DNS 主从同步原理
主从同步:主每次修改配置文件需要修改一下序列号,主从同步主要 根据序列号的变化。
从DNS:从可以单独修改,主从不会报错。但从修改后,主端同步给从后 从端修改数据会丢失
主从原理:从会监听主的 TCP 53 端口,它会隔一段时间去探测 主配置文件中的序列号,如果主端 序列号更新后 从端探测到会 将主端内容 同步到本地。
同步模式:从主动探测时间比较缓慢,可以设置主端,每次变更序列号时主动将,数据信息,推送给从端。
DNS实验环境
master服务器:172.16.2.116
slave1服务器: 172.16.2.225
关闭selinux。
关闭iptables或者正确设置。
安装步骤
1.安装软件
yum install -y bind bind-utils bind-chroot
说明:
bind是主程序
bind-utils是工具包,包括dig、nslookup等NDS命令
bind-chroot为bind提供一个伪装的根目录以增强安全性(将“/var/named/chroot/”文件夹作为BIND的根目录)
/etc/named.conf,/etc/named.rfc1912.zones是主配置文件
/var/named/named.ca是根区域解析库文件
/var/named/named.localhost, /var/named/named.loopback 是本机和环回地址的解析库文件
rndc---remote name domain controller这是一个辅助管理工具,默认情况下与BIND安装在同一主机,而且只能通过127.0.0.1连接named进程,监听的端口号是TCP/953。
2.修改主服务器配置文件
2.1配置named.conf文件
这个配置文件主要分3段内容,options是全局配置,logging是日志配置,最后是区域解析库配置以及所包含的区域解析库文件配置。
只修改第二行和最后一行为any,(生产环境最好配置上转发?)
options {
listen-on port 53 { any; }; #修改为any
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; }; #修改为any
forwarders { 119.29.29.29; };
2.2编辑/etc/named.rfc1912.zones在文件末尾添加一个正向解析区域和一个反向解析区域
1 zone "hanli.com" IN {
2 type master; #定义区域类型,type可选值为:hint(根的)|master(主的)|slave(辅助的)|forward(转发)
3 file "hanli.com.zone";
4 allow-transfer { 172.16.2.225; }; #指定允许转发的目标主机,即从服务器
5 };
6 zone "2.16.172.in-addr.arpa" IN {
7 type master;
8 file "2.zone";
9 allow-transfer { 172.16.2.225; };
10 };
修改后检查下:这个命令会同时检查named.conf和named.rfc1912.zones两个文件
# named-checkconf
没有任何输出表示 /etc/named.conf没有语法错误
2.3 在/var/named目录下创建hanli.com.zone正向解析库文件和2.zone反向解析库文件
[root@master] /var/named$ vim hanli.com.zone
$TTL 1D
@ IN SOA dns1.hanli.com. mail.hanli.com. (
2018030422
2H
10M
1W
1D
)
@ IN NS dns1.hanli.com.
@ IN NS dns2.hanli.com.
@ IN MX 10 mail.hanli.com.
dns1 IN A 172.16.2.116
dns2 IN A 172.16.2.225
mail IN A 172.16.2.116
www IN A 172.16.2.116
检查正向解析库文件有没有错误
[root@master] /var/named$ named-checkzone "hanli.com" hanli.com.zone
zone hanli.com/IN: loaded serial 2018030422
OK
注意事项:
区域解析库文件第一个记录必须是SOA记录,必须有NS记录并且正解区域要有NS记录的A记录,反解则不需要有NS记录对应的A记录。
$TTL表示宏定义,TTL(Time- To-Live),dns记录在本地DNS服务器上保留的时间
@符号可代表区域文件/etc/named.conf里面定义的区域名称,即:"hanli.com."。
2018030422 ;标识序列号,十进制数字,不能超过10位,通常使用日期
2H ;刷新时间,即每隔多久到主服务器检查一次,此处为2小时,实验环境可以设置小一点
4M ;重试时间,应该小于刷新时间,此处为4分钟,实验环境可以设置小一点
1D ;过期时间,此处为1天
2D ;主服务器挂后,从服务器至多工作的时间,此处为2天)
这个文件里所有的域名结尾的点号一定不能省略。
区域解析库文件是放在/var/named目录下,由named进程是以named用户运行,因此区域解析库文件的属组应设置为named。
反向解析库文件
[root@master] /var/named$ vim 2.zone
$TTL 1d
@ IN SOA dns1.hanli.com. mail.hanli.com. (
2018030422;
2H;
10M;
1W;
1D;
)
IN NS dns1.hanli.com.
IN NS dns2.hanli.com.
116 IN PTR www.hanli.com.
116 IN PTR mail.hanli.com.
116 IN PTR dns1.hanli.com.
225 IN PTR dns2.hanli.com.
~
注意事项
反向解析数据文件里面只有SOA、NS、PTR资源记录,所有A记录都要改为PTR记录,名称为IP地址,IP地址可以写全也可以简写,如果写全则是IP地址反写加上.in-addr.arpa.例如:116.2.16.172.in-addr.arpa. PTR资源记录的值为域名。
检测反向解析库配置有没有错误
[root@master] /var/named$ named-checkzone "2.16.172.in-addr.arpa" 2.zone
zone 2.16.172.in-addr.arpa/IN: loaded serial 2018030422
OK
正向解析区域检查没问题
查看权限:目录下文件,属组应为named用户
[root@master] /var/named$ ll
total 24
-rw-r--r--. 1 root named 342 Mar 4 23:05 2.zone
drwxr-x---. 7 root named 61 Mar 4 18:26 chroot
drwxrwx---. 2 named named 23 Mar 4 18:38 data
drwxrwx---. 2 named named 31 Mar 4 18:46 dynamic
-rw-r--r--. 1 root named 643 Mar 4 23:05 hanli.com.zone
-rw-r-----. 1 root named 2281 May 22 2017 named.ca
-rw-r-----. 1 root named 152 Dec 15 2009 named.empty
-rw-r-----. 1 root named 152 Jun 21 2007 named.localhost
-rw-r-----. 1 root named 168 Dec 15 2009 named.loopback
drwxrwx---. 2 named named 6 Jan 22 21:30 slaves
2.4 启动named服务,并测试
# systemctl start named.service
使用dig -t 测试正向解析
[root@master] /var/named/chroot/etc/named$ dig -t A web.hanli.com @172.16.2.116
; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> -t A web.hanli.com @172.16.2.116
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36950
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;web.hanli.com. IN A
;; ANSWER SECTION:
web.hanli.com. 86400 IN CNAME www.hanli.com.
www.hanli.com. 86400 IN A 172.16.2.116
;; AUTHORITY SECTION:
hanli.com. 86400 IN NS ns1.hanli.com.
hanli.com. 86400 IN NS ns2.hanli.com.
;; ADDITIONAL SECTION:
ns1.hanli.com. 86400 IN A 172.16.2.116
ns2.hanli.com. 86400 IN A 172.16.2.116
;; Query time: 1 msec
;; SERVER: 172.16.2.116#53(172.16.2.116)
;; WHEN: Sun Mar 04 22:16:52 CST 2018
;; MSG SIZE rcvd: 144
使用dig -x 测试反向解析
[root@master] /var/named$ dig -x 172.16.2.225 @172.16.2.116
; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> -x 172.16.2.225 @172.16.2.116
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29042
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;225.2.16.172.in-addr.arpa. IN PTR
;; ANSWER SECTION:
225.2.16.172.in-addr.arpa. 86400 IN PTR dns2.hanli.com.
;; AUTHORITY SECTION:
2.16.172.in-addr.arpa. 86400 IN NS dns2.hanli.com.
2.16.172.in-addr.arpa. 86400 IN NS dns1.hanli.com.
;; ADDITIONAL SECTION:
dns1.hanli.com. 86400 IN A 172.16.2.116
dns2.hanli.com. 86400 IN A 172.16.2.225
;; Query time: 1 msec
;; SERVER: 172.16.2.116#53(172.16.2.116)
;; WHEN: Mon Mar 05 13:19:37 CST 2018
;; MSG SIZE rcvd: 147
至此DNS主服务器已经配置完毕并能正常工作。
说明:
通常在应用中,DNS的反向解析并不是很重要,可以不配置,当服务器中有域名作为邮件服务器时,此时可以配置反向解析,因为邮件中过滤垃圾邮件的技术通常是解析邮箱地址,如果IP地址不能反解成一个域名则视为垃圾邮件。
3、从服务器配置172.16.2.225
前提条件:
两台主机可以不一定处在同一网段,但是两台主机之间必须要实现网络通信;
辅助DNS服务器必须要有主DNS服务器的授权,才可以正常操作。
3.1、安装bind
3.2、编辑/etc/named.conf将监听IP地址改一下,其它不需要更改
options {
listen-on port 53 { 172.16.2.225;127.0.0.1; };
3.3 编辑/etc/named.rfc1912.zones
zone "hanli.com" IN {
type slave;
masters { 172.16.2.116; };
file "slaves/hanli.com.zone";
};
zone "2.16.172.in-addr.arpa" IN {
type slave;
masters { 172.16.2.116; };
file "slaves/2.zone";
};
3.4 注意事项:从服务器的区域解析库文件应当是从主服务器加载过来的,所以无需创建区域解析库文件。
3.5 启动从named服务,
# systemctl start named
[root@slave1] /var/named/slaves$ systemctl status named
● named.service - Berkeley Internet Name Domain (DNS)
Loaded: loaded (/usr/lib/systemd/system/named.service; disabled; vendor preset: disabled)
Active: active (running) since 一 2018-03-05 14:16:04 CST; 11s ago
Process: 3463 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID (code=exited, status=0/SUCCESS)
Process: 3474 ExecStart=/usr/sbin/named -u named -c ${NAMEDCONF} $OPTIONS (code=exited, status=0/SUCCESS)
Process: 3472 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z "$NAMEDCONF"; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS)
Main PID: 3477 (named)
CGroup: /system.slice/named.service
└─3477 /usr/sbin/named -u named -c /etc/named.conf
3月 05 14:16:04 slave1 named[3477]: zone 2.16.172.in-addr.arpa/IN: Transfer started.
3月 05 14:16:04 slave1 named[3477]: transfer of '2.16.172.in-addr.arpa/IN' from 172.16.2.116#53: connected using 172.16.2.225#44740
3月 05 14:16:04 slave1 named[3477]: zone 2.16.172.in-addr.arpa/IN: transferred serial 2018030425
3月 05 14:16:04 slave1 named[3477]: transfer of '2.16.172.in-addr.arpa/IN' from 172.16.2.116#53: Transfer completed: 1 mes...es/sec)
3月 05 14:16:04 slave1 named[3477]: zone 2.16.172.in-addr.arpa/IN: sending notifies (serial 2018030425)
3月 05 14:16:04 slave1 named[3477]: zone hanli.com/IN: Transfer started.
3月 05 14:16:04 slave1 named[3477]: transfer of 'hanli.com/IN' from 172.16.2.116#53: connected using 172.16.2.225#39337
3月 05 14:16:04 slave1 named[3477]: zone hanli.com/IN: transferred serial 2018030425
3月 05 14:16:04 slave1 named[3477]: transfer of 'hanli.com/IN' from 172.16.2.116#53: Transfer completed: 1 messages, 9 rec...es/sec)
3月 05 14:16:04 slave1 named[3477]: zone hanli.com/IN: sending notifies (serial 2018030425)
Hint: Some lines were ellipsized, use -l to show in full.
从状态日志中发现,zone区域文件已同步到从服务器
3.6 检查测试同步功能
查看/var/named/slaves/目录,发现多了两个文件。
[root@slave1] /var/named/slaves$ ll
总用量 8
-rw-r--r-- 1 named named 365 3月 5 14:16 2.zone
-rw-r--r-- 1 named named 394 3月 5 14:16 hanli.com.zone
查看文件内容,可以看到该文件和主DNS服务器上的文件内容是一样的。说明这2个文件是自动从主服务器同步过来的。
以后添加DNS记录,只需修改正向解析文件/var/named/hanli.com.zone,和 反向解析文件/var/named/2.zone,并更新序列号,(需要重载named)。则主服务器会自动将zone区域文件推送至从服务器/var/named/slaves下。
3.7 测试从DNS服务器。
正向解析
[root@slave1] /var/named/slaves$ dig -t A www.hanli.com @172.16.2.225
; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> -t A www.hanli.com @172.16.2.225
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7925
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.hanli.com. IN A
;; ANSWER SECTION:
www.hanli.com. 86400 IN A 172.16.2.116
;; AUTHORITY SECTION:
hanli.com. 86400 IN NS dns1.hanli.com.
hanli.com. 86400 IN NS dns2.hanli.com.
;; ADDITIONAL SECTION:
dns1.hanli.com. 86400 IN A 172.16.2.116
dns2.hanli.com. 86400 IN A 172.16.2.225
;; Query time: 0 msec
;; SERVER: 172.16.2.225#53(172.16.2.225)
;; WHEN: 一 3月 05 14:22:32 CST 2018
;; MSG SIZE rcvd: 128
反向解析
[root@slave1] /var/named/slaves$ dig -x 172.16.2.116 @172.16.2.225
; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> -x 172.16.2.116 @172.16.2.225
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52076
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 3
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;116.2.16.172.in-addr.arpa. IN PTR
;; ANSWER SECTION:
116.2.16.172.in-addr.arpa. 86400 IN PTR mail.hanli.com.
116.2.16.172.in-addr.arpa. 86400 IN PTR www.hanli.com.
116.2.16.172.in-addr.arpa. 86400 IN PTR dns1.hanli.com.
;; AUTHORITY SECTION:
2.16.172.in-addr.arpa. 86400 IN NS dns2.hanli.com.
2.16.172.in-addr.arpa. 86400 IN NS dns1.hanli.com.
;; ADDITIONAL SECTION:
dns1.hanli.com. 86400 IN A 172.16.2.116
dns2.hanli.com. 86400 IN A 172.16.2.225
;; Query time: 0 msec
;; SERVER: 172.16.2.225#53(172.16.2.225)
;; WHEN: 一 3月 05 14:25:12 CST 2018
;; MSG SIZE rcvd: 184
后续
1、将生产环境机器主机名和ip地址记录到主dns正向解析区域文件中
2、将生产环境的机器dns全部换成主dns服务器地址
# Generated by NetworkManager
nameserver 172.16.2.116
3、就可以 ssh 主机名了,很方便
[root@master] /var/named$ ssh slave1.hanli.com
Last login: Mon Mar 5 15:41:02 2018 from mail.hanli.com
[root@master] /var/named$ ssh slave2.hanli.com
Last login: Mon Mar 5 15:41:13 2018 from mail.hanli.com
错误排查
1、主服务器zone文件无法同步到从服务器的slaves目录下
查看日志
[root@slave1] /var/named/slaves$ tail -f /var/log/messages
Mar 5 13:48:36 slave1 named[3305]: command channel listening on 127.0.0.1#953
Mar 5 13:48:36 slave1 named[3305]: command channel listening on ::1#953
Mar 5 13:48:36 slave1 named[3305]: managed-keys-zone: loaded serial 2
Mar 5 13:48:36 slave1 named[3305]: zone 0.in-addr.arpa/IN: loaded serial 0
Mar 5 13:48:36 slave1 named[3305]: zone localhost.localdomain/IN: loaded serial 0
Mar 5 13:48:36 slave1 named[3305]: zone localhost/IN: loaded serial 0
Mar 5 13:48:36 slave1 named[3305]: zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
Mar 5 13:48:36 slave1 named[3305]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
Mar 5 13:48:36 slave1 named[3305]: all zones loaded
Mar 5 13:48:36 slave1 named[3305]: running
Mar 5 13:50:06 slave1 named[3305]: zone hanli.com/IN: refresh: retry limit for master 172.16.2.116#53 exceeded (source 0.0.0.0#0)
Mar 5 13:50:06 slave1 named[3305]: zone hanli.com/IN: Transfer started.
Mar 5 13:50:06 slave1 named[3305]: transfer of 'hanli.com/IN' from 172.16.2.116#53: failed to connect: host unreachable
Mar 5 13:50:06 slave1 named[3305]: transfer of 'hanli.com/IN' from 172.16.2.116#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)
Mar 5 13:50:06 slave1 named[3305]: zone 2.16.172.in-addr.arpa/IN: refresh: retry limit for master 172.16.2.116#53 exceeded (source 0.0.0.0#0)
Mar 5 13:51:36 slave1 named[3305]: zone hanli.com/IN: refresh: retry limit for master 172.16.2.116#53 exceeded (source 0.0.0.0#0)
Mar 5 13:51:37 slave1 named[3305]: zone 2.16.172.in-addr.arpa/IN: refresh: retry limit for master 172.16.2.116#53 exceeded (source 0.0.0.0#0)
发现无法连接机器,考虑是iptables和seLinux的问题,检查下主服务器和从服务器是否已关闭,或正确设置。
重新设置后,已正确同步。
参考
http://www.cnblogs.com/fatt/p/4494695.html
http://www.cnblogs.com/mfyang/p/8467421.html
http://www.cnblogs.com/feihongwuhen/archive/2009/12/08/7171038.html
https://blog.csdn.net/fanren224/article/details/79693801
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/1330.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
