การคัดลอกไฟล์การพิสูจน์ตัวตน BIND9 ไปยังเครื่องใหม่


0

ฉันเพิ่งได้เซิร์ฟเวอร์ BIND เครื่องแรกของฉันมาทำงานและหนึ่งในสิ่งแรกที่ฉันทำหลังจากใช้งานได้คือการคัดลอกไฟล์การกำหนดค่าบางอย่างไปยังเครื่องเสมือนของฉัน

แก้ไข: เซิร์ฟเวอร์เหล่านี้จะไม่ทำงานแบบขนาน ฉันเรียกใช้เซิร์ฟเวอร์เสมือนเมื่อฉันบูทเป็น Windows ดังนั้นฉันจึงต้องการให้พวกเขาดูเหมือนกัน พวกเขามีที่อยู่ MAC, ที่อยู่ IP และชื่อโฮสต์เดียวกัน

ฉันมีที่อยู่ IPv6 แบบคงที่และชื่อ DNS ที่ถูกต้องและกลัวว่าเซิร์ฟเวอร์ BIND ตัวที่สองที่ฉันกำหนดค่าไว้จะไม่ได้รับความเชื่อถือจากไคลเอนต์ / ผู้แก้ไข / เซิร์ฟเวอร์อื่นใดของ DNS

ฉันจะต้องคัดลอกไฟล์อะไรจากเซิร์ฟเวอร์ที่เชื่อถือได้ไปยังเครื่องที่มองว่าเป็นคนกลาง

ฉันวางแผนที่จะอ่านบท O'Reilly นี้แต่มันดูหนักเกินไปสำหรับเวลานี้ ...

ในกรณีของฉันทั้งสองเครื่องกำลังเรียกใช้ Ubuntu Server และ BIND9 รุ่นล่าสุดจากที่เก็บหลัก apt

อัปเดต: หลังจากคัดลอกทุกอย่างใน / etc / bind / จากเครื่องที่ได้รับการรับรองอย่างถูกต้อง (เครื่องเสมือน) ไปยังพาร์ติชันอื่น (ทางกายภาพ) ฉันยังคงได้รับปัญหาเกี่ยวกับการอัพเดท DNS แบบไดนามิกสำหรับไคลเอนต์ ipv6

เซิร์ฟเวอร์กำลังใช้งาน Teredo IPv6 tunneling interface (tspc) และ daemon advertising daemon (radvd) เพื่อโฆษณา IPv6 tunnel ไปยังเครื่องอื่น ๆ ในเครือข่ายของฉัน เพื่อแสดงให้เห็นถึงความเป็นไปได้ในขณะที่แสดงให้เห็นถึงปัญหาบนไคลเอนต์ Windows: -

 > ipconfig /renew
 Wireless LAN adapter Wireless Network Connection:

     Connection-specific DNS Suffix   .  : example.com
     IPv6 address.  .  .  .  .  .  .  .  : 2001:<48bits>::random64bits   <From Server>
     Temporary IPv6 Address  .  .  .  .  : 2001:<48bits>::2ndrandom64bits<also from server>
     Link-Local IPv6 Address .  .  .  .  : fe80::<64bits>%10
     Ipv4 Address 
  .... 
 Tunnel adapter Teredo Tunneling Pseudo-Interface: 

     Connection-specific DNS Suffix   .  : 2001: completely random 112 bits 
     Link-local IPv6 Address .  .  .  .  : fe80::another random address 
     Default gateway   .  .  .  .  .  .  : 

 Tunnel adapter isatap.example.com:

     Media State .  .  .  .  .  .  .  .  : Media disconnected
     Connection-specific DNS Suffix   .  : example.com

และเมื่อฉันเรียกใช้ipconfig /renewคำสั่งนั้นบนไคลเอนต์ windows ฉันเห็นข้อผิดพลาดนี้ในบันทึกการเชื่อมเซิร์ฟเวอร์: -

05-Aug-2011 22: 21: 14.946 update-security: ข้อผิดพลาด: ไคลเอนต์ fe80 :: <ที่อยู่ IPv6 เชื่อมโยงท้องถิ่น>% 2 # 57124: ดูภายในมุมมอง: ปฏิเสธ 'update' example.com/IN '

ดูเหมือนว่าการกำหนดค่าผิดพลาด แต่ฉันไม่เคยเห็นข้อผิดพลาดนี้บนเครื่องเสมือน ข้อ จำกัด ในการอัปเดตที่ฉันมีสำหรับมุมมองและโซนส่งต่อที่เป็นปัญหาคือ: -
allow-update { key "rndc-key"; };

เมื่อใช้ rndc-key ฉันต้องสร้างไฟล์คีย์ใน / var / cache / bind / ie: -
touch /var/cache/bind/<reallylongnumber>.mkeys;
มิฉะนั้นฉันได้รับข้อผิดพลาด 'ไม่พบไฟล์' ในบันทึกการเชื่อมโยง โดยพื้นฐานแล้วฉันคัดลอกชื่อไฟล์ที่ฉันเห็นในบันทึกข้อผิดพลาดที่ชื่อแจ้งว่าหาไม่พบและเพิ่งสร้างไฟล์เปล่า

ฉันยังไม่ได้ตรวจสอบว่าชื่อไฟล์เหล่านี้ใน / var / cache / bind เหมือนกันทั้งบนเครื่องจริงและเครื่องเสมือน ฉันค่อนข้างแน่ใจว่ามันว่างเปล่าในเครื่องเสมือน แต่ด้วยแม้ว่าจะไม่รู้ว่าชื่อนั้นถูกสร้างขึ้นแบบสุ่ม (และจากนั้นแคช) หรือไม่ ...

ดังนั้นฉันสงสัยว่ามีบางแคชอื่น ๆ (ฉันได้ดู / var / cache และ / var / run) ที่เก็บข้อมูลอื่น ๆ ที่เกี่ยวข้องกับคีย์ rndc เหล่านี้หรืออาจเป็นอย่างอื่น (ใบรับรอง SSL ของเครื่อง?)

มิฉะนั้นอาจเป็นปัญหากับลูกค้าที่ไม่เชื่อถือเซิร์ฟเวอร์หรือไม่ เมื่อตรวจสอบสองครั้งที่อยู่ MAC จะไม่เหมือนกันระหว่างเซิร์ฟเวอร์เสมือนและเครื่องจริง สิ่งนี้อาจดูเหมือนระบบที่ถูกบุกรุกไปยังลูกค้าหรือไม่? ฉันควรเปลี่ยนชื่อโฮสต์ แต่เก็บที่อยู่ IP เดิมไว้เพื่อแก้ไขปัญหา DNS ต่อไปหรือไม่

บางทีการใช้งานฉันพบตัวเลือก BIND วันนี้ - multi-master yes ;แม้ว่าฉันจะจินตนาการว่ามันเป็นคำสั่งให้อาจารย์ทำงานพร้อมกัน ..

ความคิดใด ๆ เกี่ยวกับตัวเลือกที่ง่ายที่สุด (และดีที่สุด)? คำแนะนำใด ๆ และทั้งหมดยินดีสุดซึ้ง ...

คำตอบ:


1

ต่อhttps://help.ubuntu.com/community/BIND9ServerHowto

เพื่อทำการสำรองข้อมูลการกำหนดค่า BIND ของคุณให้ทำการสำรองข้อมูลของ/ etc / bindตามที่ดูเหมือนว่าพอร์ต Ubuntu จะลดทุกอย่างในไดเรกทอรีนั้น


การคัดลอกไฟล์โซนและการกำหนดค่าการเชื่อมโยงจะไม่ทำงานในกรณีที่เซิร์ฟเวอร์ตัวที่ 2 ต้องเป็นเซิร์ฟเวอร์ทาสและไม่ใช่เจ้านายอย่างที่ 1 และการกำหนดค่าจะแตกต่างกัน
เรนท์

ผมก็ไม่ได้บอกว่าผมก็แค่บอกว่าจะสำรอง ;-)
Astron

@Astron ฉันได้ซิงค์ไฟล์ named.conf และ db. * ซึ่งอยู่ใน / etc / bind แต่ไม่มีอะไรที่เหมือนกับ rndc-key หรือคีย์ตัวระบุ / การเข้ารหัสอื่น ๆ ขอบคุณสำหรับลิงค์ ผมก็หวังว่าคำตอบสั้น ๆ ที่จะช่วยฉันจากการอ่านรีมเอกสาร ...
อเล็กซ์กรอง

@Laurent ไม่ฉันทั้งคู่ต้องการให้พวกเขาปรากฏตัวเป็นเจ้านายในโซนเพราะฉันไม่ได้เรียกใช้พวกเขาในเวลาเดียวกัน ขอโทษฉันไม่ดี
อเล็กซ์กรอง

ok - @astron: ฉันจะสามารถลบ downvote ได้เฉพาะเมื่อคุณแก้ไขคำตอบของคุณ
เรน

0

เซิร์ฟเวอร์ตัวที่สองของคุณต้องโฮสต์โซน slave ไม่ใช่มาสเตอร์ เฉพาะเซิร์ฟเวอร์ที่ 1 เท่านั้นที่สามารถเป็นมาสเตอร์สำหรับโซน (SOA) คุณต้องกำหนดค่าที่ 2 ให้เป็นทาสและให้มันได้รับการบันทึกโซนจากต้นแบบไม่ใช่การคัดลอกไฟล์โซน อย่างไรก็ตามคุณต้องมี IP สาธารณะสองตัวเพื่อวางเซิร์ฟเวอร์ 2 ตัวออนไลน์


ขออภัยฉันไม่ชัดเจน เซิร์ฟเวอร์ BIND สองเครื่องไม่เคยทำงานพร้อมกัน ฉันเรียกใช้เครื่องเสมือนเมื่อฉันบูทเข้าสู่ windows ดังนั้นเซิร์ฟเวอร์สองเครื่องของฉันจึงมีที่อยู่ IP เดียวกันและฉันต้องการให้พวกเขาปรากฏเหมือนลูกค้าหรือผู้ส่งต่อใด ๆ
Alex Leach

โอเค - ขอโทษ ในการทำเช่นนั้นคุณจะต้องคัดลอกไฟล์โซนทุกครั้งที่มีการแก้ไข (และเก็บหมายเลขซีเรียลเหมือนกัน)
เรน

ผูกปลายหลวม ๆ ; ฉันเพิ่งบูทเครื่องกายภาพเป็นครั้งแรกในขณะที่ มันคือเซิร์ฟเวอร์ที่เชื่อมโยงซึ่งให้การตรวจสอบปัญหาดังนั้นฉันจึงทำการปรับแต่งเซิร์ฟเวอร์เสมือนและฉันไม่อยู่ดังนั้นความล่าช้าของฉัน ฉันได้คัดลอกทุกอย่างใน / etc / bind / จากเครื่องเสมือนไปยังฟิสิคัลพาร์ติชันในขณะนี้ (แน่นอนว่ามีการสำรองข้อมูล) แต่ฉันคิดว่าต้องมีแคชอื่นบนเครื่องนี้หรือแล็ปท็อปของฉันเช่นแล็ปท็อปของฉัน ล้มเหลวในการตรวจสอบกับ dynamic dns (IPv6) จะต้องมีพื้นที่ว่างข้างต้นดังนั้นฉันจะแก้ไขคำถามของฉันกับการปรับปรุงฟูลเลอร์ ...
อเล็กซ์กรอง
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.