Недавно я запустил и запустил свой первый сервер BIND, и одним из первых, что я сделал после того, как он заработал, было копирование некоторых файлов конфигурации на мою виртуальную машину.
РЕДАКТИРОВАТЬ: Эти серверы никогда не будут работать параллельно. Я запускаю виртуальный сервер только при загрузке в Windows, поэтому хочу, чтобы они выглядели одинаково. У них одинаковые MAC-адреса, IP-адреса и имена хостов.
У меня есть статический IPv6-адрес и допустимое DNS-имя, и я боюсь, что второму настроенному мной серверу BIND никогда не будет доверять любой другой DNS-клиент / распознаватель или сервер.
Какие файлы мне нужно скопировать с доверенного сервера на компьютер, который рассматривается как посредник?
Я планирую прочитать эту главу О'Рейли, но она выглядит слишком тяжелой для этого момента времени ...
В моем случае обе машины работают под управлением Ubuntu Server и последних выпусков BIND9 из основных репозиториев apt.
ОБНОВЛЕНИЕ: скопировав все в /etc /bind / с должным образом аутентифицирующей машины (виртуальной машины) в другой (физический) раздел, у меня все еще возникают проблемы с динамическими обновлениями dns для клиентов ipv6.
На сервере запущен туннельный интерфейс Teredo IPv6 (tspc) и демон объявления маршрутизатора (radvd) для объявления туннеля IPv6 на других машинах в моей сети. Чтобы проиллюстрировать это во время демонстрации проблемы на клиенте Windows:
> ipconfig /renew
Wireless LAN adapter Wireless Network Connection:
Connection-specific DNS Suffix . : example.com
IPv6 address. . . . . . . . : 2001:<48bits>::random64bits <From Server>
Temporary IPv6 Address . . . . : 2001:<48bits>::2ndrandom64bits<also from server>
Link-Local IPv6 Address . . . . : fe80::<64bits>%10
Ipv4 Address
....
Tunnel adapter Teredo Tunneling Pseudo-Interface:
Connection-specific DNS Suffix . : 2001: completely random 112 bits
Link-local IPv6 Address . . . . : fe80::another random address
Default gateway . . . . . . :
Tunnel adapter isatap.example.com:
Media State . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . : example.com
И когда я запускаю эту команду ipconfig /renew на клиенте Windows, я вижу эту ошибку в журнале сервера bind:
05 августа 2011 г. 22: 21: 14.946 обновление-безопасность: ошибка: клиент fe80:: <Link-local IPv6-адрес>% 2 # 57124: просмотр внутреннего просмотра: обновление 'example.com/IN' запрещено
Это выглядит как неправильная конфигурация, но я никогда не видел эту ошибку на виртуальной машине. Ограничения на обновление, которые я установил для рассматриваемой зоны и зоны пересылки:
allow-update { key "rndc-key"; };
При использовании rndc-ключа мне нужно создать файл ключа в /var /cache /bind /, т.е.:-
touch /var/cache/bind/<reallylongnumber>.mkeys ;
в противном случае я получаю ошибку «файл не найден» в журнале привязок. По сути, я копирую имя файла, которое вижу в журнале ошибок, которое по имени говорит, что не может найти, и просто создаю пустой файл.
Я еще не проверял, совпадают ли эти имена файлов в /var /cache /bind как на физической, так и на виртуальной машине. Я почти уверен, что он был пуст на виртуальной машине, хотя и не знаю, генерируется ли имя случайно (и затем кэшируется) или нет ...
Поэтому мне интересно, есть ли где-нибудь другой кеш (я посмотрел в /var /cache и /var /run), в котором хранится некоторая другая информация, относящаяся к этим ключам rndc или, возможно, к чему-то другому (сертификат ssl машины?).
В противном случае, это может быть проблемой, если клиент не доверяет серверу? После двойной проверки MAC-адреса не идентичны между виртуальным сервером и физической машиной. Может ли это показаться клиенту скомпрометированной системой? Должен ли я просто изменить имя хоста, но оставить тот же IP-адрес для разрешения DNS?
Также, возможно, пригодился, сегодня я нашел эту опцию BIND - multi-master yes ; хотя я представляю, что он направлен на бег мастера одновременно ..
Есть мысли о самом простом (и лучшем) варианте? Любые предложения приветствуются с благодарностью ...