当前位置:Linux教程 - Linux综合 - BIND常见问题集

BIND常见问题集

  Berkeley Internert Name Domain(BIND)是我们所熟知的域名软件,它具有广泛的使用基础,Internet上的绝大多数 DNS服务器都是基于这个软件的。BIND目前由ISC(Internet Software Consortium)负责维护,具体的开发由 Nominum(www.nominum.com)公司来完成。下面编译的这个常见问题集就是由该公司所发布的(同时也见于 http://www.isc.org/bind),可以说,它具有较强的针对性和实用性。 1) 哪里可以找到BIND? BIND以源码的格式发布。当前的版本为BIND 9,不过BIND 8.2.2-P5仍然是广泛发布的版本。考虑到早期版本的安全问 题,如果您还在运行比8.2.2-P5更早的版本,那么我们强烈推荐您升级软件。 以下的URL包括了源码和其他相关资源的链接,你可能会觉得很有用处: http://www.isc.org/prodUCts/BIND/ 源码也可以使用FTP从ftp://ftp.isc.org/isc/bind/src/8.2.2-P5/bind-src.tar.gz 获得。 镜像BIND的ftp服务器列表和其它ISC维护的开发源码软件可以在ftp://ftp.isc.org/isc/MIRRORS上找到。 2) 怎样安装BIND? 下载源码到一个空的目录。如果你需要的话,你也可以下载文档和捆绑的包。 接下来,你需要解压(unzip)和解包(untar)发布的包。 gunzip < bind-src.tar.gz tar xf - 然后,你需要编译和安装软件。常见src/INSTALL以获知指令。在安装之前请备份系统,因为安装可能会覆盖旧的二进制 代码;这是依赖于系统的。 如果你是从BIND 4转过来的,那么你需要将配置文件named.boot转成新的语法。这里包含了一个转换程序。 named-bootconf < /etc/named.boot > /etc/named.conf 同时,如果你正从BIND 4转换而来,那么系统启动脚本需要进行修改,以使之查找/etc/named.conf,而不是 /etc/named.boot。 接着,你需要终止老的named并启动新的。 kill -TERM ndc start 检查系统日志(在大多数Unix系统上,错误都存放在/var/adm/messages中),因为当前的版本比先前的版本容错性会差 一些。 3) 哪里有基于NT的BIND? 最新的基于NT的BIND可以从ftp://ftp.isc.org/isc/bind/src/8.2.2-P5/bind-src.tar.gz上的8.2.2p5源码中找 到。你应该能够使用WinZip来解压/解包8.2.2p5文件。一旦解压了源码,你会在src/port/winnt目录下找到NT的移植程 序。你需要Visual C++ 6.0来编译它。 4) 哪里可以找到有关BIND的信息? 先从http://www.isc.org/products/BIND/开始。 对于BIND用户,有一个可用的邮件列表。使用http://www.isc.org/services/public/lists/bind-lists.Html上的表 单订阅。在你提交你的问题到邮件列表之前,请检查邮件列表的档案以查看是否你的问题已经回答过了。可搜索的 bind-users邮件列表档案位于http://www.isc.org/ml-archives/bind-users/。
[1] [2] [3] 下一页 

Bind-users邮件列表同时指向了中等的Usenet新闻组comp.protocols.dns.bin.你可以在http://www.deja.com/上搜 索该新闻组。 BIND的"圣经"是DNS and BIND,Third Edition,作者:Paul Albitz和Cricket Liu。 5) 为什么我应该升级BIND到最新的版本? 最新的BIND版本解决了在以前版本中发现的bug和/或安全漏洞。 6) 我现在使用的是BIND的什么版本? 有几种方法可用来确定你正在使用什么版本的BIND。请注意有一些是针对于特定操作系统的,而其它一些不能在早于 4.9.5的BIND版本上工作。我们会在下面的描述中指明这些限制。 ● 最简单的告知版本号的方法是查找named启动时写到系统日志文件中的消息。例如: Jul 14 12:54:21 ns named[15677]: starting. named 8.2.2-P5 Jul 14 12:54:21 [email protected]:/usr/sbin/named ● named带"-v"开关会显示版本: # named -v named 8.2.2-P5 Thu Jul 20 17:19:57 PDT 2000 [email protected]:/usr/sbin/named ● 当使用更新版本的BIND时,BIND的name后台守护程序的控制接口程序可以提供版本信息: ndc status ● 源代码控制系统(SCss)的"what"命令提供了文件的标示信息。 what /named 以下命令当在运行BIND 4.9.5及以上版本的服务器上检查时会起作用。这两个程序都包括在BIND的发布版本中。 ●nslookup # nslookup Default Server: ns.yourco.bogus Address: 333.333.333.333 > set class=chaos > set type=txt > version.bind Server: ns.yourco.bogus Address: 333.333.333.333 VERSION.BIND text = "8.2.2-P5" 〉 ●dig dig version.bind txt chaos @ server name 或者 dig @ server name txt chaos version.bind 7) 我得到一个错误提示:No default TTL set using SOA minimum instead.为什么会这样?怎么办? 从BIND 8.2开始,你需要一条$TTL指示来设置域的默认TTL。可在域的SOA记录之前添加一条'$TTL XXXXXX'指示。 (XXXXXX表示计算到秒的默认TTL.) 8) 主机名可使用哪些有效字符? 主机名可以包括字母,数字以及连字符,但不能以连字符开头。下划线(_)在主机名中不是有效的字符。尽管有一些DNS 服务软件包可以允许下划线在主机名中出现,但大多数是不行的。使用一个带有下划线的域或者主机名会导致大多数 Internet上的名字服务器不能识别相关的主机/IP地址。 9) 为什么当我在本域中的一台主机上使用nslookup时会得到non-authoritative的答复? 这通常发生在域(zone)文件中有错误出现的时候。检查系统日志文件'messages'以查证错误。 10) 我已经修改了自己的域,但是在Internet上的其它地方看不到这种改变,为什么? 每当你修改了你的域文件,例如当你添加或者修改了主机记录的时候,你也必须更新域的SOA记录的文件版本,或者是 "serial number",因为名字服务器从你的服务器检索信息时需要知道发生了修改。如果从上次查询之后版本号没有修 改,就不会执行更新。举例如下: ; foo.com. $TTL 14400 @ IN SOA someplace.foo.com. admin.foo.com. ( 1 ; this file's version -- change 43200 ; refresh twice a day 1800 ; retry refresh every 15 minutes 604800 ; eXPire after 1000 hours (over week) 259200 ) ; minimum TTL of 3 day 显而易见,带'file's version'的行是我们想要修改的。版本序号可以为任何数字;1,2,3,4或者2001,2002, 2003,等等。唯一的限制是版本号不能多于10位。在这个示例中,如果你对域文件作了修改,你需要将版本序号改为 '2'。 11) 为什么没有IP地址?
上一页 [1] [2] [3] 下一页 

在/etc/resolv.conf中没有名字服务器记录。 12) 在我的日志文件中出现的"lame server"错误是什么? "lame server"指的是不能确信其是否具有域的授权的服务器。如果你有lame server,或者是授权给了lame server的 域,那么"lame server"消息很有用。如果你宁愿不看到"lame server"消息,你可以使用logging语句丢弃它们: logging { category lame-servers{ null; }; }; 13) Microsoft windows 2000和BIND的关系怎样? BIND默认会检查所有记录以确保只在需要主机名的地方使用了主机名,这能够防止意外的一致性问题。 Microsoft Windows 2000使用一个称为"_msdcs"来存放动态目录数据。尽管这种子域不会与合法的主机名产生不一致, 但是也使得在子域中存放非法的主机名成为可能。这种主机名的使用默认是被BIND拒绝的。 动态目录希望在_msdcs中有"全局目录(global catalog)"(例如,gc._msdcs.example.com),这默认是拒绝的。为了解 决此问题,我们推荐动态目录设为独立的域(例如,"_msdcs.example.com")并配置成不检查非法的主机名。这应该是合理 的,因为Window 2000服务器创建这些数据,而且不应该会与其它希望访问这些数据的Windows 2000机器产生不一致问 题。 例如, zone "_msdcs.example.com" { type master; file "_msdcs.example.db"; check-names ignore; allow-update { localnets; }; }; 14) 什么是TSIG key? TSIG key提供了一种鉴别和验证交换的DNS数据有效性的方法,它在解析器和服务器之间或者两台服务器之间使用一个密 钥。 15) 我怎样使用TSIG key来动态更新我的DNS? 首先你需要使用以下命令生成一个TSIG密钥(我们将使用tsig-key作为密钥文件名): dnskeygen -H 128 -h -n tsig-key。 这会生成一对密钥文件: 'Ktsig-key.+157+00000.key',这是一个ASCII文件,它包括以下行: tsig-key. IN KEY 513 3 157 awwLOtRfpGE+rRKF2+DEiw== 和 'Kvip-key.+157+00000.private' ,这包括: Private-key-format: v1.2 Algorithm: 157 (HMAC) Key: awwLOtRfpGE+rRKF2+DEiw== 你将需要获取base64编码的密钥awwLOtRfpGE+rRKF2+DEiw== 并在配置你的服务器命名设置中使用它。例如: key tsig-key. { algorithm hmac-md5; secret "awwLOtRfpGE+rRKF2+DEiw=="; }; zone "ddns.dregis.com" { ... ... allow-update { key tsig-key. ; }; } 记得在这之后重启named。 然后,你需要复制这两个密钥文件到客户系统的某个位置(例如使用/var/named/tsig)。最后,你需要运行以下命令: nsupdate -k /var/named/tsig:tsig-key。 16) 在named.conf中的'forwarder'选项有何作用? forwarder行告诉服务器转发所有查询,因为它对另一个域名服务器没有授权或缓冲的数据。

(出处:http://www.sheup.com)


上一页 [1] [2] [3] 

zone "ddns.dregis.com" { ... ... allow-update { key tsig-key. ; }; } 记得在这之后重启named。 然后,你需要复制这两个密钥文件到客户系统的某个位置(例如使用/var/named/tsig)。最后,你需要运行以下命令: nsupdate -k /var/named/tsig:tsig-key。 16) 在named.conf中的'forwarder'选项有何作用? forwarder行告诉服务器转发所有查询,因为它对另一个域名服务器没有授权或缓冲的数据。

(出处:http://www.sheup.com)


上一页 [1] [2] [3] [4] 

forwarder行告诉服务器转发所有查询,因为它对另一个域名服务器没有授权或缓冲的数据。

(出处:http://www.sheup.com/)


上一页 [1] [2] [3] [4] [5]