Ejecuto BIND en OPNsense como servidor esclavo para una zona DNS interna.
Noto que, si el maestro de esa zona deja de funcionar, el esclavo dejará de responder la solicitud de esa zona (respondiendo con SRVFAIL) después del primer intento fallido de actualización.
La razón de diseño detrás de esto probablemente sea evitar proporcionar datos obsoletos del esclavo si no se puede contactar al maestro. (Después de todo, el maestro aún puede estar bien y es solo la conexión de red del esclavo la que falló). Sin embargo, esta es una mala noticia para la resiliencia si el servidor maestro no funciona y no se puede reactivar a tiempo.
¿Existe una configuración para indicarle a BIND que proporcione siempre la última información conocida para una zona esclava, independientemente de cuánto tiempo haya estado inaccesible el servidor maestro, incluso a riesgo de devolver datos obsoletos?
Si es así, ¿se puede acceder de alguna manera desde la GUI web de OPNsense (es decir, sin hurgar debajo del capó sin soporte)?
Respuesta1
No existe una opción BIND global para esto 1 . Bastante,el sexto campo de su registro SOAles dice a los servidores secundarios cuánto tiempo se les permite servir una réplica de zona obsoleta después de no poder actualizarla.
@ SOA <mserver> <rperson> <serial> <refresh> <retry> <expire> <minttl>
Parece que el tiempo de vencimiento de su zona está configurado en el mismo valor que el intervalo de actualización; querrá aumentarlo aproximadamente 1w(p. ej SOA ns1 hostmaster 1897 4h 1h 1w 30m.).
1 La opción global que puede encontrar en versiones BIND más recientes es para solucionadores recursivos que sirven datos desde la caché, no para servidores autorizados.