件名称,默认路径在/var/named/.....
  };

创造分析数据库文件,数据库私下认可全体在/var/named目录下,创设的区域数据库文件名必定要与地方配置的区域数据库名称相像。NS类型的记录为设置管理此域的服务器,因为布置了骨干八个服务器所以要将几个服务器都创制NS记录。可是只是成立NS记录是远远不够的,因为客商端访谈的时候不可能理解毕竟谁是NS服务器,所以还索要给管住此域的服务器构造建设一条A记下,拆解剖判出管理此域的服务器。

vim /var/named/jd.com.zone
  $TTL 1D
  @       IN SOA  dns1 root.jd.com. (
                                        16      ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
          NS      dns1                  //NS指定管理此域的服务器
          NS      dns2                  //NS指定管理此域的服务器
  sh      NS      dns.sh                //将sh子域委派给sh.jd.com进行管理
  yd      NS      dns.yd                //将yd子域委派给sh.yd.com进行管理
  dns1    A       10.0.0.57             //为管理此域的服务器与子域服务器创建A记录
  dns2    A       10.0.0.56
  dns.sh  A       10.0.0.66
  dns.yd  A       10.0.0.67
  www     A       10.10.0.10            //为主服务器直接管理的解析记录创建A记录
  oa      A       10.10.0.11
  sql     A       10.10.0.12

因在/etc/named.rfc一九一四.zones文件中创建了八个区域,所将来生可畏共要对应五个区域分析数据库。上边成立的数据库时给jd.com创制的数据文件。现在亟待创设的是bj.jd.com的数据库文件,也正是Master服务器本身管理的子域。因为总集团与东京子集团都在京都,所以主DNS直接自个儿管理自个儿的子域。

$TTL 1D
@       IN SOA   dns1 root.bj.jd.com. (
                                        5       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      dns1
        NS      dns2
dns1    A       10.0.0.57
dns2    A       10.0.0.56
ftp     A       10.20.0.12
oa      A       10.20.0.13

2.从服务器

改良从服务器的主配置文件

vim /etc/named.conf
options {
        listen-on port 53 { 10.0.0.56; };
        allow-query     { any; };
        recursion yes;
        dnssec-enable no; 
        dnssec-validation no; 
};
 include "/etc/named.rfc1912.zones";

开创区域文件,因为从服务器只是同步主服务器的数码,所以没有必要分析的数据库文件,只要求设定好谁是主服务器就能够。

zone "jd.com" IN {                       //设定需要同步的区域,主从是相对于区域而言的所以要设定区域。
        type slave;                      //设定服务器类型为slave从
        masters { 10.0.0.57 ;};          //设定主服务器的IP地址
        file "slaves/jd.com.zone";       //主服务配置文件都会在/var/named/slaves目录下,设定同步回来的数据库文件名
};

zone "bj.jd.com" IN {                    //含义与上面类似,这里设置同步自己管理的子域
        type slave;
        masters { 10.0.0.57 ;}; 
        file "slaves/bj.jd.com.zone";
};

3.印度

末端印度分行与东京分行的布局除了设定一下亟需中间转播的区域,别的的跟从前的主服务器配置都是毫发不爽。所以上面包车型地铁只是对窒碍配置举行注脚。

options {
        listen-on port 53 { 10.0.0.67; };
//      listen-on-v6 port 53 { ::1; };
        allow-query     { any; };
        recursion yes;
        dnssec-enable no;
        dnssec-validation no;
};
 include "/etc/named.rfc1912.zones";

设定转载区域。由于支行仅仅管理自个儿的yd.jd.com域,那公司里面须求拜望总公司的域名,就需求将其转变至上游的母集团。

zone "yd.jd.com" IN {
        type master;
        file "yd.jd.com.zone";
};

zone "jd.com" IN {                        //设定转发,客户端访问jd.com域时全部转发至指定的服务器
        type forward;
        forward first;
        forwarders {10.0.0.57;};         //设定转发至10.0.0.57服务器。
};

开创印度共和国分行的区域拆解解析文件

$TTL 1D
@       IN SOA  dns root.yd.jd.com. (
                                        1       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      dns 
dns     A       10.0.0.67
oa      A       10.40.0.13
ftp     A       10.40.0.12

4.上海

改良主配置文件

options {
        listen-on port 53 { 10.0.0.66; };
        listen-on-v6 port 53 { ::1; };
        allow-query     { any; };
        recursion yes;
        dnssec-enable no;
        dnssec-validation no;
};
 include "/etc/named.rfc1912.zones";

创制区域记录,设定转载

zone "sh.jd.com" IN {
        type master;
        file "sh.jd.com.zone";
};

zone "jd.com" IN {                        //设定转发,客户端访问jd.com域时全部转发至指定的服务器
        type forward;
        forward first;
        forwarders {10.0.0.57;};         //设定转发至10.0.0.57服务器。
};

开创东京分行自个儿管理的区域拆解深入分析文件。

$TTL 1D
@       IN SOA  dns root.sh.jd.com. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      dns
dns     A       10.0.0.66
ftp     A       10.30.0.12
oa      A       10.30.0.1

四、结果测量试验

将windwos的DNS设置为10.0.0.66,然后尝试剖析10.0.0.67管理的域。成功博得拆解分析结果。
金沙澳门官网网址 2

五、测验工具

dig [-t type] name [@SERVER] [query options]
dig只用于测试dns系统,不会查询hosts文件进行解析
#常用组合
dig www.taobao.com @10.0.0.10                #指定以10.0.0.10为DNS进行解析
 dig  trace taobao.com                       #跟踪解析的过程

六、注意事项

  • 权限:BIND安装时会成立叁个顾客,BIND运转也是用此客商的地位运维的。所以在剖析的时候要保险创立的namde顾客全部对数据可的读权限。
  • 端口:在bind的主配置文件named.conf确认保证监听的端口已经安装、确认保证能够对全体人提供DNS服务。
  • 基本更新机制:当Master的本子号变大时,Slave才会同步Master上的数目。
  • SELinux:SELinux安全的或是让投机也不能访谈服务,索性直接关闭
  • Iptables:当别的配置都并未有不当的时候注意防火墙是或不是配备不错
  • 金沙澳门官网网址 ,创造委派:成立委派必供给将主主配置文件dnssec-enablednssec-validation设置为no
  • 别的难题:鸟哥的篇章或者能解开你的吸引鸟哥官方网址

七、安全相关

在全局配置文件中/etc/named.conf能够布署与固原相关的抉择

  • allow-query {}: 允许查询的主机;白名单
  • allow-transfer {}:允许区域传送的主机;白名单
  • allow-recursion {}: 允许递归的主机,建议全局使用
  • allow-update {}: 允许更新区域数据库中的内容

七、实验中遇见的坑

  • 开发银行服务时提示:Failed to start Berkeley Internet Name Domain (DNS).
    消弭办法:多半是因为布署文件写错,依照systemclt status named 查看报告急方的实际布置
  • rndc reload同步陈设rndc: neither /etc/rndc.conf nor /etc/rndc.key was found
    消除办法:那几个是出于key的标题,能够忽视不管付传送门
  • 加多域后重启服务提醒 loading from master file sh.jd.com.zone; failed: file not found
    消除办法:检查主配置文件与数据库文件的名字是还是不是相符
  • 创造委派后提示:zone jd.com/IN: sh.jd.com/NS 'sh.jd.com' (out of zone) has no addresses records (A or AAAA)配置文件检查正确,重临不过分析无重返结果
    解决办法:在父域中开创委派,然后经过named-checkzone命令检查区域布局文件,一贯提示A记录空中楼阁。检查父域到子域能不能够ping通,检查子域防火墙是不是关闭

本文由金沙澳门官网发布于金沙澳门官网网址,转载请注明出处:金沙澳门官网网址企业内部DNS跨国配置案例

关键词: 金沙澳门官网

上一篇:简介以及Server端安装
下一篇:没有了