Настройка DNS-сервера BIND
Конфигурирование DNS-сервера BIND (dns bind domain)
Настройка и конфигурирование DNS
Данное руководство описывает механизмы конфигурирования DNS-сервера BIND 8. Рассматриваются не только вопросы настройки сервера, доменных зон, но и ряд функциональных возможностей, повышающих безопасность работы данного сервиса. DNS-сервис является одним из важных сервисов для нормального функционирования Internet сети. Его основная задача состоит в определении соответствия между сетевыми адресами узлов сети и их удобочитабельными названиями. Существует два варианта определения этого соответствия — прямое и реверсивное определение. При прямом разрешении DNS-сервер по имени определяет и выдает сетевой адрес, а при реверсивном — по адресу ищет соответствующее имя. Это необходимо учитывать при настройке DNS-сервиса, поскольку для осуществления данных механизмов используются разные таблицы. В операционной системе Sun Solaris, как, в прочем, и в других UNIX-системах, в качестве DNS-сервера используется BIND-сервер версии 8. Хотя, нужно заметить, в Solaris-е есть возможность использования и сервера версии 4. Если используется файл — named. Лучше естественно использовать BIND 8. Если у вас остались конфигурационные файлы named. Строгое имя сборки вычисляет кэш или контрольную сумму подписываемой сборки и тем самым гарантирует ее подлинность для клиентского приложения или почти гарантирует. Рассмотрим алгоритм формирования строгих имен сборок в наиболее общем виде. Данный DNS-сервер является головным для данного домена. Такие DNS-серверы хранят копии доменных зон, которые скачивают и периодически обновляют с master-сервера. Не хранит никаких таблиц зон, а просто собирает с объявленных root-серверов кэш резолвенных адресов. Используется для повышения эффективности работы DNS-сервера. Очевидно, что вы можете настроить так ваш BIND-сервер, что он одновременно может обслуживать несколько разных доменных зон и для одних он может быть master-ом, для других — slave и тд. В любом случае, какие-бы типы зон вы не настраивали, две зоны будут присутствовать у вас почти всегда — это зона hint и localhost прямая и реверсивная. Итак, начнем с просто кэширующего DNS-сервера. Структура options — описывает глобальные параметры для сервера, а структуры zone — описывают, соответственно, доменные зоны. Тут прописываем адрес локального интерфейса, у меня это В нашем случае трансфер запрещен. Мы прописали нашу локальную сетку Я указал first — это означает что сервер сначала перенаправит запрос выше и если не получит положительного результата, то посмотрит в своем кэше. Если указать only — то у себя смотреть не будет. Я указал, для примера, свой вышестоящий DNS-сервер Я добавил две структуры: Удалил опции определяющие форвард запросов и пока не разрешаю трансфер своих таблиц. Таким образом у меня получился мастер DNS-сервер для моего домена sun. Теперь настроим наш BIND в случае когда у нас существуют и slave-серверы. Сначала необходимо подправить на мастер-сервере возможность передачи таблиц зон. Для этого нужно только разрешить трансфер зон:. А теперь на slave-сервере делаем конфигурационный файл:. Все, теперь когда демон на slave-сервере будет запускаться он прочитает адрес, прописанный в masters, и скачает таблицу зоны, а в последствии будет ее и обновлять. Теперь приступаем к созданию таблиц зон. Понятно, что для slave-сервера большинство таблиц будут скачены с master-сервера. Первым делом пропишим таблицы для localhost и зоны hint. Разберемся теперь в формате этих таблиц. Эти три файла, как мы помним, присутствуют неизменно на любом DNS-сервере. Что касается файла root. Данные в нем периодически устаревают и меняются, поэтому выкачивать его у своего провайдера — это самый оптимальный вариант. Но я хочу посоветовать вам упростить этот файл всего до одной-двух записей рутовых серверов и указать их на DNS-серверы вашего провайдера. Дело в том, что ваш сервер при каждом запуске и по истечении параметра TTL time-to-live будет обращаться ко всем серверам из этого файла и, таким образом, создаст вам огромный трафик, хотя накопленной информации, хранящейся на сервере вашего провайдера, вполне для вас будет достаточно. В качестве примера я написал только один адрес А-root сервера, если вы хотите добавить еще сервера, то создайте B,C,D… и т. Самый лучший формат — ГГГГММДДNN, где NN — номер изменения таблицы за текущий день. Время в секундах, которое указывает серверу сколько хранить в кэше данные таблицы. По его истечении срвер перечитывает таблицу заново. Точка в конце некоторых названий означает, что не нужно дописывать название доменной зоны. Если ее не ставить, то сервер автоматически допишет название домена для которого данная таблица и составляется. Не забывайте про это. Вот и все, если таблицы готовы, то теперь можно и запускать ваш сервер. Как это делать мы уже рассмотрели выше. Если перед вами стоит задача повысить уровень безопасности при трансфере таблиц между master и slave серверами, то необходимо наложить дополнительную аутентификацию на этот механзм. Вообще, механизм аутентификации по ключу, который мы сейчас настроим, может применяться не только при передаче зон, но и даже при обработке запросов клиент-сервер. Но это уже особый случай повышенной безопасности. Естественно, перед тем как настраивать DNS-сервер на использование ключей аутентификации их необходимо сначала сгенерировать. Вот и запускаем следующую команду, которая создаст нам нужный ключ:. Я указал — В результате в текущем каталоге создаются два файла — Kns1. Как видите, и в одном и в другом присутствует необходимый нам ключ я его выделил наклонным шрифтом. Так что, открываете любой из этих файлов и списываете себе ключ, после чего файлы необходимо удалить. Как видно, добивились две новые структуры — key и server. Первая задает нам ключ, а вторая — какие серверы этим ключем подписываются. В моем примере я указал две структуры для моих slave-серверов и обоим приписал один ключ. Конечно, вы можете генерировать ключи для каждого сервера отдельно и даже несколько ключей на один сервер и использовать их потом для разных целей. На slave-серверах необходимо, так же, прописать аналогичные структуры. Вот и все, запускаете службу и если не ошиблись при наборе ключа серверы начнут трансфер зон. Единственно на что еще хочется обратить внимание — это на синхронизацию времени между master и slave серверами. Если трансфер зон не прошел, то читайте лог — там причина будет описана. Если ошиблись в ключе — проверяйте его идентичность, если не совпадает время — синхронизируйте его команды date, rdate либо запустите ntp механизм и все будет — ОК! Найдите там следующую строчку и допишите как это показано у меня:. Таким образом вы указываете системе откуда и в каком порядке определять сетевые адреса. Domain — указывает клиентом какого домена вы являетесь, а nameserver — адреса DNS-серверов. Причем опрос идет в порядке сверху-вниз и максимальное количество объявленных северов — три. Не хочется утомлять Вас банальностями, объясняющими влияние полнолуния на безопасность информационных систем…. Да человек я, человек! Tuesday, July 11th, Home Exchange Exchange Exchange Общее Exchange Server Microsoft ISA Server Настройки безопасности Общее ISA Server Публикация серверов Сертификация Установка и планирование UNIX Проблемы безопасности Сетевые сервисы! Windows Security Windows и сети Аутентификация, контроль доступа и шифрование Безопасность Windows Безопасность в ОС Windows Безопасность Веб Серверов Безопасность контента Беспроводные сети Брендмауэры и VPN Вирусы и трояны О сетевой безопасности Сетевые технологии voip Общее для всех операционных систем Проблемы с сетью Сетевые протоколы Терминальные сервера СУБД MS SQL MySQL Oracle Юмор. Readers Comments Комментариев нет Нажмите, чтобы отменить ответ. Exchange Проведение мониторинга Exchange с помощью диспетчера System Center Operations Manager часть 3 Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange с помощью диспетчера System
Качественные плинтусы Европласт здесь - https: DNS;-- это Доменная Система Имен Domain Name System. DNS преобразует имена машин в IP-номера, которые являются адресами машин, она преобразует из имен в адреса и из адресов в имена. Этот документ показывает как определить такие преобразования, используя систему на базе Linux. Преобразование;-- это просто создание ассоциации между двумя вещами, в нашем случае между именем машины, таким как ftp. DNS является, для непосвященных для вас ;- , одной из самых непрозрачных областей сетевого администрирования. Этот документ постарается сделать некоторые вещи понятнее. Здесь описывается как настроить простой сервер DNS. Начав с настройки кэширующего сервера, мы перейдем к настройке основного сервера DNS для домена. Для более сложных настроек вы можете посмотреть раздел Вопросы и ответы этого документа. Если он не описывает, то что вам нужно, то вам понадобится прочитать полную документацию. Я возвращусь к тому из чего состоит эта полная документация в последнкй главе. А ни какая другая машина, которую вы могли вовлечь в ваши сетевые эксперименты. Я предполагаю, что вы не находитесь за firewall любого типа, который блокирует запрос имен. Если вы все-таки находитесь за firewall, то вам необходима специальная настройка, смотрите раздел Вопросы и ответы. В Unix задача разрешения имен выполняется программой, называемой named. Если у вас есть named, то вы вероятно сможете использовать его; Если у вас его нет, то вы можете получить исполняемые файлы с основных ftp серверов Linux, или взять последнюю и наилучшую версию исходных текстов с ftp. Этот документ описывает bind версии 8. Старые версии этого документа, описывающие bind версии 4, еще доступны по адресу http: Если справочная страница named ссылается в самом конце, в разделе FILES на файл named. Если у вас установлен bind версии 4 и вы ососзнаете необходимость сохранения безопасности, то вы действительно должны обновить вашу версию до версии 8. DNS является базой данных во всемирной сети. Поэтому заботьтесь о том, что вы помещаете в нее. Если вы будете помещать в нее всякий хлам, то и вы и другие люди также получат всякий хлам. Храните вашу базу DNS в аккуратности и вы получите хорошее обслуживание с ее стороны. Учитесь как использовать ее, администрировать и отлаживать, и вы будете еще одним хорошим администратором, хранящим сеть от сбоев в результате неумелого управления. В этом документе я констатирую набор вещей, которые в самом деле не являются полностью правильными они являются по крайней мере наполовину правильными. Все это сделано в целях упрощения. Эти вещи вероятно ;- будут работать, если вы поверите, тому что я скажу. Сделайте резервные копии всех файлов, которые я буду советовать изменить, если у вас они уже есть, так что если ничего не будет работать, то вы можете вернуться назад к рабочей конфигурации. Кеширующий сервер найдет ответ на запрос об имени машины и запомнит его, чтобы ответить, когда вы запросите эту же информацию в следующий раз. Это значительно уменьшит время ожидания ответа при следующем запросе, особенно если у вас медленное соединение. Из него named читает информацию при старте. Сейчас он должен просто содержать следующие строки:. Все файлы используемые впоследствии, будут именоваться относительно этой директории. Он должен содержать следующую информацию:. Этот файл описывает имена корневых серверов имен по всему миру. Их список изменяется время от времени и эта часть в дальнейшем должна сопровождаться. Смотрите раздел по сопровождению для того, чтобы узнать как хранить эту информацию соответствующей действительности. Следующий раздел в named. Я объясню как она используется в следующих разделах, сейчас просто создайте файл, названный Named никогда не читает этот файл, это делает программа resolver, которая использует named. Проиллюстрируем как это работает: Если клиент пытается найти машину с именем foo, то сначала программа пытается найти машину с полным именем foo. Если клиент пытается найти sunsite. Вы можете не помещать слишком много доменов в строку поиска, поскольку поиск в них займет слишком много времени. Пример предполагает, что вы находитесь в домене subdomain. Если вам необходимо часто соединяться с машиной в другом домене, то вы можете добавить этот домен в строку поиска, примерно вот так:. Очевидно, что вам необходимо поместить в эту строку имена настоящих доменов, вместо вышеприведенных. Пожалуйста заметьте отсутствие точки в конце имени домена. Это важно, пожалуйста заметьте отсутствие точки в конце имени доменов. Если у вас уже есть файл nsswitch. Это длинный файл описывающий как получить разные типы данных, из какого файла или базы данных. В начале он обычно содержит полезные комментарии, которые вы должны учесть при чтении этого файла. Этот файл вероятно содержит разные данные, одна из строк должна начинаться со слова order и выглядеть примерно так:. После этих приготовлений пришло время запуска named. Если вы используете dialup соединение, то сначала производите подключение. Если опять попытка не удалась, то смотрите раздел Вопросы и ответы. Forwarding source address is [0. Ready to answer queries. Если есть какие-нибудь сообщения об ошибках, то значит вы что-то сделали неправильно. Named укажет в каком файле ошибка я надеюсь, что это один из файлов named. Завершите выполнение named и проверьте файлы конфигурации. Если это выглядит так, то значит вы заставили систему работать. Если что-то другое, то вернитесь назад и все проверьте. Каждый раз когда вы изменяете файл named. Теперь мы можем ввести запрос на поиск информации. Попробуйте найти машину близкую к вам. Сейчас nslookup попросит ваш named посмотреть информацию о машине pat. Затем он соединится с одним из серверов имен, перечисленных в вашем файле root. Это означает, что named в этот раз не делал запрос к внешним серверам имен, информация находиться в кеше. Но кешированная информация может быть устаревшей. В больших, хорошо организованных академических сетях или сетях ISP Internet Service Provider вы иногда сможете обнаружить, что администраторы сети настроили иерархию серверов DNS, которые помогут облегчить загрузку внутренней сети, также загрузку внешних серверов. Не так легко узнать находитесь ли вы внутри такой сети или нет. Если вы используете модем, то это может быть большой победой. Для пользы этого примера мы предполагаем, что ваш сетевой провайдер имеет два сервера имен, который вы можете использовать, с сетевыми номерами Затем в вашем файле named. Перезапустите ваш сервер имен и протестируйте его используя nslookup. Все должно работать отлично. До того как мы в действительности начнем этот раздел, я хочу дать вам некоторые теоретические сведения о том как работает DNS и пример ее работы. И вы должны читать дальше, потому что это полезно для вас. Остановитесь, когда вы увидите указания о том, что вы должны делать с вашим файлом named. DNS;-- это иерархическая, организованная в виде дерева система. ТОчно также как и дерево, они имеют корни и ветви. Если у вас есть некоторое образование в области компьютерных наук, то вы сможете думать о DNS как о дереве поиска, и вы сможете находить узлы, листья и связи между вершинами этого дерева. При поиске машины, запрос обрабатывается рекурсивно, начиная с корня. Если вы хотите найти адрес машины prep. Он запрашивает корневой сервер. Это дает нам информацию о том, что все ROOT-SERVERS. Теперь мы хотим знать кто обслуживает следующий уровень имени домена: Authoritative answers can be found from: Сервера steawb, w20ns и bitsy все обслуживают mit, выберите один из них и запросите у него информацию о ai. Имена машин не зависят от регистра, но я просто использую мышь для вырезания и вставки текста, так что я получаю их такими же, как они написаны на экране. Теперь я изменил тип запроса, поскольку мы нашли сервер имен и можем опрашивать его том, что мы хотим знать о prep. Так начиная от корня. Если бы вы использовали ваш собственный сервер DNS вместо использования всех перечисленных серверов, то ваш сервер конечно же кешировал бы всю информацию, которую он находил во время прохождения этого пути, и тогда бы он больше не запрашивал эту информацию при повторном обращении. Мы поднимаемся по дереву взяв нужное имя prep. Однажды найдя эту ветвь, мы будем подниматься по ней, переключившись на сервер, который знает об этой части имени. Затем мы ищем ветвь mit в ветви edu объединеное имя становится равным mit. Далее мы ищем слудующую ветвь-- ai. Теперь мы достигли нужного сервера в нужной точке ветвления. Последней задачей будет нахождение prep. В научной литературе мы обычно называем машину prep листом дерева. Менее обсуждаемым, но все равно важным является домен in-addr. Необходимо заметить, то что ip-адреса в домене in-addr. Например, Если у вас есть машина с адресом: Находит сервера для домена in-addr. А потом уже находит необходимые записи о Хотя обратный порядок может смущать, но это только первые два года. DNS не работает точно так, как я это описал. Но достаточно близко к описанному процессу. Теперь определим наш собственный домен. Мы будем делать домен linux. Я использую полностью поддельное имя домена, для того чтобы быть уверенным, что мы не побеспокоим никого во внешнем мире. Одно важное замечание до того как мы начнем: Не все символы разрешено использовать в именах машин. Мы ограничимся символами английского алфавита: Придерживайтесь использования этих символов. Прописные и строчные символы не различаются DNS, так что pat. Это указывает, что мы сейчас будем определять зону 0. Мы уже сделали этот файл, в нем записано:. Расположение origin место зоны в иерархии DNS файла зоны указывается в разделе зон в файле named. SOA это сокращение для Начала Полномочий Start Of Authority. NS это RR для сервера имен Name Server. Это сэкономит нам несколько нажатий на клавиши. Так что строка NS в действительности читается как. Эта строка сообщает DNS, что машина является сервером имен домена 0. И в в окончание - запись PTR гласит, что машина с адресом 1 в подсети 0. Запись SOA находится в преамбуле каждого из файлов зон. Она описывает зону;-- откуда она появляется машина, названная ns. Для полей refresh, retry, expire и minimum используйте числа приведенные в этом документе и вы должны быть в безопасности, используя их. Затем перезапустите ваш named команда ndc restart и используйте программу nslookup для проверки того, что сделано:. Теперь приступим к нашей основной задаче, домену linux. Необходимо упомянуть две вещи о записи SOA. Не разрешается указывать машину с записью CNAME в записи SOA. Любая почта, относительно домена будет посылаться на адрес указаный здесь. В этом файле приведен еще один новый тип записи о ресурсах RR ;-- MX, или запись ресурса Почтовый Сервер Mail eXchanger. Она сообщает почтовой системе куда посылать почту адресованную someone linux. Число перед каждым именем машины;-- это приоритет записи MX RR. Запись ресурса с наименьшим номером 10 ;-- это машины куда почта должна посылаться, если это возможно. Если происходит ошибка, то почта может быть послана на машину с большим номером, вторичному почтовому серверу, например, mail. Перезапустите named с помощью команды ndc restart. Проверьте результаты работы используя команду nslookup:. При внимательном тестировании вы обнаружите ошибку. Она должна выглядеть следующим образом linux. Я сознательно сделал ошибку, чтобы вы смогли получить некоторый опыт; Если имя машины не заканчивается на символ точки в файле зоны, то к концу этого имени добавляется текущее расположение origin , вызывая в итоге дублирование текста linux. Я предпочитаю последнюю форму, поскольку надо меньше набирать на клавиатуре. Существуют пользователи bind, которые не согласны с этим подходом, но есть и те, которые согласны с этим. Я должен подчеркнуть, что в файле named. Так что опираясь на мою точку зрения мы напишем новый файл зоны, с некоторой дополнительной информацией. Здесь присутствует несколько новых записей о ресурсах RR: Первая часть;-- это информация об оборудовании машины, а вторая часть описывает программное обеспечение и операционную систему данной машины. CNAME Каноническое имя, Canonical NAME ;-- это способ присвоить каждой машине несколько имен. Так, что www является алиасом для ns. Использование записи CNAME является немного неоднозначным. Но безопасным способом будет следовать правилу, что записи MX, CNAME или SOA никогда не должны ссылаться на имя, указанное как запись CNAME, они должны ссылаться на имя определенное записью A, так что будет неправильно записать. Также лучше считать, что запись CNAME не является настоящим именем машины для использования в адресе электронной почты: Вы можете ожидать, что некоторые администраторы электронной почты во внешнем мире следят за моблюдением этого правила, даже если у вас все работает нормально. Для того, чтобы избежать этого используйте запись A и возможно также некоторые другие записи, такие как MX вместо:. Некоторые из разработчиков архитектуры bind arch-bind-wizards , рекомендуют не использовать запись CNAME. Так, что ее использование надо рассматривать серьезно. Загрузите новую базу данных выполнив команду ndc reload, это заставит named перечитать файлы зон заново. Это означает, что должны быть перечислены все записи в данном домене. В результате получится следующее:. Bogus, your DNS consultants". Как вы видите, это выглядит почти как сам файл зоны. Теперь проверим какой будет ответ только для машины с именем www:. Другими словами, настоящим именем для www. Теперь программы могут преобразовывать имена машин в домене linux. Но также, кроме этого, требуется обратная зона, которая дает возможность DNS преобразовывать адреса в имена машин. Эти имена используются достаточным количеством серверов различного рода FTP, IRC, WWW и другими для того, чтобы решить, хотят ли они с вами общаться или нет, и даже иногда имя машины используется для того, чтобы решить какой приоритет вам дать. Обратная зона требуется для полного доступа к различным сервисам в Internet. Эти строки похожи на описание зоны 0. Теперь перезапустите ваш named ndc restart и снова проверьте его работу с помощью программы nslookup:. Если вывод вашей команды выглядит не так, то посмотрите сообщения об ошибках в вашем syslog, я объяснял как это сделать в самом начале главы. Существует несколько вещей, которые я должен добавить здесь. Так, что их можно спокойно использовать как пример в этом документе. Вторая вещь это строка notify no;. Она заставляет named не извещать вторичные ведомые сервера, когда вы обновляете один из файлов зон. В bind-8, named может уведомлять другие сервера, перечисленные в записях NS в файлах зон, когда конкретная зона обновляется. Это является удобным для обычного использования, но для личных экспериментов с зонами эта возможность должна быть отключена, мы же не хотим, чтобы наш эксперимент загрязнял internet? И конечно, этот домен является фиктивным, также как и все адреса в нем. Для настоящего примера действующего домена смотрите следующий раздел. До того как вы продолжите продвигаться вперед вам необходимо обеспечить работу обратного поиска ваших машин на вашем сервере имен. Если эта часть не работает, то вернитесь назад и исправьте это до того, как продолжите читать. Когда вы просите вашего сетевого провайдера о предоставлении диапазона сетевых адресов и имени домена, то имя домена обычно делегируется. Делегирование является клеем, который связывает записи NS, которые помогают вам переходить от одного сервера имен к другому, как это описывалось в теоретическом разделе. Вы прочитали его, не так ли? Если ваша обратная зона не работает, то вернитесь назад и прочитайте нужный раздел. Обратную зону также надо делегировать. Если вы получили от вашего провайдера сеть Если вы проследуете по цепочке с in-addr. Скорее всего в районе вашего сетевого провайдера. Обнаружив разрыв цепочки свяжитесь с вашим сетевым провайдером и попросите его исправить ошибку. Это может показаться сложной темой, но бесклассовые подсети в настоящее время являются часто используемыми и у вас вероятно есть такая сеть, если вы не являетесь компанией средних размеров. Бесклассовая сеть -- это то, что сохраняет работу Internet в наши дни. Несколько лет назад было много разговоров о том. Умные люди в IETF Internet Engineering Task Force, они сохраняют Internet в рабочем состоянии объединились вместе и решили данную проблему. Пожалуйста посмотрите страницу Ask Mr. Первая часть проблемы заключается в том, что ваш провайдер должен понимать технологию, описанную Mr. Не все маленькие провайдеры имеют работающее решение данной проблемы. Если это так, то вы должны объяснить это провайдеру и быть настойчивы. Но сначала убедитесь, что вы сами это понимаете ;-. Они смогут установить правильную обратную зону на своем сервере, который вы должны проверить на работоспособность используя команду nslookup. Вторая и последняя часть этой проблемы заключается в том, что вы должны понять применяемую технологию. Если вы не уверены в этом, то вернитесь назад и заново прочитайте все материалы. Затем вы сможете настроить обратную зону своей собственной бесклассовой сети, как это описано Mr. Существует другая возможность для скрытой ошибки. Старые программы разрешения имен не смогут следовать приему с CNAME в цепочке разрешения имен и буду давать сбой при выяснении имени вашей машины. В результате этого различные сервисы будут относить вас к классу неправильного доступа, запрщать доступ или делать что-то подобное. Если вы столкнулись с таким сервисом, то решение которое я знаю заключается только в том, чтобы ваш правайдер вставил вашу запись PTR прямо в фиктивный файл бесклассовой зоны вместо фиктивной записи CNAME. Некоторые провайдеры будут предлагать другие способы решения этой проблемы, подобные основанным на Web формам ввода ваших записей обратной зоны или другие автоматические системы. Пользователи предложили, чтобы я включил пример настроек действующего домена как учебное пособие. Я использую этот пример с разрешения David Bullock из LAND Эти файлы содержат информацию, которая являлась реальной на 24 Сентября года, и были отредактированы мною для соответствия правилам синтаксиса bind-8 и использовали некоторые мои расширения. Так что, то что вы увидите здесь будет отличаться от того, что вы увидите сделав запрос на настоящий сервер имен LAND Здесь мы обнаружим два раздела основных зон для двух необходимых обратных зон: А записи для основной зоны домена land Также заметим, что вместо размещения файлов в директории названной pz, как я делал здесь до этого, администратор поместил эти файлы в директорию названную zone. Если вы поместите эти данные в ваш файл named. Запомните, что это файл не является постоянным, и данные одного из перечисленных здесь серверов являются устаревшими. Вам лучше использовать вместо приведенного файла, файл сделанный перед этим помощью программы dig, как это объяснялось ранее. Sun Feb 15 Как основа файла обязательными записями являются запись SOA, и запись, которая объявляет Требуется указать обе эти записи. Больше ничего не должно быть в этом файле. Его скорее всего никогда не надо будет обновлять, до тех пор пока не изменится адрес сервера имен или ответственного за машину hostmaster. Здесь мы увидим обязательную запись SOA, и необходимые записи NS. Мы можем видеть, что имеется дополнительный сервер имен расположенный по адресу ns2. Всегда необходимо иметь дополнительный сервер имен за пределами домена в качестве резерва. Мы также можем видеть, что этот домен имеет основной сервер, названный land-5, который заботится о множестве разных сервисов Internet, это сделано используя записи CNAME как альтернатива использованию записей A. Как вы видите из записи SOA, файл зоны расположен в домене land Серийный номер записан в привычном формате yyyymmdd и дополнен серийным номером для текущего дня; это примерно 6-я версия файла зоны на 20 сентября Помните, что серийный номер должен увеличиваться монотонно, здесь только одна цифра для серийного номера текущего дня, так что после 9 поправок мы должны ждать завтрашнего дня, для того чтобы дальше продолжить редактировать файл. Рассмотрите возможность использования двух цифр для номера вместо одной. С последних версий bind 4 named начал ограничивать то, какие символы могут быть использованы в именах машин. Другая вещь, которую необходимо заметить, это то, что все рабочие станции не имеют индивидуальных имен, а вместо этого состоят из префикса за которым следует 2 последних числа из IP-адреса. Используя такое соглашение вы можете значительно упростить работу по сопровождению, но это может быть достаточно безлично и в действительности может быть источником недовольства со стороны ваших клиентов. Мы также видим, что имя funn. Это хорошая тактика, как было упомянуто выше. Обратная зона является той частью настройки, которая кажется способной вызвать большое горе печаль, grief. Она используется для того, чтобы найти имя машины по ее IP-адресу. Однако он находится в Норвегии и хочет принимать соединения только от клиентов из Норвегии и других скандинавских стран. Когда вы соединяетесь с клиентом, то с помощью библиотеки языка С вы можете узнать адрес соединяющейся с сервером машины, поскольку этот адрес содержится во всех пакетах, передаваемых по сети. Теперь сервер может вызвать функцию названную gethostbyaddr, которая ищет имя машины по заданному IP-номеру. Gethostbyaddr запросит сервер DNS, который выполнит поиск заданной машины в DNS. Допустим клиент соединяется с машины ws IP-номер, который библиотека C передает IRC-серверу, равен Для того, чтобы найти имя машины нам необходимо найти домен DNS-сервер сначала найдет сервера домена arpa. От которого он в конце концов может получит ответ, что для Как и объяснение того, как мы искали prep. Вернемся к нашему примеру с IRC-сервером. Если бы не было обратного мапирования адреса Некоторые люди скажут, что обратное преобразование адресов важно только для серверов, и не важно для остальной работы. Так что в действительности обратное преобразование для машин является обязательным. Существует только одна задача по сопровождению named, кроме содержания его запущенным на машине. Это регулярное обновление файла root. Наиболее легкий путь;-- это использование программы dig. Сначала запустите dig без аргументов и вы получите файл root. Затем запросите один из перечисленных корневых серверов, выполнив команду dig rootserver. Вы заметите, что вывод этой команды выглядит ужасно похоже на файл root. Сохраните выводимые данные в файл с помощью команды dig e. Al Longyear послал мне этот скрипт, который может быть автоматически запущен для того, чтобы обновлять файл root. Вы должны подправить этот скрипт для соответствия вашим настройкам. Он автоматически запускается раз в месяц с помощью cron. Original by Al Longyear Updated for bind 8 by Nicolai Langfeldt Miscelanious error-conditions reported by David A. Ranch Ping test suggested by Martin Foster. Automatic update of the named. Некоторые из вас заметили, что файл root. Пожалуйста не используйте ftp для обновления файла root. Раньше это был раздел об использовании bind 8, написанный David E. Я немного изменил его для того, чтобы соответствовать имени раздела. В нем совсем немного. За исключением использования файла named. И bind8 поставляется со скриптом на perl, который преобразует файлы настроек со старым синтаксисом в файл с новым синтаксисом. Если у вас бинарный пакет, то скрипт вероятно должен быть где-то рядом, хотя я не уверен, в том где точно он будет находится , наберите: Этот скрипт работает для всего, что могло быть записано в файле named. Здесь я приведу более полный файл named. Мой named требует наличия файла named. Пожалуйста посмотрите старую версию этого документа, которая описывает bind 4. Ее можно найти по адресу http: Как использовать DNS изнутри сети, защищенной firewall? Как могу сделать круговорот DNS для определенного сервиса, например www. Сделайте несколько разных записей A для www. При этом bind при ответах будет смещаться по кругу между заданными адресами. Этот метод не будет работать с более ранними версиями bind. Я хочу установить DNS в закрытой корпоративной сети intranet. Что мне надо сделать? Вам необходимо убрать файл root. Это также означает, что вам никогда не нужно будет обновлять его. Как я могу установить дополнительный ведомый сервер имен? Я хочу иметь работающий bind, в то время, когда я не подключен к сети. Есть три подхода к решению этой проблемы:. У меня есть два файла root. Когда я отключаюсь от провайдера, я копирую файл root. Когда я снова подключаюсь к провайдеру, то я копирую файл root. Кажется это работает в моем случае. Я могу использовать сервер имен для локальных машин в то время, когда я отключен от сети, без каких либо задержек по тайм-ауту для внешних доменов, и сервер имен работает нормально с внешними доменами, в то в время, когда я подключен к сети. Я также получил информацию от Karl-Max Wanger о том, как bind взаимодействует с NFS и portmapper на большинстве большинстве машин, не имеющих доступа к внешней сети. У меня запущен named на всех машинах, которые только время от времени подключены к Internet с помощью модема. Сервер имен только кеширует информацию, он не авторизует никакую информацию и запрашивает обо всем сервера перечисленные в файле root. Как обычно в Slackware, он запускается до nfsd и mountd. На одной из моих машин портативный компьютер Libretto 30 у меня была проблема с тем, что иногда я мог примонтировать ее диск с другой машины, подключенной к моей локальной сети, но в остальное время эта операция не удавалось. У меня был один и тот же эффект, вне зависимости от использования PLIP, PCMCIA ethernet карты или PPP по последовательному интерфейсу. После некоторого времени, проведенного в предположениях и экспериментах, я нашел, что named несомненно вносит беспорядок в процесс регистрации nfsd и mountd, что выполняется с помощью portmapper при запуске я как обычно запускаю эти демоны во время загрузки. Запуск named после nfsd и mountd полностью устранил эту проблему. В заключение, существует HOWTO об этом по адресу Ask Mr. Хотя это о bind 4, вы можете это применить и для bind 8. Где кеширующий сервер имен хранит свой кеш? Есть ли способ контролировать размер кеша. Кеш полностью хранится в памяти, он никогда сохраняется на на диск. Каждый раз, когда вы прекращаете выполнение named содержимое кеша теряется. Кеш не контролируется ни одним из способов. Вы не можете контролировать кеш или его размер по любым причинам. Однако это не рекомендуется. Сохраняет ли named свой кеш между перезапусками? Как я могу заставить named сохранять его? Нет, named не сохряняет кеш при завершении. Это означает, что кеш должен быть построен заново каждый раз при перезапуске named. Нет способа, который заставил бы named сохранять кеш в файле. Как я могу получить домен? Я хочу настроить свой домен, названный например linux-rules. Как можно назначить этот домен для меня? Свяжитесь с вашим провайдером интернет. Он сможет вам помочь в этом вопросе. Заметьте, что в большинстве частей мира вам необходимо заплатить деньги за получение домена. Доступная в электронной и в печатной формах. Чтение некоторых из этих руководств требуется для того, чтобы сделать шаг от простого администратора DNS к крупному администратору. В печатном виде стандартной книгой является DNS and BIND авторов C. Я читал ее, она великолепна. Также для администрирования DNS или всего, относящегося к этому должна быть хорошей книга Zen and the Art of Motorcycle Maintenance автора Robert M. В электронной форме вы можете найти материалы на http: Мне не нужны большинство из них, но я не являюсь крупным DNS администратором. Arnt Gulbrandsen читал BOG и находится в экстазе от его: В группе новостей comp. В добавление к этому, здесь перечислены некоторые RFC о DNS, самыми важными из которых вероятно являются следующие:. FAQ О проекте Компьютеры Сети Настройка Серверное ПО Легализация Обслуживание Скидки Куда звонить Рекомендации Основы С чего начать. BIOS Уровни сети Оптимизация Создание сети Разводка сети Безопасность Политика. Версии Linux ASP ALT MOPS READ HAT MANDRIVA SLACKWARE DEBIAN. Дистрибутивы ASP MOPS READ HAT SLACKWARE DEBIAN. Настройки Все о Linux Справочник Рецепты Linux FAQ Linux. Администатору Windows Server Windows Server Exchange ActiveDirectory. Пользователю Microsoft Office Word Excel Power Point Acess Outlook FrontPage Учебник по XP Вопросы XP Vista. Разработчику Linux Shell Компилятор. NET PERL SSI JavaScript CSS HTML Советы. Дистрибутивы VmWare InDesign CS2. Linux, программы Linux, скачать linux.
Стас михайлов там мы нашли любовь
Статьи по отечественной истории
Tony burns we are bad boys текст
Ячмень на нижнем веке глаза у ребенка
Шапка сшить своими руками фото