HowTo-Debian: Bind9

[kase]

Es ist IMHO allerdings sicherer, wenn man jeder Domain einen eigenen NS mit GLUE Record gibt, denn wenn die NS Domain einmal ausfällt, ist alles tot, anders nur die Domain, die ausfällt, da ja ns.andere-domain.tld noch funktioniert. Willste du wirklich einen zentrale NS DNS haben, musst du wie dodolin schon sagte diese eine Zeile ändern.

[dodolin]

Es ist IMHO allerdings sicherer, wenn man jeder Domain einen eigenen NS mit GLUE Record gibt, denn wenn die NS Domain einmal ausfällt, ist alles tot, anders nur die Domain, die ausfällt, da ja ns.andere-domain.tld noch funktioniert.

Sorry, aber das will mir gerade nicht wirklich einleuchten. Alles passiert doch unter der Annahme, dass alle Domains von ein und demselben DNS Rechner bedient werden, oder?

Entweder er fällt aus, dann sind sowieso alle Domains platt, die dieser DNS verwaltet (jetzt mal vom Slave, Cache, etc. abgesehen...), oder er tut und alles ist gut.

Was genau meinst du mit "wenn die Domain einmal ausfällt"? Der Clue beim Glue Record ist doch gerade, dass sowohl Name (ns.domain.tld) als auch die zugehörige IP beim für die jeweilige TLD zuständigen NIC und dessen NS gespeichert werden. Und wenn dort was ausfällt, dann wäre wohl noch viel mehr im Argen.

[kase]

Sollte man mal irgendwie mit der Domain mistgebaut haben, auf der der NS.domain.de liegt, kann ja NS.domain.de, die bei ALLEN anderen Domains eingetragen ist, nicht mehr verwendet und abgefragt werden.

Benutzt man jetzt aber für jeden NS einen eigenen NS ns.jeweils-eigene-domain.de, so ist es egal, wenn man mit ns.domain2.de irgendwas falsch macht, da ns.domain3.de für domain3 immer noch geht.

Ich weiß nicht genau, wie ich es beschreiben soll, ich hoffe es ist deutlich geworden. Fällt der NameServer aus, ist natürlich alles tot, egal wie man es macht.

[dodolin]

Ich weiß nicht genau, wie ich es beschreiben soll, ich hoffe es ist deutlich geworden.

Nein, sorry. Irgendwie stehe ich wohl immer noch auf dem Schlauch...

Sollte man mal irgendwie mit der Domain mistgebaut haben, auf der der NS.domain.de liegt, kann ja NS.domain.de, die bei ALLEN anderen Domains eingetragen ist, nicht mehr verwendet und abgefragt werden.

Hier liegt IMHO ein Denkfehler.

Ich mache dir mal eine Beispielabfrage, wie sie jeder andere Rekursive Resolver auch machen würde:

Wenn es eine .de Domain ist, wird einer der Root-NS u.a. auf dns.denic.de verweisen, also wird folgende Anfrage gestellt:

Code: Select all

dominik@cheffe:~$ dig @dns.denic.de www.uni-karlsruhe.de

; <<>> DiG 9.2.1 <<>> @dns.denic.de www.uni-karlsruhe.de
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30299
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 3

;; QUESTION SECTION:
;www.uni-karlsruhe.de.          IN      A

;; AUTHORITY SECTION:
uni-karlsruhe.de.       86400   IN      NS      netserv.rz.uni-karlsruhe.de.
uni-karlsruhe.de.       86400   IN      NS      nz20.rz.uni-karlsruhe.de.
uni-karlsruhe.de.       86400   IN      NS      dns1.belwue.de.
uni-karlsruhe.de.       86400   IN      NS      iraun1.uka.de.

;; ADDITIONAL SECTION:
netserv.rz.uni-karlsruhe.de. 86400 IN   A       129.13.64.5
nz20.rz.uni-karlsruhe.de. 86400 IN      A       129.13.96.2
dns1.belwue.de.         86400   IN      A       129.143.2.1

;; Query time: 39 msec
;; SERVER: 81.91.161.5#53(dns.denic.de)
;; WHEN: Mon Apr  7 22:16:53 2003
;; MSG SIZE  rcvd: 181

So, hier wäre jetzt also u.a. dns1.belwue.de mit der IP 129.143.2.1 zuständig und dieser wird weiterbefragt:

Code: Select all

dominik@cheffe:~$ dig @129.143.2.1 www.uni-karlsruhe.de

; <<>> DiG 9.2.1 <<>> @129.143.2.1 www.uni-karlsruhe.de
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 187
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 3

;; QUESTION SECTION:
;www.uni-karlsruhe.de.          IN      A

;; ANSWER SECTION:
www.uni-karlsruhe.de.   86400   IN      CNAME   www-uka.rz.uni-karlsruhe.de.
www-uka.rz.uni-karlsruhe.de. 86400 IN   A       129.13.64.69

;; AUTHORITY SECTION:
uni-karlsruhe.de.       86400   IN      NS      netserv.rz.uni-karlsruhe.de.
uni-karlsruhe.de.       86400   IN      NS      nz20.rz.uni-karlsruhe.de.
uni-karlsruhe.de.       86400   IN      NS      dns1.belwue.de.
uni-karlsruhe.de.       86400   IN      NS      iraun1.ira.uni-karlsruhe.de.

;; ADDITIONAL SECTION:
netserv.rz.uni-karlsruhe.de. 86400 IN   A       129.13.64.5
nz20.rz.uni-karlsruhe.de. 86400 IN      A       129.13.96.2
dns1.belwue.de.         172800  IN      A       129.143.2.1

;; Query time: 43 msec
;; SERVER: 129.143.2.1#53(129.143.2.1)
;; WHEN: Mon Apr  7 22:18:06 2003
;; MSG SIZE  rcvd: 219

Es spielt doch in diesem Fall überhaupt keine Rolle, ob in der Domain (das richtigere Wort wäre IMHO Zone) belwue.de irgendwelche Fehler sind, denn die IP von dns1.belwue.de bekommen wir ja bereits von dns.denic.de. Somit wird ja dns1.belwue.de direkt über seine IP angesprochen und kann problemlos antworten, welche IP z.B. http://www.uni-karlsruhe.de hat, was ja eine komplett andere Zone ist.

Wir benötigen von der Zone belwue.de absolut keine Daten für die Anfrage nach http://www.uni-karlsruhe.de - bis auf die IP von dns1.belwue.de, die wir ja aber schon von dns.denic.de erhalten (-> Glue Record).

Warum sollten alle NS immer unterhalb der jeweiligen Domain liegen? Das macht doch fast niemand... IMHO es es doch gerade sinnig, wenn ein einzelner NS für möglichst viele Zonen zuständig ist.

[tobi]

Also erstmal danke für das Howto, es funktioniert super!
Nun hab ich aber noch ein kleines problem. Confixx ander mir einige einstallungen z.b. den owner des verzeichnisses /var/cache/bind/. Wenn dies verändert würde beendet sich bind.
Hat dieses problem von euch auch jemand? Und welche lösung könnte es dafür geben?

Gruß

tobi

[kase]

nach der Installation von Confixx die Rechte wieder zurückändern und in dem Adminbereich von Confixx die DNS Unterstützung deaktivieren. Einziger Nachteil: Du musst die DNS Konfiguration selber machen, sollte aber mit einem WildCard Eintrag keinerlei Arbeit mehr machen, bei zusätzlichen Subdomains. Neue Top Level Domains müsstest du dann natürlich selbst anlegen, aber sollte ne Sache von 2 Mins sein.

Da ich kein Confixx benutze, kann ich leider dazu nicht viel mehr sagen ;)

[tobi]

user bind wird wohl von confixx gelöscht! Was kann man dagegen tun? Die DNS funktion habe ich schon deaktiviert.

[[tom]]

user bind wird wohl von confixx gelöscht! Was kann man dagegen tun? Die DNS funktion habe ich schon deaktiviert.

Leg den User bind mit einer ID unterhalb der MIN_ID von Confixx an, dann löscht er auch nicht mehr.

[TOM]

[[ djthesound ]]

Hallo,

gibt es für Bind9 (unter Debian) auch eine grafische Oberfläche? Ich habe eine Oberfläche im Kopf für "PowerDNS", aber die funktioniert ja bei BIND nicht. Hat jemand eine Idee?

Gruss
DJtheSOUND

[kase]

Falls du das Default-Zone "System" von diesem HowTo benutzt, ist das Anlegen einer neuen Domain eine Sache von 1 Minute. Ich denke nicht, dass es eine Oberfläche gibt, die dir dieses minimale bißchen Arbeit auch noch abnimmt.

Das Anlegen einer neuen Domain könntest du dir sogar mit einem kleinen Bash Script automatisieren, nur beim Löschen müsstest du dann mal einen Editor öffnen.

Ich bin mir aber sehr sehr sicher, dass es da für bind auch was gibt, allerdings vermute ich, dass du den NameServer dann ein ganzes Stück umconfiguriern musst. Und wie gesagt, das Anlegen einer neuen Domain ist ein Copy&Paste von 3 Zeilen Text, in denen du nur die Domain ersetzen musst, durch deine neue.

[[ djthesound ]]

Hi kase,

naja, ich möchte dass sich meine leute die bei mir space haben die domains selbst einrichten können und ändern. deshalb habe ich mir einmal powerdns angesehen und da gibts eine grafische oberfläche mit benutzerverwaltung dazu (weiss den namen im moment aber nicht), darum suche ich auch für bind sowas, kennst du da was, das man empfehlen kann?

gruss djthesound

[kase]

nein...

[dodolin]

naja, ich möchte dass sich meine leute die bei mir space haben die domains selbst einrichten können und ändern.

Wo ist das Problem?!

Code: Select all

dominik@trinity:~$ cd /etc/bind/
dominik@trinity:/etc/bind$ ls -l
total 15
-rw-r--r--    1 root     root          237 Jul  2  2002 db.0
-rw-r--r--    1 root     root          271 Jul  2  2002 db.127
-rw-r--r--    1 root     root          237 Jul  2  2002 db.255
-rw-r--r--    1 dominik  dominik       334 Jun  3 13:25 db.bl.dodolin.de
-rw-r--r--    1 root     root          672 Jun 16 01:40 db.dodolin.de
-rw-r--r--    1 root     root          289 Jun 14 11:43 db.dominik-ruf.de
-rw-r--r--    1 root     root          291 Jun  3 14:15 db.folterstudio.org
-rw-r--r--    1 root     root          256 Jul  2  2002 db.local
-rw-r--r--    1 root     root         2769 Jul  2  2002 db.root
-rw-r--r--    1 root     root         2879 Jun 14 11:43 named.conf
-rw-------    1 named    root           77 Jun  3 12:35 rndc.key

Man beachte die Rechte von db.bl.dodolin.de. Diese Zone wird vom User dominik verwaltet.

Wer braucht schon Klicki-Bunti? Sollten jemals andere Benutzer auf diesen Server kommen, dann werden das nur solche sein, die genügend Clue haben, um ein Zonefile selbst zu schreiben, wenn es sie es denn möchten.