全部產品

Alibaba Cloud DNS：開啟輔助DNS

更新時間：Dec 16, 2025

內網DNS解析可以利用輔助DNS，將自建IDC中的DNS資料同步至阿里雲。

基礎概念

請參考輔助DNS，瞭解輔助DNS 的概念及使用情境。

功能限制

內網DNS解析開啟輔助DNS後，解析設定中不能手動修改解析記錄，所有解析記錄都需要從主DNS同步過來。
自建IDC的主DNS需要提供可以同步資料的公網IP地址，並開放TCP/UDP 53連接埠。

開啟輔助DNS

一、修改自建DNS配置

開啟輔助DNS，首先需要在主DNS上完成相關配置，然後在雲解析控制台開啟內網網域名稱輔助DNS同步。由於DNS系統的實現方式多樣，以下以自建DNS（BIND 9.9.4及以上版本）為例說明如何配置主DNS。

自建DNS軟體配置在Bind9的設定檔named.conf中完成以下配置：
```
zone "網域名稱（如：example.com）" IN {
    type master;
    allow-update { 127.0.0.1; };
    allow-transfer {key test_key;};
    notify explicit;
    also-notify {39.107.XXX.XXX port 53 key test_key; 39.107.XXX.XXX port 53 key test_key;};
    file "zone_file";
};
```
配置含義說明
- zone：配置您指定的網域名稱（Zone）。
- allow-transfer ：目前支援通過TSIG進行主輔DNS間通訊，此處請指定為允許伺服器通過TSIG方式來更新的KEY名稱。
  說明：根據RFC標準協議，我們推薦使用事務簽名（簡稱TSIG）來保證DNS訊息的安全性。TSIG通常使用共用密鑰和單向雜湊函數來驗證DNS訊息，能較好地確保主輔DNS之間資訊同步的安全性。您可以通過產生一個MD5、SHA256或SHA1型的TSIG密鑰，產生後將TSIG同時配置到您的主DNS、輔DNS。
- also-notify ：當地區（ZONE）發生變更時，需要通知輔助DNS伺服器IP地址，支援多個。此處請指定為雲解析輔助DNS伺服器，具體IP地址請查看控制台輔助DNS配置頁面。
```
輔助DNS伺服器：39.107.XXX.XXX、39.107.XXX.XXX
```
注意： 在設定檔named.conf中完成配置更改後，需要重啟應用。
```
rndc reconfig
```

二、產生TSIG密鑰

可以通過 dnssec-keygen工具產生TSIG密鑰，命令如下：
```
# BIND 9.9.4
dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key
# BIND 9.16及以上
tsig-keygen -a hmac-sha256 test_key
```
警告
以上命令僅支援通過root使用者權限操作。使用root許可權具有一定的風險，如果操作不當可能導致系統穩定性問題或資料安全問題。請謹慎操作。
參數說明：
- -a ：指定密碼編譯演算法，我們支援的HMAC-MD5、HMAC-SHA1、或HMAC-SHA256。
- -b：指定密鑰中位元組的數量。密鑰檔案大小的選擇依賴於所使用的演算法，HMAC密鑰必須在1和512位之間。
- -n：指定密鑰檔案的所有者類型，可選值包括：ZONE、HOST、ENTITY、和USER。通常使用HOST或ZONE。
- test_key ：指定密鑰檔案的名稱。該名稱用於使用BIND配置主DNS中allow-transfer的填寫，和添加主DNS資訊中TSIG名稱的填寫。
  命令執行後，在目前的目錄下會有.key和.private的檔案（例如：Ktest_key.+157+64252.key 和 Ktest_key.+157+64252.private）。.key 檔案中包含了 DNS KEY record，這個record用於配置輔助DNS時，在添加主DNS資訊時，用於TSIG值的填寫；.private 檔案中包含演算法指定的欄位。
將產生的密鑰添加到named.conf檔案中。

按如下格式粘貼到named.conf中：

key "test_key" {        algorithm hmac-sha256;       secret "金鑰產製原料";};

通過include檔案方式：
需要通過include的方式添加到named.conf檔案中，例如：
```
include "/etc/named/dns-key";
```
/etc/named/dns-key檔案格式如下
```
key "test_key" {
        algorithm hmac-sha256;
        secret "金鑰產製原料";
};
```

三、修改內網網域名稱解析

登入Alibaba Cloud DNS-內網網域名稱解析。
在 内网权威 > 用户域名 頁簽下，找到目標網域名稱。
點擊目標網域名稱操作列的 辅助DNS设置。

完成表單配置。

表單項	說明
主DNS服务器信息	配置如下參數來添加主DNS記錄：主DNS服务器IP地址：填寫主DNS伺服器IP地址，確保該地址能夠被外網訪問到。 TSIG密钥类型：選擇合適的密碼編譯演算法類型，可選值包括：SHA1、SHA256、MD5。 TSIG密钥名称：填寫產生的TSIG名稱。 TSIG密钥值：填寫產生的TSIG值。
设置发送NOTIFY通知的服务器IP地址	輸入發送通知的伺服器 IP地址或范围。當主DNS解析記錄發生變更，則需要向輔助DNS發送變更通知（基於標準NOTIFY協議），因此您需要在這裡配置發送變更通知的伺服器IP地址，以避免您的請求被拒絕。
当辅助DNS无法连接上您的主DNS时，我们将发送短信通知给您的管理员	開啟後，當出現主輔DNS串連中斷時，雲解析將給您發送通知訊息。

其他動作

修改同步配置

如果主DNS伺服器資訊發生變更，則需要到輔助DNS中更新配置。

訪問Alibaba Cloud DNS-內網網域名稱解析。
在 内网权威 > 用户域名 頁簽下，找到目標網域名稱。
修改配置參數完畢後，輔助DNS會主動向主DNS發起串連請求，來擷取主DNS資源記錄的最新資料。

停用/刪除輔助DNS

如果您想實現停止主、輔DNS之間的資料同步行為，或者不再使用輔助DNS功能，可關閉輔助DNS。

訪問Alibaba Cloud DNS-內網網域名稱解析。
在 内网权威 > 用户域名 頁簽下，找到目標網域名稱。
單擊 辅助DNS设置 進入配置詳情頁。
單擊 辅助DNS同步开关 可啟用、停用輔助DNS。
若不再繼續使用可單擊 删除辅助DNS，前往自建DNS的Bind9軟體，刪除notify 伺服器配置。