摘要:
DNS故障转移的基本原理是在多个DNS服务器上配置同样的域名解析记录,当主要的DNS服务器出现故障时,DNS客户端会自动切换到备用的DNS服务器进行域名解析。这样可以确保即使主要的... DNS故障转移的基本原理是在多个DNS服务器上配置同样的域名解析记录,当主要的DNS服务器出现故障时,DNS客户端会自动切换到备用的DNS服务器进行域名解析。这样可以确保即使主要的DNS服务器出现问题,用户也能通过备用的DNS服务器继续访问网站。
具体的工作过程如下:
配置DNS故障转移需要满足以下几个条件:
下面以一个具体的例子来说明如何配置DNS故障转移:
假设网站的域名是example.com,我们需要在两台独立的DNS服务器(dns1.example.com和dns2.example.com)上配置该域名的解析记录。在主要的DNS服务器(dns1.example.com)上添加以下记录:
example.com.INA192.168.1.100www.example.com.INCNAMEexample.com.
在备用的DNS服务器(dns2.example.com)上添加完全相同的记录:
example.com.INA192.168.1.100www.example.com.INCNAMEexample.com.
接下来需要配置健康检查机制,监控主要DNS服务器(dns1.example.com)的工作状态。可以使用各种监控工具定期检查DNS服务器的可用性,一旦发现主要服务器出现故障,就自动切换到备用服务器(dns2.example.com)。
需要在DNS客户端(如路由器、浏览器等)上配置故障转移策略。通常可以设置多个DNS服务器地址,当主要服务器无法响应时,客户端会自动切换到备用服务器进行域名解析。
通过以上步骤,就可以实现DNS故障转移的配置。当主要的DNS服务器出现问题时,用户的访问请求会自动切换到备用服务器,确保网站的持续可用性。这不仅能提高网站的可靠性,还能够减少服务中断带来的损失。
DNS故障转移是一种用于确保网站高可用性的技术。它的工作原理是在多个DNS服务器上配置相同的域名解析记录,当主要的DNS服务器出现故障时,DNS客户端会自动切换到备用的DNS服务器进行域名解析。通过配置健康检查机制和故障转移策略,可以实现DNS故障转移的功能,确保网站的可持续访问。这不仅能提高网站的可靠性,还能够减少服务中断带来的损失。
在Linux系统上安装配置DNS服务器的教程
简介DNS 是计算机域名系统 (Domain Name System 或Domain Name Service) 的缩写,它是由解析器和域名服务器组成的。 域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。 其中域名必须对应一个IP地址,而IP地址不一定有域名。 域名系统采用类似目录树的等级结构。 域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。 将域名映射为IP地址的过程就称为“域名解析”。 在Internet上域名与IP地址之间是一对一(或者多对一)的,也可采用DNS轮循实现一对多,域名虽然便于人们记忆,但机器之间只认IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。 DNS 命名用于 Internet等 TCP/IP网络中,通过用户友好的名称查找计算机和服务。 当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。 因为,你在上网时输入的网址,是通过域名解析系统解析找到了相对应的IP地址,这样才能上网。 其实,域名的最终指向是IP。 [1]
DNS分为Client和Server,Client扮演发问的角色,也就是问Server一个Domain Name,而Server必须要回答此Domain Name的真正IP地址。 而当地的DNS先会查自己的资料库。 如果自己的资料库没有,则会往该DNS上所设的DNS服务器询问,依此得到答案之后,将收到的答案存起来,并回答客户。 DNS服务器会根据不同的授权区(Zone),记录所属该网域下的各名称资料,这个资料包括网域下的次网域名称及主机名称。 在每一个名称服务器中都有一个快取缓存区(Cache),这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址记录快取缓存区中,这样当下一次还有另外一个客户端到此服务器上去查询相同的名称 时,服务器就不用在到别台主机上去寻找,而直接可以从缓存区中找到该笔名称记录资料,传回给客户端,加速客户端对名称查询的速度。 例如:
当DNS客户端向指定的DNS服务器查询网际网路上的某一台主机名称 DNS服务器会在该资料库中找寻用户所指定的名称 如果没有,该服务器会先在自己的快取缓存区中查询有无该笔纪录,如果找到该笔名称记录后,会从DNS服务器直接将所对应到的IP地址传回给客户端 ,如果名称服务器在资料记录查不到且快取缓存区中也没有时,会向最接近的名称服务器去要求帮忙找寻该名称的IP地址 ,在另一台服务器上也有相同的动作的查询,当查询到后会回复原本要求查询的服务器,该DNS服务器在接收到另一台DNS服务器查询的结果后,先将所查询到的主机名称及对应IP地址记录到快取缓存区中 ,最后在将所查询到的结果回复给客户端。
任何运作中的域名至少有两台DNS服务器,一台称为主域名服务器(比如叫做ns1),而另一台称为从域名服务器(比如叫做ns2)。 这些服务器通常用于故障转移:如果一台宕机,另外一台就激活成为DNS服务器(译注:此处译者有不同意见,事实上两个或更多的DNS服务器是共同工作的,并不是第一台停止服务后,第二台才接替工作。 解析器是随机选择一个DNS服务器进行询问,如果超时则会询问下一个,这是多个DNS的故障容错机制)。 也可以实现包括负载均衡、防火墙和集群在内的更为复杂的故障转移机制。
一个域的所有DNS条目都会被添加到主域名服务器,从服务器只会根据主服务器上的SOA记录的序列号参数从主服务器同步所有信息。
此教程将会讲述如何创建一台在CentOS上运行的主DNS服务器。 请注意,本教程中提到的DNS服务器将会是一台开放DNS服务器,这也就是说该服务器将会回应来自任何IP地址的查询。 对于DNS服务器的访问控制将在此教程中讨论。
在开始之前,我想要提一下的是,DNS可以在chroot环境中配置,也可以在非chroot环境中配置。 chroot环境将DNS服务器限制在系统中某个特定目录中,以避免让服务器具有系统级的访问权限。 在此环境中,任何DNS服务器的安全漏洞不会导致整个系统的破坏。 将DNS服务器置于chroot环境中,对于部署测试也很有用。
目标
我们将在基于的测试环境中配置一台DNS服务器,这个域名是虚假的(并不真实存在的)。 这样,我们就不会意外干扰到其它真实的域名。
在该域中,有以下三台服务器。
我们将会配置一台主域名服务器,并添加上表中必要的域和DNS记录。
过程设置主机名
所有的主机名必须以完全限定域名的方式正确定义,可以通过以下方法完成设置。
复制代码 代码如下:# vim /etc/sysconfig/networkHOSTNAME=注:该文件中指定的主机名参数在服务器启动后才会启用(译注:或者网络服务重启后),因此,该设置不会马上生效。下面的命令可以立刻临时性地修改主机名。 复制代码 代码如下:# hostname 一旦设置,主机名可以通过以下命令验证。 复制代码 代码如下:# 在进入下一步之前,请确保上述三台服务器上的主机名已经设置正确。安装软件包
我们将使用bind来配置DNS服务,该软件可以很方便地通过yum来安装。
不使用chroot环境的:
复制代码 代码如下:# yum install bind bind-chroot使用chroot环境的: 复制代码 代码如下:# yum install bind bind-chroot准备配置文件正如前面提到的,bind可以在chroot环境下配置,或者在非chroot环境下配置,配置文件的路径会因为是否安装chroot包而不同。
可以使用默认提供的配置文件,但是为了更方便使用,我们将使用另外一个简单的配置文件模板。
非chroot环境:
复制代码 代码如下:# cp /usr/share/doc/bind-9.8.2/sample/etc/ /etc/环境: 复制代码 代码如下:# cp /usr/share/doc/bind-9.8.2/sample/etc/ /var/named/chroot/etc/现在来备份并修改配置文件。非chroot环境:
复制代码 代码如下:# vim /etc/环境: 复制代码 代码如下:# vim /var/named/chroot/etc/添加/修改以下行: 复制代码 代码如下:options {## 区域文件存放目录 ##directory /var/named;## 对于非本地权威域的请求转发到 Google 的公开 DNS 服务器 ##forwarders { 8.8.8.8; };};## 申明一个本地域 ##zone IN {type master;file example-fz; ## 存储文件名,放在 /var/named ##allow-update { none; };};## 为IP段 172.16.1.0 提供反向解析 ##zone IN {type master;file rz-172-16-1; ## 存储文件名,放在 /var/named ##allow-update { none; };};准备区域文件那些默认的区域文件会自动创建到/var/named 或者/var/named/chroot/var/named (chroot环境)。 如果在这些地方找不到这些文件,/usr/share/doc/bind目录中提供了模板文件,可以从这里拷贝。
假设默认区域文件没有提供,我们可以从/usr拷贝模板文件。
非chroot环境:
复制代码 代码如下:# cp /usr/share/doc/bind-9.8.2/sample/var/named/named.* /var/named/chroot环境: 复制代码 代码如下:# cp /usr/share/doc/bind-9.8.2/sample/var/named/named.* /var/named/chroot/var/named很好!由于现在默认的区域文件已经准备好,我们可以为和172.16.1.0网络创建区域文件了,以下要点必须时刻谨记。区域文件中的特殊字符‘@’意味着空。 (译注:意即代表本域。 )
所有的完全限定域名必须以点‘.’结束。 如.如果没有这个点,你会发生问题。 (译注:即会被当做当前@所代表的域的子域。 )
1. 转发区域(本地权威域)
转发区域包含了名称到IP地址的映射。 对于公开的域,域名托管提供商的DNS服务器存储了转发区域文件。 (译注:转发区域即本地的权威域,由这个服务器自身提供权威的解析数据)
非chroot环境:
复制代码 代码如下:# vim /var/named/example-fzchroot环境: 复制代码 代码如下:# vim /var/named/chroot/var/named/example-fz$TTL 1D@ IN SOA . . ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimumIN NS A 172.16.1.3mail IN A 172.16.1.1 IN MX 10 IN A 172.16.1.2ns1 IN A 172.16.1.3ftp IN CNAME .说明:在区域文件中,SOA是开始授权(Start Of Authority)的意思。它的值的第一段是授权名称服务器的完全限定域名。完全限定域名后面跟着的是电子邮件地址。由于不能在这样的格式中使用‘@’符号(译注:@有特定意义,代表本域。),我们将电子邮件地址重写成.这样的格式。以下是典型的常用DNS记录类型:
NS:域名服务器
A: 地址记录,记录主机名到IP地址的映射(译注,此处原文有误。)
MX: 邮件交换记录。 这里我们只用了一个邮件交换记录,设置其优先级为10。 如果有多个邮件交换记录,我们可以使用多个数值优先级,数字小的优先级最高。 例如,MX 0比MX 1优先级更高。
CNAME: 标准名。 如果在一台单一服务器上托管了多个服务,也很可能将多个名称解析到某个单一服务器。 CNAME指定了一台服务器可能有的其它名称,并且将它们指向具有实际A记录的名称。
2. 反向区域
反向区域包含了IP地址到名称的映射。 这里,我们为172.16.1.0网络创建反向区域。 在正式的域中,公共IP区块的拥有者拥有的DNS服务器存储反向区域文件。 (某些服务,如邮件服务,要求IP地址具备正确的反向解析才能正常工作。 而IP的反向解析,通常是由IP的拥有者如接入商或IDC来负责解析。 )
非chroot环境:
复制代码 代码如下:# vim /var/named/rz-172-16-1chroot环境: 复制代码 代码如下:# vim /var/named/chroot/var/named/rz-172-16-11D ; refresh
3H ) ; minimum
3 IN PTR .说明:除了下面的参数外,反向区域文件中的大多数参数和转发区域文件中的相同。
PTR: IP反向解析记录,指向一个反向限定域名。
结束工作
既然区域文件已经准备好,我们接下来调整它们的权限。
非chroot环境:
复制代码 代码如下:# chgrp named /var/named/*chroot环境: 复制代码 代码如下:# chgrp named /var/named/chroot/var/named/*现在,我们为DNS服务器设置IP地址。 复制代码 代码如下:# vim /etc/ 172.16.1.3最后,我们可以启动DNS服务,并确保将它添加到启动服务中。
复制代码 代码如下:# service named restart# chkconfig named onDNS服务器起动后,建议关注一下日志文件/var/log/messages,这里头包含了后台运行的一些有用信息。如果没有发现错误,我们可以开始测试DNS服务器。测试DNS
我们可以使用dig或者nslookup来测试DNS。 首先,我们需要安装必要的软件包。
复制代码 代码如下:# yum install bind-utils1. 使用dig测试转发区域使用dig来测试时,必须时刻关注状态信息:“NOERROR”,任何其它值都表明存在问题。
复制代码 代码如下:# dig;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:
;; QUESTION SECTION:
;; ANSWER SECTION:
. IN A 172.16.1.3
;; AUTHORITY SECTION:
;; ADDITIONAL SECTION:
. IN A 172.16.1.32. 使用dig测试PTR记录
使用dig来测试时,必须时刻关注状态信息:“NOERROR”,任何其它值都表明存在问题。 (译注,也可用 dig . ptr 来测试。 )
复制代码 代码如下:# dig -x 172.16.1.1;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:
;; QUESTION SECTION:
;; ANSWER SECTION:
;; AUTHORITY SECTION:
;; ADDITIONAL SECTION:
. IN A 172.16.1.33. 使用dig测试MX记录
复制代码 代码如下:# dig mx;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:
;; QUESTION SECTION:
;; ANSWER SECTION:
. IN MX 10 .排错提示
我已经把SELinux关闭。
保证防火墙没有阻挡UDP 53端口
万一出错,可在/var/log/messages中查看到有用的信息
确保区域文件的属主为‘named’
确保DNS服务器的IP地址是/etc/中的第一条目
如果你使用作为实验环境,确保将服务器从互联网断开,因为是一个不存在的域。
最后小结,该教程关注的是实验环境中配置域用作为演示。 请注意,该教程中创建了一台公共DNS服务器,此服务器会回应来自任何源IP地址的查询。 如果你是在配置DNS生产服务器,请确保检查与公共DNS相关的策略。 其它教程涵盖了创建从DNS服务器, 限制对DNS服务器的访问以及部署DNSSEC。
搭建Win2008故障转移群集、如何搭建服务器集群、2008故障转移群集搭建方法
【IT168 技术】故障转移群集可以配置使用多种不同的配置。 组成群集的服务器可以是活跃状态或不活跃状态,而不同服务器可以被配置为在活跃服务器故障后立刻接管相应的资源。 一般故障转移的过程只需要几分钟的时间,至于时间的长短主要取决于群集的配置和具体应用,当节点处于活跃状态时,该节点上可以使用所有资源。
当服务器故障后,在这台服务器上配置了故障转移群集的资源组就会被其他服务器所接管。 当故障服务器重新上线后,群集服务可以配置为允许让原服务器进行故障回复,或者是让当前服务器继续处理新的客户端请求。 本文章将讲述基于Windows Server 2008 R2的故障转移群集实现。
安装故障转移群集:
下面就开始在两个节点上安装群集服务。 在此以server1为例,安装方法是:打开服务器管理器图标----添加功能,从中选择故障转移群集。
当两个节点安装完群集服务后,我们需要运行群集配置验证程序,来检查节点服务器、网络和存储设备是否符合群集要求。
仅当完整配置(服务器、网络和存储)可以通过验证配置向导中的所有测试时,微软才支持故障转移群集解决方式,另外,解决方案中的所有硬件组件均必须标记为certified for windows server 2008 R2。
方法是在server1或者是server2上进入故障转移群集管理器,单击验证配置。如下图所示:
因为我们需要验证的是群集中的所有节点,所以我们需要把所有节点都添加进来,如下图所示:
点击下一步之后,我们需要运行所有测试,如下图所示:
给出验证清单,也就是所要进行验证的项目。点击,下一步之后,开始出现下面的验证过程:
经过耐心的等待后,出现下图所示:
查看报告,只有一处关于网络的IP地址的警告,这应该是检测到节点间只有一块网卡相连,没有实现冗余,这不影响群集的创建。
点击故障转移群集管理器中的创建一个群集,如下图所示:
再次提示添加要加入群集的所有服务器,如下图所示:
下面,我们需要输入用于管理群集的访问点,也就是群集的名称和对应的 VIP。
接着,需要确认所输入的信息是否正确,如下图所示:
点击,下一步,开始创建群集:
最后,出现摘要信息,群集创建结束。
返回到故障转移群集管理器,查看群集的工作状态,可以看到,仲裁磁盘是我们前面所创建的quorum磁盘,如下图所示:
当前的仲裁配置模式是:节点和磁盘多数,这是因为我们所创建的群集是偶数个节点。
如果希望,更改群集的仲裁配置,可以点击下图所示的操作中,在此不再演示。
群集网络的配置:
下面需要对群集内的各个网络进行相应的配置,以确定它们的用途。
针对public网络,我们需要允许客户端进行访问,所以进行下图所示的操作:
注意,千万不要选错了网络,可以观察IP地址,点击属性,出现下图:
Heart网络的配置: 此网络只用于节点间的通讯,所以不应该允许客户端访问,操作同上,取消客户端的访问。 允许群集使用,但不允许客户端访问。
针对store存储网络: 则是不允许群集使用,如下图所示:
群集已经搭建成功了,下面我们就来看看如何在上面安装具体的应用了,本篇先介绍一个简单的应用,实现文件服务器的故障转移群集,我们另一篇文章会详细介绍如何实现SQL Server 2008 R2的故障转移群集。
防火墙准备:节点服务器上必须允许远程卷管理,不然无法在群集内创建共享文件夹。操作方法是在public网络所在网络位置上,允许远程卷管理,如下图所示:
从这个图中可以看出public网络属于域网络,所以,我们只需要在域网络上允许远程卷管理即可。
当然,也可以直接将防火墙禁用。 注意,所有节点上都要进行此步操作。
两个节点上都需要安装文件服务器角色,安装方法是服务器管理---角色----添加角色。如下图所示:
在如上图所示的界面中,选择文件服输,下一步后,出现下图所示,一定要选择文件服务器。
节点2上进行同样的操作,安装文件服务器角色。
然后,回到群集中,单击服务和应用程序,右边的配置服务或应用程序。
选择配置服务或应用程序后,出现下面的界面:
点中,文件服务器,此时系统会检查所有节点中是否已经安装了该服务,如果安装不正确,会报错。接下来需要输入客户端访问点的信息,如下图所示:
在此界面中,需要输入客户端访问此服务或应用程序时将使用的名称。 名称我们就使用clusterFs,IP地址是客户端访问时所要使用的IP地址。 此名称和IP地址会被注册到DNS服务器内。
选择分配给文件服务器的存储磁盘,在此,除了仲裁就是群集磁盘2了,如上图所示。 出现确认信息后,开始进行配置,出现下图,表示配置结束。
回到故障转移群集管理器中,可以看到目前提供此服务的是Server1。
下面,我们就就来添加共享文件夹,点击下图中的添加共享文件夹按钮。
下面我们准备将资源磁盘中的文件夹TMG2010共享出来,供企业员工使用。如下图所示:
接下来,需要设置此文件夹的NTFS的权限,可以根据需要进行更改,我们在此就不做修改了。
在下图所示的界面中,可以设备此共享名,根据需要设置一个便于记忆的,有意义的名称。
下面根据需要,依次进行SMB设置、SMB权限设置、DFS命名空间发布等,我们在此都使用默认值,然后需要对该设置进行复查,下图所示:
点击创建,如果一切正常,就如下图所示:
大势至公司可以独家提供从局域网网络行为管理、电脑资料防止泄密管控和信息安全防护一站式解决方案聚生网管网络管理系统(下载)是一款专门的办公室电脑监控软件、局域网网络控制软件,可以禁止网络游戏、禁止上班炒股、禁止P2P软件下载、禁止在线看视频、局域网限制别人网速等,以及绑定局域网IP和MAC地址,防止ARP攻击行为等。大势至文件共享管理软件(下载)是一款专门的共享文件夹访问日志记录软件、服务器共享文件访问权限设置软件,可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地和禁止拖拽共享文件以及只让修改共享文件而禁止删除共享文件,保护服务器共享文件安全,防止共享文件越权访问。大势至企业数据泄密防护系统(下载)是一款专门保护电脑文件安全,防止U盘复制文件、禁用USB端口的软件,同时还可以屏蔽邮件附件、禁止登录网盘上传文件、禁止FTP软件发送文件、禁止微信发送文件、禁止QQ发送文件等,防止各种途径泄密。大势至局域网接入认证系统(下载)是一款专业的局域网网络准入控制系统,有效阻止外来电脑接入局域网、禁止外来上网上网、禁止非单位电脑访问局域网共享文件、隔离局域网电脑、进行IP和MAC地址绑定、禁止修改IP地址等,保护局域网安全。什么是DNS
DNS,即域名系统或域名服务,是互联网上的主机分配域名地址与IP地址的系统。 用户使用域名地址时,DNS系统会自动将域名地址转换为对应的IP地址。 DNS服务器执行域名服务,是DNS系统运行的核心工具。 DNS服务器接受域名查询请求,提供域名解析服务。 每个域名至少有一个DNS服务器,通常为两个。 设置多个DNS服务器是为了实现故障转移,确保在某个DNS服务器出现问题时,仍能获取到域名解析结果。 要确定域名的DNS服务器,可以通过查询域名解析结果来实现。 例如,查询结果为、,表示当前域名由、负责解析,其他DNS服务器的配置无效。 DNS服务器可以被修改,但生效需要24-72小时。 Internic等域名管理系统在24小时后会显示修改信息。 修改DNS服务器后,域名解析不会中断,只要在新旧服务器上都做好解析配置。 DNS服务器具有缓存功能,分别存在于访问者的计算机和ISP接入商处。 当访问某个域名时,计算机首先检查本地缓存中是否有该域名的记录。 如果有,直接调用,不再进行查询。 如果本地缓存中没有记录,计算机将向ISP接入商的DNS查询。 ISP的DNS服务器缓存域名记录,除非有新的记录,否则不会刷新。 ISP的DNS缓存时间通常为1小时。 如果两次查询间隔超过1小时,DNS服务器将重新从域名服务器获取数据。 因此,刷新DNS缓存非常重要,以确保获取到最新的域名解析结果。 了解这一原理有助于理解为何新注册的域名能够快速生效,而修改域名则需要较长时间。 很多域名服务系统并非实时刷新DNS记录。 通常会设置刷新间隔,如10分钟,以减少服务器资源消耗和避免频繁刷新导致的解析延迟。 在刷新过程中,DNS服务器暂时不能提供解析服务,通常持续约5秒。 这期间,域名商的DNS服务可能暂时不可用。