BIND/Slave: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „== BIND9 - Slave-Server == === Einleitung === A nameserver running BIND can be configured to serve each zone as either a master or a slave: * A slave obtains its copy of the zone data by means of a zone transfer from another nameserver. * A master obtains zone data from some other source, allowing it to operate independently of other nameservers. Every zone should have at least two nameservers. Typical practice is to have one master, and one or two slave…“ |
|||
| (47 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''BIND/Slave''' - Konfiguration eines [[DNS]]-Servers | |||
== Einleitung == | |||
Ein Nameserver mit BIND kann so konfiguriert werden, dass jede Zone entweder als Master- oder als Slave-Zone bereitgestellt wird | |||
* Ein Slave erhält seine Kopie der Zonendaten per Zonenübertragung von einem anderen Nameserver | |||
* Ein Master bezieht die Zonendaten aus einer unabhängigen Quelle und ist daher nicht auf andere Nameserver angewiesen | |||
Für jede Zone wird der Betrieb von mindestens zwei Nameservern empfohlen | |||
* | * Typischerweise existiert ein Master sowie ein oder zwei Slaves, die ihre Zonendaten vom Master übernehmen | ||
=== | === Szenario === | ||
{| class="wikitable options big" | |||
|- | |||
! !! Name !! Beschreibung | |||
|- | |||
| Zone || example.com || mit zwei Nameservern | |||
|- | |||
| Master || master.example.com || 192.168.0.100 | |||
|- | |||
| Slave || slave.example.com || 192.168.0.200 | |||
|} | |||
* Master für ''example.com'' konfiguriert | |||
* Slave konfigurieren, Zonendaten von Master beziehen | |||
=== Dateispeicherorte === | |||
Debian-basiert | |||
{| class="wikitable options big" | |||
! Zweck !! Pfad | |||
|- | |||
| Zonendeklarationen || '''''/etc/bind/named.conf.local''''' | |||
|- | |||
| Globale Optionen || '''''/etc/bind/named.conf.options''''' | |||
|- | |||
| Hauptdatei von BIND (nicht ändern) || '''''/etc/bind/named.conf''''' | |||
|- | |||
| Slave-Zonendateien (schreibbar für ''named'') || '''''/var/lib/bind''''' | |||
|- | |||
| Protokollmeldungen || '''''/var/log/daemon.log''''' | |||
|} | |||
Slave | == Vorgehen == | ||
Für den Betrieb von ''slave'' als Slave von ''master'' sind drei Aspekte relevant | |||
# ''slave'' wird als Slave-Nameserver für die Zone konfiguriert | |||
# ''slave'' muss erkennen können, wann eine Zonenübertragung erforderlich ist. Bevorzugt sendet ''master'' hierzu eine NOTIFY-Benachrichtigung | |||
# ''master'' wird so konfiguriert, dass Zonenübertragungen (AXFR/IXFR) nach ''slave'' zulässig sind | |||
=== | === Zone-Deklaration === | ||
; Slave-Zone-Deklaration | |||
In der ''named''-Konfiguration ist für jede bereitgestellte Zone eine Zonendeklaration erforderlich | |||
* Für ''slave'' als Slave für die Zone ''example.com'' kann beispielsweise folgende Deklaration verwendet werden | |||
<syntaxhighlight lang="bash" copy line> | |||
zone "example.com" { | |||
type slave; | |||
masters { 192.168.0.100; }; | |||
file "/var/lib/bind/db.example.com"; | |||
}; | |||
</syntaxhighlight> | |||
= | {| class="wikitable options big" | ||
! Parameter | |||
! Beschreibung | |||
|- | |||
| type slave; | |||
| Legt fest, dass die Zonendaten von einem anderen Nameserver per Zonenübertragung bezogen werden | |||
|- | |||
| masters { 192.168.0.100; }; | |||
| Definiert eine Liste von Nameservern, von denen Zonendaten bezogen werden können | |||
* Ein Slave kann seine Daten auch von einem anderen Slave übernehmen.<br>Werden IP-Adressen und nicht Domainnamen angegeben | |||
|- | |||
| file "/var/lib/bind/db.example.com"; | |||
| Gibt den Speicherort der lokalen Kopie der Zonendaten auf ''slave'' an | |||
* Die Zonendatei für den Slave-Nameserver ist nicht obligatorisch, aber ohne sie verliert der untergeordnete Server beim Neustart den Inhalt der Zone | |||
|} | |||
; Hinweis | |||
Es ist auch möglich, die Liste „masters“ im Voraus festzulegen. | |||
<syntaxhighlight lang="bash" copy line> | |||
masters masterslist { | |||
192.168.0.100; # master1.example.com | |||
192.168.0.101; # master2.example.net | |||
}; | |||
</syntaxhighlight> | |||
Danach muss diese Liste in der Anweisung ''masters'' bekannt gegeben werden | |||
<syntaxhighlight lang="bash" copy line> | |||
zone "example.com" { | |||
type slave; | |||
masters { masterslist; }; | |||
file "/var/lib/bind/db.example.com"; | |||
}; | |||
</syntaxhighlight> | |||
=== Benachrichtigungen === | |||
; Benachrichtigungen von master aktivieren | |||
; Zone-Übertragungsintervall | |||
Zeitpunkte für Zonenübertragungen lassen sich im Wesentlichen auf zwei Arten steuern | |||
* regelmäßiges Abfragen (Polling) durch den Slave | |||
* Benachrichtigung des Slave durch den Master, sobald sich die Zone geändert hat (NOTIFY) | |||
Die Benachrichtigung durch den Master ist in der Praxis schneller und ressourcenschonender | |||
; Einstellung NOTIFY | |||
BIND sendet standardmäßig NOTIFY-Benachrichtigungen | |||
* Wenn NOTIFY ein wesentlicher Bestandteil der Konfiguration ist, wird eine explizite Aktivierung empfohlen | |||
* Dies kann zonenweise erfolgen | |||
= | <syntaxhighlight lang="bash" copy line> | ||
zone "example.com" { | |||
type master; | |||
file "/var/lib/bind/db.example.com"; | |||
notify yes; | |||
// … | |||
}; | |||
</syntaxhighlight> | |||
: oder global für alle Zonen | |||
<syntaxhighlight lang="bash" copy line> | |||
options { | |||
notify yes; | |||
// … | |||
}; | |||
</syntaxhighlight> | |||
; Einstellungen innerhalb einer Zonendeklaration haben Vorrang vor globalen Vorgaben in der Sektion ''options'' | |||
Damit NOTIFY sinnvoll arbeitet, muss der Master wissen, welche Nameserver benachrichtigt werden sollen | |||
* Standardmäßig benachrichtigt BIND diejenigen Nameserver, für die ''NS''-Resource-Records existieren | |||
* Für zusätzliche Empfänger wird die Direktive ''also-notify'' verwendet | |||
* Diese kann für eine einzelne Zone gesetzt werden | |||
<syntaxhighlight lang="bash" copy line> | |||
zone "example.com" { | |||
type master; | |||
notify yes; | |||
also-notify { 192.168.0.200; }; | |||
file "/var/lib/bind/db.example.com"; | |||
}; | |||
</syntaxhighlight> | |||
oder global | |||
<syntaxhighlight lang="bash" copy line> | |||
options { | |||
notify yes; | |||
also-notify { 192.168.0.200; }; | |||
// … | |||
}; | |||
</syntaxhighlight> | |||
Wichtige Punkte im Überblick | |||
* ''notify yes;'' aktiviert NOTIFY-Benachrichtigungen | |||
* ''also-notify { …; };'' ergänzt die Standardliste der Empfänger, die über ''NS''-Resource-Records definiert ist | |||
* ''also-notify'' eignet sich insbesondere für Nameserver, die nicht im öffentlichen ''NS''-Satz der Zone aufgeführt werden sollen (z. B. versteckte Master oder zusätzliche Slaves) | |||
=== Zonenübertragungen === | |||
; Zonenübertragungen auf master erlauben | |||
Standardmäßig erlaubt BIND Zonenübertragungen von beliebigen Adressen | |||
* Es wird empfohlen, strengere Richtlinien anzuwenden | |||
Die zugelassenen Empfänger werden mit der Direktive '''''allow-transfer''''' definiert | |||
; Einzelne Zone | |||
<syntaxhighlight lang="bash" copy line> | |||
zone "example.com" { | |||
type master; | |||
notify yes; | |||
allow-transfer { 192.168.0.200; }; | |||
file "/var/lib/bind/db.example.com"; | |||
}; | |||
</syntaxhighlight> | |||
== | ; Global | ||
Für alle Zonen | |||
<syntaxhighlight lang="bash" highlight="" copy line> | |||
options { | |||
notify yes; | |||
allow-transfer { 192.168.0.200; }; | |||
// … | |||
}; | |||
</syntaxhighlight> | |||
Die Angabe ''allow-transfer { 192.168.0.200; };'' beschränkt Zonenübertragungen auf den Nameserver mit der IP-Adresse 192.168.0.200 | |||
Wenn Zonenübertragungen nicht eingeschränkt werden sollen, kann dies explizit mit dem Schlüsselwort ''any'' ausgedrückt werden | |||
<syntaxhighlight lang="bash" highlight="" copy line> | |||
options { | |||
notify yes; | |||
allow-transfer { any; }; | |||
// … | |||
}; | |||
</syntaxhighlight> | |||
In diesem Fall sind Zonenübertragungen für beliebige Clients zulässig | |||
* Ob dies sinnvoll ist, hängt von den Sicherheitsanforderungen der jeweiligen Umgebung ab | |||
=== Neustart der Dienste === | |||
Sie müssen den Bind-Dienst auf master und slave nacheinander mit dem folgenden Befehl neu starten | |||
<syntaxhighlight lang="bash" highlight="1" copy line> | |||
rndc reload | |||
</syntaxhighlight> | |||
== Test == | |||
=== Slave-Server === | |||
Die Funktionsfähigkeit von ''slave'' lässt sich über eine SOA-Abfrage mit ''dig'' prüfen | |||
<syntaxhighlight lang="bash" highlight="1" copy line> | |||
dig @192.168.0.200 -t SOA example.com +norecurs | |||
</syntaxhighlight> | |||
Der Parameter ''+norecurs'' erzwingt eine nicht-rekursive Abfrage | |||
* Eine korrekte SOA-Antwort zeigt, dass der Server als autoritativer Nameserver antwortet | |||
* Das allein bestätigt jedoch nicht den Slave-Status, da die Daten aus einem Cache stammen können | |||
Zur Unterscheidung müssen die Flags im Header analysiert werden | |||
<syntaxhighlight lang="console" line> | |||
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 | |||
</syntaxhighlight> | |||
Das relevante Flag ist ''aa'' | |||
* Ist es gesetzt, stammt die Antwort aus der autoritativen Zone von ''slave'' | |||
* Ein gesetztes ''aa'' zeigt damit in der Regel an, dass der Slave die Zone geladen hat | |||
=== Benachrichtigungen === | |||
Die erste Zonenübertragung erfolgt unabhängig von Benachrichtigungen, spätere Übertragungen benötigen jedoch funktionierendes NOTIFY (sofern kein Polling verwendet wird) | |||
Für einen Test wird auf ''master'' die Seriennummer im SOA-Eintrag erhöht | |||
<syntaxhighlight lang="ini" line> | |||
@ IN SOA example.com. hostmaster.example.com. ( | |||
41 | |||
8H | |||
2H | |||
1W | |||
1D ) | |||
</syntaxhighlight> | |||
Die Seriennummer wird beispielsweise auf 42 gesetzt | |||
= | <syntaxhighlight lang="ini" line> | ||
@ IN SOA example.com. hostmaster.example.com. ( | |||
42 | |||
8H | |||
2H | |||
1W | |||
1D ) | |||
</syntaxhighlight> | |||
Anschließend wird die Konfiguration von ''named'' auf ''master'' neu geladen | |||
* Nach dem Reload sendet ''master'' eine Benachrichtigung an ''slave'' | |||
* Da die lokale Kopie auf ''slave'' noch die ältere Seriennummer besitzt, sollte eine erneute Zonenübertragung ausgelöst werden | |||
Die erfolgreiche Replikation lässt sich erneut durch eine SOA-Abfrage prüfen | |||
<syntaxhighlight lang="bash" highlight="1" copy line> | |||
dig @192.168.0.200 -t SOA example.com +norecurs | |||
</syntaxhighlight> | |||
Erscheint die Seriennummer 42, wurde die Zone übertragen | |||
<syntaxhighlight lang="console" line> | |||
ANSWER SECTION | |||
example.com. 86400 IN SOA example.com. hostmaster.example.com. 42 28800 7200 604800 86400 | |||
</syntaxhighlight> | |||
* Für zusätzliche Sicherheit kann der Test mehrfach wiederholt werden | |||
* Alternativ lässt sich der Ablauf über die Serverprotokolle nachvollziehen | |||
<noinclude> | |||
= Anhang = | |||
== Siehe auch == | |||
<div style="column-count:2"> | |||
<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree> | |||
</div> | |||
---- | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}/}} | |||
== Dokumentation == | |||
<!-- | |||
; Man-Page | |||
# [https://manpages.debian.org/stable/procps/pgrep.1.de.html prep(1)] | |||
; Info-Pages | |||
--> | |||
== Links == | |||
=== Projekt === | |||
=== Weblinks === | |||
[[Kategorie:BIND]] | |||
</noinclude> | |||
Aktuelle Version vom 21. November 2025, 10:59 Uhr
BIND/Slave - Konfiguration eines DNS-Servers
Einleitung
Ein Nameserver mit BIND kann so konfiguriert werden, dass jede Zone entweder als Master- oder als Slave-Zone bereitgestellt wird
- Ein Slave erhält seine Kopie der Zonendaten per Zonenübertragung von einem anderen Nameserver
- Ein Master bezieht die Zonendaten aus einer unabhängigen Quelle und ist daher nicht auf andere Nameserver angewiesen
Für jede Zone wird der Betrieb von mindestens zwei Nameservern empfohlen
- Typischerweise existiert ein Master sowie ein oder zwei Slaves, die ihre Zonendaten vom Master übernehmen
Szenario
| Name | Beschreibung | |
|---|---|---|
| Zone | example.com | mit zwei Nameservern |
| Master | master.example.com | 192.168.0.100 |
| Slave | slave.example.com | 192.168.0.200 |
- Master für example.com konfiguriert
- Slave konfigurieren, Zonendaten von Master beziehen
Dateispeicherorte
Debian-basiert
| Zweck | Pfad |
|---|---|
| Zonendeklarationen | /etc/bind/named.conf.local |
| Globale Optionen | /etc/bind/named.conf.options |
| Hauptdatei von BIND (nicht ändern) | /etc/bind/named.conf |
| Slave-Zonendateien (schreibbar für named) | /var/lib/bind |
| Protokollmeldungen | /var/log/daemon.log |
Vorgehen
Für den Betrieb von slave als Slave von master sind drei Aspekte relevant
- slave wird als Slave-Nameserver für die Zone konfiguriert
- slave muss erkennen können, wann eine Zonenübertragung erforderlich ist. Bevorzugt sendet master hierzu eine NOTIFY-Benachrichtigung
- master wird so konfiguriert, dass Zonenübertragungen (AXFR/IXFR) nach slave zulässig sind
Zone-Deklaration
- Slave-Zone-Deklaration
In der named-Konfiguration ist für jede bereitgestellte Zone eine Zonendeklaration erforderlich
- Für slave als Slave für die Zone example.com kann beispielsweise folgende Deklaration verwendet werden
zone "example.com" {
type slave;
masters { 192.168.0.100; };
file "/var/lib/bind/db.example.com";
};
| Parameter | Beschreibung |
|---|---|
| type slave; | Legt fest, dass die Zonendaten von einem anderen Nameserver per Zonenübertragung bezogen werden |
| masters { 192.168.0.100; }; | Definiert eine Liste von Nameservern, von denen Zonendaten bezogen werden können
|
| file "/var/lib/bind/db.example.com"; | Gibt den Speicherort der lokalen Kopie der Zonendaten auf slave an
|
- Hinweis
Es ist auch möglich, die Liste „masters“ im Voraus festzulegen.
masters masterslist {
192.168.0.100; # master1.example.com
192.168.0.101; # master2.example.net
};
Danach muss diese Liste in der Anweisung masters bekannt gegeben werden
zone "example.com" {
type slave;
masters { masterslist; };
file "/var/lib/bind/db.example.com";
};
Benachrichtigungen
- Benachrichtigungen von master aktivieren
- Zone-Übertragungsintervall
Zeitpunkte für Zonenübertragungen lassen sich im Wesentlichen auf zwei Arten steuern
- regelmäßiges Abfragen (Polling) durch den Slave
- Benachrichtigung des Slave durch den Master, sobald sich die Zone geändert hat (NOTIFY)
Die Benachrichtigung durch den Master ist in der Praxis schneller und ressourcenschonender
- Einstellung NOTIFY
BIND sendet standardmäßig NOTIFY-Benachrichtigungen
- Wenn NOTIFY ein wesentlicher Bestandteil der Konfiguration ist, wird eine explizite Aktivierung empfohlen
- Dies kann zonenweise erfolgen
zone "example.com" {
type master;
file "/var/lib/bind/db.example.com";
notify yes;
// …
};
- oder global für alle Zonen
options {
notify yes;
// …
};
- Einstellungen innerhalb einer Zonendeklaration haben Vorrang vor globalen Vorgaben in der Sektion options
Damit NOTIFY sinnvoll arbeitet, muss der Master wissen, welche Nameserver benachrichtigt werden sollen
- Standardmäßig benachrichtigt BIND diejenigen Nameserver, für die NS-Resource-Records existieren
- Für zusätzliche Empfänger wird die Direktive also-notify verwendet
- Diese kann für eine einzelne Zone gesetzt werden
zone "example.com" {
type master;
notify yes;
also-notify { 192.168.0.200; };
file "/var/lib/bind/db.example.com";
};
oder global
options {
notify yes;
also-notify { 192.168.0.200; };
// …
};
Wichtige Punkte im Überblick
- notify yes; aktiviert NOTIFY-Benachrichtigungen
- also-notify { …; }; ergänzt die Standardliste der Empfänger, die über NS-Resource-Records definiert ist
- also-notify eignet sich insbesondere für Nameserver, die nicht im öffentlichen NS-Satz der Zone aufgeführt werden sollen (z. B. versteckte Master oder zusätzliche Slaves)
Zonenübertragungen
- Zonenübertragungen auf master erlauben
Standardmäßig erlaubt BIND Zonenübertragungen von beliebigen Adressen
- Es wird empfohlen, strengere Richtlinien anzuwenden
Die zugelassenen Empfänger werden mit der Direktive allow-transfer definiert
- Einzelne Zone
zone "example.com" {
type master;
notify yes;
allow-transfer { 192.168.0.200; };
file "/var/lib/bind/db.example.com";
};
- Global
Für alle Zonen
options {
notify yes;
allow-transfer { 192.168.0.200; };
// …
};
Die Angabe allow-transfer { 192.168.0.200; }; beschränkt Zonenübertragungen auf den Nameserver mit der IP-Adresse 192.168.0.200
Wenn Zonenübertragungen nicht eingeschränkt werden sollen, kann dies explizit mit dem Schlüsselwort any ausgedrückt werden
options {
notify yes;
allow-transfer { any; };
// …
};
In diesem Fall sind Zonenübertragungen für beliebige Clients zulässig
- Ob dies sinnvoll ist, hängt von den Sicherheitsanforderungen der jeweiligen Umgebung ab
Neustart der Dienste
Sie müssen den Bind-Dienst auf master und slave nacheinander mit dem folgenden Befehl neu starten
rndc reload
Test
Slave-Server
Die Funktionsfähigkeit von slave lässt sich über eine SOA-Abfrage mit dig prüfen
dig @192.168.0.200 -t SOA example.com +norecurs
Der Parameter +norecurs erzwingt eine nicht-rekursive Abfrage
- Eine korrekte SOA-Antwort zeigt, dass der Server als autoritativer Nameserver antwortet
- Das allein bestätigt jedoch nicht den Slave-Status, da die Daten aus einem Cache stammen können
Zur Unterscheidung müssen die Flags im Header analysiert werden
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
Das relevante Flag ist aa
- Ist es gesetzt, stammt die Antwort aus der autoritativen Zone von slave
- Ein gesetztes aa zeigt damit in der Regel an, dass der Slave die Zone geladen hat
Benachrichtigungen
Die erste Zonenübertragung erfolgt unabhängig von Benachrichtigungen, spätere Übertragungen benötigen jedoch funktionierendes NOTIFY (sofern kein Polling verwendet wird)
Für einen Test wird auf master die Seriennummer im SOA-Eintrag erhöht
@ IN SOA example.com. hostmaster.example.com. (
41
8H
2H
1W
1D )
Die Seriennummer wird beispielsweise auf 42 gesetzt
@ IN SOA example.com. hostmaster.example.com. (
42
8H
2H
1W
1D )
Anschließend wird die Konfiguration von named auf master neu geladen
- Nach dem Reload sendet master eine Benachrichtigung an slave
- Da die lokale Kopie auf slave noch die ältere Seriennummer besitzt, sollte eine erneute Zonenübertragung ausgelöst werden
Die erfolgreiche Replikation lässt sich erneut durch eine SOA-Abfrage prüfen
dig @192.168.0.200 -t SOA example.com +norecurs
Erscheint die Seriennummer 42, wurde die Zone übertragen
ANSWER SECTION
example.com. 86400 IN SOA example.com. hostmaster.example.com. 42 28800 7200 604800 86400
- Für zusätzliche Sicherheit kann der Test mehrfach wiederholt werden
- Alternativ lässt sich der Ablauf über die Serverprotokolle nachvollziehen
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks