O caminho certo para configurar servidores de nomes master e slave

2

Estou me perguntando sobre a maneira correta de configurar um DNS mestre e escravo.

Eu li em algum lugar que o seu servidor DNS mestre não deve ter um registro NS no seu arquivo de zona - isso é meio secreto e então seus servidores de nomes escravos têm registros NS e estão listados no registro whois.

Alguém pode confirmar o caminho certo para configurar o arquivo de zona e whois para servidores de nomes master e slave?

Isso surgiu porque o meu servidor de nomes slave reclama que o meu servidor de nomes não é autoridade para um domínio, ele definitivamente é o mestre de um domínio onde o servidor slave tem um registro NS, mas não reclama por um domínio que não tem um registro NS para o escravo.

    
por Jon A 25.10.2015 / 17:08

2 respostas

2

Não é incomum que grandes operadores executem uma configuração de "mestre oculto". Isso permite que eles executem toda a manutenção da zona nesse servidor oculto, sem o risco de serem inundados por consultas do cliente.

As reclamações que você está vendo nos servidores escravos devem ser apenas avisos, e podem ser ignoradas. Se, no entanto, a configuração não estiver funcionando, atualize sua pergunta com mais detalhes.

    
por 09.11.2015 / 04:22
0

Eu faço de outra maneira, em SOA meu mestre é ns1 (zona de escravos), eu tenho 3 escravos locais ns2, ns3 e ns4 e, em seguida, dois servidores de nomes externos.

Todo o DNS é feito em uma máquina independente, mas é configurado para enviar-notifica para o mestre local, que é configurado para 'também notificar' o local e remover escravos, dessa forma, as atualizações só podem vir de 1 endereço IP. meu espaço IP local.

Eu também adiciono TSIG como meus escravos externos estão usando a internet pública para se comunicar.

Tudo isso é uma preferência pessoal, mas o importante é lembrar que você não deseja que os servidores de nomes publicados façam qualquer tipo de atualização de redes inseguras, apenas aquelas que você mantém, confia e protege e, em seguida, TSIG (Layer Application Security) no topo.

Além disso, eu corro o Bind9, mas também executo o DBJDNS (usando scripts para retransferir do master na atualização) o que me permite usar um simples, webui e ainda ter um backend de escravo seguro.

    
por 10.11.2015 / 13:59