历史上最详细的Linux DNS配置教程 推荐

朋友们好，我也是一个刚刚接触Linux的 ，对于Linux下的DNS配置有点复杂，我也在网上搜索了好久，经过我的整理做了这个教程。希望给广大Linux新手朋友们一点帮助。

任务1：构建主域名服务器

任务2：构建辅助域名服务器

任务3：测试DNS服务

任务4：缓存DNS服务的配置与测试

任务5：DNS转发器的配置

任务6：新建子域及子域委派。

建立两个虚拟机

1#ifconfig

2#netconfig

3ip address 192168131

netmask: 2552552550

default gateway: 19216813154

primary nameserver: 192168131

4# service network restart

5ifconfig

6rpm -ql |grep bind

--查看安装的和dns相关的软件包。

bind-utils-924-2

ypbind-1172-2

bind-624-2

bind-libs-924-2

7#rpm -qa |grep caching

caching-nameserver-73-3

8#rpm -ql caching-nameserver

--可以看到好到十一个文件。

有主配置文件和区域文件。

/var/named/namedca--目前互联网上的的根域服务器清单。

9#service named start

10#cat /var/named/namedca

我们现在配置主dns服务器。

1ll /etc/namedconf

-rw-r--r-- 1 root root 1323 Aug 26 2010 /etc/namedcom

2ll /var/named/

--可以看到九个文件

3vi /etc/namedconf

默认用六个配置。

我们复制

zone"localhsot" IN {

type master;

file "localhostzone";

allow-update {nane; };

};

zone "00127in-addrarpa" IN {

type master;

file "localhostzone";

allow-update {none; };

};

粘贴到下面，修改一下域名和区域。

zone "xapccom" IN {

type master;

file "xapccomzone";

allow-update {none; };

};

zone "13168192in-addrarpa" IN {

type master;

file "xapccomrev";

allow-update {none;};

};

:wq

4#clear

5#cd /var/named

6#ll

7#cp localhostzone xapccomzone

8#cp namedlocal xapccomrev

9#vi xapccomzone

--我们要修改里面的配置了

@ IN SOA root (

42 ; serial(dadams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS @

IN A 172001

IN AAAA ::1

---------------这是系统默认的配置。我们要修改了

@ IN SOA dns1xapccom rootxapccom (

42 ; serial(dadams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS dns1xapccom

IN NS dns2xapccom

IN MX 5 mailxapccom

dns1 IN A 192168131

dns2 IN A 192168132

www IN CNAME dns1xapccom

ftp IN CNAME dns2xapccom

mail IN CNAME dns2xapccom

:wq

10#vi xapccomrev

@ IN SOA localhostrootlocalhost (

132323232 ; Serial

28808 ; Refresh

14400 ; Retry

3600000 ; Expire

86400 ) ; Mimimum

IN NS localhost

1 IN PTR localhost

-----------以上是默认的配置，我们要修改了

@ IN SOA dns1xapccom rootxapccom (

132323232 ; Serial

28808 ; Refresh

14400 ; Retry

3600000 ; Expire

86400 ) ; Mimimum

IN NS dns1xapccom

IN NS dns2xapccom

1 IN PTR dns1xapccom

1 IN PTR wwwxapccom

2 IN PTR dns2xapccom

2 IN PTR ftpxapccom

:wq

11# named-checkconf

--如果没有提示说明成功了

12# named-checkzone xapccom xapccomzone

13#service named restart

14#nslookup

service 192168131-----联系一下。

15#ifconfig

16#ping 192168131

17#netstat -ntl

18#cat /etc/resolvconf

nameserver 192168131

19#nslookup wwwxapccom

server: 192168131

Adderss: 192168131#53

wwwxapccom cononical name = dns1xapccom

Name: dns1xapccom

Address: 192168131

20#nslookup ftpxapccom

server: 192168131

Adderss: 192168131#53

ftpxapccom canonical name = dns2xapccom

Name: dns2xapccom

Address: 192168132

----以上都的正向解析。

----下面开始反相解析了

21nslookup 192l68132

Server: 192168131

Address: 192168131#53

213168192in-addrarpa name = ftpxapccom

213168192in-addrarpa name = dns2xapccom

22cat /etc/resolvconf

nameserver 192168131

---默认保存在这个文件中，会上这个文件中去找。

23#ping dns1xapccom

24 #nslookup

server ip地址 --这里可以临时改变DNS服务器。

set type=mx

xapccom

Server: 192168131

Address: 192168131#53

xapccom mail exchamger = 5 mailxapccom

set type=a

mailxapccom

Server: 192168131

Address: 192168131#53

mailxapccom comomical name = dns2xapccom

Name: dns2xapccom

Address: 192168132

exit

上面是正向和反向的配置。

二：现在我们配置辅助服务器。

好了，我们现在进入第二台虚拟机上

1#ifconfig

2#netconfig

ip address: 192168132

netmask: 2552552550

default gateway : 19216813254

primary nameserver: 192168132

3#service network restart

4#ifconfig

5#ping 192168131

6# rpm -qa | grep bind

bind-utils-924-2

ypbind--1172-3

bind-9244-2

bind-libs-924-2

7#rpm -q cachimg-nameserver

cachim-nameserver-73-3

8vi /etc/namedconf

zone"localhsot" IN {

type master;

file "localhostzone";

allow-update {nane; };

};

zone "00127in-addrarpa" IN {

type master;

file "localhostzone";

allow-update {none; };

};

-----这是它默认的配置，我们要添加配置内容。

zone "xapccom" IN {

type slave;

file "slaves/xapccomzone";

masters {192168131; };

};

zone "13168192in-addrarpa" IN {

type slave;

file "slaves/xapccomrev";

masters {192168131;};

};

:wq

9#ll /var/named/

--可以看到九个文件

10#ll /var/named/slaves/

total 0

11#service named start

12#ll /var/named/slaves

-rw---- 1 named named 436 xapccomrev

-rw---- 1 named named 424 xapccomzone

13#nslookup ftpxapccom

Server: 192168132

Address: 192168132#53

ftpxapccom canonical name = dns2xapccom

Name: dns2xapccom

Address: 192168132

14#nslookup 192168131 --反向解析

Server: 192168132

Address: 192168132#53

113168192in-addrarpa name = wwwxapccom

113168192in-addrarpa name = dns1xapccom

我们可不可以做 有些区域我是辅助的，有些区域我是主服务器。

我们要做下一个实验了

1#vi /etc/namedconf

zone "xapccom" IN {

type slave;

file "slaves/xapccomzone";

masters {192168131; };

};

zone "13168192in-addrarpa" IN {

type slave;

file "slaves/xapccomrev";

masters {192168131;};

};

---- 这是前面配置好的结果，我们现在要在添加配置。

zone "pcgjcom" IN {

type master;

file "pcgjcomzone";

allow-update {none; };

};

:wq

2# cd /var/named

3#ll

4#cp localhostzone pcgjcomzone

5#vi pcgjcomzone

@ IN SOA @ root (

42 ; serial(dadams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS @

IN A 172001

IN AAAA ::1

---------------这是系统默认的配置。我们要修改了

@ IN SOA dnspcgjcom rootpcgjcom(

42 ; serial(dadams)

3H ; refresh

15W ; retry

1W ; expiry

1D ) ; minimum

IN NS dnspcgjcom

dns IN A 192168132

:wq

6#service named restart

7#nslookup dnspcgjcom

Server: 192168132

Address: 192168132#53

Name: dnspcgjcom

Address: 192168132

8#nslookup dns1xapccom

Server: 192168132

Address: 192168132#53

Name: dns1xapccom

Address: 192168131

现在反向解析的问题。所以要会到主服务器上配置。

9#vi /xapccomrev

只增加一行配置。

2 IN PTR dnspcgjcom

注意： 132323232 ; Serial要改为 132323233 ; Serial 要在新的配置上加‘1’这样可以更新。

：wq

10#service named restart

11#nslookup 192168132

Server: 192168131

address: 192168131#53

213168192in-addrarpa name = ftpxapccom

213168192in-addrarpa name = dns2xapccom

213168192in-addrarpa name = dnspcgjcom

现在我们在回到客户端：

12#cat slaves/xapccomrev

可以看的配置文件

如：

2 PTR dnspcgjcom

PTR ftpxapccom

PTR dns2xapccom

13#nslookup 192168132 --反向解析

Server: 192168132

Address: 192168132#53

213168192in-addrearpa name = ftpxapccom

213168192in-addrearpa name =dns2xapccom

213168192in-addrearpa name = dnspcgjcom

14#nslookup dnspcgjcom

Server: 192168132

Address: 192168132#53

Name: dnspcgjcom

Address: 192168132

好了 ！

现在我们要在做一个新的实验

DNS的转发

我们还是在辅助dns服务器上配置

1#service named stop

2#ll

3vi /etc/nameconf

我们要添加两个转发配置，我们还要把科研解析的配置删除掉。只保留“pcgjcom”因为他不能解析服务器。

statistics-file "/var/named/data/name_statstxt"

forward only;

forwarders {192168131;};

:wq

如果不放心的话，我们可以查看有没有错误。

4#named-checkconf

5#service named restart

这台计算机已经不是辅助的DNS服务器了

6# ll

7#ll slaves/

可以看到两个配置文件。

8#rm slaves/

9# nslookup wwwxapccom

Server: 192168132

Address: 192168132#53

nom-authoritative answer;---非权威

wwwxapccom camomical name = dns1xapccom

Name: dns1xapccom

Address: 192168131

10#nslookup dnspcgjcom

Server: 192168132

Address: 192168132#53

Name: dnspcgjcom

Address: 192168132

我们能不能让部分区域转发，两个域，我让这个区域转发给你，其他域，我可以找根。

我们还在辅助dns上修改配置文件。

1#vi /etc/namedconf

我们们要注释掉两个配置内容。在新建一个区域。

// forward only;

// forwarders {192168131; };

zone "xapccom" IN {

type forward;

forward only;

forwarder {192168131; };

};

:wq

2#service named restart

3#nslookup ftpxapccom

Server: 192168132

Address: 192168132#53

Nom-authoritative answer;

ftpxapccom camomical name = dns2xapccom

Name: dns2xapccom

Address: 192168132

4#nslookup 192168132

它解析不了，因为没有让这个区域转发，也找不到根。

所以我们可以让一个区域转发，其他区域找根。

DNS服务器的主要测试方法；

我们使用nslookup,dig和host等专用工具可以对DNS服务器进行较全面的测试。

使用nslookup测试DSN服务器1

(1)进入nslookup命令交换环境

# nslookup

(2)设置使用指定的DNS服务器

server 19216812

(3)测试localhost主机域名的正向解析

localhost

(4)测试localhost主机域名的反向解析

127001

在辅助dns上练习一下：

1#nslookup

server 192168131

Default server: 192168131

Address: 192168131#53

192168132

Server: 192168131

Address: 192168131#53

213168192in-addrarpa name=dnspcgjcom

213168192in-addrarpa name=ftpxapccom

213168192in-addrarpa name=dns2xapccom

exit

使用nslookup测试DSN服务器2

(1)测试互联网中的域名解析

wwwyahoocomcn

(2)测试testcom域中的A记录

host1testcom

(3)测试testcom域中的PTR记录

192168111

(4)测试testcom域中的CNAME记录

wwwtestcom

使用nslookup测试DSN服务器3

(1)测试testcom域中的NS记录

set type=ns

testcom

(2)测试testcom域中的MX记录

set type=mx

testcom

(3)设置进行A记录的测试

set type=a

使用dig命令测试DNS服务器1

dig @dns域名或ip 区域 记录类型

eg： dig @192168132 xapccom NS

意思是到192168132这个网段来挖掘xapccom这个区域中的NS记录，结果会显现NS所以得记录。

我们在辅助dns上演示一下

1#dig @192168132 xapccom NS

2ll /var/name/namedca

--保存了所有的根域服务器的域名解析，dns的清单这个文件是怎么是得到的那。它就是用dig命令得到的。

dig @aroot-serversnet NS/var/named/namedca

好了 下面我们在讲一个重要的内容。

DNS子域的委派。

这两台服务器是父子关系。但两个人各有各得dns服务器来解析。

好了，我们现在从辅助dns上开始吧。

1：#pwd

/var/named

2: #vi /etc/namedconf

zone "0in-addrarpa" IN {

type master;

file"namedzero";

allow-update{none; };

};

zone "pcgjcom" IN {

type master;

file "pcgjcomzone";

allow-update {none; };

};

zone "xapccom" IN {

type forward;

forward only;

forwarders {192168131; };

};

----上面是前面修改好的我们要删除一些配置，

下面在添加一些内容。

zone "caxapccom" IN {

type master;

file "caxapccomzone";

ailow-update {none; };

};

：ok

我们还要新建一个caxapccomzone文件

2#ll

3#cp pcgjcomzone caxapccomzone

4#vi caxapccomzone

@ IN SOA dnspcgjcom rootpcgjcom(

42 ; serial(dadams)

3H ; refresh

15W ; retry

1W ; expiry

1D ) ; minimum

IN NS dnspcgjcom

dns IN A 192168132

----这是前面我们修改好的文件，我们要修改它。

@ IN SOA dnscaxapccom rootcaxapccom(

42 ; serial(dadams)

3H ; refresh

15W ; retry

1W ; expiry

1D ) ; minimum

IN NS dnscaxapccom

dns IN A 192168132

www IN A 192168131

:wq

5:# service named restart

6:# nslookup wwwcaxapccom

Server: 192168132

Address: 192168132#53

Name: wwwcaxapccom

Address: 192168131

现在我们来的主服务器，看看主服务器能不能解析，它能解析它的孙子吗？

7：#nslookup wwwcaxapccom

---不能解析的，因为没有做委派，所以不能解析。

8：#vi /etc/namedconf

做委派是时候不需要修改主配置文件。

我们只需要修改xapccomzone这个住配置文件就好了

9：#vi xapccomzone

@ IN SOA dns1xapccom rootxapccom (

42 ; serial(dadams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS dns1xapccom

IN NS dns2xapccom

IN MX 5 mailxapccom

dns1 IN A 192168131

dns2 IN A 192168132

www IN CNAME dns1xapccom

ftp IN CNAME dns2xapccom

mail IN CNAME dns2xapccom

-------这是前面我们修改好的， 我们还要修改此文件。

@ IN SOA dns1xapccom rootxpaccom(

42 ; serial(dadams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS dnscaxapccom

IN NS dns1xapccom

IN NS dns2xapccom

IN MX 5 mailxapccom

dns1 IN A 192168131

dns2 IN A 192168132

www IN CNAME dns1xapccom

ftp IN CNAME dns2xapccom

mail IN CNAME dns2xapccom

dnsca IN A 192168132

:wq

10:#services named restart

11:#nslookup wwwcaxapccom

Server: 192168131

Address: 192168131#53

Non-authoritative amswer:

Name: wwwcaxapccom

Address: 192168131

ok了， 所以的实验都完成了

我们可以的课后练习一下。

任务1：构建主域名服务器

任务2：构建辅助域名服务器

任务3：测试DNS服务

任务4：缓存DNS服务的配置与测试

任务5：DNS转发器的配置

任务6：新建子域及子域委派。

使用本主题中的过程从独立的 Windows Server 2008 R2 或提供 Active Directory 证书服务 (AD CS） 的 Windows 服务器 2008 R2 SP1–based 计算机获取证书。您可以使用 certreq 中的命令行实用程序来请求和接受证书，并使用 Web 界面来提交和检索您的证书。

它假定您有安装 AD CS、 正在使用 HTTPS 绑定，并且其相关联的证书已安装。主题中提供了有关创建 HTTPS 绑定的信息 如何为 Windows 服务器 2008 CA [om12] 配置 HTTPS 绑定

重要

本主题的内容根据默认设置的 Windows 服务器 2008 AD CS ； 例如，将密钥长度设置为 2048，CSP，作为选择 Microsoft 软件密钥存储提供程序，并使用安全哈希算法 1 (SHA1)。评估这些选项对您公司的安全策略的要求。

若要从独立证书颁发机构 (CA) 获取证书的高级过程如下所示：

1下载的受信任根 (CA) 证书

2导入受信任的根 (CA) 证书

3创建一个安装程序信息文件若要使用 certreq 中的命令行实用程序。

4创建请求文件

5将请求提交到 CA 使用请求文件

6批准挂起的证书请求

7从 CA 检索证书

8将证书导入证书存储区

9将证书导入使用 MOMCertImport 的运营经理

下载的受信任根 (CA) 证书

若要下载的受信任根 (CA) 证书

1在登录到计算机所需安装证书 ； 例如，网关服务器和管理服务器。

2启动 Internet Explorer，并连接到计算机承载证书服务 ； 示例： 例如，https://<服务器名称>/certsrv。

3在“欢迎”页上，单击“下载 CA 证书、证书链或 CRL”。

4在下载 CA 证书，证书链或 CRL 页上，单击编码方法，请单击 Base 64，然后单击 下载 CA 证书链。

5在文件下载 对话框中，单击 保存和保存证书 ； 例如， Trustedcap7b。

6当下载完成后时，关闭 Internet Explorer。

导入受信任的根 (CA) 证书

若要导入受信任的根 (CA) 证书

1在 Windows 桌面上，单击“开始”，然后单击“运行”。

2在运行 对话框中，键入 mmc 中， ，然后单击确定。

3在“Console1”窗口中，单击“文件”，然后单击“添加/删除管理单元”。

4在“添加/删除管理单元”对话框中，单击“添加”。

5在“添加独立管理单元”对话框中，单击“证书”，然后单击“添加”。

6在“证书管理单元”对话框中，选择“计算机帐户”，然后单击“下一步”。

7在“选择计算机”对话框中，确保选择“本地计算机：（运行此控制台的计算机）”选项，然后单8击“完成”。

8在“添加独立管理单元”对话框中，单击“关闭”。

9在“添加/删除管理单元”对话框中，单击“确定”。

10在控制台 1 窗口中，展开证书 （本地计算机），展开 受信任的根证书颁发机构，然后单击 证书。

11用鼠标右键单击证书，请选择 的所有任务，然后单击 导入。

12在证书导入向导中，单击下一。

13在导入的文件 页上，单击 浏览 和选择下载 CA 证书文件，例如，TrustedCAp7b，选择该文件，该位置，然后单击 打开。

14在导入的文件 页上，选择 将所有证书都放入下列存储区 并确保 受信任的根证书颁发机构 出现在 的证书存储区 框中，然后再单击 下一。

15在完成证书导入向导 页上，单击 完成。

创建一个安装程序信息文件

若要创建安装信息 (inf) 文件

1在承载您正在为其请求证书的操作管理器功能的计算机，请单击开始，然后单击 运行。

2在运行 对话框中，键入 记事本，然后单击 确定。

3创建包含以下内容的文本文件：

[] NewRequest

主题 ="CN =<的计算机创建证书，例如，网关服务器或管理服务器的 FQDN。>"

可导出 = TRUE

KeyLength = 2048年

KeySpec = 1

KeyUsage = 0xf0

MachineKeySet = TRUE

[] EnhancedKeyUsageExtension

OID=136155731

OID=136155732

4Inf 文件扩展名，例如，RequestConfiginf 与保存该文件。

5关闭记事本。

创建请求文件

若要创建使用独立的 CA 申请文件

1在承载您正在为其请求证书的操作管理器功能的计算机，请单击开始，然后单击 运行。

2在“运行”对话框中，键入 cmd，然后单击“确定”。

3在命令窗口中，键入 certreq 中名-新建 – f RequestConfiginf CertRequestreq，然后按 enter 键。

4用记事本打开生成的文件 （例如，CertRequestreq）。复制到剪贴板上此文件的内容。

将请求提交到 CA 使用请求文件

若要向独立 CA 提交一个请求

1承载您请求证书的操作管理器功能的计算机，启动 Internet Explorer，然后连接到提供证书服务的计算机 （例如，https://<服务器名称>/certsrv)。

注释

如果没有证书服务 Web 站点上配置 HTTPS 绑定，则浏览器将无法连接。有关详情，请参阅如何为 Windows 服务器 2008 CA [om12] 配置 HTTPS 绑定。

2在 Microsoft 活动目录证书服务欢迎 屏幕中，单击 请求一个证书。

3在请求一个证书 页上，单击 高级的证书申请。

4在高级证书申请 页上，单击 提交证书申请使用 64 编码 CMC 或 PKCS #10 文件，或通过使用 64 编码的 PKCS #7 文件提交续订请求。

5在提交的证书申请或续订请求 页面，在 保存请求 文本框中，CertRequestreq 文件中复制的内容的步骤 4 中先前的操作过程，然后单击的粘贴 提交。

6关闭 Internet Explorer。

批准挂起的证书请求

批准挂起的证书申请

1登录到承载 Active Directory 证书服务的计算机证书颁发机构管理员。

2在 Windows 桌面上，请单击开始，指向 程序，指向 管理工具，然后单击 证书颁发机构。

3在“证书颁发机构”中，展开您的证书颁发机构名称的节点，然后单击“挂起的申请”。

4在结果窗格中，右键单击上述过程中挂起的申请，指向“所有任务”，然后单击“颁发”。

5单击“颁发的证书”，然后确认您刚颁发的证书已列出。

6关闭证书颁发机构。

从 CA 检索证书

检索证书

在登录到计算机所需安装证书 ； 例如，网关服务器和管理服务器。

启动 Internet Explorer，并连接到提供证书服务的计算机 （例如，https://<服务器名称>/certsrv)。

在 Microsoft 活动目录证书服务欢迎 页上，单击 查看挂起的证书申请的状态。

在“查看挂起的证书申请状态”页上，单击您申请的证书。

在证书颁发的 页上，选择 Base 64 编码，然后单击 下载证书。

在文件下载-安全警告 对话框中，单击 保存，并保存该证书 ； 例如，作为 NewCertificatecer。

在“证书已安装”页面上，在您看到“您的新证书已经成功安装”消息之后，请关闭浏览器。

关闭 Internet Explorer。

将证书导入证书存储区

若要将证书导入证书存储区

在承载您配置证书的操作管理器功能的计算机，请单击开始，然后单击 运行。

在“运行”对话框中，键入 cmd，然后单击“确定”。

在命令窗口中，键入 certreq 中 –Accept NewCertifiatecer，然后按 enter 键。

将证书导入使用 MOMCertImport 的运营经理

若要将证书导入使用 MOMCertImport 的运营经理

登录到管理员组的成员的帐户安装证书的计算机上。

在 Windows 桌面上，单击“开始”，然后单击“运行”。

在“运行”对话框中，键入 cmd，然后单击“确定”。

在命令提示符处，键入 <驱动器号>:(其中<驱动器盘符> 是驱动器其中 Operations Manager安装媒体的位置），然后按 enter 键。

类型 cd\SupportTools\i386，然后按 enter 键。

注释

在 64 位计算机上，键入 cd\SupportTools\amd64

键入下列命令：

MOMCertImport /SubjectName <证书使用者名称>

按 Enter。

1注释

机器翻译免责声明：本文由计算机系统在未经人为干预的情况下翻译。Microsoft 提供机器翻译来帮助非英语用户阅读有关 Microsoft 产品、服务和技术的内容。由于本文为机器翻译，因此可能包含词汇、句法或语法方面的错误。

1、创建私有CA并进行证书申请。

1 ：创建 CA 私钥

$ openssl genrsa -des3 -out cakey 4096

2 ：生成 CA 的自签名证书，其实 CA 证书就是一个自签名证书

$ openssl req -new -x509 -days 365 -key cakey -outcacrt

3 ：生成需要颁发证书的私钥

$ openssl genrsa -des3 -out serverkey 4096

4 ：生成要颁发证书的证书签名请求

Ps:证书签名请求当中的 Common Name 必须区别于 CA 的证书里面的 Common

Name

$ openssl req -new -key serverkey -out servercsr

5 ：创建一个ext文件，内容如下

keyUsage = nonRepudiation, digitalSignature,keyEncipherment

extendedKeyUsage = serverAuth, clientAuth

subjectAltName=@SubjectAlternativeName

[ SubjectAlternativeName ]

DNS1=abccom

DNS2=abccom

6 ：用 2 创建的 CA 证书给 4 生成的 签名请求 进行签名

$ openssl x509 -req -days 365 -extfile httpext -inservercsr -CA cacrt -CAkey cakey -set_serial 01 -out servercrt

7 ：最终会得到一下几个文件

cacrt: 这个是ca证书，客户端信任该证书意味着会信任该证书颁发出去的所有证书

cakey: ca证书的密钥

serverkey: 服务器密钥，需要配置的

servercsr: 证书签名请求,通常是交给CA机构，这里我们就自己解决了

servercrt: 服务器证书，需要配置的

2、总结ssh常用参数、用法

ssh命令是ssh客户端，允许实现对远程系统经验证地加密安全访问。ssh客户端配置文件是：/etc/ssh/ssh_config

ssh

命令配合的常见选项：

-p port

：远程服务器监听的端口

ssh 19216818 -p 2222

-b

指定连接的源IP

ssh 19216818 -p 2222 -b 192168188

-v

调试模式

ssh 19216818 -p 2222 -v

-C

压缩方式

-X

支持x11转发支持将远程linux主机上的图形工具在当前设备使用

-t

强制伪tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh

remoteserver3

-o option

如：-oStrictHostKeyChecking=no

-i

指定私钥文件路径，实现基于key验证，默认使用文件：~/ssh/id_dsa,

~/ssh/id_ecdsa,/ssh/id_ed25519

，/ssh/id_rsa等

3、总结sshd服务常用参数。服务器端的配置文件: /etc/ssh/sshd_config

常用参数：

Port #

端口号

ListenAddress ipLoginGraceTime 2m #

宽限期

PermitRootLogin yes #

默认ubuntu不允许root远程ssh登录

StrictModes yes #

检查ssh/文件的所有者，权限等

MaxAuthTries 6

MaxSessions 10 #

同一个连接最大会话

PubkeyAuthentication yes #

基于key验证

PermitEmptyPasswords no #

空密码连接

PasswordAuthentication yes #

基于用户名和密码连接

GatewayPorts no

ClientAliveInterval 10 #

单位:秒

ClientAliveCountMax 3 #

默认3

UseDNS yes #

提高速度可改为no

GSSAPIAuthentication yes #

提高速度可改为no

MaxStartups #

未认证连接最大值，默认值10

Banner /path/file

以下可以限制可登录用户的办法：

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

ssh

服务的最佳实践建议使用非默认端口禁止使用protocol version 1

限制可登录用户设定空闲会话超时时长利用防火墙设置ssh访问策略仅监听特定的IP地址基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom| head -c 12|

xargs

使用基于密钥的认证禁止使用空密码禁止root用户直接登录限制ssh的访问频度和并发在线数经常分析日志

4、搭建dhcp服务，实现ip地址申请分发

一、配置DHCP服务器

1、安装DHCP服务器软件

[root@centos01 ~]# mount /dev/cdrom /mnt/<!--挂载操作系统光盘-->

mount: /dev/sr0 写保护，将以只读方式挂载

[root@centos01 ~]# rm -rf /etc/yumreposd/CentOS-<!--删除系统自动yum源-->

[root@centos01 ~]# yum -y install dhcp<!--安装DHCP服务 -->

2、建立主配置文件dhcpdconf

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf<!--编辑主配置文件-->

:r /usr/share/doc/dhcp-425/dhcpdconfexample<!--读取默认配置文件-->

ddns-update-style none;<!--禁用DNS动态更新-->

option domain-name "benetcom";<!--指定默认搜索域-->

option domain-name-servers 202106010, 202106020; 

<!--指定DNS服务器地址-->

default-lease-time 600;<!--默认租约时间-->

max-lease-time 7200;<!--最大租约时间-->

1）/etc/dhcp/dhcpdconf文件的配置构成

在主配置文件dhcpdconf中，可以使用声明、参数、选项这三种类型的配置，各自的作用和表现形式如下所述：

声明：用来描述dhcpd服务器中对网络布局的划分，是网络设置的逻辑范围。常见的声明是subnet、host，其中subnet声明用来约束一个网段。host声明用来约束一台特定主机。

参数：由配置关键字和对应的值组成，总是以“;”（分号）结束，一般位于指定的声明范围之内，用来设置所在范围的运行特性（如默认租约时间、最大租约时间等）。

选项：由“option”引导，后面跟具体的配置关键字和对应的值，也是以“;”结束，用于指定分配给客户机的各种地址参数（如默认网关地址、子网掩码、DNS服务器地址等）。

2）确定dhcpd服务的全局配置

为了使配置文件的结构更加清晰、全局配置通常会放在配置文件dhcodconf的开头部分，可以是配置参数，也可以是配置选项。常用的全局配置参数和选项如下所述：

ddns-update-style：动态DNS更新模式。用来设置与DHCP服务相关联的DNS数据动态更新模式。在实际的DHCP应用中很少用到该参数。将值设为“none”即可。

default-lease-time：默认租约时间。单位为秒，表示客户端可以从DHCP服务器租用某个IP地址的默认时间。

max-lease-time：最大租约时间。单位为秒，表示允许DHCP客户端请求的最大租约时间，当客户端未请求明确的租约时间时，服务器将采用默认租约时间。

option domain-name：默认搜索区域。未客户机指定解析主机名时的默认搜索域，该配置选项将体现在客户机的/etc/resolvconf配置文件中，如“search benetcom”。

option domain-name-servers：DNS服务器地址。为客户端指定解析域名时使用的DNS服务器地址，该配置选项同样将体现在客户机的/etc/resolvconf配置文件中，如“nameserver 202106020”。需要设置多个DNS服务器地址时，以逗号进行分隔。

3）确定subnet网段声明

一台DHCP服务器可以为多个网段提供服务，因此subnet网段声明必须有而且可以有多个。例如，若要DHCP服务器为1921681000/24网段提供服务，用于自动分配的IP地址范围为192168100。100~192168100200，为客户机指定默认网关地址为192168100254，则ke可以修改dhcpdconf配置文件，参考以下内容调整subnet网段声明：

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf<!--编辑主配置文件-->

subnet 1921681000 netmask 2552552550 {<!--声明网段地址-->

range 192168100100 192168100200;<!--设置地址池，可以有多个-->

option routers 192168100254;<!--指定默认网关地址-->

}

4）确定host主机声明

host声明用于设置单个主机的网络属性，通常用于为网络打印机或个别服务器分配固定的IP地址（保留地址），这些主机的共同特点是要求每次获取的IP地址相同，以确保服务的稳定性。

host声明通过host关键字指定需要使用保留地址的客户机名称，并使用“hardware ethernet”参数指定该主机的MAC地址，使用“fixed-address”参数指定保留给该主机的IP地址。例如，若要为打印机prtsvr（MAC地址为00:0C:29:0D:BA:6B）分配固定的IP地址192168100101，可以修改dhcpdconf配置文件，参考以下内容在网段声明内添加host主机声明。

C:\Users\Administrator>getmac

物理地址            传输名称

=================== =======================================================

00-0C-29-0D-BA-6B  \Device\Tcpip_{92E3F48B-40F0-4A0D-9604-6386AAAE3233}<!--客户端获取MAC地址-->

[root@centos01 ~]# vim /etc/dhcp/dhcpdconf

host win7 {

hardware ethernet 00:0C:29:0D:BA:6B;<!--客户机的MAC地址-->

fixed-address 192168100101;<!--分配给客户机的IP地址-->

}

3、启动dhcpd服务

在启动dhcpd服务之前，应确认提供DHCP服务器的网络接口具有静态指定的固定IP地址，并且至少有一个网络接口的IP地址与DHCP服务器中的一个subnet网段相对应，否则将无法正常启动dhcpd服务。例如，DHCP服务器的IP地址为19216810010，用于为网段192。1681000/24内的其他客户机提供自动分配地址服务。

安装dhcp软件包以后，对应的系统服务脚本位于/usr/lib/systemd/system/dhcpdservice，可以使用systemd服务进行控制。例如，执行以下操作可以启动dhcpd服务，并检查UDP的67端口是否在监听，以确认DHCP服务器是否正常。

[root@centos01 ~]# systemctl start dhcpd<!--启动dhcp服务-->

[root@centos01 ~]# systemctl enable dhcpd<!--设置服务开机自动启动-->

[root@centos01 ~]# netstat -anptu | grep 67<!--监听DHCP服务端口号-->

udp        0      0 0000:67              0000:                          2102/dhcpd         

udp        0      0 0000:67              0000:                          1064/dnsmasq       

注意：需要关闭、重启dhcpd服务时，只要将上述操作命令中的“start”改为“stop”或“restart”即可。

二、使用DHCP客户端

1、windows客户端

ipconfig /renew<!--可以为主机重新获取新的IP地址-->

ipconfig /release<!--释放IP地址-->

tracert IP地址<!--可以测试从当前主机到目的主机经过的网络节点-->

route print<!--查看路由表-->

2、Linux客户端

在Linux客户机中可以设置使用DHCP的方式获取地址。只需要编辑对应网卡的配置文件，修改或添加“BOOTPROTO=dhcp”配置行，并重新加载配置文件或者重新启动network服务即可。例如，执行以下操作可修改网卡配置文件，并重新加载配置以通过DHCP方式自动获取地址：

[root@centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

TYPE=Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=dhcp

DEFROUTE=yes

NAME=ens32

DEVICE=ens32

ONBOOT=yes

[root@centos02 ~]# ifdown ens32 ; ifup ens32

[root@centos02 ~]# systemctl restart network

在Linux客户机中，还可以使用dhclient工具来测试DHCP服务器。若直接执行“dhclient”命令，则dhclient将尝试为除回环接口lo以外的所有网络接口通过DHCP方式申请新的地址，然后自动转入后台继续运行。当然，测试时可以指定一个具体的网络接口，并结合“-d”选项使其在前台运行，测试完毕后按Ctrl+C组合键终止。例如，执行“dhclient -d ens32”命令后，可以为网卡ens32自动获取新的IP地址，并显示获取过程。

[root@centos02 ~]# dhclient -d ens32

Internet Systems Consortium DHCP Client 425

Copyright 2004-2013 Internet Systems Consortium

All rights reserved

For info, please visit https://wwwiscorg/software/dhcp/

Listening on LPF/ens32/00:0c:29:97:5c:9f

Sending on  LPF/ens32/00:0c:29:97:5c:9f

Sending on  Socket/fallback

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 4 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 6 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255255255255 port 67 interval 14 (xid=0x5364e17f)<!--DHCP发现-->

DHCPREQUEST on ens32 to 255255255255 port 67 (xid=0x5364e17f)<!--DHCP请求-->

DHCPOFFER from 19216810010<!--DHCP提供-->

DHCPACK from 19216810010 (xid=0x5364e17f)<!--DHCP确认-->

bound to 192168100102 -- renewal in 229 seconds

<!--按Ctrl+C组合键终止-->

客户端需要通过dhclient命令释放获取的IP租约时，可以结合“-r”选项。例如，执行以下的“dhclient -r ens32”将会释放之前为网卡ens32获取的IP租约。此时再通过执行“ifconfig ens32”命令就看不到分配的IP地址了。

[root@centos02 ~]# dhclient -r ens32

https协议是需要部署SSL证书的，这就需要去正规的CA机构申请，具体流程如下：

第一步，生成并提交CSR（证书签署请求）文件

CSR文件一般都可以通过在线生成（或服务器上生成），申请人在制作的同时系统会产生两个秘钥，公钥CSR和密钥KEY。选择了SSL证书申请之后，提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。

第二步，CA机构进行验证

CA机构对提交的SSL证书申请有两种验证方式：

第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱（这个邮箱是通过WHOIS信息查询到的域名联系人邮箱）。管理员在收到邮件之后，确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。

第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说，除了域名认证，还得进行人工核实企业相关资料和信息，确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，所验证的材料和方式有些区别，所以颁发时间也是不同的。

如果申请的是DV SSL证书最快10分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书，一般3-7个工作日就能颁发。

SCCM是微软System Center管理解决方案套件中的一种产品，有助于在本地和云中管理设备和用户。

使用SCCM有助于：

SCCM可以实现以下各项，帮助提供更有效的IT服务：

SCCM扩展现有的微软技术和解决方案并与之协同工作

例如，SCCM可以与以下各项集成：

SCCM也可使用：

若要成功使用SCCM，必须首先全面规划和测试管理功能。SCCM是一款功能强大的管理应用程序，可能会潜在地影响组织中的每台计算机。

本次环境：

DC域控服务器：Windows Server 2012。同时充当DHCP的主机和DNS服务器以便用于完全限定的域名。

SCCM 2012： Windows Server 2012

Client: Win10

部署前的准备工作：

SCCM加域；

安装SQL Server

扩展AD架构

配置ADUC中System容器权限；

添加角色与功能

SCCM2012安装过程中需要在AD的System 容器中写入一些参数，因此需要对System容器进行权限分配。打开ADSI编辑器的“菜单”，点击“连接设置”,选择已知命名上下文“默认命名上下文”

右键点击“CN=System”-“新建”-“对象”，选择“container”类，然后输入值“System Management”，新建System Management容器。

切换到“安全”选项卡，点击“对象类型”，在查找对象中增加“计算机”类型，然后查找SCCM2012这台计算机。

点击右下角的“高级”，打开System Management的高级安全设置选项卡，为SCCM2012计算机添加“完全控制”权限，并在应用于中选择“这个对象和全部后代”。完成后SCCM2012这台服务器对System容器中的任何对象都将获得完全控制权限。

接下来继续准备，IIS、WSUS、ADK

添加角色与功能

在SCCM2012服务器中勾选“Windows Server更新服务”，添加net和IIS功能，

进入功能向导，勾选“后台只能传输（BTTS）”和“远程差分压缩”功能，点击“下一步”

注：后台智能传送服务（BTTS）可帮助传输大量数据而不会降低网络性能。它通过在小区块中传输数据、充分利用可用的但未使用的带宽和在目的地重组数据的方式来实现此操作。BTTS可用于软件分发，补丁更新等新服务。远程差分压缩（RDC）允许应用程序有效地在两台计算机之间同步数据。

为IIS默认网站证书绑定有效地https证书

注：事先准备好要CA服务器，没有的话可以在DC上安装AD证书服务

打开MMC控制台，添加证书单元，此处选择“计算机账户”，为SCCM2012申请一个有效地证书。

安装Windows评估和部署套件（ADK）

安装SCCM 2012

配置SCCM客户端发现方法

安装完成后打开SCCM2012控制台

点击左侧栏的“管理”选项，然后展开“层次结构配置”，点击“发现方法”来配置客户端发现。

定位到“AD”林发现，右键选择“属性”，勾选“启用AD林发现”和“发现AD站点边界时自动创建这些站点边界”，并设置运行间隔时间，然后点击“应用”。其他几个也类似设置。

完成后返回SCCM控制台，点击左侧栏的“资产和符合性”项，点击“用户”和“设备”项，就能看到发现的用户和计算机了。

创建边界组

站点配置

客户端安装

软件分发部署

应用程序分发可以直接对msi的程序进行部署，exe的程序可以通过包的分发来做

证书文件就是从收到的证书邮件里，按照顺序，把-----BEGIN CERTIFICATE-----开头到-----END CERTIFICATE------结尾的代码，复制到一个txt文本里，注意这些头尾的信息都要包含。常见的是2段或者3段。保存为serverpem即可。私钥文件为产生CSR同时产生的密钥文件，录入是以文本格式打开，复制私钥编码。