首页 > 代码库 > DNS服务器之子域授权

DNS服务器之子域授权

一、子域授权


在一个较大的生产环境中,一般还需要在公司内分多个部门,这些部门负责的域是整个公司所负责的域的子域,这时公司内除了需要主从DNS服务器彼此之间互相协调提供服务之外,还需要为每个子域授权并让各个子域分别管理各自部门的主机,以减轻公司所在域的系统管理员的负担,这就是子域授权。


假设公司内有两个部门,分别是dev和ops,对于itab.com这个域来说,需要分别为dev.itab.com和ops.itab.com这两个子域授权,而在这两个子域下还分别管理www.dev.itab.com和www.ops.itab.com这两台Web服务器。


各DNS服务器关系如下(一共四台主机):

负责管理公司所在域(itab.com)的DNS服务器:
(1)主DNS服务器:192.168.10.140    //主机名为: master
(2)从DNS服务器:192.168.10.128    //主机名为: slave

负责dev部门所在域(dev.itab.com)的DNS服务器:
(1)主DNS服务器:192.168.10.101    //主机名为: dev
(2)从DNS服务器:192.168.10.102    //主机名为: ops

负责ops部门所在域(ops.itab.com)的DNS服务器:
(1)主DNS服务器:192.168.10.102    //主机名为: ops
(2)从DNS服务器:192.168.10.101    //主机名为: dev


父域和子域的关系图:

技术分享

这里dev部门所在域的DNS服务器作为ops部门所在域的DNS服务器的从服务器,而ops部门所在域的DNS服务器作为dev部门所在域的DNS服务器的从服务器。对于itab.com这个域来说,存在上层、下属关系,上层DNS所负责的域是.com,而下层DNS就是这里要授权的子域dev.itab.com和ops.itab.com.所有主机都已经安装了bind程序。


这里负责管理公司所在域(itab.com)的主从DNS服务器已经配置好,并且已经启动了DNS服务,具体如何配置在上一篇博客中《搭建DNS服务器:正向解析区域、反向解析区域、主从DNS》已经介绍。


子域授权步骤:


(1)在负责管理公司所在域(itab.com)的主DNS服务器上配置子域的NS记录和与之对应的A记录。

在192.168.10.140主机上

[root@master ~]# vim /var/named/itab.com.zone 
# 在针对itab.com这个域的区域数据库文件中添加如下内容。

dev     IN      NS      ns1.dev.itab.com.    //dev.itab.com这个域的主DNS服务器
dev     IN      NS      ns2.dev.itab.com.    //dev.itab.com这个域的从DNS服务器
ns1.dev IN      A       192.168.10.101
ns2.dev IN      A       192.168.10.102

ops     IN      NS      ns1.ops.itab.com.    //ops.itab.com这个域的主DNS服务器
ops     IN      NS      ns2.ops.itab.com.    //ops.itab.com这个域的从DNS服务器
ns1.ops IN      A       192.168.10.102
ns2.ops IN      A       192.168.10.101

# 注意:主DNS服务器修改区域数据库文件时要将serial增大!


配置完进行语法检测:

[root@master ~]# named-checkconf 
[root@master ~]#


重载主DNS服务,让从DNS服务器进行同步:

[root@master ~]# rndc reload
server reload successful



(2)首先将ns1.dev.itab.com.和ns1.ops.itab.com.这两台服务器都配置为缓存DNS服务器,操作如下。

[root@dev ~]# vim /etc/named.conf
# 修改配置文件named.conf中的全局配置段里的如下内容。

options {
    ... ...
    listen-on port 53 { any; };
    allow-query     { any; };
    dnssec-enable no;
    dnssec-validation no;
    ... ...
};

在ns1.ops.itab.com.这台DNS服务器(待配置)上做同样处理。



(3)在负责dev部门所在域(dev.itab.com)的主DNS服务器上(待配置),定义dev主区域,并为之配置区域数据库文件。在负责ops部门所在域(ops.itab.com)的主DNS服务器上(待配置),定义dev的从区域。

在192.168.10.101主机上

定义dev主区域:

[root@dev ~]# vim /etc/named.rfc1912.zones
# 在配置文件named.rfc1912.zones中添加如下内容。

zone "dev.itab.com" IN {
    type master;
    file "dev.itab.com.zone";
    allow-transfer {
        192.168.10.140;
        192.168.10.128;
        192.168.10.101;
        192.168.10.102;
        127.0.0.1;
        localhost; };
};


为dev这个主区域配置区域数据库文件:

[root@dev ~]# vim /var/named/dev.itab.com.zone

$TTL 3600
$ORIGIN dev.itab.com.
@       IN      SOA     ns1.dev.itab.com.       nsadmin.itab.com    (
                2017040201
                1H
                10M
                12H
                10H )
        IN      NS      ns1
        IN      NS      ns2
ns1     IN      A       192.168.10.101
ns2     IN      A       192.168.10.102
www     IN      A       1.1.1.1


分别检查bind配置文件和区域数据库文件是否有语法错误:

[root@dev ~]# named-checkconf   
[root@dev ~]# named-checkzone dev.itab.com /var/named/dev.itab.com.zone 
zone dev.itab.com/IN: loaded serial 2017040201
OK


在192.168.10.102主机上

在负责ops部门所在域(ops.itab.com)的主DNS服务器上(待配置),定义dev从区域:

[root@ops ~]# vim /etc/named.rfc1912.zones
# 在配置文件named.rfc1912.zones中添加如下内容。

zone "dev.itab.com" IN {
    type slave;
    file "slaves/dev.itab.com";
    masters { 192.168.10.101; };
        allow-transfer {
        192.168.10.140;
        192.168.10.128;
        192.168.10.101;
        192.168.10.102;
        127.0.0.1;
        localhost; };
};


检查配置文件是否有语法错误:

[root@ops ~]# named-checkconf 
[root@ops ~]#



(4)在负责ops部门所在域(ops.itab.com)的主DNS服务器上(待配置),定义ops主区域,并为之配置区域数据库文件。在负责dev部门所在域(dev.itab.com)的主DNS服务器上(待配置),定义ops从区域。

在192.168.10.102主机上

定义ops主区域:

[root@ops ~]# vim /etc/named.rfc1912.zones 
# 在配置文件named.rfc1912.zones中添加如下内容。

zone "ops.itab.com" IN {
    type master;
    file "ops.itab.com.zone";
        allow-transfer {
        192.168.10.140;
        192.168.10.128;
        192.168.10.101;
        192.168.10.102;
        127.0.0.1;
        localhost; };
};


为ops这个主区域配置区域数据库文件:

[root@ops ~]# vim /var/named/ops.itab.com.zone

$TTL 3600
$ORIGIN ops.itab.com.
@       IN      SOA         ns1.ops.itab.com.       nsadmin.itab.com.   (
                2017040201
                1H
                10M
                12H
                10H )
        IN      NS          ns1
        IN      NS          ns2
ns1     IN      A           192.168.10.102
ns2     IN      A           192.168.10.101
www     IN      A           2.2.2.2


分别检查bind配置文件和区域数据库文件是否有语法错误:

[root@ops ~]# named-checkconf 
[root@ops ~]# named-checkzone ops.itab.com /var/named/ops.itab.com.zone 
zone ops.itab.com/IN: loaded serial 2017040201
OK


在192.168.10.101主机上

在负责dev部门所在域(dev.itab.com)的主DNS服务器上(待配置),定义ops从区域:

[root@dev ~]# vim /etc/named.rfc1912.zones
# 在配置文件named.rfc1912.zones中添加如下内容。

zone "ops.itab.com" IN {
    type slave;
    file "slaves/ops.itab.com.zone";
    masters { 192.168.10.102; };
    allow-transfer {
        192.168.10.140;
        192.168.10.128;
        192.168.10.101;
        192.168.10.102;
        127.0.0.1;
        localhost; };
};


检查配置文件是否有语法错误:

[root@dev ~]# named-checkconf 
[root@dev ~]#


(5)启动ns1.dev.itab.com.和ns2.ops.itab.com.这两台DNS服务器,并开始提供服务,操作如下。

# systemctl start named.service


(6)查看日志,这一步省略。


这样就完成了子域授权操作了。接下来开始测试:

在192.168.10.140主机上

在负责管理公司所在域(itab.com)的主DNS服务器上使用dig工具测试:

[root@master ~]# dig -t NS dev.itab.com @192.168.10.140

;; ANSWER SECTION:
dev.itab.com.		3600	IN	NS	ns2.dev.itab.com.
dev.itab.com.		3600	IN	NS	ns1.dev.itab.com.

;; ADDITIONAL SECTION:
ns2.dev.itab.com.	3600	IN	A	192.168.10.102
ns1.dev.itab.com.	3600	IN	A	192.168.10.101


[root@master ~]# dig -t NS ops.itab.com @192.168.10.140

;; ANSWER SECTION:
ops.itab.com.		3600	IN	NS	ns2.ops.itab.com.
ops.itab.com.		3600	IN	NS	ns1.ops.itab.com.

;; ADDITIONAL SECTION:
ns2.ops.itab.com.	3600	IN	A	192.168.10.101
ns1.ops.itab.com.	3600	IN	A	192.168.10.102


[root@master ~]# dig -t A www.dev.itab.com @192.168.10.140

;; ANSWER SECTION:
www.dev.itab.com.	3600	IN	A	1.1.1.1


[root@master ~]# dig -t A www.ops.itab.com @192.168.10.140

;; ANSWER SECTION:
www.ops.itab.com.	3600	IN	A	2.2.2.2



验证子域主从DNS服务器轮循解析:

[root@master ~]# host -t NS dev.itab.com 192.168.10.140
Using domain server:
Name: 192.168.10.140
Address: 192.168.10.140#53
Aliases: 

dev.itab.com name server ns2.dev.itab.com.    //这一次由ns2.dev.itab.com.解析
dev.itab.com name server ns1.dev.itab.com.
[root@master ~]# 
[root@master ~]# 
[root@master ~]# host -t NS dev.itab.com 192.168.10.140
Using domain server:
Name: 192.168.10.140
Address: 192.168.10.140#53
Aliases: 

dev.itab.com name server ns1.dev.itab.com.    //这一次由ns1.dev.itab.com.解析
dev.itab.com name server ns2.dev.itab.com.


经过测试,子域配置完成,没有问题。



子域与转发功能(forwarding)


如果公司要想互联网上的主机能够访问公司内的服务器,就需要在公司内做DNS服务器,其负责的域是itab.com。对于itab.com这个域的上层DNS也一样,如果公司所负责域(itab.com)的DNS服务器要做到高可用,至少需要两台DNS服务做主从,需要在ISP提供的交互界面上填写两条NS记录以及与之对应的A记录。


而在公司内部,受itab.com这个域所管理的可以是子域或主机,每个子域交由一个部门负责管理。在这个例子中子域就是dev.itab.com和ops.itab.com,负责解析这两个子域的DNS服务器都做了主从,同样实现了高可用。


但这样会出现一个问题,在负责解析ops.itab.com这个域的主机上(192.168.10.102)解析itab.com域内的主机www.itab.com时,因为www.itab.com这台web服务器不受ops.itab.com这个域管理,因此会自动从根域开始迭代,大费周章。为了解决这一问题,可以在dev.itab.com和ops.itab.com这两个子域的DNS服务器上定义转发功能(forwarding)。关于定义转发功能详细解释可参考《Caching only DNS的设置与forwarding功能》做如下操作:


在192.168.10.101主机上

[root@dev ~]# vim /etc/named.conf
# 在配置文件named.conf中定义全局转发。

options {
    ... ...
    forward only;
    forwarders { 192.168.10.140; 192.168.10.128; };
    ... ...
};


在192.168.10.102主机上

[root@ops ~]# vim /etc/named.conf
# 在配置文件named.conf中定义全局转发。

options {
    ... ...
    forward only;
    forwarders { 192.168.10.140; 192.168.10.128; };
    ... ...
};


在这两台服务器上:

检查配置文件语法错误:

# named-checkconf


注释掉配置文件/etc/named.conf中的hint区域定义:

#zone "." IN {
#   type hint;
#   file "named.ca";
#};


两台DNS服务器分别重载配置文件:

# rndc reload



在ns1.ops.itab.com.这台DNS服务器(192.168.10.102)上测试:

[root@ops ~]# dig -t NS itab.com @192.168.10.102

;; ANSWER SECTION:
itab.com.		3284	IN	NS	ns2.itab.com.
itab.com.		3284	IN	NS	ns1.itab.com.

经过测试,没有问题。




本文出自 “Tab” 博客,请务必保留此出处http://xuweitao.blog.51cto.com/11761672/1912627

DNS服务器之子域授权