子域授权
前言:如果我们现在在公司的内网搭建一个内部的DNS服务,那么现在对于yhyblog.cn来说,公司内部有很多部门。例如ops.yhyblog.cn,java.yhyblog.cn, python.yhyblog.cn。且每一个部门有很多的服务器需要得到解析,例如:www.ops.yhyblog.cn需要被公司内部的DNS服务器解析。那么如何让公司内网的DNS主机只解析二级域,不会解析三级域,那么如何让其他的主机解析三级域呢?
-
子域授权
- 正向解析区域授权子域的方法
ops.yhyblog.cn. IN NS ns1.ops.yhyblog.cn.ops.yhyblog.cn. IN NS ns2.ops.yhyblog.cn.ns1.ops.yhyblog.cn. IN A IPns2.ops.yhyblog.cn. IN A IP
- 例如:在主DNS服务器/var/named/yhyblog.cn.zone 中添加:
ops IN NS ns1.ops
ns1.ops IN A 192.168.23.12- 例如:子域服务器中,在/etc/named.rfc1912.zones中添加:
zone "ops.yhyblog.cn" IN {
type master;
file "ops.yhyblog.cn.zone";
}; - 例如:子域服务器中,在/var/named//var/named/ops.yhyblog.cn.zone中添加
$TTL 3600
$ORIGIN ops.yhyblog.cn.
@ IN SOA ns1.ops.yhyblog.cn. dnsadmin.ops.yhyblog.cn. (
2017010802
1H
10M
3D
1D )
IN NS ns1
ns1 IN A 192.168.23.12
www IN A 192.168.23.10- 如下步骤是演示
-
1:在主服务器上,编辑/var/named/yhyblog.cn,添加一条子域的NS记录, 和子域的A记录,且修改序列号
$ORIGIN yhyblog.cn.
@ IN SOA ns1.yhyblog.cn. dnsadmin.yhyblog.cn. (
2017082103
1H
10M
3D
1D )
IN NS ns1
IN NS ns2
IN MX 10 mx1
IN MX 20 mx2
ns1 IN A 192.168.23.10
ns2 IN A 192.168.23.11
mx1 IN A 192.168.23.10
mx2 IN A 192.168.23.10
www IN A 192.168.23.3
web IN CNAME www
bbs IN A 192.168.23.7
bbs IN A 192.168.23.8
pop3 IN A 192.168.23.9
ops IN NS ns1.ops
ns1.ops IN A 192.168.23.12
2:主服务器重新reload
systemctl reload named.service
3:那么现在在子域服务器上配置子域解析库
yum install -y bind
4: 修改配置文件
listen-on port 53 { 192.168.23.12; };
//allow-query { localhost; };
dnssec-enable no;
dnssec-validation no;
dnssec-lookaside no;
5:启动服务
systemctl start named.service
6:编辑/etc/named.rfc1912.zones ,添加子域的正向解析区域
zone "ops.yhyblog.cn" IN {
type master;
file "ops.yhyblog.cn.zone";
};
7:编辑/var/named/ops.yhyblog.cn.zone文件,添加
$TTL 3600
$ORIGIN ops.yhyblog.cn.
@ IN SOA ns1.ops.yhyblog.cn. dnsadmin.ops.yhyblog.cn. (
2017082101
1H
10M
3D
1D )
IN NS ns1
ns1 IN A 192.168.23.12
www IN A 192.168.23.100
8:修改权限
chmod o= /var/named/ops.yhyblog.cn.zone
chown .named /var/named/ops.yhyblog.cn.zone
9:做语法检查
named-checkzone /var/named/ops.yhyblog.cn.zone
named-checkzone ops.yhyblog.cn /var/named/ops.yhyblog.cn.zone
10:重启reload
systemctl reload named.service
11:最后使用dig命令对www.ops.yhyblog.cn进行检查
dig -t A www.ops.yhyblog.cn @192.168.23.10
dig -t A www.ops.yhyblog.cn @192.168.23.11
- 正向解析区域授权子域的方法