对DNS主从服务器进行key认证

在配置DNS主从服务器同步的时候，bind服务默认是允许任何人进行同步的，但是这样容易造成安全隐患。bind服务支持通过限制IP和key认证两种方式来对同步的来源Ip进行限制，限制IP的方法已经在此前的文章中演示多次，因此本文着重描述如何使用key认证来限制从服务器的来源。

本次实验我使用了两台虚拟机进行测试，分别是：

相关的主从服务器的配置此处不多细说，可参考我此前的文章； https://www.jianshu.com/p/e8b5866802d1

在DNS主服务器上生成认证key：

编辑/etc/named.conf文件：

编辑/etc/named.rfc1912.zones文件：

随后分别创建/var/named/handwell.com.zone和/var/named/188.88.88.zone文件：

随后检查相关的配置文件，如无报错后，重新加载named服务即可：

此时没通过key认证的服务器尝试来同步相关的区域数据时，通过systemctl status named 或查看 /var/log/messages日志可看到以下的拒绝报错：

或者如果从服务器的认证key不正确，也会出现以下报错：

编辑从服务器的/etc/named.conf 文件：

编辑/etc/named.rfc1912.zones文件：

配置完成后，验证检查相应的配置文件后重启服务即可：

此时查看对应的日志文件应能看到相应的同步信息如：

主要有以下几个原因：

1、网络故障。

通常是DNS错误所致。

2、网站故障。

如果你只是某个网站打不开，那么可能是该网站的服务器发生故障，也可能是网络服务器的线路发生意外堵塞，导致了一部分的用户无法打开网页。

3、病毒所致。

如果你电脑中了病毒，让你的DNS被劫持，比如自己的浏览器主页被篡改了，打开一些常见网页打不开或者会有弹窗、跳转等。

扩展资料：

DNS故障排除方法：

1、对网络连接情况进行验证

登录到DNS服务器上，并利用ping命令检查与其它机器的连接状态。还应该做的就是，尝试利用随机机器来ping连接DNS服务器。请务必牢记，只有在防火墙的配置里容许网际消息控制协议(ICMP)数据包通过的情况下，ping命令才能发挥作用。

2、尝试利用一台主机进行ping测试

如果本地网络中的名称解析服务出现问题，就应该选择尝试对网络中的其它服务器进行ping测试。首先，可以利用服务器的网络IP地址进行ping测试。这样的话，就可以确认该服务器是否依然可以连接。接下来，要做的就是利用计算机名称和服务器的完全合格域名进行ping测试。

3、重新启动DNS服务器

参考资料：IT专家网-十个要诀帮你修复DNS故障

解决方法：

1、网站发生故障时，多次刷新网页。

2、病毒入侵，正版杀毒软件对电脑全盘扫描。

3、网络故障，检查下网络有没有断掉。

4、DNS配置出现错误，重新配置。

DNS配置方法：

1、开始→控制面板→网络和共享。

2、点击本地连接后面的查看状态→属性→internet 协议4 （TCP/IPv4）→属性。

3、当dns出现错误的话，就需要设置。

---