Gần đây tôi đã có máy chủ BIND đầu tiên của tôi hoạt động và một trong những điều đầu tiên tôi làm sau khi nó hoạt động là sao chép một số tệp cấu hình vào máy ảo của tôi.
EDIT: Những máy chủ này sẽ không bao giờ chạy song song. Tôi chỉ chạy máy chủ ảo khi tôi khởi động vào Windows, vì vậy tôi muốn chúng xuất hiện giống hệt nhau. Họ có cùng địa chỉ MAC, địa chỉ IP và tên máy chủ.
Tôi có một địa chỉ IPv6 tĩnh và tên DNS hợp pháp và tôi sợ rằng máy chủ BIND thứ hai mà tôi đã cấu hình sẽ không bao giờ được tin cậy bởi bất kỳ máy khách / trình phân giải hoặc máy chủ DNS nào khác.
Những tập tin nào tôi cần sao chép từ máy chủ đáng tin cậy vào máy được xem là người trung gian?
Tôi dự định đọc chương O'Reilly này , nhưng có vẻ quá nặng cho thời điểm này ...
Trong trường hợp của tôi, cả hai máy đều đang chạy Ubuntu Server và các bản phát hành BIND9 mới nhất từ kho apt chính.
CẬP NHẬT: Đã sao chép mọi thứ trong / etc / bind / từ máy xác thực chính xác (Máy ảo) sang phân vùng (vật lý) khác, tôi vẫn gặp sự cố với các bản cập nhật dns động cho máy khách ipv6.
Máy chủ đang chạy giao diện đường hầm Teredo IPv6 (tspc) và trình nền quảng cáo bộ định tuyến (radvd) để quảng cáo đường hầm IPv6 đến các máy khác trên mạng của tôi. Để minh họa tiềm năng của nó trong khi thể hiện sự cố, trên máy khách Windows: -
> ipconfig /renew
Wireless LAN adapter Wireless Network Connection:
Connection-specific DNS Suffix . : example.com
IPv6 address. . . . . . . . : 2001:<48bits>::random64bits <From Server>
Temporary IPv6 Address . . . . : 2001:<48bits>::2ndrandom64bits<also from server>
Link-Local IPv6 Address . . . . : fe80::<64bits>%10
Ipv4 Address
....
Tunnel adapter Teredo Tunneling Pseudo-Interface:
Connection-specific DNS Suffix . : 2001: completely random 112 bits
Link-local IPv6 Address . . . . : fe80::another random address
Default gateway . . . . . . :
Tunnel adapter isatap.example.com:
Media State . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . : example.com
Và khi tôi chạy ipconfig /renew
lệnh đó trên máy khách windows, tôi sẽ thấy lỗi này trong nhật ký máy chủ liên kết: -
Ngày 05 tháng 8 năm 2011 22: 21: 14.946 cập nhật-bảo mật: lỗi: máy khách fe80 :: <Địa chỉ IPv6 liên kết cục bộ>% 2 # 57124: xem nội bộ-xem: cập nhật 'example.com/IN' bị từ chối
Điều này trông giống như một cấu hình sai, nhưng tôi chưa bao giờ thấy lỗi này trên máy ảo. Các hạn chế cập nhật tôi có tại chỗ cho chế độ xem và chuyển tiếp trong câu hỏi là: -
allow-update { key "rndc-key"; };
Khi sử dụng rndc-key, tôi phải tạo một tệp chính trong / var / cache / bind / eg: -
touch /var/cache/bind/<reallylongnumber>.mkeys
;
nếu không, tôi gặp lỗi 'không tìm thấy tệp' trong nhật ký liên kết. Về cơ bản, tôi sao chép tên tệp mà tôi thấy trong nhật ký lỗi, tên có tên không thể tìm thấy và chỉ tạo một tệp trống.
Tôi chưa kiểm tra xem các tên tệp trong / var / cache / bind có giống nhau trên cả máy vật lý và máy ảo hay không. Tôi khá chắc chắn rằng nó cũng trống trên máy ảo, mặc dù không biết liệu tên có được tạo ngẫu nhiên (và sau đó được lưu trong bộ nhớ cache) hay không ...
Vì vậy, tôi tự hỏi liệu có một số bộ đệm khác ở đâu đó (tôi đã xem trong / var / cache và / var / run) lưu trữ một số thông tin khác liên quan đến các phím rndc này hoặc có lẽ là một cái gì khác (chứng chỉ ssl của máy?).
Nếu không, nó có thể là một vấn đề với khách hàng không tin tưởng máy chủ? Đã kiểm tra hai lần, các địa chỉ MAC không giống nhau giữa máy chủ ảo và máy vật lý. Điều này có vẻ như là một hệ thống bị xâm phạm đến một khách hàng? Tôi có nên thay đổi tên máy chủ nhưng giữ cùng một địa chỉ IP để giữ DNS phân giải không?
Cũng có thể sử dụng, tôi đã tìm thấy tùy chọn BIND này ngày hôm nay - multi-master yes ;
mặc dù tôi tưởng tượng nó được định hướng cho chủ chạy đồng thời .. Bạn có
suy nghĩ gì về tùy chọn dễ nhất (và tốt nhất) không? Bất kỳ và tất cả các đề xuất đều được hoan nghênh ...