【导语】“anus119512”通过精心收集,向本站投稿了6篇DNS扫盲系列之八:关于域名解析的授权,下面是小编为大家整理后的DNS扫盲系列之八:关于域名解析的授权,供大家参考借鉴,希望可以帮助到有需要的朋友。
- 目录
篇1:DNS扫盲系列之八:关于域名解析的授权
DNS扫盲系列之八:关于域名解析的授权
首先是两个相关的概念:
域名授权: 指定谁是该域名的权威DNS,即由谁负责解析该域名(由NS记录操作完成),
权威DNS: 特指对特定域名具有权威发布能力的DNS;互联网上域名(域名记录)解析结果的原出处。
目前域名解析授权状况:
目前在互联网上域名解析授权大体上是谁出售域名就把域名的权威DNS授权给谁并由其提供域名的权威DNS来完成域名解析工作,如购买了新网域名默认就是由新网的权威DNS(nsx.xinnetdns.com、nsx.xinnet.cn)负责所售域名解析:
[root@test root]#dig @a.gtld-servers.net xinnet.com ns
;; ANSWER SECTION:
xinnet.com. 172800 IN NS ns.xinnet.cn.
xinnet.com. 172800 IN NS ns.xinnetdns.com.
xinnet.com. 172800 IN NS ns2.xinnet.cn.
xinnet.com. 172800 IN NS ns2.xinnetdns.com.
域名解析授权是怎么实现的:
域名解析授权是个树状的,从上而下的分层体系,简图如下:
首先“.”DNS把COM/NET/CN/ORG/TV等等域名按后缀的不同分别授权给不同的DNS,以利于分别管理。如COM/NET域名被授权给了如下几个权威DNS。
这里不难想像要修改COM/NET的授权DNS要到“.”DNS上去操作才能完成。
[root@test root]#dig com. ns
;; ANSWER SECTION:
com. 96045 IN NS d.gtld-servers.net.
com. 96045 IN NS g.gtld-servers.net.
com. 96045 IN NS b.gtld-servers.net.
com. 96045 IN NS k.gtld-servers.net.
com. 96045 IN NS f.gtld-servers.net.
com. 96045 IN NS l.gtld-servers.net.
com. 96045 IN NS j.gtld-servers.net.
com. 96045 IN NS a.gtld-servers.net.
com. 96045 IN NS i.gtld-servers.net.
com. 96045 IN NS m.gtld-servers.net.
com. 96045 IN NS e.gtld-servers.net.
com. 96045 IN NS h.gtld-servers.net.
com. 96045 IN NS c.gtld-servers.net.
同理可知,要指定或修改ABC.COM的权威DNS要去顶级DNS上操作。通常来说一般的域名所有者是无权登录顶级DNS进行操作的。只能通过域名提供商(如新网,万网等)的专用接口(位于域名商的域名管理平台上)来间接操作顶级DNS上的记录。
以ABC.COM为例简要说明怎么指定自己的权威DNS,假设ABC.COM是在新网购买,那么默认该域名的权威DNS就是nsx.xinnetdns.com、nsx.xinnet.cn。这时候要修改默认权威DNS。首先登录新网的域名管理后台,找到修改域名DNS页面即可完成操作(详细过程这里有:/net/201210/161851.html)。操作完成后要验证一下是否修改成功:
[root@test root]#dig @a.gtld-servers.net abc.com ns
;; ANSWER SECTION:
abc.com. 172800 IN NS ns1.ai-dns.com.
abc.com. 172800 IN NS ns2.ai-dns.com.
abc.com. 172800 IN NS ns3.ai-dns.com.
这里我们把ABC.COM授权给了nsx.ai-dns.com了,
关于域名权威DNS的再授权:
以ABC.COM为例,再授权是指在nsx.ai-dns.com上面再次指定该域名的权威DNS,再授权的意义有这么几个:
1. 扩展现有的权威DNS数量,如现有ns1,ns2,ns3.ai-dns.com共三台DNS,现在要增加到4台,则可以在原3台DNS上abc.com的ZONE文件内增加
ns4这个NS记录。
原来的ZONE内容:
$TTL 2d
$ORIGIN abc.com.
@ 3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(
2288091841 1h 600 1w 900 )
@ 2d IN NS ns1.ai-dns.com.
@ 2d IN NS ns2.ai-dns.com.
@ 2d IN NS ns3.ai-dns.com.
增加ns4这个NS记录后为:
$TTL 2d
$ORIGIN abc.com.
@ 3600 IN SOA ns1.ai-dns.com. root.ai-dns.com.(
2288091841 1h 600 1w 900 )
@ 2d IN NS ns1.ai-dns.com.
@ 2d IN NS ns2.ai-dns.com.
@ 2d IN NS ns3.ai-dns.com.
@ 2d IN NS ns4.ai-dns.com.
当然增加NS4的操作也可以在顶级DNS上完成,不再赘述。
2. 把权威DNS重新授权给其他DNS,如把原来的权威DNS(nsx.ai-dns.com)重新授权给别人(nsx.ddd.com)。操作过程同上,不再赘述。
再授权可能存在的潜在问题:
再授权无疑使得域名解析授权变得更灵活,但是存在以下潜在的隐患。当原授权的权威DNS(即在顶级DNS定义的权威DNS)故障时,这时再授权的D
NS将无法工作,导致域名无法解析(这是由域名解析过程是自上而下的这个特性决定的)。同时也增加了安全隐患。
附加部分1:慎用WHOIS来查看域名权威DNS。
对于域名的Whois数据库是由域名销售商控制的,即每个域名销售商都有自己的WHOIS服务器,这些服务器用来存储自身出售的域名信息,如域名所有人,联系方法,到期时间等内容。WHOIS信息中显示的域名当前权威DNS信息很可能没有及时与域名实际的权威DNS信息同步而导致错误的判断。
附加部分2:“.”根DNS是怎么被授权的?
由于“.”根DNS所处域名解析体系的顶端,无法按照常规方法对其授权。到目前为止其授权方法是把所有“.”DNS列表存放在一个文本文件内(自己授权给自己),名字通常为root.hint内容如下(部分节选):
. 3600000 IN NS A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
. 3600000 NS B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201
篇2:DNS扫盲系列之三:有关智能DNS(BIND+VIEW)
DNS扫盲系列之三:有关智能DNS(BIND+VIEW)
前言:
智能DNS即为BIND+VIEW的功能实现,在国内,最早把智能DNS投向市场的是偶(怎么给人不谦虚的感觉呢)。我想BIND9.X引入VIEW(视图)功能并不是针对中国的,但是这个功能正好能解决我国网络运营商之间的互联互通问题,可谓天上的馅饼。本文结合自己这几年来架设维护智能DNS的经验体会随便写些东西,希望对大家有所帮助。时间仓促加之知识有限,难免错误之处,大家一块讨论吧。
智能DNS的前提:
使用智能DNS有个前提假设,就是各个网络运营商都有自用的公网DNS为自己的用户提供域名解析服务。如果不是这样的,那智能DNS就没有存在的必要了(原因将在下面讨论)。所幸的是目前情况基本满足这个条件,网通,电信,教育网等都自成体系。
智能DNS的功能:
智能DNS最基本的功能是可以智能的判断访问您网站的用户,然后根据不同的访问者把您的域名(域名记录)分别解析成不同的地址。如访问者是网通用户,智能DNS服务器会把你域名对应的网通IP地址解析给这个访问者。如果用户是电信用户,智能DNS服务器会把您域名对应的电信IP地址解析给这个访问者。由此我们可以让网通、电信、教育网、移动、国外用户智能的选择访问你的服务器。
智能DNS的原理:
以ABC.COM域名为例。用户访问WWW.ABC.COM时的工作过程如图所示。这里省略了与本文讨论无关的细节,目的是化繁为简。
1. 网通用户向本地DNS请求解析WWW.ABC.COM,
2. 本地DNS向ABC.COM的权威DNS(这里的权威DNS一定是智能DNS)。
3. 智能DNS根据请求者(这里是本地DNS)的IP地址在自己的ACL里面进行匹配,然后把匹配的结果返回给本地DNS。
4. 本地DNS把结果告诉用户,并把结果缓存起来。
5. 用户访问网通线路上的网站服务器。
智能DNS特别关注:
这里有几点重要问题,值得单独列出,不然在使用智能DNS的过程中碰到就诧异了。
1. 智能DNS判断用户来源的依据是“本地DNS”而非是用户自身的IP地址。
2. 由上延伸,如果电信用户使用了网通DNS,通过智能DNS将会匹配到网通的解析结果。
3. 本地DNS一般情况下不会亲自向智能DNS请求解析,这是由本地DNS的网络拓扑决定的,详情见另一篇帖子《扫盲系列之:有关公网DNS》 /net/201210/161839.html
智能DNS面临的问题:
1. 各网络运营商的IP地址收集困难,有其是象“长城宽带”、“广电网”等这样的小运营商他们的用户使用的DNS五花八门,根本不适于使用智能 DNS。所以说智能DNS并不是把运营商划分的越细越好。总之结合自己的能力就好。
2. 各大网络运营商相互渗透的情况(幸好是个别现象,但要引起重视),比如广东电信的公网DNS的后台有数目不详的服务器架设到网通的线路上 了。这样造成的后果就是明明使用的是电信DNS,但有时候解析到网通的结果。
3. 众所周知的网络攻击事件越来越多的落到了DNS上面,这个事情很无奈。
最后,关于架设智能DNS技术细节这里就不讨论了,相信很容易就能在网上找到。
篇3:dns域名解析服务器故障处理
在实际应用过程中可能会遇到DNS解析错误的问题,就是说当我们访问一个域名时无法完成将其解析到IP地址的工作,而直接输入网站IP却可以正常访问,这就是因为DNS解析出现故障造成的,这个现象发生的机率比较大,所以本文将从零起步教给各位读者一些基本的排除DNS解析故障的方法。
一、什么是DNS解析故障?
一般来说像我们访问的www.sina.com 地址都叫做域名,而众所周知网络中的任何一个主机都是IP地址来标识的,也就是说只有知道了这个站点的IP地址才能够成功实现访问操作。
不过由于IP地址信息不太好记忆,所以网络中出现了域名这个名字,在访问时我们这需要输入这个好记忆的域名即可,网络中会存在着自动将相应的域名解析成IP地址的服务器,这就是Dns服务器。能够实现DNS解析功能的机器可以是自己的计算机也可以是网络中的一台计算机,不过当DNS解析出现错误,例如把一个域名解析成一个错误的IP地址,或者根本不知道某个域名对应的IP地址是什么时,我们就无法通过域名访问相应的站点了,这就是DNS解析故障,
出现DNS解析故障最大的症状就是访问站点对应的IP地址没有问题,然而访问他的域名就会出现错误。
二、如何解决DNS解析故障:
当我们的计算机出现了DNS解析故障后不要着急,解决的方法也很简单。
(1)用nslookup来判断是否真的是DNS解析故障:
要想百分之百判断是否为DNS解析故障就需要通过系统自带的NSLOOKUP来解决了。
第一步:确认自己的系统是windows 2000和windows xp以上操作系统,然后通过“开始->运行->输入CMD”后回车进入命令行模式。
第二步:输入nslookup命令后回车,将进入DNS解析查询界面。
第三步:命令行窗口中会显示出当前系统所使用的DNS服务器地址,例如笔者的Dns服务器IP为000.000.0.00。
第四步:接下来输入你无法访问的站点对应的域名。例如笔者输入 www.114fanwen.com,假如不能访问的话,那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out,timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。
篇4:Linux安装DNS域名解析服务
机器IP
机器名称
用途
10.190.60.5
hadoop01.ftgov
DNS主机
10.190.60.6
hadoop02.ftgov
DNS客户机
10.190.60.7
hadoop03.ftgov
DNS客户机
Linux下的DNS是用bind来实现的
硬件及配置:
步骤简要
安装bind 命令: yum -y install bind bind-utils bind-chroot
修改/etc/named.conf 访问权限 命令: vim /etc/named.conf
修改 /etc/named.rfc1912.zones文件,加入正解和反解配置 命令:vim /etc/named.rfc1912.zones
解析: zone “ftgov” IN { //当输入类似“ftgov”后缀如:hadoop01.ftgov时正解析 type master; //此为dns主机 file “named.ftgov.com”; //解析文件将会读取 /var/named 目录下named.ftgov.com文件的域名与IP映射配置(文件稍后生成) allow-update { none; }; }; zone “60.190.10.in-addr.arpa” IN { //当输入类似“10.190.60.xxx”时反解析,注意地址顺序 type master; file “named.10.190.60.zone”; //反解文件位于 /var/named 目录下named.10.190.60.zone的配置中(文件稍后生成) allow-update { none; }; };
生成以上配置需要用到的正解和反解文件
打开目录 cd /var/named
生成文件 named.ftgov.com
配置 named.ftgov.com
生成文件 named.10.190.60.zone
配置
配置其他DNS客户端 1. 先用ifconfig 查看当前客户端使用的是哪个网卡如我的机子:用的是eth1网卡
2. 修改文件 vim /etc/sysconfig/network-scripts/ifcfg-eth1 // 具体修改为自己当前使用的网卡名 最后一行加上一行DNS主机的IP3. 重启客户端网络服务
命令 : service network restart 4. 其他客户端同样的操作
启动DNS服务器 启动命令:service named start 查看服务是否正常:tail -n 30 /var/log/messages |grep named
测试DNS服务 正解结果:反解结果:
篇5:让DNS服务器支持泛域名解析
我们还可以通过手工修改DNS数据文件来实现泛域名解析。直接修改系统目录下DNS文件夹中的DNS数据文件,进入“C\\Winnt\\System32\\dns”目录,找到rtj.net.dns文件,使用记事本打开,手工添加一条“*A 192.168.0.1”记录,其中“A”表示该记录为地址记录,“192.168.0.1”是指泛域名所指向的IP地址,完成后保存文件,重新启动DNS服务器,加载这个DNS数据文件即可。
Windows Server 2003实现泛域名解析
系统的DNS服务器实现泛域名解析很简单,它允许使用“*”字符作为主机名称,只要在“rtj.net”区域中创建一个名称为“*”的主机记录即可,过程非常简单。右键单击“rtj.net”区域,在弹出的菜单中选择“新建主机”在“新建主弧倍曰翱虻摹懊称”栏中输入“*”,“IP地址”栏中输入“192.168.0.1”,最后单击“添加主机”按钮即可。
完成以上设置后,可在客户端使用Ping命令测试任意二级域名解析是否成功。例如,在命令提示符下输入“Ping fymjxcs.rtj.net”命令,得到如图所示的响应信息,就表示泛域名解析成功。
篇6:让DNS服务器支持泛域名解析DNS服务器
打开DNS控制台,在“rtj.net”区域上单击鼠标右键,在弹出的菜单中选择“新建域”,接着在“新建DNS域”对话框中输入“*”创建一个梦“*”的二级区域,最后点击“确定”按钮。
这个区域是DNS服务器允许建立的,然后还需要在“*.rtj.net”区域中创建一个空主机名的记录。右键单击“*. rtj.net”区域,在弹出的菜单中选择“新建主机”,在“新建主机”对话框中,“名称”栏中不要输入任何内容,“IP地址”栏中输入泛域名解析指向的IP地址,例如输入“192.168.0.1”,最后单击“添加主机”按钮即可,这样就可以实现对rtj.net域的泛域名解析。
★ 扫盲方案范文
★ 扫盲和夜校散文
★ 授权承诺书
★ 授权同意书范文
★ 授权申请书
DNS扫盲系列之八:关于域名解析的授权(合集6篇)
