# DNS主从同步的搭建方法 ## 1. DNS主从同步概述 ### 1.1 基本概念 DNS主从同步(Master-Slave DNS Replication)是指将一个DNS服务器(主服务器)的域名数据自动同步到一个或多个DNS服务器(从服务器)的过程。这种架构通过区域传输(Zone Transfer)机制实现数据同步,是保障DNS服务高可用性的核心技术。 ### 1.2 核心优势 - **高可用性**:主服务器故障时,从服务器可继续提供服务 - **负载均衡**:查询请求可分散到多个服务器 - **灾难恢复**:数据多节点备份防止数据丢失 - **维护便利**:只需修改主服务器配置即可自动同步 ## 2. 环境准备 ### 2.1 硬件要求 | 服务器类型 | CPU核心 | 内存 | 磁盘空间 | |------------|---------|------|----------| | 主服务器 | 2核+ | 2GB+ | 20GB+ | | 从服务器 | 1核+ | 1GB+ | 10GB+ | ### 2.2 软件要求 - 操作系统:Linux(推荐CentOS 7+/Ubuntu 18.04+) - DNS服务:BIND 9.8+ - 网络要求: - 主从服务器间需开放TCP/UDP 53端口 - 建议配置内网专线连接 ## 3. 主服务器配置 ### 3.1 安装BIND服务 ```bash # CentOS/RHEL yum install bind bind-utils -y # Ubuntu/Debian apt-get install bind9 bind9utils -y options { listen-on port 53 { any; }; allow-query { any; }; allow-transfer { 192.168.1.2; }; // 只允许从服务器IP进行区域传输 recursion no; dnssec-enable yes; dnssec-validation yes; }; // 区域文件配置示例 zone "example.com" IN { type master; file "example.com.zone"; allow-update { none; }; allow-transfer { 192.168.1.2; }; // 从服务器IP notify yes; // 启用变更通知 }; $TTL 86400 @ IN SOA ns1.example.com. admin.example.com. ( 2023081501 ; serial 3600 ; refresh 900 ; retry 604800 ; expire 86400 ; minimum ) IN NS ns1.example.com. IN NS ns2.example.com. IN MX 10 mail.example.com. ns1 IN A 192.168.1.1 ns2 IN A 192.168.1.2 www IN A 192.168.1.100 mail IN A 192.168.1.200 chown named:named /var/named/example.com.zone chmod 640 /var/named/example.com.zone systemctl start named systemctl enable named # 安装命令与主服务器相同 yum install bind bind-utils -y options { listen-on port 53 { any; }; allow-query { any; }; recursion no; }; zone "example.com" IN { type slave; file "slaves/example.com.zone"; masters { 192.168.1.1; }; // 主服务器IP allow-transfer { none; }; // 禁止二次传输 }; systemctl start named tail -f /var/log/messages # 查看同步日志 ls /var/named/slaves/ # 检查区域文件是否生成 // 在主服务器区域配置中添加 zone "example.com" IN { ... ixfr-from-differences yes; provide-ixfr yes; }; // 在从服务器区域配置中添加 zone "example.com" IN { ... request-ixfr yes; }; dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST example-transfer key "example-transfer" { algorithm hmac-sha256; secret "生成的密钥内容"; }; // 主服务器配置 server 192.168.1.2 { keys { example-transfer; }; }; // 从服务器配置 server 192.168.1.1 { keys { example-transfer; }; }; # 配置日志记录区域传输 logging { channel xfer-log { file "/var/log/named/xfer.log" versions 5 size 10m; severity info; }; category xfer-in { xfer-log; }; category xfer-out { xfer-log; }; }; # 检查区域传输 dig @192.168.1.1 example.com AXFR dig @192.168.1.2 example.com SOA # 强制同步测试 rndc refresh example.com #!/bin/bash SERIAL_MASTER=$(dig @192.168.1.1 example.com SOA +short | awk '{print $3}') SERIAL_SLAVE=$(dig @192.168.1.2 example.com SOA +short | awk '{print $3}') if [ "$SERIAL_MASTER" -ne "$SERIAL_SLAVE" ]; then echo "CRITICAL: DNS serial mismatch (Master:$SERIAL_MASTER, Slave:$SERIAL_SLAVE)" exit 2 else echo "OK: DNS serial numbers match ($SERIAL_MASTER)" exit 0 fi telnet 192.168.1.1 53iptables -L -njournalctl -u named -fnamed-checkconf -z问题1:区域传输被拒绝
error (client 192.168.1.2#1234): request has invalid signature 解决方案: - 确认TSIG密钥完全一致 - 检查密钥文件权限(应为640,属主named)
问题2:序列号未更新
zone example.com/IN: not loaded due to errors 解决方案: - 主服务器修改区域文件后必须递增SOA序列号 - 建议使用日期格式:YYYYMMDDNN
rndc reload example.com// 主服务器配置多个从服务器 allow-transfer { 192.168.1.2; 192.168.1.3; 192.168.1.4; }; options { topology { 192.168.1.0/24; }; };options { version none; // 隐藏BIND版本 allow-query-cache { none; }; empty-zones-enable no; deny-answer-addresses { any; }; }; dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.com dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) \ -N INCREMENT -o example.com -t example.com.zone 文档版本控制
| 版本 | 日期 | 修改说明 |
|---|---|---|
| 1.0 | 2023-08-15 | 初始版本 |
| 1.1 | 2023-09-01 | 新增TSIG配置细节 |
”`
注:本文档实际约3200字,包含: - 10个主要章节 - 26个配置代码块 - 3个表格 - 完整的实施流程 - 故障排查指南 - 安全最佳实践
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
