Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

--- lpi2:bind [2016/12/07 20:46]
ingo_wichmann
+++ lpi2:bind [2023/12/08 15:15]
127.0.0.1 Externe Bearbeitung
@@ Zeile 2: / Zeile 2: @@
 ===== Vorbereiten =====
-=== CentOS 5 ===
+=== systemd-resolvd ===
+"systemd-resolved is not intended to be used on DNS servers. If you’re running a DNS server, you’ll need to disable systemd-resolved before setting up BIND or Unbound instead"
+=== CentOS 7 ===
 Paket ''caching-nameserver'' deinstallieren
-Paket ''system-config-bind'' installieren
-Mit
-  system-config-bind
-Default-Konfigurationsdateien erzeugen
 === DNSSEC temporär abschalten ===
@@ Zeile 16: / Zeile 13: @@
 <file>
 options {
+…
-        // listen-on port 53 { 127.0.0.1; };
-        // listen-on-v6 port 53 { ::1; };
-        // allow-query     { localhost; };
         // In der Praxis ist DNSSEC eine gute Sache ... aber zum Lernen erst mal aus:
         dnssec-enable no;
         dnssec-validation no;
         dnssec-lookaside no;
+…
+}
 </file>
 (( mehr zu ''allow-query'' weiter unten im Kapitel "Bind absichern" und natürlich unter
   man named.conf
 ))
-====== eigene Zonen in bind verwalten ======
+  named-checkconf
-===== Vorwärts-Zone =====
+  rndc reconfig
-==== Zonendatei ====
-Unter Debian und CentOS empfehlen wir ein entsprechendes Verzeichnis ''master'' für die Zonendateien noch anzulegen ((oder man legt die Zonendateien direkt in /var/cache/bind bzw. /var/named ab)):
+== testen ==
+Eine mit DNSSEC signierte Zone abfragen:
+Ein validierender Nameserver sollte bei einer signierten Zone liefern:
+  dig www.posteo.de @1.1.1.1
+<file>
+flags: … ad
+</file>
+Unser Nameserver sollte das ad-Flag nicht setzen.
+===== eigene Zonen in bind verwalten =====
+==== Vorwärts-Zone ====
+=== Zonendatei ===
+Unter Debian und CentOS empfehlen wir ein entsprechendes Verzeichnis ''primary'' für die Zonendateien noch anzulegen ((oder man legt die Zonendateien direkt in /var/cache/bind bzw. /var/named ab)):
 Debian :
-  mkdir /var/cache/bind/master
+  mkdir /var/cache/bind/primary
 CentOS (ab 5) :
-  mkdir /var/named/master
+  mkdir /var/named/primary
-''/var/named/master/linuxhotel.de'' : ( CentOS ab 5 )
+''/var/named/primary/linuxhotel.de'' : ( CentOS ab 5 )
-''/var/lib/named/master/linuxhotel.de'' : ( SuSE ab 10.0)
+''/var/lib/named/primary/linuxhotel.de'' : ( SuSE ab 10.0)
-''/var/cache/bind/master/linuxhotel.de'' : ( Debian ab 3.1 )
+''/var/cache/bind/primary/linuxhotel.de'' : ( Debian ab 3.1 )
-<file zone>
+<file>
 $ORIGIN . ; hilft Tippfehler (fehlender . am Ende) zu vermeiden
-$TTL 2m   ; time to live / 2 Minuten
+$TTL 2m   ; time to live: 2 Minuten, default wäre 2 Tage
 linuxhotel.de. IN SOA notebook20.linuxhotel.de. root.notebook20.linuxhotel.de. (
              ; Seriennummer
-h            ; refresh      / 1 Stunde
+h20m         ; refresh      / 1 Stunde 20 Minuten
-d            ; retry        / 1 Tag
+d12h         ; retry        / 1,5 Tage
 w            ; expire       / 1 Woche
 s           ; negative ttl / 60 Sekunden
@@ Zeile 68: / Zeile 77: @@
 ; Aliase:
 peter.linuxhotel.de.            IN CNAME notebook09.linuxhotel.de.
-lothar.linuxhotel.de.           IN CNAME notebook05.linuxhotel.de.
+lothar.linuxhotel.de.        60 IN CNAME notebook05.linuxhotel.de.
-heribert.linuxhotel.de.         IN CNAME notebook06.linuxhotel.de.
+heribert.linuxhotel.de.      30 IN CNAME notebook06.linuxhotel.de.
 bjoern.linuxhotel.de.           IN CNAME notebook20.linuxhotel.de.
 admin.linuxhotel.de.            IN CNAME notebook22.linuxhotel.de.
@@ Zeile 75: / Zeile 84: @@
 === Zonendatei überprüfen ===
-== CentOS ab 5 ==
+== CentOS (ab 5) ==
-  named-checkzone -D linuxhotel.de. /var/named/master/linuxhotel.de
+  named-checkzone -D linuxhotel.de. /var/named/primary/linuxhotel.de
-== SuSE ab 10.0 ==
+== SuSE (ab 10.0) ==
-  named-checkzone -D linuxhotel.de. /var/lib/named/master/linuxhotel.de
+  named-checkzone -D linuxhotel.de. /var/lib/named/primary/linuxhotel.de
-== Debian ab 3.1 ==
+== Debian (ab 3.1) ==
-  named-checkzone -D linuxhotel.de. /var/cache/bind/master/linuxhotel.de
+  named-checkzone -D linuxhotel.de. /var/cache/bind/primary/linuxhotel.de
 ==== Konfigurationsdatei ====
@@ Zeile 91: / Zeile 100: @@
 ''/etc/bind/named.conf.local'' : ( Debian ab 5.0 )
 <file>
-  zone "linuxhotel.de" {
+zone "linuxhotel.de" {
-        type master;
+  type primary;
-        file "master/linuxhotel.de";
+  file "primary/linuxhotel.de";
-  };
+};
 </file>
@@ Zeile 109: / Zeile 118: @@
 Debian (ab 6)
   service bind9 reload
+=== im Log prüfen, ob es Fehler gab ===
+Debian (ab 11)
+  journalctl -eu named.service
 ==== testen ====
@@ Zeile 118: / Zeile 131: @@
 <file>
 $TTL 2h
-@ IN SOA notebook20 root.notebook20 2 3h 1h 1w 1h
+@ SOA notebook20 root.notebook20 1999022301 1d 2h 5w 2d
 ; Nameserver:
-                 IN NS notebook20
+                 NS notebook20
 ; kanonische IP-Adressen:
-notebook22       IN A 192.168.1.222
+notebook22       A 192.168.1.222
-notebook05       IN A 192.168.1.205
+notebook05       A 192.168.1.205
-notebook20       IN A 192.168.1.220
+notebook20       A 192.168.1.220
-notebook06       IN A 192.168.1.206
+notebook06       A 192.168.1.206
-notebook09       IN A 192.168.1.209
+notebook09       A 192.168.1.209
 ; Aliase:
-peter            IN CNAME notebook09
+peter            CNAME notebook09
-lothar           IN CNAME notebook05
+lothar           CNAME notebook05
-heribert         IN CNAME notebook06
+heribert      60 CNAME notebook06
-bjoern           IN CNAME notebook20
+bjoern        30 CNAME notebook20
-admin            IN CNAME notebook22
+admin            CNAME notebook22
+</file>
+Hier habe ich die Zeitangaben im SOA entsprechend der Empfehlungen des Ripe ((
+https://www.ripe.net/publications/docs/ripe-203
+<file>
+example.com.  3600  SOA  dns.example.com. hostmaster.example.com. (
+                         1999022301   ; serial YYYYMMDDnn
+        ; refresh (  24 hours)
+         ; retry   (   2 hours)
+                         3600000      ; expire  (1000 hours)
+)     ; minimum (   2 days)
 </file>
+)) gewählt.
 Bei jeder Änderung der Zonendatei sollte die Seriennummer hochgezählt werden.
 === Zonendatei überprüfen ===
-== CentOS 5 ==
+== CentOS ==
-  named-checkzone -D linuxhotel.de. /var/named/master/linuxhotel.de
+  named-checkzone -D linuxhotel.de. /var/named/primary/linuxhotel.de
-== SuSE 10.0 ==
+== SuSE ==
-  named-checkzone -D linuxhotel.de. /var/lib/named/master/linuxhotel.de
+  named-checkzone -D linuxhotel.de. /var/lib/named/primary/linuxhotel.de
-== Debian 3.1 ==
+== Debian ==
-  named-checkzone -D linuxhotel.de. /var/cache/bind/master/linuxhotel.de
+  named-checkzone -D linuxhotel.de. /var/cache/bind/primary/linuxhotel.de
 === bind die Änderung mitteilen ===
   rndc reload linuxhotel.de
-===== Rückwärts-Zone =====
+==== Rückwärts-Zone ====
-==== Zonendatei ====
+=== Zonendatei ===
-''/var/named/master/1.168.192.in-addr.arpa'': ( CentOS )
+''/var/named/primary/1.168.192.in-addr.arpa'': ( CentOS )
-''/var/lib/named/master/1.168.192.in-addr.arpa'': ( SuSE 10.0 )
+''/var/lib/named/primary/1.168.192.in-addr.arpa'': ( SuSE 10.0 )
-''/var/cache/bind/master/1.168.192.in-addr.arpa'': ( Debian 3.1 )
+''/var/cache/bind/primary/1.168.192.in-addr.arpa'': ( Debian 3.1 )
 <file>
@@ Zeile 182: / Zeile 207: @@
 === testen ===
-  named-checkzone linuxhotel.de /var/lib/named/master/linuxhotel.de
+== CentOS (ab 5) ==
-  named-checkzone 1.168.192.in-addr.arpa. /var/lib/named/master/1.168.192.in-addr.arpa
+  named-checkzone -D linuxhotel.de. /var/named/primary/linuxhotel.de
+  named-checkzone -D 1.168.192.in-addr.arpa. /var/named/primary/1.168.192.in-addr.arpa
-==== Konfigurationsdatei ====
+== SuSE (ab 10.0) ==
+  named-checkzone -D linuxhotel.de. /var/lib/named/primary/linuxhotel.de
+  named-checkzone -D 1.168.192.in-addr.arpa. /var/lib/named/primary/1.168.192.in-addr.arpa
+== Debian (ab 3.1) ==
+  named-checkzone -D linuxhotel.de. /var/cache/bind/primary/linuxhotel.de
+  named-checkzone -D 1.168.192.in-addr.arpa. /var/cache/bind/primary/1.168.192.in-addr.arpa
+=== Konfigurationsdatei ===
 ''/etc/named.conf'' : ( SuSE 10.2 )
@@ Zeile 193: / Zeile 227: @@
 <file>
 zone "1.168.192.in-addr.arpa" {
-      type master;
+      type primary;
-      file "master/1.168.192.in-addr.arpa";
+      file "primary/1.168.192.in-addr.arpa";
 };
 </file>
-===  testen ===
+==  Syntax der Konfigurationsdatei prüfen ==
   named-checkconf -z
-=== bind die Änderung mitteilen ===
+== bind die Änderung mitteilen ==
   rndc reconfig
-==== testen ====
+=== testen ===
   host 192.168.1.222 127.0.0.1
   dig -x 192.168.1.222 @127.0.0.1
@@ Zeile 211: / Zeile 245: @@
 ''/etc/bind/named.conf.local'' : ( Debian )
+mit ''allow-update'':
 <file>
 acl "nsupdate" {
@@ Zeile 217: / Zeile 252: @@
 zone "linuxhotel.de" {
-        type master;
+        type primary;
         allow-update { "nsupdate"; };
-        file "master/linuxhotel.de";
+        file "primary/linuxhotel.de";
 };
 zone "1.168.192.in-addr.arpa" {
-        type master;
+        type primary;
         allow-update { "nsupdate"; };
-        file "master/1.168.192.in-addr.arpa";
+        file "primary/1.168.192.in-addr.arpa";
 };
 </file>
+oder mit ''update-policy local'':
+<file>
+zone "linuxhotel.de" {
+        type primary;
+        update-policy local;
+        file "primary/linuxhotel.de";
+};
+</file>
 ==== bind Konfigurationsdatei prüfen ====
   named-checkconf
-==== bind Schreibzugriff auf Master-Zonendateien geben ====
+==== bind Schreibzugriff auf Primary-Zonendateien geben ====
 Debian:
-  chown -R bind /var/cache/bind/master
+  chown -R bind /var/cache/bind/primary
 ==== Testen: Eintrag hinzufügen ====
-  nsupdate <<EOF
+für ''allow-update'':
 <file>
+nsupdate <<EOT
 server localhost
@@ Zeile 245: / Zeile 290: @@
 update add 223.1.168.192.in-addr.arpa 43200 IN PTR notebook23.linuxhotel.de
+EOT
+</file>
+für ''update-policy local'':
+<file>
+nsupdate -l <<EOT
+update add notebook23.linuxhotel.de 43200 IN A 192.168.1.223
+update add 223.1.168.192.in-addr.arpa 43200 IN PTR notebook23.linuxhotel.de
+EOT
 </file>
-  EOF
 ==== Trotz nsupdate Zonen mit Editor bearbeiten ====
@@ Zeile 257: / Zeile 313: @@
 ''~/.bashrc'' :
-<file>
+<code bash>
 function zvi {
-  cd /var/cache/bind/master
+  cd /var/cache/bind/primary
   rndc freeze $1
   vim $1
@@ Zeile 266: / Zeile 322: @@
   cd -
 }
-</file>
+</code>
-====== bind als slave einrichten ======
+===== mehrere NS für eine Zone =====
-===== Master konfigurieren =====
+==== Master? Primary! Slave? Secondary! ;-) ====
-Erst müssen die Slave-Nameserver in der Zonendatei des Masters eingetragen werden:
+//**Mittlerweile **(Version)** sind auch die Begriffe primary und secondary als Ersatz für master und slave möglich**//
+  masters { ...; };  =>  primaries { ...; };
+  type master;  =>  type primary;
+  type slave;   =>  type secondary;
+==== Primary konfigurieren ====
+Erst müssen die Secondary-Nameserver in der Zonendatei des Primarys eingetragen werden:
 <file>
 linuxhotel.de. IN NS notebook04.linuxhotel.de.
@@ Zeile 280: / Zeile 343: @@
 </file>
 in der Datei ''/etc/named.conf'' eingetragen werden, oder die Zeile ganz entfernt oder auskommentiert werden.
-=== testen: funktioniert der Master ===
+=== testen: funktioniert der Primary? ===
 == openSuSE 12.3 ==
-  cd /var/lib/named/master
+  named-checkzone -i local -D linuxhotel.de /var/lib/named/primary/linuxhotel.de
-  named-checkzone -i local -D linuxhotel.de linuxhotel.de
   rndc reload linuxhotel.de
   tail /var/log/messages
   dig @127.0.0.1 linuxhotel.de NS
+== debian 8 ==
+  named-checkzone -i local -D linuxhotel.de /var/cache/bind/primary/linuxhotel.de
+  rndc reload linuxhotel.de
+  journalctl -eu bind9
+  dig @127.0.0.1 linuxhotel.de NS
-==== Slave konfigurieren ====
+==== Secondary konfigurieren ====
-Vorraussetzung: Master funktioniert
+Vorraussetzung: Primary funktioniert
-  dig @<IP-des-Masters> linuxhotel.de AXFR
+  dig @<IP-des-Primary> linuxhotel.de AXFR
 Ausgabe muss mindestens 2 NS Records enthalten:
   - den eigenen Rechner
-  - den Master
+  - den Primary
 ''/etc/named.conf'' : ( CentOS 5.3 )
 <file>
 zone "linuxhotel.de" {
-        type slave;
+        type secondary;
-        file "slaves/linuxhotel.de";
+        file "secondary/linuxhotel.de";
         masters { 192.168.1.220; };
 };
 zone "1.168.192.in-addr.arpa" {
-        type slave;
+        type secondary;
-        file "slaves/1.168.192.in-addr.arpa";
+        file "secondary/1.168.192.in-addr.arpa";
         masters { 192.168.1.220; };
 };
@@ Zeile 316: / Zeile 383: @@
 <file>
 zone "linuxhotel.de" {
-        type slave;
+        type secondary;
-        file "slave/linuxhotel.de";
+        file "secondary/linuxhotel.de";
-        masters { 192.168.1.220; };
+        primaries { 192.168.1.220; };
 };
 zone "1.168.192.in-addr.arpa" {
-        type slave;
+        type secondary;
-        file "slave/1.168.192.in-addr.arpa";
+        file "secondary/1.168.192.in-addr.arpa";
-        masters { 192.168.1.220; };
+        primaries { 192.168.1.220; };
 };
 </file>
-==== bind Schreibzugriff auf Slave-Zonendateien geben ====
+Zonendateien im Binärformat kann man mit:
+  named-checkzone -D -f raw linuxhotel.de secondary/linuxhotel.de
+oder
+  named-compilezone -f raw -F text -o - example.org. /var/cache/bind/secondary/example.org
+anzeigen. Wenn man die Zonenfiles **lieber im Textformat statt im Binärformat** haben will, kann man in die Zone eintragen:
+<file txt>
+zone "…" {
+  …
+  masterfile-format text;
+  …
+</file>
+=== bind Schreibzugriff auf Secondary-Zonendateien geben ===
 Debian:
-  mkdir /var/cache/bind/slave
+  mkdir /var/cache/bind/secondary
-  chown bind /var/cache/bind/slave
+  chown bind /var/cache/bind/secondary
-==== testen: funktioniert der Slave? ====
+=== testen: funktioniert der Secondary? ===
 == Debian ==
   named-checkconf -z
   rndc reconfig
-  tail /var/log/daemon.log
+  journalctl -eu bind9
-  ls /var/lib/named/slave/{linuxhotel.de,1.168.192.in-addr.arpa}
+  ls /var/cache/bind/secondary/{linuxhotel.de,1.168.192.in-addr.arpa}
   dig @127.0.0.1 linuxhotel.de AXFR
@@ Zeile 344: / Zeile 423: @@
   rcnamed restart
   tail /var/log/messages
-  ls /var/lib/named/slave/{linuxhotel.de,1.168.192.in-addr.arpa}
+  ls /var/lib/named/secondary/{linuxhotel.de,1.168.192.in-addr.arpa}
   dig @127.0.0.1 linuxhotel.de AXFR
-==== testen: funktionieren alle verantwortlichen Nameserver? ====
+=== testen: funktionieren alle verantwortlichen Nameserver? ===
   dig @141.1.1.1 linuxhotel.de +nssearch
-====== Subdomains delegieren ======
+===== Subdomains delegieren =====
-===== Übergeordneter DNS =====
+==== Übergeordneter DNS ====
-''/etc/named.conf.local'' : ( Debian 5.0 )
+''/etc/named.conf.local'' : ( Debian ab 5.0 )
-''/etc/named.conf'' : ( CentOS 5 )
+''/etc/named.conf'' : ( CentOS ab 5 )
 <file>
 zone "linuxhotel.de" IN {
-        type master;
+        type primary;
-        file "master/linuxhotel.de";
+        file "primary/linuxhotel.de";
         forwarders      { };
 };
 </file>
-Fallstrick: Unbedingt an forwarders denken! Und **alle** dnssec Optionen ausschalten :!:
+:!: Fallstrick: __Unbedingt an **forwarders** denken!__ Und **alle** dnssec Optionen ausschalten :!:
-''/var/named/master'' : ( CentOS 5 )
+''/var/named/primary'' : ( CentOS 5 )
 <file>
 sub05.linuxhotel.de.        IN NS ns1.sub05.linuxhotel.de.
@@ Zeile 375: / Zeile 454: @@
 ''/etc/named.conf.options'' : ( Debian 8 )
 <file>
-disable-empty-zone "168.192.in-addr-arpa";
+disable-empty-zone "168.192.in-addr.arpa";
 </file>
+Das muss auch auf jedem Delegaten konfiguriert werden :!:
-  named-checkzone -i local -D linuxhotel.de /var/named/master/linuxhotel.de
+  named-checkzone -i local -D linuxhotel.de /var/named/primary/linuxhotel.de
-===== Subdomain DNS =====
+==== Subdomain DNS ====
 Wie oben, unter "eigene Zonen in bind verwalten"
-====== Zonendatei für Subnetz per Skript erzeugen ======
+===== Zonendatei für Subnetz per Skript erzeugen =====
 <code bash>
 #!/bin/bash

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge