关于SEC DDNS,搜索过了，没找到结果，有请大家了

davis1220

Dns and bind 有第5版了，http://www.bookpool.com/sm/0596100574，哪位兄弟有吗？
搜索过了论坛，看到了http://bbs.chinaunix.net/viewthread.php?tid=557811&extra=page%3D4，没人回答啊
系统信息：
Cat /etc/redhat-release：Red Hat Enterprise Linux AS release 4 (Nahant Update 3)
Uname –a：Linux ser-linux.hedaofu.com 2.6.9-34.EL #1 Fri Feb 24 16:44:51 EST 2006 i686 i686 i386 GNU/Linux
./configure –-prefix=/usr/local/named
BIND9.3.2＋系统自带的DHCPD3.01

目的，将上面的机器做DNS服务器，域为hedaofu.com，同时做网络内的DHCP服务器，要求DNS实现安全的更新（不要用allow-update，用update-policy语句）。
问题，dhcpd.conf及named.conf均配置了相同的key ddns，OK，现在所有通过DHCP分配到IP的机器都可以动态更新了，但现在需让固定IP为172.28.11.5的服务器server也能更新(其实这台机器是windows的DC，DNS指向BIND，需要在hedaofu.com中添加记录)，update-policy该怎么写？

上网找了很多资料，这是dns and bind ,4th edition中的示例：
Here's a more complicated example: to allow all clients the ability to change any records, except SRV records, that are owned by the same domain name as their key name, but to allow matrix.fx.movie.edu to update SRV records associated with Windows 2000 (in the _udp.fx.movie.edu, _tcp.fx.movie.edu, _sites.fx.movie.edu, and _msdcs.fx.movie.edu subdomains), you could use:

1. 
   
2. zone "fx.movie.edu" {
   
3.         type master;
   
4.         file "db.fx.movie.edu";
   
5.         update-policy {
   
6.                 deny *.fx.movie.edu. self *.fx.movie.edu. SRV;
   
7.                 grant *.fx.movie.edu. self *.fx.movie.edu. ANY;
   
8.                 grant matrix.fx.movie.edu. subdomain _udp.fx.movie.edu. SRV;
   
9.                 grant matrix.fx.movie.edu. subdomain _tcp.fx.movie.edu. SRV;
   
10.                 grant matrix.fx.movie.edu. subdomain _sites.fx.movie.edu. SRV;
    
11.                 grant matrix.fx.movie.edu. subdomain _msdcs.fx.movie.edu. SRV;
    
12.         };
    
13. };
    

复制代码

我的named.conf，去掉了log部分

1. 
   
2. options {
   
3. directory "/var/named";
   
4. forwarders {202.96.134.133;
   
5.             202.96.128.68;
   
6.           };
   
7. };
   
8. 
   
9. key "rndc-key" {
   
10.       algorithm hmac-md5;
    
11.       secret "BF4xHsYD0WNejL0Ao9xD3g==";
    
12. };
    
13. 
    
14. controls {
    
15.       inet 127.0.0.1 port 953
    
16.               allow { 127.0.0.1; } keys { "rndc-key"; };
    
17. };
    
18. 
    
19. key ddns {
    
20.          algorithm hmac-md5;
    
21.          secret "+apzjjN89Rg6ed79Rkm7KTBwqQo3Pbu2M32b8uBvtdm0ppBXcCmuUG0BRNjmhOPwp01zemnr77y8Kvth9WLVxA==";
    
22.                };
    
23. 
    
24. zone "11.28.172.in-addr.arpa" IN {
    
25. type master;
    
26. file "172.28.11";
    
27. update-policy {
    
28.                 grant ddns wildcard *.11.28.172.in-addr.arpa. ANY;
    
29.                 grant 172.28.11.* self *.11.28.172.in-addr.arpa. ANY;
    
30.                 grant 172.28.11.5 name 11.28.172.in-addr.arpa. ANY;
    
31.               };
    
32. };
    
33. 
    
34. zone "hedaofu.com" IN {
    
35. type master;
    
36. file "hedaofu.com";
    
37. update-policy {
    
38.                 grant ddns wildcard *.hedaofu.com. ANY;
    
39.                 grant *.hedaofu.com. self *.hedaofu.com. ANY;
    
40.                 grant server.hedaofu.com. name hedaofu.com. ANY;
    
41.                 grant server.hedaofu.com. self server.hedaofu.com. ANY;
    
42.                 grant server.hedaofu.com. wildcard *.hedaofu.com. ANY;
    
43.               };
    
44. };
    

复制代码

我的Dhcpd.conf:

1. 
   
2. ddns-updates                on;
   
3. ddns-update-style           interim;
   
4. ddns-domainname             "hedaofu.com.";
   
5. ddns-rev-domainname         "in-addr.arpa.";
   
6. allow                       client-updates;
   
7. 
   
8. next-server 172.28.11.2;
   
9. filename "mba.pxe";
   
10. 
    
11. option domain-name                "hedaofu.com.";
    
12. option domain-name-servers        172.28.11.2;
    
13. option ntp-servers                172.28.11.2;
    
14. option netbios-name-servers        172.28.11.2;
    
15. 
    
16. default-lease-time              43200;
    
17. max-lease-time                  86400;
    
18. authoritative;
    
19. 
    
20. log-facility local7;
    
21. 
    
22. key ddns {
    
23.          algorithm hmac-md5;
    
24.          secret "+apzjjN89Rg6ed79Rkm7KTBwqQo3Pbu2M32b8uBvtdm0ppBXcCmuUG0BRNjmhOPwp01zemnr77y8Kvth9WLVxA==";
    
25.        };
    
26. 
    
27. 
    
28. subnet 172.28.11.0 netmask 255.255.255.0 {
    
29.         range                                 172.28.11.200 172.28.11.210;
    
30.         option routers                        172.28.11.254;
    
31.         option broadcast-address        172.28.11.255;
    
32.         allow                           unknown-clients;
    
33. 
    
34. 
    
35.         zone hedaofu.com. {
    
36.          primary 127.0.0.1;
    
37.          key ddns;
    
38.         }
    
39. 
    
40.         zone 11.28.172.in-addr.arpa. {
    
41.          primary 127.0.0.1;
    
42.          key ddns;
    
43.         }
    

复制代码

davis1220

[root@ser-linux ~]# tail /var/log/messages
May 21 14:31:35 ser-linux named[2185]: client 172.28.11.5#1345: update 'hedaofu.com/IN' denied
May 21 14:31:35 ser-linux named[2185]: client 172.28.11.5#1349: update 'hedaofu.com/IN' denied
May 21 14:31:35 ser-linux named[2185]: client 172.28.11.5#1353: update 'hedaofu.com/IN' denied
May 21 14:31:35 ser-linux named[2185]: client 172.28.11.5#1357: update 'hedaofu.com/IN' denied
May 21 14:31:35 ser-linux named[2185]: client 172.28.11.5#1361: update 'hedaofu.com/IN' denied
May 21 14:31:35 ser-linux named[2185]: client 172.28.11.5#1365: update 'hedaofu.com/IN' denied
May 21 14:31:35 ser-linux named[2185]: client 172.28.11.5#1369: update 'hedaofu.com/IN' denied
May 21 14:31:35 ser-linux named[2185]: client 172.28.11.5#1373: update 'hedaofu.com/IN' denied
May 21 14:31:35 ser-linux named[2185]: client 172.28.11.5#1377: update 'hedaofu.com/IN' denied
May 21 14:31:36 ser-linux named[2185]: client 172.28.11.5#1381: update 'hedaofu.com/IN' denied
[root@ser-linux ~]#

davis1220

没办法，我只能临时用allow-update了。但AD的LOG里还是有一两个报错说无法添加记录，多数记录已添加成功。
也许是我水平不行。感觉在有AD的情况下还是应该用WINDOWS自己的DNS服务器。

另外，从WINDOWS上传文件到LINUX上我用FileZilla，选择SFTP　USING　SSH2，连FTP都不用配置，对刚开始接触LINUX的朋友们应该有点用的,（想当初我弄得很复杂啊）。