一：DNS的分類與查詢方式

<1>DNS的分類：

權(quán)威域名服務(wù)器：
主DNS服務(wù)器（Master）：管理和維護所負責解析的域內(nèi)解析庫的服務(wù)器
從DNS服務(wù)器（Slave）：主服務(wù)器或從服務(wù)器“復(fù)制”（區(qū)域傳輸）解析庫副本

非權(quán)威域名服務(wù)器：
緩存DNS服務(wù)器（我們前面已經(jīng)搭建過，這里就不再多做介紹）
轉(zhuǎn)發(fā)域名服務(wù)器：在接收查詢請求時，不向根發(fā)起請求，而是轉(zhuǎn)發(fā)到指定的上級DNS服務(wù)器，而且不進行任何緩存，僅轉(zhuǎn)發(fā)。

<2>DNS的查詢方式：

遞歸查詢：用戶向第一個DNS服務(wù)發(fā)請求，DNS收到后，如果它這有直接的結(jié)果就直接給你，如果沒有就會向根DNS服務(wù)詢問，層層詢問直到問道結(jié)果返回給你，負責到底

迭代查詢：查詢過程中去問根，根給你推薦別人，你去問它，這就是迭代查詢，不會負責到底

二：DNS集群的搭建

基本概念：DNS服務(wù)器一般在使用時，為了緩解服務(wù)器的壓力，多使用一個主DNS服務(wù)器，多個副DNS服務(wù)器，這些DNS服務(wù)器就組成了一個DNS集群。

搭建DNS之前我們需要將之前在DNS的主配置文件步里做的DNS雙向解析的代碼刪掉
（為了實驗效果，保持實驗環(huán)境純凈）

將之前注釋掉的恢復(fù)
實驗如下：

<1>主DNS的搭建

因為我們前面的實驗，主DNS服務(wù)器已經(jīng)搭建的差不多，只需要在區(qū)域文件里面寫入

重啟服務(wù)：

<2>從服務(wù)器的搭建

前提：

為了方便區(qū)分，我們將這臺server虛擬機的名字改為slave.westos.com

搭建yum源

配置網(wǎng)絡(luò)服務(wù)并重啟

關(guān)閉防火墻

開始搭建

首先安裝DNS服務(wù)所需的軟件包（這幾步在前面博客搭建高速緩存服務(wù)器的時候做過，就不細講了）

安裝完成

開啟服務(wù)

編輯主配置文件

編輯區(qū)域文件（重點）

重啟服務(wù)

修改DNS的本地解析nameserver=172.25.254.215

測試：

在主服務(wù)器里先dig bbs.meng.com顯示是來自172.25.254.115

在從服務(wù)器dig bbs.meng.com

從服務(wù)器dig的結(jié)果與主服務(wù)器相同，但是我們并未編輯從服務(wù)器的數(shù)據(jù)文件，這說明了從服務(wù)器“復(fù)制“了主服務(wù)器域名的信息。

三：DNS的更新

在日常時候，我們需要時不時的更新（管理）域里面的信息，這個時候就出現(xiàn)一個問題，我們怎么做到從服務(wù)器可以跟主服務(wù)器同步更新？？？我們可以在更新主服務(wù)器之后，在從服務(wù)器里刪除/var/named/slaves/*，然后再在從服務(wù)器里面dig，這個時候slaves里面同步過來的數(shù)據(jù)文件就是更新過的，或者也可以采用下面這種方式：

在主服務(wù)器里面的數(shù)據(jù)文件里修改參數(shù)
原本的樣子

將其改為1

此時重啟服務(wù)，再去測試

主服務(wù)端：更新成功

從服務(wù)端更新成功

我們還可以在更新一次

重啟服務(wù)，再去測試

主服務(wù)端：

從服務(wù)端：

但是這種方法在大型域里面顯得極不方便，若是再添加的時候一不小心手殘，或者要進行刪除操作，面對長長的內(nèi)容，往往會讓人手足無措，為了解決這個問題，我們采用命令可以進行遠程更新和加密更新。

三：DNS的更新

<1>遠程更新

做這個實驗之前，我們需要在主服務(wù)器進行復(fù)制操作，因為我們后面進行的加密更新與遠程更新是由沖突的，所以我們?yōu)榱藢嶒灥臏蚀_性，復(fù)制一份數(shù)據(jù)文件到opt下

注意：要使用cp -p將權(quán)限也復(fù)制過去，否則后面恢復(fù)過來的文件會導(dǎo)致服務(wù)起不來。

如圖所示：

查看selinux的狀態(tài)，如果是disabled可以直接做，如果是enforcing，需要更改setbool
，如圖所示：

修改setbool

實驗開始：

編輯區(qū)域文件，讓主服務(wù)器可以更新

在里面修改為如圖所示

重啟服務(wù)：

修改文件權(quán)限，使named這個組對文件有寫的權(quán)力

測試：

在主服務(wù)器里：

nsupdate命令：是一個動態(tài)DNS更新工具，可以向DNS服務(wù)器提交更新記錄的請求，它可以添加或者刪除資源記錄，而不需要手動進行編輯文件。命令格式： server servername[port] 發(fā)送請求更新的服務(wù)器ip zone zonename 指定需要更新的區(qū)名 send 將要求信息和更新信息發(fā)送到DNS服務(wù)器，等同于輸入一個空行 quit 退出

（感興趣的可以自己去搜索這個命令的用法）

主服務(wù)端可以dig顯示出來

客戶機也可以dig出來，說明遠程更新成功

圖沒截上，后面補上+ -+

我們也可以用這個命令進行刪除操作，如圖所示：

在去查看，發(fā)現(xiàn)在主服務(wù)器和從服務(wù)器里都dig不到

我們查看數(shù)據(jù)目錄，發(fā)現(xiàn)生成了一個jnl文件，并且是一個data數(shù)據(jù)文件，這個文件是在從服務(wù)器更新之后生成的

上面這種更新方式雖然方便，但是也存在著極大的隱患，因為別的主機也可以對這個域的主服務(wù)器進行遠程更新，為了解決這個問題，我們需要進行下來的步驟。

<2>加密更新

做這個實驗前，我們需要恢復(fù)實驗環(huán)境，因為上面的遠程更新與加密更新是沖突的。

恢復(fù)主服務(wù)器的實驗環(huán)境：

實驗開始：

(主服務(wù)器：)

在/mnt下生成一個DNS鎖跟密鑰，鎖跟密鑰里面的加密字符是一樣的

復(fù)制一個key模板到自己的文件并編輯（注意復(fù)制權(quán)限）

編輯自己的加密文件

在里面修改為如圖所示

編輯區(qū)域文件：

修改更新方式為加密更新，名字叫mengkey

編輯主配置文件

讓系統(tǒng)去讀取這個加密文件

重啟服務(wù)：

測試：

在主服務(wù)器：

發(fā)現(xiàn)用遠程更新的方式被拒絕

用加密更新可以成功更新

可以dig出來：

在從服務(wù)器：

在從服務(wù)器需要將/slaves/下遠程更新的文件刪除掉才可以更新出來，因為兩者是沖突的

未刪除前：

刪除后，重啟服務(wù)，可以dig出來，說明兩者沖突

擴展：

若是想要從服務(wù)器有加密更新的權(quán)力，只需要將我們的密鑰發(fā)送給他，這樣它就可以更新了

如圖所示：

用密鑰更新，更新成功。

總結(jié)

以上是生活随笔為你收集整理的DNS的集群与更新（远程更新，加密更新）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。