一、实验环境
1、辅助域名DNS服务器
DNS通过划分为若干个区域进行管理,每一个区域由1台或多台DNS服务器负责解析,如果仅仅采用1台DNS服务器,在DNS服务器出现故障后,用户将无法完成解析。
辅助DNS服务器的优点
- 容灾备份,减低业务终端风险
- 稳定可靠,保证业务稳定运行
- 负载均衡,减少主DNS网络通信量
辅助DNS服务器的缺点
- 安全性的问题,辅助DNS存储了主DNS相同的地址映射信息
- 数据同步问题,如果同步机制出现故障或配置不当,会影响解析结果
- 管理复杂性,管理员需要多管理一台服务器
- 额外的网络流量以及成本
2、区域传送
为了保证地址映射信息一致,辅助DNS服务器需要和主DNS服务器进行同步,辅助DNS服务器从主DNS服务器上获取区域解析文件的过程,称为区域传送。
区域传送的两种方式
- 完全区域传输
- 增量区域传输
当我们添加一台新的辅助DNS服务器到域中时,辅助DNS服务器会执行一次完全区域传送,从主DNS服务器上拷贝一份完整的区域解析文件;当主DNS服务器上的区文件改动后,辅助DNS服务器会执行增量区域传输,同步数据变化。
在区域传送的过程中会一并发送SOA资源记录。SOA中的serial字段表示区域数据的版本,refresh字段表示辅助DNS服务器下一次发送查询的请求的时间间隔
3、拓扑及需求
| 正向记录 | 反向记录 | 资源记录 |
|---|---|---|
| dns.meaauf.com | 192.168.10.1 | A/PTR |
| www.meaauf.com | 192.168.10.2 | A/PTR |
| web.meaauf.com | www.meaauf.com | CNAME |
| mail.meaauf.com | 1921.68.10.3 | MX,10 |
二、主DNS服务器配置
详情请看【RedHat9 | DNS剖析-配置主DNS服务器实例】
三、辅助DNS服务器配置
1、地址信息配置
配置IP地址
nmcli connection modify ens160 ipv4.method manual ipv4.addresses 192.168.10.2/24 ipv4.dns 192.168.10.1
nmcli connection up ens160
查看IP地址信息及DNS
ip add show ens160
cat /etc/reslov.conf
2、YUM本地源配置
可以查看【RedHat9 | DNF/YUM仓库管理软件包】
3、关闭SELinux
修改配置文件以达到永久关闭
vim /etc/selinux/config
修改内容
SELINUX=disabled
重启生效
reboot
查看重启后SELinux的状态
sestatus
4、安装BIND9
安装BIND9
dnf -y install bind
5、修改全局配置文件
编辑全局配置文件
vim /etc/named.conf
修改以下内容
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
allow-query { any; };
dnssec-validation no;
检查配置文件语法
named-checkconf
6、修改区域配置文件
编辑区域配置文件
vim /etc/named.rfc1912.zones
添加正向区域和反向区域
zone "meaauf.com" IN {type slave; # 区域类型为:slavefile "slaves/meaauf.com.zone";
# 区域文件存储路径须在:slaves/目录下,也就是/var/named/slaves/下masters { 192.168.10.1; }; # 主DNS服务器地址
};
zone "10.168.192.in-addr.arpa" IN {type slave;file "slaves/meaauf.com.ref";masters { 192.168.10.1; };
};
7、启动DNS服务
启动DNS服务并加入开机自启
systemctl enable --now named.service
调整防火墙策略
firewalld-cmd --add-service=dns --permanent
firrwalld-cmd --reload
在启动服务后,辅助DNS服务器会向主DNS服务器发送完全区域传输请求,然后主DNS服务器会作出反应,将区域完全传输至辅助DNS服务器
ll /var/named/slaves # 可以通过查看区域文件目录内容
三、验证记录更新
1、查看主DNS的正向查找区域解析文件
cat /var/named/meaauf.com.zone
可以看到serial字段也就是区域数据版本为:0,也就是原始版本;refresh字段也就是刷新时间为1天
2、修改主DNS正向区域中的SOA记录更新时间
原来的更新时间为1D,我们修改为10s
在辅助DNS上删除主DNS传送过来的所有解析文件
rm -f /var/named/slaves/meaauf.com.*
在辅助DNS上重新启动DNS服务
systemctl restart named.service
3、修改主DNS解析记录
我修改解析文件内容
vim /var/named/meaauf.com.zone
添加一条正向解析记录,同时SOA序列号,也就是版本号
ftp A 192.168.10.10
重新启动主DNS服务器上的DNS服务
systemctl restart named
辅助DNS上通过区域传送接收到的文件乱码无法查看,所以无法通过查看区域传送文件验证是否有更新,只能通过客户端验证
三、测试客户端配置
1、地址信息配置
配置IP地址,将DNS指向辅助DNS服务器
nmcli connection modify ens160 ipv4.method manual ipv4.addresses 192.168.10.10/24 ipv4.dns 192.168.10.1
nmcli connection up ens160
查看IP地址信息及DNS
ip add show ens160
cat /etc/reslov.conf
2、关闭SELinux
修改配置文件以达到永久关闭
vim /etc/selinux/config
修改内容
SELINUX=disabled
重启生效
reboot
查看重启后SELinux的状态
sestatus
3、使用nslookup测试
正向解析
nslookup
> www.meaauf.com
> web.meaauf.com
> ftp.meaauf.com
反向解析
nslookup
> 192.168.10.1
> 192.168.10.2
> 192.168.10.3
邮件记录解析
nslookup
> set type=MX
> meaauf.com
![Weblogic XML反序列化漏洞 [CVE-2017-10271]](https://img-blog.csdnimg.cn/direct/78d132001adf45bc8599128c1fec9a49.png)
