基于OpenSUSE15和BIND9的DNSServer配置

伍仕杰 徐倩

摘 要：DNS是計算機網絡重要的應用系統，本文研究了基于OpenSUSE15 Linux和BIND9的DNS Server配置，介紹了平臺概況，詳細描述了配置的過程，重點對相關的關鍵選項或是參數的配置進行了分析，為DNS 服務器的配置維護提供參考。

關鍵詞：DNS BIND配置

前言：

DNS 是計算機網絡重要的應用系統，對于計算機網絡的應用和服務有著重要的意義。Windows和Linux平臺都有相關的軟件可以搭建DNS服務器， OpenSUSE15 Linux和BIND9的組合穩定且方便維護。

一、平臺概況

BIND是一款開放源碼的DNS服務器軟件，是由美國加州大學Berkeley分校開發和維護的，全名為Berkeley Internet Name Domain，它是目前世界上使用最為廣泛的開源DNS服務器軟件，支持各種unix平臺和windows平臺。BIND9是最新的版本。

YaST是OpenSUSE及SUSE Linux中的工具，是在Linux環境下最有效的安裝和系統管理工具。它是一個由Novell公司發起和積極推動的開源項目。YaST是以RPM為基礎的操作系統安裝與設置工具，它的特性主要在于，可以設置很多系統的各個部分。一些服務，包括多個配置文件需要捆綁在一起。管理員不必找出是哪些配置文件，因為YaST提供了一個通用的接口，適用修改所有相關的文件，讓管理員可以方便地配置復雜的配置文件。

SuSE YaST并不意味著管理員必須將SUSE運行在圖形窗口模式下使用。SUSE是使用標準的SSH協議，可以通過SecureCRT，Putty等標準SSH工具都可以遠程進行管理，而且YaST和無圖形窗口模式100%兼容，對于遠程連接服務器來說也非常方便。這樣即使是對于沒有經驗的Linux管理員，YaST也是事半功倍的好用的工具。

Yast-DNS-Server是Yast的一個組件，可以方便靈活地對DNS服務進行配置和管理。

二、安裝環境

（一）安裝OpenSUSE15.1

OpenSUSE15.1是OpenSUSE的最新版本，安裝過程中選擇系統角色即使用用途，選擇“KDE Plasma桌面系統”即可安裝圖形化界面。

（二）安裝YaST-DNS-Server

OpenSUSE 的zyper命令能提供互聯網上的在線安裝，但我們是在內網使用，為確保安全，采用線下安裝的方式。首先下載DNS-Server的rpm，拷貝到服務器，將文件名改短，如“yast-dns-server.rpm”，在terminal中進入此路徑，輸入命令#yast –in yast-dns-server.rpm進行安裝。

在安裝過程中，安裝程序會自動提示安裝BIND，確認安裝就可以了。

三、配置

（一）配置權威服務器

1、增加域及記錄

權威服務器，打開YaST，找到Network Service，其中安裝了DNS-Server，點擊打開，點擊“DNS Zones”，在“Name”填寫框中填寫“cs.”，“Type”默認選擇“Master”，表明這是一個主域服務器。點擊后面的“Add”按鈕。下面“Configured DNS Zones”框中增加“cs.”域，選擇該域，點擊框右邊的“Edit”按鈕，進入域編輯器“Zone Editor”。

點擊標簽“Records”，在下面的輸入框輸入相應的項，“Record Key”中填入域名，“Type”中選擇“A：IPv4 Domain Name Translation”，“Value”項填寫IP地址。完畢后，點擊右側“Add”按鈕，記錄被記錄，陳列在下邊“Configured Resource Records”表中。點擊右下角“OK”按鈕，回到“DNS Zones”，點擊右下角“OK”按鈕，DNS-Server完成配置保存、緩存清理等后關閉。

DNS-Server在 /etc/named.conf配置文件中，定義一個主域服務器：

2、測試。

在terminal中使用“nslookup 域名 127.0.0.1” 命令，測試剛才加入的域名是否能正確解析。

3、訪問控制

在測試過程中發現，在服務器所在局域網能使用該服務器解析域名，但在局域往外解析失敗，返回“Query refused”。這是對請求查詢的主機進行了限制。

找到DNS-Server中“Basic Options”，在“Add or Change Option”選擇“allow-query”項，填值“{0.0.0.0/0}”，允許所有主機的查詢。

（二）配置緩存 DNS 服務器

已經配置了主域服務器，仍有必要定義一個緩存服務器。因為緩存服務器上不存放特定域名的配置文件。當客戶端請求緩存服務器來解析域名時，該服務器將首先檢查其本地緩存。如果找不到匹配項便會詢問主服務器，接著這條響應將被緩存起來。這樣可以減少 DNS 權威服務器的查詢次數。

1、定義一個緩存服務器

在新的服務器上安裝YaST-DNS-Server，由于緩存服務器上不定義特定域名，所以只需定義一個轉發。

作為緩存服務器，在很多情況下都使用轉發器forwarder，所有非本域的和在緩存中無法找到的域名查詢都將轉發到設置的DNS轉發器上，由這臺DNS來完成解析工作并做緩存。但這種方式，對域沒有選擇性，只要自己不能解析的都往設置的DNS轉發器上發，對指定的權威服務器勢必也造成負擔。在BIND9.1.0以后引入了一個新的特性：轉發區（forward zone），它允許把DNS配置成只有查找特定域名的時候才使用轉發器。

緩存服務器采用轉發區（forward zone）是比較好的方式，將指定區域的查詢請求轉發到該區域的權威服務器上，權威服務器只負責查詢所在區域的查詢，而不必去管非本區域的查詢。

點擊“DNS Zones”，在Name填寫框中填寫“cs.”，Type選擇“Forward”，點擊后面的“Add”按鈕。下面“Configured DNS Zones”框中增加“cs.”域，但與主域名服務器不同的是，其類型為“Forward”。

可以看到，配置文件named.conf中增加了

跟實際應用最緊密的是前兩個，其中第一個指向根的區域選擇器最為重要。

（三）指向根域

BIND是互聯網上的域名系統服務軟件，對于根的指向默認指向的是世界互聯網上的 13 個根域名服務器。對于我們內網來講，尤其是對使用我們內網域名系統來講，必須要重新配置。

相對來講，根域往往是固定的，不需要經常修改，所以在Yast-DNS-Server中沒有提供配置接口，只能通過BIND配置文件來進行修改。

在BIND配置文件named.conf中定義了根的區域選擇器：

可以看到，定義根的指向是“root.hint”。文件“root.hint”里面默認定義了從a.root-server.net、b.root-server.net到m.root-server.net的13個互聯網根服務器。在內網域名系統里面，需要把它修改為內網的根服務器：

（四）日志設置

YaST-DNS-Server提供了日志管理，同在左側菜單欄“Logging”。默認“Log Type”是選擇“System Log”，既是記錄在系統日志“messages”中，其路徑為“/var/log/messages”。“messages”主要記錄啟動、關閉的日志記錄和一些嚴重錯誤，如果把DNS-Server的日志也記錄在這個文件里，存在的弊端就是DNS的日志和系統日志混在一起，而且DNS查詢請求往往比較多，日志條目會非常多，不利于日志分析，所以應設置專門的DNS日志。

我們選擇“File”選項， “Filename”填寫文件名及路徑 “var/lib/named/log/query.log”，“Maximum Size”為單個日志文件最大體積，“Maximum Version”為文件數量。由于DNS請求較多，把“Maximum Size”設定為100MB，把“Maximum Version”設定為“5”，則會建立query.log.0至query.log.4等5個文件，而當前正在記錄的文件為query.log。這些文件會根據生成時間自動更替保證為記錄最新的日志。

可以將右側框“Additional Logging”內的三個選項“Log All DNS Queries”、“Log Zone Updates”、“Log Zone Transfers”選上，將三類日志記錄在日志文件中。

四、總結

BIND9作為比較流行的DNS服務器，提供了功能良好的底層應用，但其配置等需要對相關配置文件進行修改，而YaST提供了直觀明了的圖形界面，能方便對部分常用的配置進行增、刪、改，尤其是涉及到增加、修改、刪除域及其記錄時。YaST和BIND是兼顧性能與方便操作的組合。本文研究了基于OpenSUSE15 Linux和BIND9的DNS Server配置，詳細描述了配置的過程，對相關的關鍵選項或是參數的配置重點進行了分析，希望能為DNS 服務器的配置維護提供參考。

參考文獻：

[1]周增國，龐有軍.Linux平臺校園網DNS服務的設計與實現.《大連大學學報》，2008年03期.

[2]秦寶龍，淑琴.利用BIND9為內外網用戶提供域名解析服務.內蒙古電大學刊， 2012年03期.