扫盲系列之五：域名配置ZONE文件

llzqq

这次把ZONE文件拿出来简单说明一下。ZONE文件是DNS上保存域名配置的文件，对BIND来说一个域名对应一个ZONE文件，现以abc.com的ZONE文件为
例展开。罗嗦一句，该ZONE存在于权威DNS上。

＝＝＝＝＝＝＝＝＝＝＝＝＝
$TTL 6h                                               //第1行
$ORIGIN abc.com.                                  //第2行
@               3600    IN      SOA     ns1.ddd.com. root.ddd.com.(         //第3行
         929142851  ; Serial           //第4行
         1800          ; Refresh        //第5行
         600            ; Retry           //第6行
         2w            ; Expire           //第7行
         300            ; Minimum       //第8行
                )  
@               2d      IN      NS      ns1.ddd.com.            //第9行
@               2d      IN      NS      ns2.ddd.com.            //第10行
@               2d      IN      NS      ns3.ddd.com.            //第11行

@               3600    IN      A           120.172.234.27     //第12行
a                3600    IN      A           120.172.234.27     //第13行
b                3600    IN      CNAME   a.abc.com.            //第14行
@               3600    IN      MX        a.abc.com.            //第15行
@               3600    IN      TXT       "TXT"                   //第15行
＝＝＝＝＝＝＝＝＝＝＝＝＝
第1行，这行内容给出了该域名(abc.com)各种记录的默认TTL值，这里为6小时。即如果该域名的记录没有特别定义TTL，则默认TTL为有效值。
第2行，这行内容标识出该ZONE文件是隶属那个域名的，这里为abc.com。
第3行，从这行开始到第8行为该域名的SOA记录部分，这里的@代表域名本身。ns1.ddd.com表示该域名的主权威DNS。root.ddd.com表示该主权威DN
S管理员邮箱，等价于root@ddd.com。
第4行，Serial部分，这部分用来标记ZONE文件更新，如果发生更新则Serial要单增，否则MASTER不会通知SLAVE进行更新。
第5行，Refresh部分，这个标记SLAVE服务器多长时间主动(忽略MASTER的更新通知)向MASTER复核Serial是否有变，如有变则更新之。
第6行，Retry部分，如Refresh过程不能完成，重试的时间间隔。
第7行，Expire部分，如SLAVE无法与MASTER取得联系，SLAVE继续提供DNS服务的时间，这里为2W(两周时间)。Expire时间到期后SLAVE仍然无法联
系MASTER则停止工作，拒绝继续提供服务。Expire的实际意义在于它决定了MASTER服务器的最长下线时间(如MASTER迁移，DOWN机等)。
第8行，Minimum部分，这个部分定义了DNS对否定回答(NXDOMAIN即访问的记录在权威DNS上不存在)的缓存时间。
第9-11行，定义了该域名的3个权威DNS服务器。通常NS记录的TTL大些为宜，这里为2天。设置过小只会增加服务器无谓的负担，同时解析稳定性会
受影响。
第12-15行，比较简单，是两个A,CNAME,MX记录，不再讨论了。

名词解释：
SOA记录：权威记录从这里开始，它定义了3-8行这些重要的参数。
A记录：记录域名到IP之间的关联。
CAME记录：让张三住到李四家里，这时张三李四是同一个地址。
MX记录：定义了发往XXX@ABC.COM邮箱的邮件服务器地址。
TXT记录：这个记录的内容是文本格式如126.COM的TXT为"v=spf1 include:spf.163.com -all",TXT通常用于邮件服务器来标识自己的身份避免被认
为是垃圾邮件服务器。这里不再深入讨论。
其他不常用记录类型没有列出！

[ 本帖最后由 llzqq 于 2010-1-11 10:55 编辑 ]

spark_zhang

@               2d      IN      NS      ns1.ddd.com.            //第9行
@               2d      IN      NS      ns2.ddd.com.            //第10行
@               2d      IN      NS      ns3.ddd.com.


一点疑惑  三个权威dns 下面为什么没有定义A记录  ？？？

llzqq

原帖由 spark_zhang 于 2009-11-1 16:29 发表
@               2d      IN      NS      ns1.ddd.com.            //第9行
@               2d      IN      NS      ns2.ddd.com.            //第10行
@               2d      IN      NS      ns3.ddd. ...

这3个A记录在DDD.COM的ZONE文件中，这里讨论的是ABC.COM的ZONE。

linkorder

楼主能介绍下那9-15行的关系吗 或是顺序  因为每次我做实验一换环境我就不太会写了

[ 本帖最后由 llzqq 于 2009-11-28 07:06 编辑 ]

linkorder

对了 楼主能在麻烦你写个DNS结合squid 的设置方法吗 谢谢啦

llzqq

原帖由 linkorder 于 2009-11-26 23:41 发表
楼主能介绍下那9-15行的关系吗 或是顺序  因为每次我做实验一换环境我就不太会写了

在ZONE中无顺序问题，为了一目了然一般顺序是SOA-->NS-->其他记录。

[ 本帖最后由 llzqq 于 2009-11-28 07:07 编辑 ]

llzqq

原帖由 linkorder 于 2009-11-26 23:42 发表
对了 楼主能在麻烦你写个DNS结合squid 的设置方法吗 谢谢啦

是不是要SQUID+BIND+VIEW=CDN?  扫描系列里面有BIND+VIEW啊

mantiser

原帖由 llzqq 于 2009-11-2 14:48 发表


这3个A记录在DDD.COM的ZONE文件中，这里讨论的是ABC.COM的ZONE。

如果客户端想迭代查询，因为查询结果没有带A记录，如何访问到DDD.COM域服务器？

是否abc.com域服务器知道DDD.COM域服务器在哪，但是只支持服务器递归，不支持客户端迭代？

llzqq

原帖由 mantiser 于 2009-12-8 23:41 发表


如果客户端想迭代查询，因为查询结果没有带A记录，如何访问到DDD.COM域服务器？

是否abc.com域服务器知道DDD.COM域服务器在哪，但是只支持服务器递归，不支持客户端迭代？

DDD.COM和ABC.COM道理一样，自然有其自己的权威服务器，可以和ABC.COM在同一台服务器上也可在其他服务器上。权威DNS只回答授权给自己的域名记录

递归服务器（我们每天都在用的公众DNS服务器）根据用户请求解析回答所有需要的记录，包括所有连带记录，总之最后告知最终结果。


不知网上流传的“迭代”是啥意思，是不是递归查询的一个别称，无从查证。

mantiser

原帖由 llzqq 于 2009-12-9 06:16 发表


DDD.COM和ABC.COM道理一样，自然有其自己的权威服务器，可以和ABC.COM在同一台服务器上也可在其他服务器上。权威DNS只回答授权给自己的域名记录

递归服务器（我们每天都在用的公众DNS服务器）根据用户请 ...

OK，理解

另外，rfc1034中有说明，recursion和iteration不同含义。

iteration：迭代，客户端根据查询结果中的authority段中NS记录和addtional段中A记录，进行迭代查询对应DNS服务器。
recursion：递归，服务器A根据客户端请求（设置了递归请求），查询其他DNS服务器B，将结果返回给DNS客户端。这里服务器A必须知道DNS服务器B的IP地址。所以如果只配置B服务器NS记录是，导致服务器去根据NS域名向顶级服务器查询服务器B的IP地址。