DNS子域的实现

最新推荐文章于 2025-06-08 12:24:48 发布
原创 最新推荐文章于 2025-06-08 12:24:48 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

一、相关包与环境
bind-libs.x86_64 #提供库文件
bind-utils.x86_64 #提供工具包
bind.x86_64 #提供主程序包
实验环境:
192.168.147.129 父域DNS服务器
192.168.147.128 子域测试服务器
子域实现方法:
1、在父域的DNS解析库中把子域当成A记录加进去
这种方法只适合小环境使用


[root@centos7 named]# vim magedu.com.zone 
$TTL 1D
magedu.com.     IN SOA  ns.magedu.com. nsadmin.magedu.com. (
                                        3       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
@        NS      ns.magedu.com.
         NS      ns2.magedu.com.
www      CNAME   websrv
ns2      A       192.168.147.131
websrv   A       192.168.147.128
websrv   A       192.168.147.129
ns       A       192.168.147.129
@        MX   10 mailsrv1
@        MX   20 mailsrv2
mailsrv1 A       192.168.147.129
mailsrv2 A       192.168.147.131
www.hz   A       192.168.147.128   //www.hz.magedu.com子域当成是父域的A记录

2、在主DNS服务器上添加子域,由同一台主机维护(实际上主域与子域是相互独立的,只是名字有关联,不适合大规模环境)

编辑/etc/named.rfc1912.zones 
[root@centos7 named]# vim /etc/named.rfc1912.zones 
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
        //allow-update { 192.168.147/24; };
};
zone "hz.magedu.com" IN {  //本机独立子域
        type master;
        file "hz.magedu.com.zone";
        allow-update { none; };
        allow-transfer { 192.168.147.131; };
};

生成子域的解析库文件
[root@centos7 named]# vim hz.magedu.com.zone 
$TTL 1D
hz.magedu.com.  IN SOA  ns.hz.magedu.com. nsadmin.hz.magedu.com. (
                                        4       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
@        NS      ns.hz.magedu.com.
         NS      ns2.hz.magedu.com.
www      CNAME   websrv
ns2      A       192.168.147.131
websrv   A       192.168.147.128
websrv   A       192.168.147.129
ns       A       192.168.147.129

                             
使用dig命令测试
[root@centos7 ~]# dig www.hz.magedu.com @192.168.147.129

; <<>> DiG 9.9.4-RedHat-9.9.4-50.el7 <<>> www.hz.magedu.com @192.168.147.129
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57750
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.hz.magedu.com.		IN	A

;; ANSWER SECTION:
www.hz.magedu.com.	86400	IN	CNAME	websrv.hz.magedu.com.
websrv.hz.magedu.com.	86400	IN	A	192.168.147.128
websrv.hz.magedu.com.	86400	IN	A	192.168.147.129

;; AUTHORITY SECTION:
hz.magedu.com.		86400	IN	NS	ns.hz.magedu.com.
hz.magedu.com.		86400	IN	NS	ns2.hz.magedu.com.

;; ADDITIONAL SECTION:
ns.hz.magedu.com.	86400	IN	A	192.168.147.129
ns2.hz.magedu.com.	86400	IN	A	192.168.147.131

;; Query time: 1 msec
;; SERVER: 192.168.147.129#53(192.168.147.129)
;; WHEN: Fri Jun 28 10:35:36 CST 2019
;; MSG SIZE  rcvd: 166

3、子域单独一台主机管理,和父域分开,在父域中添加一条特殊的NS记录用于说明管理子域的主机IP地址,同时父域的关闭dnssec功能。

编辑主域bind主配置文件,主域主机192.168.147.129
[root@centos7 named]# vim /etc/named.conf
options {
	listen-on port 53 { localhost; };
	listen-on-v6 port 53 { ::1; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	allow-query     { localhost;any; };
	//allow-transfer  {192.168.147.131; };
	recursion yes;
	dnssec-enable no;  //关闭dnssec功能
	dnssec-validation no;//关闭dnssec功能
	......

在父域中加上hz       NS      ns3.hz.magedu.com.这条NS记录,并把它解析成A记录
[root@centos7 named]# vim magedu.com.zone 

$TTL 1D
magedu.com.     IN SOA  ns.magedu.com. nsadmin.magedu.com. (
                                        3       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
@        NS      ns.magedu.com.
         NS      ns2.magedu.com.
hz       NS      ns3.hz.magedu.com.   //加上这条NS记录
www      CNAME   websrv
ns3.hz   A       192.168.147.128  //把子域的DNS服务器解析成IP地址
ns2      A       192.168.147.131
websrv   A       192.168.147.128
websrv   A       192.168.147.129
ns       A       192.168.147.129
@        MX   10 mailsrv1
@        MX   20 mailsrv2
mailsrv1 A       192.168.147.129
mailsrv2 A       192.168.147.131





编辑子域的DNS服务器,子域主机为192.168.147.128
[root@centos6 ~]# vim /etc/named.conf 
options {
        //listen-on port 53 { 127.0.0.1; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        recursion yes;
        allow-transfer { none; };
        dnssec-enable yes;
        dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};
编辑/etc/named.rfc1912.zones,添加"hz.magedu.com"域
[root@centos6 ~]# vim /etc/named.rfc1912.zones 
zone "hz.magedu.com" IN {
        type master;
        file "hz.magedu.com.zone";
};
在/var/named/目录下生成hz.magedu.com.zone文件
[root@centos6 ~]# cat /var/named/hz.magedu.com.zone 
$TTL 1D
hz.magedu.com.	IN SOA	ns.hz.magedu.com. nsadmin.hz.magedu.com. (
					3	; serial
					1D	; refresh
					1H	; retry
					1W	; expire
					3H )	; minimum
@        NS      ns.hz.magedu.com.
www      CNAME   websrv
websrv   A       192.168.147.128
websrv   A       192.168.147.129
ns       A       192.168.147.128      
完成后重启或重新加载服务即可
测试
[root@centos7 ~]# dig www.hz.magedu.com @192.168.147.129

; <<>> DiG 9.9.4-RedHat-9.9.4-50.el7 <<>> www.hz.magedu.com @192.168.147.129
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59465
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.hz.magedu.com.		IN	A

;; ANSWER SECTION:
www.hz.magedu.com.	86229	IN	CNAME	websrv.hz.magedu.com.
websrv.hz.magedu.com.	86229	IN	A	192.168.147.129
websrv.hz.magedu.com.	86229	IN	A	192.168.147.128

;; AUTHORITY SECTION:
hz.magedu.com.		86229	IN	NS	ns.hz.magedu.com.

;; ADDITIONAL SECTION:
ns.hz.magedu.com.	86229	IN	A	192.168.147.128

;; Query time: 1 msec
;; SERVER: 192.168.147.129#53(192.168.147.129)
;; WHEN: Fri Jun 28 13:13:39 CST 2019
;; MSG SIZE  rcvd: 132

由此我们三种搭建DNS子域的方法都实现了。

【Windows Server 2019】DNS服务器的配置与管理——DNS子域委派
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
07-31 7939
博文通过三个拓扑图介绍了子域委派的理论知识,同时给出了如何配置子域委派的具体步骤,最后验证成功。
Centos7.9 DNS 子域授权转发部署
cetrp的博客
05-06 656
Centos7.9 DNS 子域授权转发部署
配置DNS子域授权
Linux的成长历程
05-23 638
1.配置DNS子域授权 问题 本案例要求为Tarena公司构父/子DNS域名解析系统。其中,父DNS服务器负责解析二级域tarea.com,而子DNS负责解析三级域bj.tedu.cn。现要求当客户机向父DNS查询子域中的域名www.bj.tedu.cn的时候也能获得正确结果,如图-1所示,需要在父DNS服务器上配置对子域的授权。 图-1 需要完成的配置任务如下: 1)构DNS(tedu...
DNS子域
studywinwin的博客
02-22 727
DNS父域 配置文件 vim /etc/named.conf options { // listen-on port 53 { 127.0.0.1; }; // allow-query { localhost; }; dnssec-enable no; dnssec-validation no; } zone "xuepeng....
什么是领域 (Domain)?什么是子域 (Subdomain)?
最新发布
专注于技术分享
06-08 951
总而言之,理解并正确划分领域和子域,是进行有效的领域驱动设计的基石,它能帮助我们从宏观上把握业务的本质,并做出明智的设计决策。是战略设计中的核心概念,它们可以帮助我们理解和组织复杂的业务。在领域驱动设计 (DDD) 中,
DNS子域授权的实现
weixin_33805557的博客
09-29 647
前几天贴的博客上没有子域授权的实验,这里补上。子域授权的概念: 在原有的域上再划分出一个小的区域并指定新DNS服务器。在这个小的区域中如果有客户端请求解析,则只要找新的子DNS服务器。这样的做的好处可以减轻主DNS的压力,也有利于管理。一般做正向区域的子域授权即可。正向解析区域子域方法:假设父域stu13.com,子域是ops.stu13.com,子域内有2...
Linux—DNS子域实现
weixin_42741132的博客
10-07 1227
子域 子域授权:每个域的名称服务器,都是通过其上级名称服务器在解析库进行授权 类似根域授权tld: .com. IN NS ns1.com. .com. IN NS ns2.com. ns1.com. IN A 2.2.2.1 ns2.com. IN A 2.2.2.2 magedu.com. 在.com的名称服务器上,解析库中添加资源记录 magedu.com. IN NS ...
子域DNS
weixin_33962621的博客
11-29 628
对于windowsAD域,由于部署需要,搭子域,采用站点压缩复制,有时由于物理距离较远,不好使用主域的DNS进行站点解析,此时需要搭子域DNS服务器,配合子域的DC工作,本文阐述了搭子域DNS的过程。 创子域DNS服务器分为2种情况:已经创子域和尚未创子域,下面分别创; 已经创子域的情况: 如图所示,在创子域的时候,将DNS指向了根域的DNS服务器...
SERVICES 03 (03):配置DNS子域授权
01-07
3 案例3:配置DNS子域授权 3.1 问题 沿用案例1,本例要求为上下级两个DNS区域立父子关联,实现客户机向父DNS也可以查询到子域内的FQDN,基本要求如下: 构DNS(tedu.cn)服务器 构DNS(bj.tedu.cn)服务器...
bind中DNS主从实现、转发器实现子域委派实现以及视图配置实现和bind安全相关
weixin_44247739的博客
03-11 1499
了解BIND: BIND软件: 应用层协议是DNS协议;DNS,Domain Name System; DNS的应用程序实现:BIND; BIND程序的服务主程序:named; 53/TCP:完成区域传送; 53/UDP:完成主机名的解析查询; 953/TCP:rndc程序的监听端口;rndc远程名称域的管理程序 **Bind软件的组成:** 主配置文件:/etc/named.conf 辅助...
linux做子域dns,linux下搭DNS子域及相关授权详解
weixin_36283702的博客
05-15 424
linux下搭DNS子域及相关授权详解forward功能是本地无法解析的域名,转发给指定DNS服务器forward only; 所有无法解析的域名,都转发给指定DNS服务器,必须有解析结果forward first;无法解析的域名,转发给指定DNS服务器,如果指定DNS服务器也无法解析,再通过自己的DNS服务器向根进行转发解析forwarders { 指定DNS服务器; }; 如本地DNS无法解...
Linux企业级服务之实现DNS子域服务器
qq_41779533的博客
01-11 1008
一、DNS父域和子域服务的实现 实验要求 DNS父域服务器:10.0.0.153 DNS子域服务器:10.0.0.157 DNS客户端:10.0.0.154 实验过程 DNS父域服务器, 1.修改/var/named/codeammon.com.zone,我是在上一篇博文基础上修改的,增加子域字段shenzhen,实现DNS域名委派,更改版本号(serial),同步到从服务器 @ IN SOA master 123456.qq.com. (
DNS子域授权
weixin_33693070的博客
03-30 310
一、子域授权 子域授权是实现DNS分布式数据库的一种手段, 每个域的名称服务器都是通过其上级名称服务器在解析库进行授权, 类似于根域授权TLD. 正向解析区域的子域授权方法: # 定义一个子区域: ops.magedu.com. IN NS ns1.ops.magedu.com. ops.magedu.com. IN NS ns2.op...
DNS服务基础 特殊解析 DNS主从架构 DNS子域授权 DNS查询
Yosigo_的博客
03-17 1575
· DNS服务基础 · 特殊解析 · DNS子域授权 · DNS主从架构 DNS服务基础 DNS 域名---->IP地址 DNS解析的作用 · 为什么需要DNS系统 www.baidu.com 与192.168.5.5,哪个更好记? 互联网中的114查号台/导航员 · DNS服务器的功能 正向解析: 根据注册的域名查找其对应的IP地址 反向解析: 根据IP地址查找对应的注册域名,不常用 www.qq.com. 浏览器会默认给域名的最后加上. www.baidu.com. 浏览器会默认给
DNS(5)子域委派
forinput的博客
03-02 1368
DNS子域委派
DNS篇之五 dns子域的搭过程
weixin_34066347的博客
07-22 408
DNS子域授权随着公司业务的发展,当初申请的那个域名已经不够用了。zledu.com 任何一个子域必须经过父域的授权; www.zledu.com www.zledu.com/fin #通过这个目录访问的都是财务部的; www.zledu.com/maket #通过这个目录访问的都是市场部的;刚开始通过这两个路径都能对其进行访问,后来过了一段时间发现这两个部...
DNS域名解析----分离解析、多域名解析、父域与子域
2401_83902269的博客
06-15 1963
DNS的分离解析,是指根据不同的客户端提供不同的记录。来自不同地址的客户机请求解析同一域名时,为其提供不同的解析结果。也就是内外网客户请求访问相同的域名时,能解析出不同的IP地址,实现
DNS区域,域,子域的区别
热门推荐
qq_50838785的博客
12-18 1万+
如上图 域和子域都是概念上的划分,区域是实际物理意义上的划分,也就是根据权限域名服务器划分。从域来看b.A.com,a.A.com和c.A.com都是A.com域的子域,z.b.A.com是b.A.com的子域。从区上来看,在A.com域中有A.com区和c.A.com区,A.com区(的域名服务器)包括了其区内所有域的信息 ...
子域DNS服务器
qq_44465615的博客
02-19 5589
为了做DNS隧道攻击的实验,我准备搭一个带子域DNS服务器,其具体的结构如下。 这里主机使用的是win10 家庭版,两个域名解析器使用的都是Ubuntu 18.0.4和VMware 15.0进行搭。使用的搭DNS服务器的软件是bind9,具体的下载和使用方法可见我上一篇博客Ubuntu搭DNS服务器。其中com域名解析服务器的ip地址是192.168.43.211,mydomain.com域名解析器的IP地址为192.168.75.129 好了,下面首先是对com域名服务器进行配置。 首先,打开
DNS子域与委派
03-26
### DNS 子域与委派的概念 DNS 子域是指在一个父域下划分出来的独立子级域名。例如,在 `gm.cn` 这个父域下可以创名为 `gz.gm.cn` 的子域。这种结构允许更细粒度的管理和分配资源。 DNS 委派是一种机制,通过该机制,父域将其部分控制权交给其他 DNS 服务器来处理特定子域的解析请求。这通常用于分布式网络环境,使得不同部门或分支机构能够自主管理其自己的 DNS 记录[^1]。 --- ### DNS 子域与委派的配置方法 #### Windows 平台上的配置 在 Windows Server 中可以通过图形化界面完成 DNS 子域和委派的操作: 1. 打开 **DNS 管理器** 工具。 2. 展开左侧导航栏中的节点树,找到目标父域(如 `benet.com`),并右键单击它。 3. 在弹出的上下文菜单中选择 **新域** 来定义一个新的子域名称。 4. 若要设置委派,则需进一步操作:选中要委派的目标区域,右键点击后选择 **新委派**,输入负责此子域的新 DNS 服务器地址及其 IP 地址信息[^2]。 #### Linux 平台上的配置 针对基于 Linux 的系统,手动编辑 `/etc/named.conf` 文件以及对应的 zone 数据文件即可实现相同功能。以下是具体步骤概述: - 编辑主配置文件 `/etc/named.conf` 添加新的 Zone 定义语句指向相应的数据记录位置; - 创或者修改对应的数据文件加入 NS (NameServer) 类型条目指定次级服务提供者身份;同时补充 A 或 AAAA 形式的主机映射关系确保可达性验证无误[^3]。 下面给出一段简单的 BIND 配置实例供参考: ```bash zone "gz.gm.cn" IN { type master; file "/var/named/gz-gm-cn.zone"; }; ``` 关联的数据文件内容可能如下所示: ```text $TTL 86400 @ IN SOA ns1.gz.gm.cn. admin.gmail.com. ( 2023101701 ; Serial 3600 ; Refresh 1800 ; Retry 604800 ; Expire 86400 ) ; Minimum TTL IN NS dns1.gz.gm.cn. dns1 IN A 192.168.45.2 www IN CNAME @ mail IN MX 10 mailserver.example.org. ``` 上述例子展示了如何声明一个新区域,并为其指定了权威名字服务器及相关联的实际IP地址^. --- ### 最佳实践议 为了提高效率和安全性,请遵循以下几点最佳做法: - 使用自动化的工具和服务简化日常维护工作量,减少人为错误风险。 - 对敏感变更实施严格的审批流程,防止未经授权的行为影响正常业务运行。 - 经常备份所有的配置文档以防万一发生意外丢失情况难以恢复原状。 - 考虑采用冗余设计增强系统的可靠性和可用性水平,比如部署辅助/隐藏副本形式的服务端点作为应急方案备用选项之一。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值