iT邦幫忙

0

DNS slave一定要跟master定義的內容一模一樣嗎?

最近去做DNS檢測
http://mxtoolbox.com/domain/ezvh.tw/
發現顯示一堆錯誤,如上下層定義不一致的問題
但有些slave檔的定義,並無需求跟master一樣

我現在規劃的是以一個做ns的domain當master來做導引slave
簡單說我想各個slave的domain的NS在註冊商對應的都一樣,目前設定完,也都正常可以導入各個slave的domain,但做DNS檢測時卻出現上下層的named設定不一致的問題,有點疑惑,因為我都比照master的格式去定義slave下的domain,除了不需要的subdomain名稱我會去掉外,如NS設定,因為我已經定義在master的domain named檔

但為何還會出現上下層定義不一致的問題?
另外請教如何更新線上檢測時DNS的偵測版本?因為我看檢測都是舊資料

以上
希望各位先進能不吝回答
感恩

看更多先前的討論...收起先前的討論...
weiclin iT邦高手 4 級 ‧ 2016-10-09 07:23:20 檢舉
修改設定後, serial number 也要更新
ayu iT邦好手 2 級 ‧ 2016-10-09 08:59:59 檢舉
沒看到上下層定義不一致的訊息啊, 你說的是這個嗎?
Primary Name Server Not Listed At Parent
ayu iT邦好手 2 級 ‧ 2016-10-09 09:03:34 檢舉
> 比照master的格式去定義slave下的domain
你再看清楚我上次的回答, 或者其它教學網站, 因為slave的zone data不是要你手動更新的, 而是自動跟master取得資料同步, 能理解嗎?
outgi iT邦新手 5 級 ‧ 2016-10-09 11:24:40 檢舉
weiclin大大:恩!都有更新
ayu:我能理解,但沒注意到不用手動更新這部分,想請教,那意思是我slave裡面我新增zone檔後就不用裡他了?還是slave有特定的格式讓他自動跟上層更新?
weiclin iT邦高手 4 級 ‧ 2016-10-09 19:35:28 檢舉
slave 會主動向 master 更新資料, 所以你 master 那邊要允許 slave 存取, 也就是 named.conf 裡面的 allow-transfer
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

1
ayu
iT邦好手 2 級 ‧ 2016-10-09 19:09:27

mxtoolbox檢測結果並沒有"上下層定義不一致"
Primary Name Server Not Listed At Parent
指的是 SOA 裡的 MNAME 這個欄位, 可參考我上次的回答,
這項錯誤, 在其它DNS check網站, 例如https://intodns.com ,
這個十幾年前就開始服務的檢測網站, 就只判定有疑慮.

以 Bind9 而言,
named.conf 有異動, 需要 rndc reconfig 才能生效.
zone file 有異動, 除了序號要增加, 還需要 rndc reload .
雖然說把 named 服務重啟也是個辦法, 但本身的cache data會清掉,
對小公司/工作室無妨, 若是提供很多人查詢用的, 例如ISP提供的dns解析服務, 就不妥當.

slave根本不需要你手動新增/修改zone data,
slave的Bind啟動後會去檢查zone data,
若無資料或master有異動就會做zone transfer.
(當然, 你也得留意本機防火牆有沒有允許通過)
想想看, 如果.com 的zone data, 全世界那麼多slave都要手動更新,
一者非常頻繁根本不可能人工作業, 二者手動修改絕對有出錯機率.

自管DNS, 能把 master / slave 弄清楚完全沒失誤的,
大概不到兩成, 所以你也別太氣餒.

master / slave, named.conf 裡的寫法略有不同, 且要特別留意資安設限.
你目前的狀況:

  • recursive query已有做限制, 很好!
  • allow-transfer 完全沒設限, 誰都可以取得ezvh.tw完整的zone data,
     Open Zone Transfer Detected 指的就是這個!
     這部份請務必補上, 可參考相關教學網站.

公網上的嘗試攻擊很頻繁, 稍有疏忽就可能造成難以收拾局面,
目前mxtoolbox檢測結果最嚴重的是 blacklist (mail/spam/openrelay),
其次是 dns 的 open zone transfer,
故無論如何, 開放在公網上的服務程式, 請絕對要留意資安設定.
但資安功力絕非短時間可速成, 你要多花時間研讀教學網站,
在內網裡練功實作測試, 有把握了再實施到公網上.

我要發表回答

立即登入回答