最近去做DNS檢測
http://mxtoolbox.com/domain/ezvh.tw/
發現顯示一堆錯誤,如上下層定義不一致的問題
但有些slave檔的定義,並無需求跟master一樣
我現在規劃的是以一個做ns的domain當master來做導引slave
簡單說我想各個slave的domain的NS在註冊商對應的都一樣,目前設定完,也都正常可以導入各個slave的domain,但做DNS檢測時卻出現上下層的named設定不一致的問題,有點疑惑,因為我都比照master的格式去定義slave下的domain,除了不需要的subdomain名稱我會去掉外,如NS設定,因為我已經定義在master的domain named檔
但為何還會出現上下層定義不一致的問題?
另外請教如何更新線上檢測時DNS的偵測版本?因為我看檢測都是舊資料
以上
希望各位先進能不吝回答
感恩
mxtoolbox檢測結果並沒有"上下層定義不一致"
Primary Name Server Not Listed At Parent
指的是 SOA 裡的 MNAME 這個欄位, 可參考我上次的回答,
這項錯誤, 在其它DNS check網站, 例如https://intodns.com ,
這個十幾年前就開始服務的檢測網站, 就只判定有疑慮.
以 Bind9 而言,
named.conf 有異動, 需要 rndc reconfig 才能生效.
zone file 有異動, 除了序號要增加, 還需要 rndc reload .
雖然說把 named 服務重啟也是個辦法, 但本身的cache data會清掉,
對小公司/工作室無妨, 若是提供很多人查詢用的, 例如ISP提供的dns解析服務, 就不妥當.
slave根本不需要你手動新增/修改zone data,
slave的Bind啟動後會去檢查zone data,
若無資料或master有異動就會做zone transfer.
(當然, 你也得留意本機防火牆有沒有允許通過)
想想看, 如果.com 的zone data, 全世界那麼多slave都要手動更新,
一者非常頻繁根本不可能人工作業, 二者手動修改絕對有出錯機率.
自管DNS, 能把 master / slave 弄清楚完全沒失誤的,
大概不到兩成, 所以你也別太氣餒.
master / slave, named.conf 裡的寫法略有不同, 且要特別留意資安設限.
你目前的狀況:
公網上的嘗試攻擊很頻繁, 稍有疏忽就可能造成難以收拾局面,
目前mxtoolbox檢測結果最嚴重的是 blacklist (mail/spam/openrelay),
其次是 dns 的 open zone transfer,
故無論如何, 開放在公網上的服務程式, 請絕對要留意資安設定.
但資安功力絕非短時間可速成, 你要多花時間研讀教學網站,
在內網裡練功實作測試, 有把握了再實施到公網上.