Ich führe BIND auf OPNsense als Slave-Server für eine interne DNS-Zone aus.
Mir ist aufgefallen, dass, wenn der Master für diese Zone ausfällt, der Slave nach dem ersten fehlgeschlagenen Aktualisierungsversuch nicht mehr auf Anfragen für diese Zone antwortet (und mit SRVFAIL antwortet).
Der Designgrund dafür ist wahrscheinlich, dass die Weitergabe veralteter Daten vom Slave vermieden werden soll, wenn der Master nicht erreichbar ist. (Schließlich kann es sein, dass der Master noch einwandfrei funktioniert und nur die Netzwerkverbindung vom Slave ausgefallen ist.) Dies ist jedoch keine gute Nachricht für die Ausfallsicherheit, wenn der Master-Server ausgefallen ist und nicht rechtzeitig hochgefahren werden kann.
Gibt es eine Einstellung, mit der BIND angewiesen werden kann, immer die letzten bekannten Informationen für eine Slave-Zone bereitzustellen, unabhängig davon, wie lange der Master-Server nicht erreichbar war, selbst auf die Gefahr hin, dass veraltete Daten zurückgegeben werden?
Wenn ja, ist das irgendwie über die OPNsense-Web-Benutzeroberfläche zugänglich (d. h. kein nicht unterstütztes Herumstochern unter der Haube)?
Antwort1
Es gibt keine globale BIND-Option für dieses 1 . Vielmehrdas 6. Feld Ihres SOA-Eintragsteilt sekundären Servern mit, wie lange sie eine veraltete Zonenreplik bereitstellen dürfen, nachdem die Aktualisierung fehlgeschlagen ist.
@ SOA <mserver> <rperson> <serial> <refresh> <retry> <expire> <minttl>
Es hört sich an, als ob die Ablaufzeit Ihrer Zone auf den gleichen Wert eingestellt ist wie das Aktualisierungsintervall. Sie sollten es auf 1wetwa erhöhen (z. B. SOA ns1 hostmaster 1897 4h 1h 1w 30m).
1 Die globale Option, die Sie möglicherweise in neueren BIND-Versionen finden, ist für rekursive Resolver, die Daten aus dem Cache bereitstellen, und nicht für autoritative Server.