NTP服務和DNS服務

NTP時間服務器

作用：ntp主要是用于對計算機的時間同步管理操作。

時間是對服務器來說是很重要的，一般很多網(wǎng)站都需要讀取服務器時間來記錄相關信息，如果時間不準，則可能造成很大的影響。

部署安裝NTP服務器

***步：安裝服務

[root@ken ~]# yum install ntp -y

第二步：配置NTP文件

[root@ken ~]# vim /etc/ntp.conf

server 127.127.1.0 #以本機作為時間服務器，也可以根據(jù)需要選擇阿里時間服務器

restrict 127.0.0.1 #允許本機使用時間服務器

restrict 172.20.10.7 mask 255.255.255.240 #允許172.20.10.7使用本機的時間服務器

第三步：重啟NTP服務

[root@ken ~]# systemctl restart ntpd

第四步：檢查NTP狀態(tài)

[root@ken ~]# ntpstat

synchronised to local net at stratum 6

time correct to within 7948 ms

polling server every 64 s

第五步：客戶端下載NTP客戶端程序

[root@host1 ~]# yum install ntpdate -y

第六步：客戶端進行同步

當前服務端時間

[root@ken ~]# date

Thu Feb 28 12:22:41 CST 2019

當前客戶端時間

[root@host1 ~]# date

Thu Feb 28 20:34:34 CST 2019

客戶端進行時間同步

[root@host1 ~]# ntpdate 172.20.10.6

28 Feb 12:24:52 ntpdate[7551]: step time server 172.20.10.6 offset -29488.471623 sec

[root@host1 ~]# date

Thu Feb 28 12:25:10 CST 2019

如果出現(xiàn)下面的錯誤，稍等再次執(zhí)行即可

[root@ken ~]# ntpdate 192.168.1.163

6 Mar 23:12:36 ntpdate[1541]: no server suitable for synchronization found

DNS域名解析系統(tǒng)

DNS服務概述：

DNS（Domain Name System）域名系統(tǒng)，在TCP/IP 網(wǎng)絡中有非常重要的地位，能夠提供域名與IP地址的解析服務。

DNS 是一個分布式數(shù)據(jù)庫，命名系統(tǒng)采用層次的邏輯結構，如同一棵倒置的樹，這個邏輯的樹形結構稱為域名空間，由于DNS 劃分了域名空間，所以各機構可以使用自己的域名空間創(chuàng)建DNS信息。

注：DNS 域名空間中，樹的最大深度不得超過127 層，樹中每個節(jié)點最長可以存儲63 個字符。

1、域和域名

DNS 樹的每個節(jié)點代表一個域，通過這些節(jié)點，對整個域名空間進行劃分，成為一個層次結構。

域名空間的每個域的名字，通過域名進行表示。

域名：通常由一個完全合格域名（FQDN）標識。FQDN能準確表示出其相對于DNS 域樹根的位置，也就是節(jié)點到DNS 樹根的完整表述方式，從節(jié)點到樹根采用反向書寫，并將每個節(jié)點用“.”分隔，對于DNS 域google 來說，其完全正式域名（FQDN）

為google.com。

例如，google為com域的子域，其表示方法為google.com，而www為google域中的子域，可以使用www.google.com表示。

注意：通常，F(xiàn)QDN 有嚴格的命名限制，長度不能超過256 字節(jié)，只允許使用字符a-z,0-9,A-Z

和減號（-）。點號（.）只允許在域名標志之間（例如“google.com”）或者FQDN 的結尾使用。

域名不區(qū)分大小。

由最頂層到下層，可以分成：根域、***域、二級域、子域。

Internet 域名空間的最頂層是根域（root），其記錄著Internet 的重要DNS 信息，由Internet域名注冊授權機構管理，該機構把域名空間各部分的管理責任分配給連接到Internet 的各個組織。

“.”全球有13個根(root)服務器

DNS 根域下面是***域，也由Internet 域名注冊授權機構管理。共有3 種類型的***域。

組織域：采用3 個字符的代號，表示DNS 域中所包含的組織的主要功能或活動。比如com 為商業(yè)機構組織，edu 為教育機構組織，gov 為***機構組織，mil 為***機構組織，net 為網(wǎng)絡機構組

織，org 為非營利機構組織，int 為國際機構組織。

地址域：采用兩個字符的國家或地區(qū)代號。如cn 為中國，kr 為韓國，us 為美國。

反向域：這是個特殊域，名字為in-addr.arpa，用于將IP 地址映射到名字（反向查詢）。

對于***域的下級域，Internet 域名注冊授權機構授權給Internet 的各種組織。當一個組織獲得了對域名空間某一部分的授權后，該組織就負責命名所分配的域及其子域，包括域中的計算機和其他設備，并管理分配的域中主機名與IP 地址的映射信息。

2、區(qū)(Zone)

區(qū)是DNS 名稱空間的一部分，其包含了一組存儲在DNS 服務器上的資源記錄。

使用區(qū)的概念，DNS 服務器回答關于自己區(qū)中主機的查詢，每個區(qū)都有自己的授權服務器。

3、主域名服務器與輔助域名服務器

當區(qū)的輔助服務器啟動時，它與該區(qū)的主控服務器進行連接并啟動一次區(qū)傳輸，區(qū)輔助服務器定期與區(qū)主控服務器通信，查看區(qū)數(shù)據(jù)是否改變。如果改變了，它就啟動一次數(shù)據(jù)更新傳輸。

每個區(qū)必須有主服務器，另外每個區(qū)至少要有一臺輔助服務器，否則如果該區(qū)的主服務器崩潰了，就無法解析該區(qū)的名稱。

輔助服務器的優(yōu)點：

1）容錯能力

配置輔助服務器后，在該區(qū)主服務器崩潰的情況下，客戶機仍能解析該區(qū)的名稱。一般把區(qū)的主服務器和區(qū)的輔助服務器安裝在不同子網(wǎng)上，這樣如果到一個子網(wǎng)的連接中斷，DNS 客戶機還能

直接查詢另一個子網(wǎng)上的名稱服務器。

2）減少廣域鏈路的通信量

如果某個區(qū)在遠程有大量客戶機，用戶就可以在遠程添加該區(qū)的輔助服務器，并把遠程的客戶機配置成先查詢這些服務器，這樣就能防止遠程客戶機通過慢速鏈路通信來進行DNS 查詢。

3）減輕主服務器的負載

輔助服務器能回答該區(qū)的查詢，從而減少該區(qū)主服務器必須回答的查詢數(shù)。

4、DNS 相關概念

（1）DNS 服務器

運行DNS 服務器程序的計算機，儲存DNS 數(shù)據(jù)庫信息。DNS 服務器會嘗試解析客戶機的查詢請求。

在解答查詢時，如果DNS 服務器能提供所請求的信息，就直接回應解析結果，如果該DNS 服務器沒有相應的域名信息，則為客戶機提供另一個能幫助解析查詢的服務器地址，如果以上兩種方法均失敗，則回應客戶機沒有所請求的信息或請求的信息不存在。

（2）DNS 緩存

DNS 服務器在解析客戶機請求時，如果本地沒有該DNS 信息，則可以會詢問其他DNS 服務器，當其他域名服務器返回查詢結果時，該DNS 服務器會將結果記錄在本地的緩存中，成為DNS 緩存。

當下一次客戶機提交相同請求時，DNS 服務器能夠直接使用緩存中的DNS 信息進行解析。

2）DNS查詢方式： 遞歸查詢和迭代查詢

看一個DNS查詢過程：

通過8個步驟的解析過程就使得客戶端可以順利訪問www.163.com 這個域名，但實際應用中，通常這個過程是非常迅速的

DNS查詢方式

<1> 客戶機提交域名解析請求，并將該請求發(fā)送給本地的域名服務器。

<2> 當本地的域名服務器收到請求后，就先查詢本地的緩存。如果有查詢的DNS 信息記錄，則直

接返回查詢的結果。如果沒有該記錄，本地域名服務器就把請求發(fā)給根域名服務器。

<3> 根域名服務器再返回給本地域名服務器一個所查詢域的***域名服務器的地址。

<4> 本地服務器再向返回的域名服務器發(fā)送請求。

<5> 接收到該查詢請求的域名服務器查詢其緩存和記錄，如果有相關信息則返回客戶機查詢結果，否則通知客戶機下級的域名服務器的地址。

<6> 本地域名服務器將查詢請求發(fā)送給返回的DNS 服務器。

<7> 域名服務器返回本地服務器查詢結果（如果該域名服務器不包含查詢的DNS 信息，查詢過程將重復<6>、<7>步驟，直到返回解析信息或解析失敗的回應）。

<8> 本地域名服務器將返回的結果保存到緩存，并且將結果返回給客戶機。

5、兩種查詢方式：

（1）遞歸查詢

遞歸查詢是一種DNS 服務器的查詢模式，在該模式下DNS 服務器接收到客戶機請求，必須使用一個準確的查詢結果回復客戶機。如果DNS 服務器本地沒有存儲查詢DNS信息，那么該服務器會詢問其他服務器，并將返回的查詢結果提交給客戶機。

（2）迭代查詢

DNS 服務器另外一種查詢方式為迭代查詢，當客戶機發(fā)送查詢請求時，DNS 服務器并不直接回復查詢結果，而是告訴客戶機另一臺DNS 服務器地址，客戶機再向這臺DNS 服務器提交請求，依次循環(huán)直到返回查詢的結果為止。

正向解析與反向解析

1）正向解析

正向解析是指域名到IP 地址的解析過程。

[root@ken ~]# ping www.baidu.com

PING www.a.shifen.com (119.75.217.109) 56(84) bytes of data.

64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=1 ttl=54 time=4.84 ms

64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=2 ttl=54 time=5.81 ms

64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=3 ttl=54 time=6.79 ms

64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=4 ttl=54 time=8.14 ms

64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=5 ttl=54 time=5.73 ms

2）反向解析

反向解析是從IP 地址到域名的解析過程。反向解析的作用為服務器的身份驗證。

http://dns.aizhan.com/

7、DNS資源記錄

1）SOA 資源記錄

每個區(qū)在區(qū)的開始處都包含了一個起始授權記錄（Start of Authority Record）,簡稱SOA 記錄。

SOA 定義了域的全局參數(shù)，進行整個域的管理設置。一個區(qū)域文件只允許存在***的SOA 記錄。

2）NS 資源記錄

NS（Name Server）記錄是域名服務器記錄，用來***該域名由哪個DNS服務器來進行解析。每個區(qū)在區(qū)根處至少包含一個NS 記錄。

3）A 資源記錄

地址（A）資源記錄把FQDN 映射到IP 地址。 因為有此記錄，所以DNS服務器能解析FQDN域名對應的IP 地址。

4）PTR 資源記錄

相對于A 資源記錄，指針（PTR）記錄把IP地址映射到FQDN。 用于反向查詢，通過IP地址，找到域名。

5）CNAME 資源記錄

別名記錄（CNAME）資源記錄創(chuàng)建特定FQDN 的別名。用戶可以使用CNAME 記錄來隱藏用戶網(wǎng)絡的實現(xiàn)細節(jié)，使連接的客戶機無法知道真正的域名。

6）MX 資源記錄

郵件交換（MX）資源記錄，為DNS 域名***郵件交換服務器。

郵件交換服務器是為DNS 域名處理或轉發(fā)郵件的主機。處理郵件指把郵件投遞到目的地或轉交另一不同類型的郵件傳送者。轉發(fā)郵件指把郵件發(fā)送到最終目的服務器，用簡單郵件傳輸協(xié)議SMTP 把郵件發(fā)送給離最終目的地最近的郵件交換服務器，或使郵件經(jīng)過一定時間的排隊。

以上是相關概念。

模式： C/S 模式

資源記錄的通用格式

name [time] IN type value

name：要解析的目標主機的名稱

time：解析結果的緩存時間

IN：關鍵詞

type：資源記錄類型

value：將目標主機解析到哪個地址

例子：

www 86400 IN A 1.2.3.4

2、端口

[root@ken~]# vim /etc/services

端口：

tcp/53 udp/53 #用于客戶端查詢

tcp/953 udp/953 #用于DNS主從同步

BIND 簡介

BIND 全稱為Berkeley Internet Name Domain(伯克利因特網(wǎng)名稱域系統(tǒng))。BIND 主要有三個版

本：BIND4、BIND8、BIND9。

BIND8 融合了許多提高效率、穩(wěn)定性和安全性的技術，而BIND9 增加了一些超前的理念：IPv6支持、密鑰加密、多處理器支持、線程安全操作、增量區(qū)傳送等等。

部署DNS

主配置文件（/etc/named.conf）：只有58行，而且在去除注釋信息和空行之后，實際有效的參數(shù)僅有30行左右，這些參數(shù)用來定義bind服務程序的運行。

區(qū)域配置文件（/etc/named.rfc1912.zones）：用來保存域名和IP地址對應關系的所在位置。類似于圖書的目錄，對應著每個域和相應IP地址所在的具體位置，當需要查看或修改時，可根據(jù)這個位置找到相關文件。

數(shù)據(jù)配置文件目錄（/var/named）：該目錄用來保存域名和IP地址真實對應關系的數(shù)據(jù)配置文件。

***步：下載bind

[root@ken ~]# yum install bind bind-utils -y

bind #該包為DNS 服務的主程序包。

bind-utils #該包為客戶端工具，默認安裝，用于搜索域名指令

第二步：編輯/etc/named.conf文件

[root@ken ~]# cat /etc/named.conf

//

// named.conf

//

// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS

// server as a caching only nameserver (as a localhost DNS resolver only).

//

// See /usr/share/doc/bind*/sample/ for example named configuration files.

//

// See the BIND Administrator's Reference Manual (ARM) for details about the

// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {

listen-on port 53 { any; }; #修改為any

listen-on-v6 port 53 { ::1; };

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

recursing-file "/var/named/data/named.recursing";

secroots-file "/var/named/data/named.secroots";

allow-query { any; }; #修改為any

/*

...

***處修改為any表示：服務器上的所有IP地址均可提供DNS域名解析服務

第二處修改為any表示：允許所有人對本服務器發(fā)送DNS查詢請求

第三步：修改區(qū)域配置文件

[root@ken ~]# cat /etc/named.rfc1912.zones

// named.rfc1912.zones:

//

// Provided by Red Hat caching-nameserver package

//

// ISC BIND named zone configuration for zones recommended by

// RFC 1912 section 4.1 : localhost TLDs and address zones

// and http://www.ietf.org/internet-drafts/draft-ietf-dnsop-default-local-zones-02.txt

// (c)2007 R W Franks

//

// See /usr/share/doc/bind*/sample/ for example named configuration files.

//

zone "ken.com" IN {

type master;

file "ken.com.zone";

allow-update { none; };

};

第四步：編輯數(shù)據(jù)配置文件

可以從/var/named目錄中復制一份正向解析的模板文件（named.localhost），然后把域名和IP地址的對應數(shù)據(jù)填寫數(shù)據(jù)配置文件中并保存。在復制時記得加上-a參數(shù)，這可以保留原始文件的所有者、所屬組、權限屬性等信息，以便讓bind服務程序順利讀取文件內容

[root@ken ~]# cp -a /var/named/named.localhost /var/named/ken.com.zone

第五步：配置數(shù)據(jù)配置文件

[root@ken ~]# cat /var/named/ken.com.zone

$TTL 1D #生存周期為1天

@ IN SOA @ rname.invalid. (

#授權信息開始 #DNS區(qū)域的地址 #管理員郵箱 0 ; serial #更新序列號

1D ; refresh #更新時間

1H ; retry #重試時間

1W ; expire #失效時間

3H ) ; minimum #無效解析記錄的緩存時間

NS @ #域名服務器記錄

A 127.0.0.1 #地址記錄

www IN A 192.168.4.190

bbb IN A 192.168.4.190

mail IN A 192.168.4.190

第六步：重啟服務

[root@ken ~]# systemctl restart named

第七步：修改網(wǎng)卡配置文件中的DNS為本機IP地址

[root@ken ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE="eth0"

ONBOOT=yes

NETBOOT=yes

BOOTPROTO=static

TYPE=Ethernet

IPADDR=192.168.4.190

NETMASK=255.255.255.0

GATEWAY=192.168.4.1

DNS1=192.168.4.190 #DNS地址修改為本機地址

第八步：重啟網(wǎng)絡

[root@ken ~]# systemctl restart network

第九步：測試

[root@ken ~]# nslookup

> www.ken.com

Server: 192.168.4.190

Address: 192.168.4.190#53

Name: www.ken.com

Address: 192.168.4.190

> bbb.ken.com

Server: 192.168.4.190

Address: 192.168.4.190#53

Name: bbb.ken.com

Address: 192.168.4.190

> mail.ken.com

Server: 192.168.4.190

Address: 192.168.4.190#53

Name: mail.ken.com

Address: 192.168.4.190

> wa.ken.com

Server: 192.168.4.190

Address: 192.168.4.190#53

** server can't find wa.ken.com: NXDOMAIN