Fedra 架設DNS備援伺服器出問題

#dns #fedora #winserver2016 slave

rh551206 2019-07-03 13:29:46 ‧ 1558 瀏覽

分享至

請問:
masters架在Windows server2016
slaves架在Fedora-Workstation-26
masters 192.168.1.1; XXX.edu
slaves 192.168.1.2;
fedora的named設定如下:
options{
// listen-on-v6 port53 {::1;}; 這怕會因為解析不到ipv6而導致失敗，所以註解掉
allow-query {any; };
其餘未變更
};

zone "XXX.edu" IN{
type slave;
masters{192.168.1.1;}:
file "slaves/XXX.edu.hosts";
};

想詢問看看正和備援伺服器的domain name 是否能一樣?
不用反解會有影響嗎?
如果可以那我上面的設定有錯誤嗎?

fedora輸入systemctl status named後回應
named[7962]: managed-ksys-zone: loaded serial 11
named[7962]: zone 0.in-addr.arpa/IN: loaded serial 0
named[7962]: zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
named[7962]: zone localhost/IN: loaded serial 0
named[7962]: zone localhost.localdomain/IN: loaded serial 0
named[7962]: zone XXX.edu/IN: loaded serial 158
named[7962]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0........ip6.arpa/IN:loaded serial 0
named[7962]: all zones loaded
named[7962]: running
systemd[1]: Started Berkeley Internet Name Domain (DNS).

請各位指導
謝謝

mathewkl iT邦高手 1 級 ‧ 2019-07-03 18:03:08 檢舉

不能一樣吧? DNS會錯亂，只能指到其中一個。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

ayu

iT邦好手 2 級 ‧ 2019-07-10 03:53:32

最佳解答

正和備援伺服器的domain name 是否能一樣?

如果你是指伺服器的主機名稱, 那當然不行.

不用反解會有影響嗎?

fc26的bind-9.11.1套件, 預設將四個常用的反解網域自己回答, 以免向外查詢.
用預設的就好, 不用改.

systemctl status named後回應

這段是 named 啟動時的訊息, 看來沒問題.

真正的問題, 有幾個:
1)fc26的bind-9.11.x套件, named.ca已多年未更新,
你可比對 https://www.internic.net/domain/named.root ,
b h l root-servers.net 是否不同?

2)named.conf預設
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
是基於安全考量下的預設值, 是只給本機使用, 只有本機能夠查詢. 如果確定要開啟服務, 把listen-on 什麼的都註解掉就好了.

3)allow-query {any;};
如果再加預設的 recursion yes;
就是 open recursive resolver, 若放在公網上,
不需任何駭入就能拿你的機器做DDos攻擊, 請詳閱 named.conf 上的註解

4)slave不是備援伺服器的意義, 說它是副本比較符合.
很多人把windows慣用DNS 跟 Authoritative DNS
混淆了, 後者是絕對沒有優先度的!

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

rh551206 iT邦新手 5 級 ‧ 2019-07-10 16:12:52 檢舉

謝謝你的回答
有空會測試

rh551206 iT邦新手 5 級 ‧ 2019-07-12 16:31:08 檢舉

(1)請問 bind的套件有一定要更新嗎? 我的版本是Fedora26
b h l root-servers.net都是不同的

(3) 謝謝你的講解我了解了
沒連到外網所以沒關西的

(4)在查資料時許多都稱slave為備援伺服器
稱為副本那當做備援一樣應該可以吧?

看你的回答後更改還是沒架設成功
顯示一樣的結果
謝謝你的回答

ayu iT邦好手 2 級 ‧ 2019-07-13 05:15:22 檢舉

把原本的 named.ca 替換掉就好
wget -O /var/named/named.ca https://www.internic.net/domain/named.root

你的masters(winserver2016),

XXX.edu 有允許 192.168.1.2 做 zone transfer 嗎?
有開放TCP53嗎? zone transfer必須用TCP53

slave(fc26)防火牆有開UDP53/TCP53 ?

備援的意思通常指, 主伺服器故障時替換上場用.
因你現在是練功, 不是真實網域, 暫時毋須顧慮.

rh551206 iT邦新手 5 級 ‧ 2019-07-15 09:29:45 檢舉

named/slaves底下有新增出檔案了
而且我查詢兩台的serial是一樣的，winserver2016的serial改變 fedora26的也會跟著改應該是架設成功了
謝謝你耐心的回答

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙