Zonenübertragungen auf einem Bind-DNS-System mit geteilter Ansicht

8

Ich habe ein BIND 9-Setup mit 2 Servern. Server A (der "Master" -Server) ist ordnungsgemäß mit zwei Ansichten eingerichtet, eine für lokale DNS-Clients (die rekursive Suchvorgänge für nicht autorisierende Domänen ermöglichen) und eine Ansicht für den Rest der Welt, wobei nur Abfragen für lokale autorisierende Domänen zulässig sind.

Ich möchte den zweiten Server (nennen wir diesen Server B oder den "Slave" -Server) auf ähnliche Weise konfigurieren. Leider funktioniert das nicht richtig. Nach der Aktivierung aktualisiert / überträgt jede Benachrichtigung von Server A die jeweilige Zone korrekt, aber nur die "geschützte" Ansicht liefert die aktualisierten Informationen. Die 'externe' Ansicht auf Server B gibt weiterhin die 'alten' Informationen zurück, bis der Server neu gestartet wird.


quelle

Antworten:

3

Ab Bindung 9.3 können Sie Ansichten mit TSIG zuordnen.

Schauen Sie hier: Wie teile ich eine dynamische Zone zwischen mehreren Ansichten?

Schlucht
quelle
tsig war die beste Option, ich machte einen zusätzlichen Schritt und auch! Sklaven für Match-Clients, um zu verhindern, dass DNS mich selbst vergiftet. match-clients { tsig-key; !slaves; view-subnet; };
Jacob Evans
2

Einer der Tricks besteht darin, sicherzustellen, dass die beiden Zonen aus den richtigen Ansichten übertragen werden. Wenn Sie sowohl in der internen als auch in der externen Ansicht die Zone "example.com" haben, weisen Sie die Server an, von den internen und externen IP-Adressen als Master (auf den Slaves) zu übertragen und jeweils die richtige interne / externe Adresse auszuwählen.

Möglicherweise müssen Sie BIND auch explizit anweisen, die Ansichten des Slaves für jede Zone ebenfalls zu "benachrichtigen".

Michael Graff
quelle
1

Bind 9.10 verfügt über eine neue in-viewZonenoption, mit der angegeben wird, dass „diese Zone, die ich in dieser Ansicht definiere, tatsächlich dieselbe Zone ist wie die, die ich zuvor in dieser anderen Ansicht definiert habe“. Dadurch wird Bind darüber informiert, dass die Zonen keine separaten Zonen sind, sondern in Wirklichkeit dieselbe Zone.

Teddy
quelle
0

Ich hatte ein ähnliches Problem. Laut dieser Seite aus der ISC-Wissensdatenbank müssen Sie die Ansichten mithilfe eines gemeinsam genutzten Schlüssels unterscheiden. Zumindest war das der einzige Weg, auf dem ich es zum Laufen gebracht habe, und es funktioniert jetzt einwandfrei, nachdem ich zum ersten Mal mehrere Stunden mit anderen Methoden verschwendet hatte.

BIND 9.9.5.

Pinja-Liina Jalkanen
quelle