BIND, Master, Slaves und Notify

8

Es mag wie eine sehr grundlegende Frage erscheinen, aber wie ist sich ein Master-DNS-Server seiner Slaves bewusst?

Ich meine, analysiert es die Zonendatei und bestimmt, wohin die NOTIFY-Nachricht gesendet werden soll?

Und wenn dies der Fall ist, ist der NOTIFY-Mechanismus in einem versteckten Master-Setup defekt, nicht wahr?

bind master-slave Peter
quelle
Ich glaube, ich habe das gleiche Problem, ich verwende einen versteckten Master, nur einer meiner Slaves wird benachrichtigt, ich verwende den Standard notify yesund beide Slaves werden als NS-Einträge für die Domänen aufgeführt
Rob

Antworten:

14

Sie haben zwei Optionen in der BIND-Konfiguration Ihres Masters für eine bestimmte Zone:

notify yes - sendet Benachrichtigungen an alle veröffentlichten NS-Einträge für die Domain.

notify explicit- sendet Benachrichtigungen nur an die in der also-notifyKonfiguration aufgeführten IPs .

In beiden Fällen müssen die Slaves so konfiguriert sein, allow-notifydass diese Benachrichtigungen von der IP des Masters akzeptiert werden.

Sobald es eine NOTIFY akzeptiert, sendet der Slave dann eine IXFR oder AXFR Anfrage zurück an den Master. Wenn der Master "versteckt" ist (dh nicht als NS-Datensatz für die Domäne veröffentlicht wurde), spielt dies keine Rolle. Die Slaves müssen direkt mit der IP des Masters konfiguriert werden, damit sie wissen, wohin sie die Anfrage senden sollen.

Solange die Firewall des Masters die Anforderungen von den Slaves zulässt und der Master so konfiguriert ist, dass Zonentransfers möglich sind, können die Salben ihre Konfiguration erneut abrufen. (Dies ist der Teil, den Sie sperren müssen, um zu verhindern, dass nicht autorisierte Nameserver Ihre Zonendateien kratzen.)

SmallClanger
quelle
Das frage ich nicht. Das wichtigste zuerst. Das Benachrichtigungs-Ja ist die DEFAULT-Option für bind 9.x, daher möchten Sie es nicht festlegen. In Ihrer Antwort geht es darum, wie die Benachrichtigung funktioniert, nachdem der Slave diese vom Master erhalten hat. Was ich frage, ist ganz anders. Ich frage, wie Master weiß, welche Server Slaves sind. Slaves kennen ihren Master, aber Sie legen in der Konfigurationsdatei nirgendwo die sekundären Server fest. Der Meister kennt seine Sklaven also nicht genau. Die Frage ist also immer noch unbeantwortet.
Peter
8
Mit der Standardeinstellung ( notify yes) muss der Master die Slaves nicht explizit konfiguriert haben. Er sendet einfach eine Benachrichtigung an jeden NSDatensatz für die Domäne. (In Ihren Begriffen kennt der Master die Slaves, weil sie genau dort in der Zonendatei sind.)
SmallClanger
2
In diesem Fall muss ich ein Problem lösen, da der Master keine Benachrichtigung an die Zone NS sendet ...
Peter
5

Bind DNS sendet Benachrichtigungen an alle Nameserver, die sich selbst erwarten, und Master Nameserver in SOA.

  • notify yes;
    sendet Benachrichtigungen an alle Nameserver in RR (außer sich selbst und SOA-Master)

  • notify yes; also-notify { x.x.x.x; y.y.y.y; };
    Sendet eine Benachrichtigung an xxxx , yyyy und alle Nameserver in RR (außer sich selbst und SOA-Master) .

  • notify explicit; also-notify { x.x.x.x; y.y.y.y; };
    sendet eine Benachrichtigung nur an xxxx , yyyy

Akshay C.
quelle
0

Genau genommen weiß der Meister nicht, dass er Sklaven hat, geschweige denn, wer sie sind.

Der DNS-Server in der Rolle des Masters "weiß" nur, dass er so konfiguriert wurde, dass er eine Zone "mastert".

In der weiteren Konfiguration wird angegeben, wie eine Liste anderer Nameserver zusammengestellt wird, um zu benachrichtigen, wenn sich diese Zone ändert.

Die Stock Bind 9+ -Konfiguration dient meiner Meinung nach dazu, dass der Nameserver die Liste der Benachrichtigungsziele aus der Liste der NS-RRs in der Master-Zone erstellt. Der Administrator kann diese Liste mit dem Konfigurationsobjekt "ebenfalls benachrichtigen" hinzufügen. Der Administrator kann das Verhalten auch mit dem Ding "Benachrichtigen" ändern.

Man könnte also sagen, dass ein Master aus seiner Konfiguration lernt, "seine Slaves zu kennen", und dass dies meistens alle NS-Datensätze in der Zone bedeutet.

Mike Diehn
quelle