Правильный способ настройки главного и подчиненного серверов имен

Question

Правильный способ настройки главного и подчиненного серверов имен

Мне интересно, как правильно настроить главный и подчиненный DNS.

Я где-то читал, что ваш главный DNS-сервер не должен иметь запись NS в файле зоны - это своего рода секрет, и тогда ваши подчиненные серверы имен имеют записи NS и перечислены в записи whois.

Может кто-нибудь подтвердить правильный способ установки файла зоны и whois для главного и подчиненного серверов имен?

Это произошло потому, что мой подчиненный сервер имен жалуется, что мой главный сервер имен не является полномочным для домена, он определенно является главным для домена, где подчиненный сервер имен имеет запись NS, но он не жалуется на домен, который не имеет записи NS для раба

2

bind nameserver master-slave named-conf

Источник

Jon A 25 окт '15 в 16:08

2 ответа

Другие вопросы по тегам bind nameserver master-slave named-conf

Alnitak 09 ноя '15 в 03:22 2015-11-09 03:22 · Answer 1 · 2015-11-09 03:22

Крупные операторы нередко запускают конфигурацию "скрытого мастера". Это позволяет им выполнять обслуживание всех зон на этом скрытом сервере без риска его заполнения клиентскими запросами.

Жалобы, которые вы видите на подчиненных серверах, должны быть просто предупреждениями и могут быть проигнорированы. Однако если конфигурация на самом деле не работает, обновите ваш вопрос с более подробной информацией.

Jacob Evans 10 ноя '15 в 12:59 2015-11-10 12:59 · Answer 2 · 2015-11-10 12:59

Я делаю это по-другому, в SOA мой хозяин ns1 (подчиненная зона), у меня есть 3 локальных ведомых устройства ns2, ns3 и ns4, а затем 2 внешних сервера имен.

Все DNS выполняются на автономной машине, но настроены на отправку уведомлений локальному мастеру, который настроен так же "уведомлять" локальных и удалять подчиненных, таким образом, их обновления могут поступать только с 1 IP-адреса в моем локальном IP-адресе. Космос.

Я также добавил слой TSIG, поскольку мои внешние подчиненные используют общедоступный интернет.

Это все личные предпочтения, но нужно помнить, что вы не хотите, чтобы ваши опубликованные серверы имен делали какие-либо обновления из незащищенных сетей, только те, которые вы поддерживаете, доверяете и защищаете, а затем уровень безопасности приложений (TSIG) сверху.

Кроме того, я запускаю Bind9, но также запускаю DBJDNS (используя сценарии для повторной передачи от мастера при обновлении), что позволяет мне использовать простой веб-интерфейс и при этом иметь безопасный подчиненный сервер.