forum.lissyara.su

Добавлено: **2013-10-25 6:28:10**

Добрый день.
Имеется сеть из нескольких отделов разделенных территориально. В каждом таком отделе стоит пограничный сервер под управлением FreeBSD.
Между собой сети объединяются по OpenVPN.
В головном отделение имя домена например 111.ru В остальных идут дочерние домены 222.111.ru 333.111.ru и так далее.
На контроллерах домена в родительских доменах, в настройках ДНС, указал форвардинг на пограничный сервер с FreeBSD (у каждого свой).
Далее на пограничном сервере развернул BIND и в нем добавил зоны из родительского домена как SLAVE
Теперь собсна вопрос. Для корректной работы контроллеров домена, в BIND лучше настроить как вторичный или как зона заглушка?

Код: Выделить всё

В родительском домене:
 >>uname -a
FreeBSD 9.0-RELEASE FreeBSD 9.0-RELEASE #5
 >>named -v
BIND 9.8.1-P1

Код: Выделить всё

В дочерних доменах:
# uname -a
FreeBSD 9.1-RELEASE FreeBSD 9.1-RELEASE #0
# named -v
BIND 9.8.3-P4

Нюанс работы. В родительском домене зоны AD находятся на DNS сервере с FreeBSD (не спрашивайте почему, наверно предыдущий начальник очень сильно любил такой изврат)
По поводу заглушек и вторичных, хотелось бы реализовать так чтобы при падении open vpn днс пытался ломиться сперва по внутренней зоне, и если по ней связи нету то идти через интернет и запрашивать например теже MX записи через внешку.

Добавлено: **2013-10-25 11:32:40**

Настраивайте как slave. На master настройте notyfy и передачу зоны:

Добавлено: **2013-10-25 12:39:02**

это уже сделано, но интересует, если неожиданно прервется связь по vpn и он не сможет забрать зону, пойдет ли он через интернет за данными о зоне?

Добавлено: **2013-10-25 12:50:19**

Нет, не пойдет, поскольку он авторитарный, вторичный. Не найдя записи у себя - никуда не пойдет.
Если надо такая релизация, то только кеширующаяя затычка.
Ну можно сделать костыль, проверящий "обновленность записей" или "оборванность канала" и подменяющий конфиг+рестартящий сервер. Но помоему это костыляка. Плюс ко всему - не думаю что у вас данные зон меняются каждые 20 секунд и нужны всегда актуальные. Имхо, вторичный r\o- самое оно

Добавлено: **2013-11-01 12:20:10**

Ну можно сделать костыль, проверящий "обновленность записей" или "оборванность канала" и подменяющий конфиг+рестартящий сервер. Но помоему это костыляка. Плюс ко всему - не думаю что у вас данные зон меняются каждые 20 секунд и нужны всегда актуальные.

нет конечно, но если сделать вторичным для главной зоны родительского домена, то при падении VPN канала, он не сможет обратиться к ресурсом родительской зоны, например те же записи об MX.
я забыл указать что в ДНС настроены виды, и разные данные для локальной сети и внешней. Так вот при падении канала получается он будет знать только записи для внутренней сети, и не сможет получить другие записи.
а если в зону для локальной сети добавить для серверов также их записи о белых IP-адресах это может помочь?

Добавлено: **2013-11-01 12:45:46**

Вы хотите такое?:
1) Впн есть - MX на серый адрес
2) Впн нет - MX на белый
Если так, то никак....предложу сделать ход конем:
При наличнии тунея : Настраивайте MX на белый, а на пограничном роутере в фаерволе прописывайте редирект на серый
При отсутствии тунеля: Настраивайте MX на белый, а на пограничном роутере в фаерволе УБИРАЕТЕ редирект на серый
Все это через организуем через скрипт "up\down" при поднятии\падении тунеля. Вроде так изящно и правильно. ИМХО

Добавлено: **2013-11-11 4:21:48**

спасибо, попробую

forum.lissyara.su

BIND. trunk или slave ?

BIND. trunk или slave ?

Re: BIND. trunk или slave ?

Re: BIND. trunk или slave ?

Re: BIND. trunk или slave ?

Re: BIND. trunk или slave ?

Re: BIND. trunk или slave ?

Re: BIND. trunk или slave ?