第1章  简介

目录

1. 简介

1.1. 文档说明

1.2. 本文档的组织方式

1.3. 本文档的一些约定

1.4. 域名服务器（DNS）

Internet的域名服务系统包括 几个等级的入口请求语法，名称设定的规则和名称与IP地址对应的规则。DNS数据保存在一组不同等级的数据库中。

1.1. 文档说明

伯克利Berkeley Internet Name Domain (BIND) 可以在几个系统中使用，本文为系统管理员提供Internet Software Consortium (ISC) BIND version 9的基本安装信息。

此版本为9.2版

1.2. 文档的组织

本文第一节介绍DNS和BIND的概念，第二节介绍在不同环境下运行BIND的资源需求，第三节按照不同的任务进行介绍，帮助安装BIND 9。第四节后按不同任务介绍，包括许多管理员可能需要的高级概念。第五节是简单的BIND 9解析器，第六节按参考书的格式编写，以便软件维护，第七节是安全（security considerations）,第八节是如何排除故障。然后有一些附录，包括DNS的历史、相关的RFC文档等。

1.3. 本文约定

BIND配置文件中:

1.4. 域名服务系统(DNS)

本文的目的是说明安装和升级BIND软件包，我们先从DNS的基本原理开始复习。

1.4.1. DNS原理

DNS系统是一个多级别的、分布的数据库系统。它保存互联网主机名和IP地址的对应关系，也保存IP地址和主机名的对应关系，邮件路由信息（mail routing information？）,和其它一些互联网程序用到的信息。.

DNS中客户程序查找的信息叫解析库（ resolver library）, 它发送一个查询到一个或多个服务器并等待回应，BIND 9包含了域名服务和解析库。

1.4.2. 域和域名

DNS中的数据是按树型结构存储的，或者说是按树型管理的。树的每个节点，称为一个域，由一个库标示。表示节点的域名相互串联 直到根域（root node）。它从右到左写成字符串，中间用“点”（.）分隔。一个域名只需要在它的父域中名字唯一就可以了。

例如，在Example公司中 一个主机的名字可以是mail.example.com,这里com 是最高级的域名，ourhost.example.com 属于这个域, example 是com的的子域, ourhost 是主机的名字。

为了管理方便，名址空间被分隔成一些区，这些区叫做区域（zones）。每一个从一个节点开始，并且延伸至一个叶子节点，或者延伸到另一个区域的开始。每一个区域的数据都存在DNS中，它通过DNS协议应答本区域的DNS查询。

相关的域名数据存储在资源记录中（resource records (RRs)）。所支持的资源记录类型（resource record types ）在Section 6.3.1.中描述。

有关DNS和DNS协议更详细的信息可以查看Section A.4.1.

1.4.3. 区域（Zones）

正确的操作域名服务器，很重要的一点是理解区域（zone）和域（domain）的区别。

如前所述，区域（ zone）是DNS树中一个节点的代表（a point of delegation in the DNS tree）。 一个区域（zone）包含一个域树（domain tree）相邻近的部分，对它来说，一个域名服务器拥有它完整的信息，并拥有管理权。它包含从某一节点以下所有的域名，除了那些连接到其它区的部分（那些部分可能由其它更低级的服务器管理）。一个节点会被一个或者多个父区域的NS 记录（NS records ）标注，它会被从根区域开始逐层匹配。

例如, example.com 域中有host.aaa.example.com 和host.bbb.example.com ，但是example.com 区域中只有aaa.example.com 和 bbb.example.com 两个区域。一个区域（zone）可以精确的映射一个域（domain）, 也可以只包含一个域的部分，其它部分由另一个域名服务器解释。DNS中每一个名字都是一个域，即使它是一个终点（terminal），没有子域（subdomains）。 每一个子域都是一个域，除了根域外所有的域也都是子域。这些术语的意义都不仅是字面可以理解的，建议阅读RFCs 1033, 1034 and 1035来完整理解这些难点和细节。

虽然BIND 叫作 "域名服务软件"，它主要处理“区域”。named.conf 中使用“主”（master）或从（slave）声明区域，而不是域，如果请求一个域的从服务器，实际是请求这个区域信息的一种“收集”（collection of zones）。

1.4.4. 主域名服务器（Authoritative Name Servers）

每个区都至少有一个主域名服务器（authoritative name server），它包含了本区域完整的数据， 为了使DNS服务更稳定，很多区域有两个或两个以上的主域名服务器。

主域名服务器的应答含有"authoritative answer" (AA) 位，这使对DNS配置进行排错时更容易。排错工具可以如dig (Section 3.4.1.1).

1.4.4.1. 管理服务器（The Primary Master）

主域名服务器是区域数据保存的地方，这个服务器也叫“管理服务器”（primary master server）, 或者简称“管理服务器”（primary），它从本地文件中读入数据，这些数据可能是手工输入的，也可能是由某些本地文件生成的，然后再由人来编辑的，这些文件叫“区域数据文件”（ zone file）或“主数据文件” （master file ）。

1.4.4.2. 从属服务器（Slave Servers）

其它的主服务器，从属服务器，也叫第二服务器，从其它服务器中获取区域数据信息，这个过程叫“区域数据传送”（ zone transfer）。典型的传送是从管理服务器传送到从属服务器，但也可能是从另外一个从属服务器中获得数据。也就是说，一个从属服务器对另外一个从属服务器来说，也可能是管理服务器角色。

1.4.4.3. 秘密的服务器（Stealth Servers）

通常区域所有的主域名服务器都监听父区域的NS记录，这些NS记录包含父区域的一个授权， 主域名服务器也会把自己列在区域文件中，作为最高层或者叫顶层。可以在区域的顶层服务器的NS记录中列出不在父NS记录的其它服务器, 但是不能列出不在顶级区域文件中而只在父域中的服务器。（怎么感觉是废话呀）

一个秘密的服务器（stealth server ）是一个主服务器，但没有列在区域的NS记录中。它可以用于保存一个区域的本地文件，它可以加速区域记录的存取，即使所有官方的DNS都失效。

一个管理服务器配置成秘密服务器经常会在配置文件中有"hidden primary" ，使用这个配置常常是因为管理服务器在防火墙后，因此不能直接与外网通讯。

1.4.5. 缓存服务器（Caching Name Servers）

由大多数操作系统提供的解析库（resolver libraries）是很少的（stub resolvers），意味着它们不能通过与管理DNS服务器通讯就完成完整的DNS解析，相反的，他们依靠的是本地DNS解析。这个服务器叫递归查询服务器（ recursive name server），它为本地客户执行递归查询。

为了提高性能，递归查询服务器会存下查询到的结果，递归查询服务器和缓存服务器通常都是一个意思。

缓存中保存一个DNS记录的时间由(TTL)字段规定。

1.4.5.1. 转发（Forwarding）

即使一个缓存服务器不需要执行完整的递归查询，如果它对自己的缓存不满意，它也可以转发部分或所有的查询，通常这时服务器叫转发器（forwarder）。

可能有一个或多个转发器，查询在转发器中查找，直到所有的转发器都找遍了，或者找到了答案。转发器典型的应用是，不希望所有的服务器与其它的互联网服务器相互作用。典型环境包括一组互联网服务器和防火墙，服务器不能通过防火墙传递数据包，而转发器则可以，那个服务器将会使用内网服务器行为查询互联网服务器，另一个好处是，使用转发器特性本地电脑将会有一个很完整的缓存信息。

1.4.6. 多角色域名服务器

BIND域名服务器可以作为区域的管理服务器，从属服务器或者缓存服务器。

然而，虽然主服务器服务和缓存/递归服务器从逻辑上是不同的，也经常在不同的服务器上运行，一个主服务器可以禁止递归 (an authoritative-only server)，来提高可靠性和安全性。不作为任何区域的主服务器，只为本地客户提供递归查询 (a caching-only server) 则不需要暴露在互联网上，因而可以放在防火墙后面。