Secondary DNS dynamisch

[tuxyso]

Hallo, ich betreibe einen Server, der unter einer festen IP-Adresse läuft. Auf dem Server ist ein primary NS eingerichtet. Einen zweiten Server habe ich noch nicht, nur ein via DSL angebundenen Linuxserver, der ständig online ist und unter einem Hostnamen (dank dyndns) verfügbar ist.

Mein Problem liegt nun darin, dass ich mit

Code: Select all

allow-transfer { any; }; 

nicht jeden beliebigen Secondary zulassen möchte, sondern eben nur, den, der unter dem festen Hostnamen verfügbar ist. Mir scheint es allerdings so, dass man unter allow-transfer nur IPs eintragen kann. Ist dieses Problem ohne ein zusätzliches Programm, das die named.conf bei Bedarf ändert und named reloaded zu lösen?

Tuxyso

[dodolin]

Dafür gibt es Keys und Signaturen. Ist sowohl in einigen RFCs als auch im Bind Manual beschrieben.

[tuxyso]

Mit den Signaturen war mir auch bekannt, nur wollte ich eigentlich unnötige Arbeit vermeiden. Ich verstehe Bind an der Stelle einfach nicht: Name Server Einträge bestehen doch ohnehin aus z.B.
ns.anyhost.de etc. Aus welchem Grund lässt allow-transfer nur IP Adressen gelten. Das macht für mich wenig Sinn. In den Zonefiles werden für die jeweiligen Secondary Name Server auch keine IPs verwendet, sondern FQHN. Gibt es eine logische Erklärung, warum das bei der allow-tranfer Direktive nicht möglich ist?

[oxygen]

Ja. Nameserver sollten auschließlich mit fester Leitung und statischer IP betrieben werden, alles andere macht kein Sinn.

[tuxyso]

Natürlich SOLLTEN sich mit fester Leitung betrieben werden... Nur finde ich, dass ein Secondary NS für kleine Seiten ruhig auf einem via ADSL angebundenen Linux Server laufen kann. Der Secondary hat doch ohnehin nicht wirklcih viel zu tun. Selbst wenn er dann auch mal 5 mins off ist, juckt das keinen.

Mir ging es erst einmal um die prinzipielle Möglichkeiten, so etwas zu realisieren. Werde mir dann wohl ein Skript stricken, das mir die allow-transfer Einträge vornimmt bzw. die Lösung mit den Keys ausprobieren, die mir ebenfalls ganz gut gefällt...

Besten Dank für die Hilfe!

[linuxnewbie]

Du irrst dich, der Secondary hat genauso viel zu tun wie der Primary, nur das der Primary zusätzlich eben noch die Orginal Zonefiles hat.
Im Netz wird nicht nach Primary oder Secondary unterschieden sondern nach den NameServer die eingetragen sind für die Domain und welcher NS als erstes antwortet. Wenn der Secondary als erstes antwortet, hat der Secondary eben die arbeit.

Bitte korrigiert mich, aber mir wurde das hier in einem Thread so oder ähnlich erklärt.

[magnum2]

Imho glaube ich aber schon das der secondary (normalerweise) erst in Aktion kommt wenn der primary weg ist. In den Dingern die ich gelesen habe steht meistens "if the primary is unavailable".
Wills jetzt aber auch nicht 100% behaupten. Kann es sein das du das mit den caching servern verwechselst, sodas eben garnicht alle Anfragen bis zu deinem primary durchkommen (müssen)..........

[linuxnewbie]

Ja, aber ist das nicht so, das wenn man einen Whois auf eine Domain macht, dort nur zb

Code: Select all

nserver:     ns1.first-ns.de
nserver:     robotns2.second-ns.de

steht?

woher weiß man welcher der Primary ist? Stehen dort irgendwo noch zusätzliche daten? (wenn man die 1 und 2 mal weglässt)

Genauso könnte es doch ns.blubb.de und ns.blibb.de heißen.
Diese sind doch einfach nur in einer Tabelle eingetragen, wobei der blubb.de nicht der Primary sein muß. Solange die zuständigen Nameserver für die Domain untereinander wissen wer master und wer sec ist.
Wie kann man von außen her wissen welcher der Primary ist?
Verhalten beide sich unterschiedlich bei abfragen?

[magnum2]

Derjenige der im SOA Record steht ist immer der primary...

[linuxnewbie]

Ja aber um den SOA zu bekommen muß man ja erstmal den NS direkt abfragen und bis man den zuständigen NS abgefragt hat, hat man ja nur die Infos zu den Nameserver ns.blubb.de und ns.blibb.de.
Mit diesen Infos kann man also noch nicht wissen welcher der Primary ist. Also müßte man zumindest einen davon abfragen um den SOA zu bekommen ;). Aber dann kann es ja auch sein das man den Secondary erwischt, oder nicht?

[magnum2]

Ich habs jetzt noch nie über whois getestet ob die da nur in einer bestimmten reihenfolge auftauchen. Die whois Datenbank hat ja nix (bei der Abfrage) mit deinem NS zu quatschen. :)
Welches Programm sucht denn (zur verwertung) einen gesuchten record über whois ?

Ich hab jetzt testweise mal ein paar Domains über whois abgefragt, da stand überall der primary als erster drin. Entweder isses immer so oder es war zufall jetzt... :-D

wenn ich jetzt aber z.B ein

dig domain.tld ns mache wechselt die Reihenfolge komischerweise bei mehreren Abfragen :roll:

Ich bleib bei meinem

dig domain.tld SOA :P

[linuxnewbie]

Ich bleib bei meinem

dig domain.tld SOA :P

wenn ich 10 mal
dig domain.tld SOA mache
dann wechseln sich die ns Einträge auch immer wieder ab ;)

Wobei bei mir sehr oft der Secondary an erster stelle steht, aber bei sovielen Domains wie dort drauf sind is das auch kein wunder

[magnum2]

dann wechseln sich die ns Einträge auch immer wieder ab

Aber nicht der im SOA Record niiiemals :evil:

Aber ich glaube solangsam wir sind nicht mehr beim speziellen Topic der Ursprungsfrage :-D

[dodolin]

DNS Resolver unterscheiden nicht zwischen Primary und Secondary, beide werden gleich oft befragt und sie kennen sogar nichtmal den Unterschied.

Erst wenn einer davon nicht antwortet, wird auch noch der andere versucht. Es kann aber durchaus oft vorkommen (zu wohl ca. 50 %, bei 2 NS Einträgen für eine Zone), dass zuerst der Secondary befragt wird.

Mit dynamischen IPs ist das schonmal grundsätzlich Sch.eiße und selbst wenn man statische IPs mit seinem DSL-Anschluss hätte, ist die DSL-Technik einfach viel zu fehleranfällig, als dass das Sinn machen würde, auf einer DSL-Leitung einen DNS zu betreiben.

[magnum2]

Nicht das ich mich nicht grundsätzlich geschlagen geben würde :roll:
aber:

DNS Resolver unterscheiden nicht zwischen Primary und Secondary

DNS Resolver (also die Funktion z.B. gethostbyname) habe ich jetzt eher immer nur bei der Clientseite gesehen, der eh nur seine(n) vorgegebene(n) Nameserver befragt. Diese dann wiederum nach dem Root-Prinzip andere Nameserver in der vorgegeben Hierarchie weiterbefrage. Immer natürlich vorausgesetzt die Antwort befindet sich nicht in irgendeinem Cache.
http://www.irgendwas.de
Also z.B. Client -> Nameserver -> Rootserver -> primary .de -> primary irgendwas.de -> http://www.irgenwas.de = 123.456.789.1

Und eben diese kommunikation zwischen den Nameservern habe ich bis jetzt immer anders gesehen......

Oder ist das dieselbe ?

[krogoth]

wenn der Nameserver die root-servers.net abfraegt, wird er auch nicht immer a.root-servers.net abfraegen sondern halt auch mal b oder die anderen.
Woher willst du wissen welcher von denen primary ist?
und die root-servers.net werden auch nicht immer (im falle von com. z.b.) auch nicht immer a.gtld-servers.net nennen oder immer den selbe sondern immer abwechseln, damit die last verteilt wird. In diesem wechselspielchen gehts den ganzen pfad hoch, bis der zielhost aufgeloest ist. Und das ergebnis bekommst du von deinem Nameserver in IP-Form zurueck.

Daher ist der secondary und primary eigentlich im normalfall immer gleich ausgelastet.
Mal davon abgesehen wissen die tld-ns nicht welcher primary und welcher secondary ist

[tuxyso]

Ich denke RFC 2182 gibt uns die Lösung an. Es geht in RFC 2182 um "Selection and Operation of Secondary DNS Servers". Dort ist folgendes zu lesen:

The distinction between primary and secondary servers is relevant
only to the servers for the zone concerned, to the rest of the DNS
there are simply multiple servers. All are treated equally at first
instance, even by the parent server that delegates the zone.
Resolvers often measure the performance of the various servers,
choose the "best", for some definition of best, and prefer that one
for most queries. That is automatic, and not considered here.

Ich denke jetzt ist alles klar: Die Unterscheidung ist nur für die Server interessant um zu wissen, welcher die Zonenfiles aktualisiert und an die anderen Server übermittelt. Für den Rest des DNS erscheinen die Server als Multiple Server und die abfragenden Clients suchen sich den besten aus.

[magnum2]

Super, sowas hatte ich gesucht :lol:
Ich hatte zwar grade auch schon ein paar RFCs etc. in der Mangel aber so klar war noch nirgendes definiert. Ich geb mich geschlagen. Mein Weltbild ist dahin :-D
Allerdings sollten dann einige der Referenzen (welche ich auch grade wieder gefunden habe) nicht immer von "unavailable" "wenn nicht erreichnar" etc. schreiben. Dann ist das schlicht und ergreifend falsch und irreführend.
Oder ich hab nur die flschen gefunden (aber das waren nicht wenige)
Danke, und "gut dass wir verglichen haben" :idea:

[mstuebner]

Imho glaube ich aber schon das der secondary (normalerweise) erst in Aktion kommt wenn der primary weg ist.

Ist aber trotzdem falsch.

In den Dingern die ich gelesen habe steht meistens "if the primary is unavailable".

Wenn das der Fall ist wird es auch richtig ernst, denn wenn der Secondary seine Daten erneuern will und kann nicht , dann ists vorbei.

[tuxyso]

@Dodolin: Auch wenn du dein Standpunkt sehr vehement formuliert hast, gebe ich dir recht, dass ein via DSL angebundener Secondary wenig Sinn macht, wenn dieser tatsächlich auch Anfragen bearbeitet bzw. sich diese mit dem Primary teilt. Werde mich dann anderweitig orientieren müssen.

Tuxyso

P.S.: Grund für diese Gedanken ist eigentlich die Tatsache, dass mich bei der whois Abfrage stört, dass mein den Nameservern respektive bei dem Secondary immer noch Schludn auftaucht.

[krogoth]

wenn das dein einziges problem ist, kann ich dir ja nen secondary zur verfuegung stellen, oder du nimmst dir einen kostenlosen secondary dienst.

[tuxyso]

Wo bekommt man denn einen kostenlosen Secondary Dienst, außer bei dir :)?

[krogoth]

http://www.google.de/search?hl=de&ie=IS ... ogle+Suche

*g* da findest dann solche, zum beispiel:

http://secondary.org/
http://www.dnsmadeeasy.com/s0306/prod/secdns.html
http://www.twisted4life.com/index.php

oder du machst es so wie ich und holst dir nen vserver und nutzt den als fallback und secondary dns

ich hatte auch mal noch ne andere seite, aber den link hab ich zuhause und da komm ich grad net dran

[dodolin]

DNS Resolver (also die Funktion z.B. gethostbyname) habe ich jetzt eher immer nur bei der Clientseite gesehen, der eh nur seine(n) vorgegebene(n) Nameserver befragt.

Unter einem "DNS Resolver" verstehe ich jegliches Stück Software, welches DNS Daten als Client abfragt. Das beinhaltet selbstverständlich auch DNS Server, die du in /etc/resolv.conf einträgst oder als Forwarder benutzt.