dns Server replikant

[greenrover]

hi, ich habe hier 2 systeme.

eins bind confixx3 und einem bind9
dieser soll der master dns sein..

aber wie schaffe ich es nun am sinvollsten das server2 nun auch genau die gleichen dns auflösen kann wie server1.

[Roger Wilco]

Indem du die Zonendaten von Server 1 nach Server 2 transferierst, z. B. mittels Zone-Transfer.

[greenrover]

ich habe jetzt beim master

options {
allow-query { 217.150.244.167; }
allow-transfer { 217.150.244.167; }

}

aber wie weise ich den slave an, sich die zonen zu holen oder sendet der master die ?!

bzw wie läuft das?!

[Roger Wilco]

http://www.isc.org/sw/bind/arm94/Bv9ARM ... tml#notify
http://www.isc.org/sw/bind/arm94/Bv9ARM ... _transfers

[flo]

allow-query { 217.150.244.167; }

Warum betreibst Du nen Nameserver, wenn den nur der Master abfragen darf?

flo.

[greenrover]

ähh ja, hab ich auch gerade geshen, das es keinen sinn macht...

habe nun auf den master:

allow-query { any; };
allow-transfer { 217.150.244.167; }
allow-notify { 217.150.244.167; }


aber was muss ich auf dem slave einrichten ?!

den irgent wie geht es nicht.

[flo]

Der Master sollte generell eher nicht notifyen - d.h. die Einstellung muß auf den Slave, eventuell köntnest Du daraus ein "also-notify" machen, das gibt dann wieder mehr Sinn.

Wie sehen denn die Zonenconfigurationen auf dem Slave aus? Weiß der, daß er für manche Zonen jetzt Slave ist?

flo.

[greenrover]

nein, er soll ja gerade nicht slave sein.

also der slave soll alle zonen vom master übernehmen.

ohne das man ihm sagen muß, für welche er slave ist.

[flo]

nicht mit Binds Bordmitteln ...

--> http://cr.yp.to/djbdns/run-server.html

flo.

[greenrover]

aber so wie ich das lese,

sollte es möglich sein:

alle stunde per rsync einfch die zonen files kopieren und den bind reloaden..

oder giebt es probleme, wenn sie beide server als "master" fühlen?!

[flo]

Du kannst die Zonenfiles auch per FTP rüberschicken oder abtippen, aber Bind selber hat keinen Mechanismus, der anhand eines eingehenden Notify eine neue Zone anlegt und den Transfer anstösst - das war Deine Frage :-).

(IMHO ist noch nicht mal rndc dafür zu gebrauchen, hab aber das letzte Mal vor zwei Jahren in die Manpage geschaut.)

Beim Kopieren der Einstellungen (=named.conf) musst Du natürlich darauf achten, daß die Einstellungen dann auch so gewählt sind, daß sie für beide passen, was in erster Linie dann "Listen-on" betrifft.

flo.

[oxygen]

bind ist hässlich. Aber du kannst PowerDNS verwenden. Das kennt eine sogenannte superslave bzw. supermaster Konfiguration.

[antondollmaier]

bind ist hässlich. Aber du kannst PowerDNS verwenden. Das kennt eine sogenannte superslave bzw. supermaster Konfiguration.

Details hier: http://rtfm.powerdns.com/slave.html#SUPERMASTER

Läuft 1a :)

[flo]

Ich hab ja die Hoffnung aufgegebe, daß solche Sachen mal nach Bind wandern ...

flo.

[antondollmaier]

Ich hab ja die Hoffnung aufgegebe, daß solche Sachen mal nach Bind wandern ...

Wegen genau solcher Features mag ich Bind (so stabil es laufen mag) nicht ... Es gehört mehr dazu, als nur einen DNS-Server zu bieten ...


Wenn neue Zonen angelegt werden sollen, dann wären Templates vorteilhaft ... IP (wenn überhaupt) mit angeben, zack - fertig ... Auch ein Webinterface, wo noch andere Zugriff erhalten können (geht ja in der Shell schlecht zu limitieren), gehört mit dazu ...

Der Faktor der "Zonen-Replikation" ist dann noch der kleinste ... stimmt schon, mit rsync oder Crons lässt sich viel machen - nur läuft da wieder n eigenes Prozess dafür, der Bind muss reloaded werden etc ... geht bei PowerDNS einfacher ... automatisches notify vom Master an die anderen eingetragenen DNS und gut ist ...


Klar, im LAN oder dort, wo eh nur einer Zugriff haben braucht, bind only ... die Zone-Updates durch Clients (PTR-Records bei DHCP anpassen) gehen halt nur mit Bind (oder hab ich das was überlesen?)


just my 0,02$ ...

[flo]

Manche Sachen würden wahrscheinlich auch per rndc funktionieren, aber dokumentiert sind die Tools ja auch besch...eiden. :-)

Gerade bei BIND kommt es mir manchmal so vor, als ob das Ding nur als Referenzimplementiereung verstanden werden will, aber in die anderen Server habe ich mich noch nich eingeabeitet.

flo.

[captaincrunch]

Bind ist vor allem eins: dafür gedacht, einen (halbwegs) sicheren, stabilen Betrieb der "großen" Resolver sicherzustellen. Ich möchte nicht wissen, wie sich Sachen wie PowerDNS da verhalten würden.

[flo]

Ich hab mich gestern mal durch ein paar Programmdokus durchgelesen und nebenbei noch eine alte Präsentation von DNS-Servern im Vergleich gefunden. Wenn Du die Features von Bind gewohnt bist, fallen die meisten anderen DNS-Server weg, evtl. bleibt noch der Nominum-Server.

Z.B. gehört für mich Rekursion zu einem Nameserver - ich finde es unlogisch, das trennen zu wollen. DB-Backends sind Blödsinn, wenn der Nameserver autark sein soll und eine alte (oder kleine) Kiste ist - eine Benutzeroberfläche braucht niemand wirklich. Andererseits finde ich gerade das Feature des "Supermasters" interessant.

flo.

[greenrover]

naja ich habe das mit dem supermaster jetzt einfach über einen rsync gemacht..

der alle 5 min läuft..
wie das ganze mit den ersten 1000 domains ausschaut, werde ich ja dann sehen..
aber vermutlich, werde ich das script dann etwas verfeinern müssen.

ist aber schade, das bind das nicht unterstützt, sich einfach zonen zu zu schieben.

[oxygen]

Bind ist vor allem eins: dafür gedacht, einen (halbwegs) sicheren, stabilen Betrieb der "großen" Resolver sicherzustellen. Ich möchte nicht wissen, wie sich Sachen wie PowerDNS da verhalten würden.

Das ist natürlich richtig. Aber ich möchte auch nicht wissen wie lange bei einem "großen" Resolver das reloaden dauert.

[greenrover]

definier hier mal einer groß in X domains

[antondollmaier]

Aber ich möchte auch nicht wissen wie lange bei einem "großen" Resolver das reloaden dauert.

We currently run bind9 on 3 auth dns servers, one primary,
two secondaries. With over 100k domains, any time we do rndc reconfig
on master or rndc reload on secondaries, we get lookup timeouts of up to
30 seconds.

Dass für die großen Server Bind außer Frage steht, ist eh klar ... Nur - wozu brauche ich auf einem normalen Webhosting-System im RZ einen Recursor? Nicht umbedingt nötig, das RZ stellt eh einen ... ansonsten kann man ja wirklich den pdns-recursor mitinstallieren ...


Letztendlich muss jeder selber wissen, welchen Server er wann einsetzt ...

[Anonymous]

ist aber schade, das bind das nicht unterstützt, sich einfach zonen zu zu schieben.

also bei mir funktioniert der Zonentransfer mit dem "notify" Verfahren bei 2 bind Servern ...

... der master sendet "notify" und der slave empfängt ...