免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 5801 | 回复: 16

[DNS] 求各位高手 AS5 DNS Master Slave配置 [复制链接]

论坛徽章:
0
发表于 2008-04-17 20:37 |显示全部楼层
3可用积分
各位GGJJDDMM,小弟这两天在做DNS主从服务器的实验,已经做到头皮发麻了,依然没有解决同步的问题,特发贴向各位大哥大姐们求助

我的Server环境
Master IP:192.168.0.204    hostname:station204.example.com
Slave   IP:192.168.0.205    hostname:station205.example.com

安装软件包:
Bind-9.3.3
Bind-utils-9.3.3
Bind-chroot-9.3.3
Cache-nameserver-9.3.3

Master Server配置
vi /etc/named.rfc1912.zones
zone "example.com" IN {
   type  master;
   file   "example.com";
};
zone  "0.168.192.in-addr.arpa" IN {
  type master;
  file    "example.com1";
};

vi /var/named/chroot/var/named/example.com
$TTL 86400
@  IN   SOA  station204.example.com  root@example.com. (
        20080418;
        28800;
        14400;
        3600000;
        86400 );
        IN   NS   station204.example.com.
station204.example.com.   IN   A   192.168.0.204
station205.example.com.   IN   A   192.168.0.205

vi /var/named/chroot/var/named/example.com1
$TTL 86400
@  IN   SOA  station204.example.com  root@example.com. (
        20080418;
        28800;
        14400;
        3600000;
        86400 );
        IN   NS   station204.example.com.
204    IN   PTR   station204.example.com.
205    IN   PTR   station205.example.com.

vi /etc/resolv.conf
nameserver 192.168.0.204
nameserver 192.168.0.205

service named start
tail -n 20 /var/log/message   没有任何错误
nslookup
>station204.example.com   解析正常
>station205.example.com   解析正常

Slave  配置
vi /etc/named.rfc1942.zones

zone "example.com" IN {
   type  slave;
   file   "example.com";
   masters { 192.168.0.204; };
};

zone "0.168.192.in-addr.arpa" IN {
   type  slave;
   file   "example.com1";
   masters { 192.168.0.204; };
};

vi /etc/resolv.conf
nameserver 192.168.0.204
nameserver 192.168.0.205


service named start


nslookup
>station204.example.com
Server:              192.168.0.204
Address:            192.168.0.204#53
*** server can't find station204.example.com : REFUSER
>station192.168.0.204

Server:              192.168.0.204
Address:            192.168.0.204#53
*** server can't find 204.0.168.192.in-addr.arpa: REFUSED

tail -n 20 /var/log/message


因为不知道图片怎么贴上来,所以只能发附件,请各位大哥大姐帮忙,小弟感激不尽,TKS   TKS   TKS
未命名.JPG

最佳答案

查看完整内容

dns 配置有一堆細節要處理,老實說除非有空要不然真的是會把時間拿去郊遊休閒 首先 RHEL5 請先在 /var/named/chroot/etc/ 目錄內把 caching-nameserver.conf 檔案複製一份成為 named.conf,注意權限要讓 named 使用者 or 群組可以讀取存取,後續修改該檔案即可。目錄結構:named.conf 該檔案內容調整後會是這樣:trust-network 請自行調整。所以你改 named.rfc1912 該 zone 檔案老實說似乎奇怪一點,而且原本的 view 也沒拿 ...

论坛徽章:
0
发表于 2008-04-17 20:37 |显示全部楼层
dns 配置有一堆細節要處理,老實說除非有空要不然真的是會把時間拿去郊遊休閒

首先 RHEL5 請先在 /var/named/chroot/etc/ 目錄內把 caching-nameserver.conf 檔案複製一份成為 named.conf,注意權限要讓 named 使用者 or 群組可以讀取存取,後續修改該檔案即可。

目錄結構:

  1. [root@expert ~]# ls -l /var/named/chroot/etc/
  2. total 40
  3. -rw-r--r-- 1 root root   724 Feb 18 11:43 localtime
  4. -rw-r----- 1 root named 1100 Nov 10 23:22 named.caching-nameserver.conf
  5. -rw-r----- 1 root named 1099 Mar 28 01:55 named.conf
  6. -rw-r----- 1 root named  955 Nov 10 23:22 named.rfc1912.zones
  7. -rw-r--r-- 1 root named  113 Feb 18 16:52 rndc.key
复制代码



named.conf 該檔案內容調整後會是這樣:


  1. //
  2. // named.caching-nameserver.conf
  3. //
  4. // Provided by Red Hat caching-nameserver package to configure the
  5. // ISC BIND named(8) DNS server as a caching only nameserver
  6. // (as a localhost DNS resolver only).
  7. //
  8. // See /usr/share/doc/bind*/sample/ for example named configuration files.
  9. //
  10. // DO NOT EDIT THIS FILE - use system-config-bind or an editor
  11. // to create named.conf - edits to this file will be lost on
  12. // caching-nameserver package upgrade.
  13. //

  14. acl "trust-network" {
  15.         localhost;
  16.         192.168.123.0/24;
  17. };

  18. options {
  19.         listen-on port 53 { any; };
  20.         listen-on-v6 port 53 { any; };
  21.         directory         "/var/named";
  22.         dump-file         "/var/named/data/cache_dump.db";
  23.         statistics-file "/var/named/data/named_stats.txt";
  24.         memstatistics-file "/var/named/data/named_mem_stats.txt";
  25.         query-source    port 53;
  26.         query-source-v6 port 53;
  27.         allow-query     { trust-network; };
  28.         allow-recursion { trust-network; };
  29. };

  30. logging {
  31.         channel default_debug {
  32.                 file "data/named.run";
  33.                 severity dynamic;
  34.         };
  35. };

  36. include "/etc/named.rfc1912.zones";
复制代码


trust-network 請自行調整。所以你改 named.rfc1912 該 zone 檔案老實說似乎奇怪一點,而且原本的 view 也沒拿掉,這樣預設配置其他主機連不到。

正解配置 ?


  1. zone abc.com.tw {
  2.   type master;
  3.   file "master/abc.com.tw.zone";
  4.   allow-query { any; };
  5. };
复制代码


其中正解 zone 實際放到 /var/named/chroot/var/named/master/abc.com.tw.zone。請確認該目錄 named or 群組身份可以進入,該 zone 文檔也可以被 named 身份 or 群組存取即可。當然該 master/ 目錄不存再請自行建立。

當 slave 的,配置像是:


  1. zone abc.com.tw {
  2.   type slave;
  3.   file "slaves/abc.com.tw.zone";
  4.   allow-query { any; };
  5.   masters { 1.2.3.4; };
  6. };
复制代码


請注意實際上要為 slaves,該目錄在 /var/named/chroot/var/named/slaves 內,該目錄預設安排 owner 為 named 而且該 owner 權限為 rwx,這樣 slave 本身運作 named daemon 服務時因為使用 named 身份,如此才能夠進行 zone 把資料寫入該目錄。不是放該目錄放在 /var/named/chroot/var/named 的話會產生錯誤,因為實際權限根本不足。


  1. [root@expert ~]# ls -ld /var/named/chroot/var/named/
  2. drwxr-x--- 4 root named 4096 Feb 18 16:52 /var/named/chroot/var/named/
复制代码


  1. [root@expert ~]# ls -l /var/named/chroot/var/named/
  2. total 72
  3. drwxrwx--- 2 named named 4096 Feb 18 16:54 data
  4. -rw-r----- 1 root  named  198 Nov 10 23:22 localdomain.zone
  5. -rw-r----- 1 root  named  195 Nov 10 23:22 localhost.zone
  6. -rw-r----- 1 root  named  427 Nov 10 23:22 named.broadcast
  7. -rw-r----- 1 root  named 2518 Nov 10 23:22 named.ca
  8. -rw-r----- 1 root  named  424 Nov 10 23:22 named.ip6.local
  9. -rw-r----- 1 root  named  426 Nov 10 23:22 named.local
  10. -rw-r----- 1 root  named  427 Nov 10 23:22 named.zero
  11. drwxrwx--- 2 named named 4096 Jul 27  2004 slaves
复制代码


另外談 selinux ? 真是需要費一番口舌的 selinux 真是想省略不說... 下面簡化說說


  1. [root@expert ~]# ls -Zl /var/named/chroot/etc
  2. total 40
  3. -rw-r--r-- 1 system_u:object_r:named_conf_t   root root   724 Feb 18 11:43 localtime
  4. -rw-r----- 1 system_u:object_r:named_conf_t   root named 1100 Nov 10 23:22 named.caching-nameserver.conf
  5. -rw-r----- 1 root:object_r:named_conf_t       root named 1099 Mar 28 01:55 named.conf
  6. -rw-r----- 1 system_u:object_r:named_conf_t   root named  955 Nov 10 23:22 named.rfc1912.zones
  7. -rw-r--r-- 1 system_u:object_r:dnssec_t       root named  113 Feb 18 16:52 rndc.key
复制代码


請問你的 named.conf 本身的 security content type 對嗎? selinux 設定可能沒對 named 限制讀取 named.conf 本身需要為哪種 security content,但是不是這上面列出項目請改改,或者是偷懶於 cp named.caching-nameserver.conf 成為 named.conf 時多傳入 -p 可以保留這個資訊,或者是事後使用 restorecon named.conf 方式還原配置也可以。


  1. [root@expert ~]# ls -Zl /var/named/chroot/var/named/
  2. total 72
  3. drwxrwx--- 2 system_u:object_r:named_cache_t  named named 4096 Feb 18 16:54 data
  4. -rw-r----- 1 system_u:object_r:named_zone_t   root  named  198 Nov 10 23:22 localdomain.zone
  5. -rw-r----- 1 system_u:object_r:named_zone_t   root  named  195 Nov 10 23:22 localhost.zone
  6. -rw-r----- 1 system_u:object_r:named_zone_t   root  named  427 Nov 10 23:22 named.broadcast
  7. -rw-r----- 1 system_u:object_r:named_conf_t   root  named 2518 Nov 10 23:22 named.ca
  8. -rw-r----- 1 system_u:object_r:named_zone_t   root  named  424 Nov 10 23:22 named.ip6.local
  9. -rw-r----- 1 system_u:object_r:named_zone_t   root  named  426 Nov 10 23:22 named.local
  10. -rw-r----- 1 system_u:object_r:named_zone_t   root  named  427 Nov 10 23:22 named.zero
  11. drwxrwx--- 2 system_u:object_r:named_cache_t  named named 4096 Jul 27  2004 slaves
复制代码


自己看一下 slaves/ 目錄的 security type,依據 selinux 規範 named 只能夠在 named_cache_t  這種 type 內的目錄才可寫入資料檔,所以你原本放在 /var/named/chroot/var/named 這層都是有問題的。

若你沒用 selinux 或者是關閉就不需要管這議題了.....

最後你的 zone 也不對....


  1. $TTL 86400
  2. @  IN   SOA  station204.example.com  [email]root@example.com[/email]. (
  3.         20080418;
  4.         28800;
  5.         14400;
  6.         3600000;
  7.         86400 );
  8.         IN   NS   station204.example.com.
  9. station204.example.com.   IN   A   192.168.0.204
  10. station205.example.com.   IN   A   192.168.0.205
复制代码


為何你的 NS 紀錄只有一筆?不是有 slave dns 嗎 ? 還有其他 e-mail 該欄位項目表示錯誤的地方呢 @@


  1. $TTL 86400
  2. @  IN   SOA  station204.example.com  root.example.com. (
  3.                     20080418;
  4.                     28800;
  5.                     14400;
  6.                     3600000;
  7.                     86400 );

  8.       IN  NS   station204.example.com.
  9.       IN  NS   station205.example.com.

  10. station204   IN   A   192.168.0.204
  11. station205   IN   A   192.168.0.205
复制代码


--

[ 本帖最后由 kenduest 于 2008-4-18 04:40 编辑 ]

论坛徽章:
0
发表于 2008-04-17 20:41 |显示全部楼层
小弟装iptables  selinux 此安全服务都已关闭

打扰各位大哥大姐真不好意思,


小弟俺在线等

论坛徽章:
0
发表于 2008-04-17 20:53 |显示全部楼层
没人理我,

论坛徽章:
0
发表于 2008-04-18 00:01 |显示全部楼层
啊~~~~~难到我表达的不明白
还是问题更简单了,没人理我

论坛徽章:
0
发表于 2008-04-18 11:32 |显示全部楼层
多谢版主帮忙,我已按照你所说的做修改,但问题仍然存在,Slave提示的错误还是一样

殊不知道还有什么原因会影响到同步,谢谢

论坛徽章:
0
发表于 2008-04-18 14:26 |显示全部楼层
1. 請問你的 selinux 設定?你關閉後 selinux 測試可行嗎 ? 若關閉 selinux 就可行那表示你的 security type 沒改好。

2. 請問你的 dns slave 的資料檔案指定放哪邊 ?

--

论坛徽章:
0
发表于 2008-04-18 21:19 |显示全部楼层
SLAVE DNS Server的区文件的放置位置不对,应该是如下的配置,否则权限不对:


zone "example.com" {
         type slave;
         file  "slaves/example.com";
         masters { x.x.x.x; };
};


注: /var/named/chroot/var/named/slaves目录下, 反向也一样,



二: 必须保证TCP 53打开


三: 在主DNS 端如果要使用 allow transfer 的话,指向辅助DNS IP

四: 辅助DNS TCP 53也必须打开

[ 本帖最后由 世界因我而精彩 于 2008-4-18 21:24 编辑 ]

论坛徽章:
0
发表于 2008-04-18 23:48 |显示全部楼层
selinux是关闭的

#getenforce
Disabled

Master的配置我按照上面说的放入  /var/named/chroot/var/named/Master下
Master目录是我自己建立的,所有者为named,权限为770

Slave的配置也是放在/var/named/chroot/var/named/slaves
所有者也为named  ,权限为770

论坛徽章:
0
发表于 2008-04-18 23:53 |显示全部楼层
端口一定是开放了的
#lsof -i:53

named  4757 named 20u IPv4 15839 UDP localhost.localdomain:domain
named  4757 named 21u IPv4 15840 TCP localhost.localdomain:domain(LISTEN)
named  4757 named 22u IPv4 15841 UDP station204.example.com:domain
named  4757 named 23u IPv4 15842 TCP station204.example.com:domain(LISTEN)
named  4757 named 24u IPv4 15843 UDP *:domain

ps -aux |grep named  也是开启的
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP