配置DNS子域授权

问题

本案例要求为Tarena公司构建父/子DNS域名解析系统。其中，父DNS服务器负责解析二级域tarea.com，而子DNS负责解析三级域bj.tedu.cn。现要求当客户机向父DNS查询子域中的域名www.bj.tedu.cn的时候也能获得正确结果，如图-1所示，需要在父DNS服务器上配置对子域的授权。

需要完成的配置任务如下： 1)构建父DNS（tedu.cn）服务器 2)构建子DNS（bj.tedu.cn）服务器 3)在父DNS上配置子域授权 4)测试子域授权查询

方案

使用两台RHEL6虚拟机，其中一台作为父DNS服务器（192.168.4.5）、另外一台作为子DNS服务器（192.168.4.205），CentOS真机、父/子DNS服务器中的任何一台都可以作为测试用的客户机，如图-2所示。

在父DNS上配置子DNS授权时，需要修改父区域的解析记录文件，添加内容：

子域名称. IN NS 子DNS的FQDN. 子DNS的FQDN. IN A 子DNS的IP地址

步骤

实现此案例需要按照如下步骤进行。 步骤一：构建父DNS（tedu.cn）服务器 1）使用yum安装bind、bind-chroot软件包

[root@svr5 ~]# yum -y install bind bind-chroot .. ..

2）建立配置文件named.conf

[root@svr5 ~]# mv /etc/named.conf /etc/named.conf.bak //备份默认配置 [root@svr5 ~]# vim /etc/named.conf options { directory "/var/named"; }; zone "tedu.cn" IN { //定义DNS父域 type master; file "tedu.cn.zone"; };

3）建立解析记录文件 添加一条父区域内www站点的测试记录，比如将www.tedu.cn对应的IP地址指向

192.168.4.100： [root@svr5 ~]# vim /var/named/tedu.cn.zone $TTL 86400 @ IN SOA @ root.tedu.cn. ( 2015052201 4H 15M 4H 1D ) @ IN NS svr5.tedu.cn. ;本区域DNS服务器的FQDN svr5 IN A 192.168.4.5 ;本区域DNS服务器的IP地址 www IN A 192.168.4.100

4）启动named服务

[root@svr5 ~]# service named restart 停止 named： [确定] Generating /etc/rndc.key: [确定] 启动 named： [确定]

5）测试父DNS服务器，确保域名解析可用 向父DNS服务器192.168.4.5查询父域中www.tedu.cn的IP地址：

[root@svr5 ~]# nslookup www.tedu.cn 192.168.4.5 Server: 192.168.4.5 Address: 192.168.4.5#53 Name: www.tedu.cn Address: 192.168.4.100 //正确获得结果

步骤二：构建子DNS（bj.tedu.cn）服务器

1）使用yum安装bind、bind-chroot软件包 [root@pc205 ~]# yum -y install bind bind-chroot .. ..

2）建立配置文件named.conf

[root@pc205 ~]# mv /etc/named.conf /etc/named.conf.bak //备份默认配置 [root@pc205 ~]# vim /etc/named.conf options { directory "/var/named"; }; zone "bj.tedu.cn" IN { //定义DNS子域 type master; file "bj.tedu.cn.zone"; };

3）建立解析记录文件 添加一条子区域内www站点的测试记录，比如将www.bj.tedu.cn对应的IP地址指向1.2.3.4：

[root@pc205 ~]# vim /var/named/bj.tedu.cn.zone $TTL 86400 @ IN SOA @ root.tedu.cn. ( 2015052201 4H 15M 4H 1D ) @ IN NS pc205.bj.tedu.cn. ;本区域DNS服务器的FQDN pc205 IN A 192.168.4.205 ;本区域DNS服务器的IP地址 www IN A 1.2.3.4

4）启动named服务

[root@pc205 ~]# service named restart 停止 named： [确定] Generating /etc/rndc.key: [确定] 启动 named： [确定]

5）测试子DNS服务器，确保域名解析可用 向子DNS服务器192.168.4.205查询子域中www.bj.tedu.cn的IP地址：

[root@pc205 ~]# nslookup www.bj.tedu.cn 192.168.4.205 Server: 192.168.4.205 Address: 192.168.4.205#53 Name: www.bj.tedu.cn Address: 1.2.3.4 //正确获得结果

步骤三：配置并测试DNS子域授权 1）未配置子域授权时，向父DNS查不到子域中的域名记录

[root@svr5 ~]# nslookup www.bj.tedu.cn 192.168.4.5 Server: 192.168.4.5 Address: 192.168.4.5#53 ** server can't find www.bj.tedu.cn.localdomain: SERVFAIL //解析失败

2）修改父DNS的解析记录，添加对子DNS的授权

[root@svr5 ~]# vim /var/named/tedu.cn.zone .. .. @ IN NS svr5.tedu.cn. svr5 IN A 192.168.4.5 www IN A 192.168.4.100 bj.tedu.cn. IN NS pc205.bj.tedu.cn. ;子域的NS记录 pc205.bj.tedu.cn. IN A 192.168.4.205 ;子DNS的A记录 [root@svr5 ~]# service named restart //重启服务 .. ..

3）再次向父DNS查询子域中的域名记录，可以获得结果

[root@svr5 ~]# nslookup www.bj.tedu.cn 192.168.4.5 Server: 192.168.4.5 Address: 192.168.4.5#53 Non-authoritative answer: //非权威（本机提供）的解析结果 Name: www.bj.tedu.cn Address: 1.2.3.4 //正确获得结果