Sao chép tệp xác thực BIND9 sang máy mới


0

Gần đây tôi đã có máy chủ BIND đầu tiên của tôi hoạt động và một trong những điều đầu tiên tôi làm sau khi nó hoạt động là sao chép một số tệp cấu hình vào máy ảo của tôi.

EDIT: Những máy chủ này sẽ không bao giờ chạy song song. Tôi chỉ chạy máy chủ ảo khi tôi khởi động vào Windows, vì vậy tôi muốn chúng xuất hiện giống hệt nhau. Họ có cùng địa chỉ MAC, địa chỉ IP và tên máy chủ.

Tôi có một địa chỉ IPv6 tĩnh và tên DNS hợp pháp và tôi sợ rằng máy chủ BIND thứ hai mà tôi đã cấu hình sẽ không bao giờ được tin cậy bởi bất kỳ máy khách / trình phân giải hoặc máy chủ DNS nào khác.

Những tập tin nào tôi cần sao chép từ máy chủ đáng tin cậy vào máy được xem là người trung gian?

Tôi dự định đọc chương O'Reilly này , nhưng có vẻ quá nặng cho thời điểm này ...

Trong trường hợp của tôi, cả hai máy đều đang chạy Ubuntu Server và các bản phát hành BIND9 mới nhất từ ​​kho apt chính.

CẬP NHẬT: Đã sao chép mọi thứ trong / etc / bind / từ máy xác thực chính xác (Máy ảo) sang phân vùng (vật lý) khác, tôi vẫn gặp sự cố với các bản cập nhật dns động cho máy khách ipv6.

Máy chủ đang chạy giao diện đường hầm Teredo IPv6 (tspc) và trình nền quảng cáo bộ định tuyến (radvd) để quảng cáo đường hầm IPv6 đến các máy khác trên mạng của tôi. Để minh họa tiềm năng của nó trong khi thể hiện sự cố, trên máy khách Windows: -

 > ipconfig /renew
 Wireless LAN adapter Wireless Network Connection:

     Connection-specific DNS Suffix   .  : example.com
     IPv6 address.  .  .  .  .  .  .  .  : 2001:<48bits>::random64bits   <From Server>
     Temporary IPv6 Address  .  .  .  .  : 2001:<48bits>::2ndrandom64bits<also from server>
     Link-Local IPv6 Address .  .  .  .  : fe80::<64bits>%10
     Ipv4 Address 
  .... 
 Tunnel adapter Teredo Tunneling Pseudo-Interface: 

     Connection-specific DNS Suffix   .  : 2001: completely random 112 bits 
     Link-local IPv6 Address .  .  .  .  : fe80::another random address 
     Default gateway   .  .  .  .  .  .  : 

 Tunnel adapter isatap.example.com:

     Media State .  .  .  .  .  .  .  .  : Media disconnected
     Connection-specific DNS Suffix   .  : example.com

Và khi tôi chạy ipconfig /renewlệnh đó trên máy khách windows, tôi sẽ thấy lỗi này trong nhật ký máy chủ liên kết: -

Ngày 05 tháng 8 năm 2011 22: 21: 14.946 cập nhật-bảo mật: lỗi: máy khách fe80 :: <Địa chỉ IPv6 liên kết cục bộ>% 2 # 57124: xem nội bộ-xem: cập nhật 'example.com/IN' bị từ chối

Điều này trông giống như một cấu hình sai, nhưng tôi chưa bao giờ thấy lỗi này trên máy ảo. Các hạn chế cập nhật tôi có tại chỗ cho chế độ xem và chuyển tiếp trong câu hỏi là: -
allow-update { key "rndc-key"; };

Khi sử dụng rndc-key, tôi phải tạo một tệp chính trong / var / cache / bind / eg: -
touch /var/cache/bind/<reallylongnumber>.mkeys;
nếu không, tôi gặp lỗi 'không tìm thấy tệp' trong nhật ký liên kết. Về cơ bản, tôi sao chép tên tệp mà tôi thấy trong nhật ký lỗi, tên có tên không thể tìm thấy và chỉ tạo một tệp trống.

Tôi chưa kiểm tra xem các tên tệp trong / var / cache / bind có giống nhau trên cả máy vật lý và máy ảo hay không. Tôi khá chắc chắn rằng nó cũng trống trên máy ảo, mặc dù không biết liệu tên có được tạo ngẫu nhiên (và sau đó được lưu trong bộ nhớ cache) hay không ...

Vì vậy, tôi tự hỏi liệu có một số bộ đệm khác ở đâu đó (tôi đã xem trong / var / cache và / var / run) lưu trữ một số thông tin khác liên quan đến các phím rndc này hoặc có lẽ là một cái gì khác (chứng chỉ ssl của máy?).

Nếu không, nó có thể là một vấn đề với khách hàng không tin tưởng máy chủ? Đã kiểm tra hai lần, các địa chỉ MAC không giống nhau giữa máy chủ ảo và máy vật lý. Điều này có vẻ như là một hệ thống bị xâm phạm đến một khách hàng? Tôi có nên thay đổi tên máy chủ nhưng giữ cùng một địa chỉ IP để giữ DNS phân giải không?

Cũng có thể sử dụng, tôi đã tìm thấy tùy chọn BIND này ngày hôm nay - multi-master yes ;mặc dù tôi tưởng tượng nó được định hướng cho chủ chạy đồng thời .. Bạn có

suy nghĩ gì về tùy chọn dễ nhất (và tốt nhất) không? Bất kỳ và tất cả các đề xuất đều được hoan nghênh ...

Câu trả lời:


1

Mỗi https://help.ubfox.com/community/BIND9ServerHowto

Để tạo bản sao lưu cấu hình BIND của bạn, hãy tạo một bản sao lưu của / etc / bind vì có vẻ như cổng Ubuntu bỏ mọi thứ trong thư mục đó.


Sao chép các tệp vùng và cấu hình liên kết sẽ không hoạt động vì máy chủ thứ 2 phải là máy chủ nô lệ và không phải là máy chủ như thứ 1 và cấu hình là khác nhau.
laurent

Tôi không gợi ý rằng, tôi chỉ đề xuất những gì cần sao lưu ;-)
Astron

@Astron. Tôi đã đồng bộ hóa các tệp có tên .conf và db. *, Trong / etc / bind, nhưng không có gì giống như khóa rndc hoặc bất kỳ khóa định danh / mã hóa nào khác. Cảm ơn các liên kết. Tôi đã hy vọng một câu trả lời ngắn gọn sẽ cứu tôi khỏi việc đọc các tài liệu ...
Alex Leach

@ Tuyệt vời. Không, cả hai tôi đều muốn chúng xuất hiện với tư cách là chủ nhân của khu vực, vì tôi không điều hành chúng cùng một lúc. Xin lỗi, lỗi của tôi.
Alex Leach

ok - @astron: Tôi sẽ chỉ có thể xóa downvote nếu bạn chỉnh sửa câu trả lời của mình.
22 giờ

0

Máy chủ thứ hai của bạn phải lưu trữ các vùng nô lệ và không làm chủ. Chỉ máy chủ đầu tiên có thể là chủ cho khu vực (SOA). Bạn cần cấu hình thứ 2 dưới dạng nô lệ và để nó nhận các bản ghi vùng từ bản gốc, không sao chép các tệp vùng. Dù sao, bạn cần hai IP công cộng để đặt 2 máy chủ trực tuyến.


Xin lỗi, tôi không rõ ràng. Hai máy chủ BIND không bao giờ chạy cùng một lúc. Tôi chỉ chạy máy ảo khi tôi khởi động vào windows, vì vậy hai máy chủ liên kết của tôi có cùng địa chỉ IP và tôi muốn chúng xuất hiện giống hệt với bất kỳ máy khách hoặc giao nhận nào.
Alex Leach

được rồi xin lỗi. Để làm như vậy, bạn cũng sẽ cần sao chép các tệp vùng ở mỗi lần sửa đổi (và giữ các số sê-ri giống hệt nhau).
laurent

Để buộc bất kỳ kết thúc lỏng lẻo; Tôi mới khởi động máy vật lý lần đầu tiên sau một thời gian. Chính máy chủ liên kết này đã gây ra sự cố xác thực, vì vậy tôi đã tinh chỉnh máy chủ ảo và tôi đã đi khỏi, do đó tôi bị chậm trễ. Bây giờ tôi đã sao chép mọi thứ trong / etc / bind / từ máy ảo sang phân vùng vật lý (tất nhiên là có bản sao lưu), nhưng tôi nghĩ rằng phải có một số bộ đệm khác trên máy này hoặc máy tính xách tay của tôi, như máy tính xách tay của tôi không thể xác thực với dns động (IPv6). Sẽ cần không gian ở trên, vì vậy tôi sẽ sửa đổi câu hỏi của mình bằng bản cập nhật đầy đủ hơn ...
Alex Leach
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.