Fondo
Tengo un pequeño servidor virtual alojado por mi proveedor y allí configuré una combinación relativamente simple de postfix, dovecot y roundcubemail (respaldado por nginx) que funciona bien. Quería agregar soporte para SPF y DKIM. Para hacer eso, tengo que agregar algunos campos TXT a la configuración del dominio (lo configuré exitosamente en otro servidor raíz alojado en otro lugar, así que sé cómo funciona).
Problema
El problema es que este proveedor de alojamiento no tiene un control de dominio decente; todo lo que puedo hacer es agregar y eliminar subdominios, no hay posibilidad de agregar registros DNS personalizados. Entonces, la solución es configurar mi propia instancia de enlace y agregar esos registros localmente. Tengo algo de experiencia con bind en una LAN, pero nunca he configurado un NS adicional para un dominio ya descrito por otros servidores de nombres públicos y ahí radica mi pregunta:
Preguntas
- ¿Tengo que definir sólo registros adicionales como zona esclava y utilizar los servidores NS del proveedor como reenviadores, o tengo que "repetir" todos los registros MX y A ya definidos para los subdominios existentes en el NS del proveedor?
- Dado que esto funcionará en sincronización con el NS del proveedor, ¿hay algo que deba tener en cuenta, como actualización, caducidad o incluso configuración de iptables?
Respuesta1
Para que pueda utilizar su propio servidor BIND, deberá configurar su servidor de enlace y luego cambiar el servidor de nombres en el dominio a su servidor de enlace. De esta manera, todas las búsquedas de su dominio se obtendrán (por un cliente o servidor DNS) de su servidor BIND. En este caso, su mejor opción es redefinir todas las entradas DNS en su configuración de enlace.
¿Tengo que definir sólo registros adicionales como zona esclava y utilizar los servidores NS del proveedor como reenviadores, o tengo que "repetir" todos los registros MX y A ya definidos para los subdominios existentes en el NS del proveedor?
Aservidor esclavose supone que solicita la información de un servidor maestro. A menos que espere mucho tráfico hacia el servidor de nombres o desee redundancia adicional, no debería necesitar configurar un servidor esclavo. Es posible hacer una copia de la zona actual desde el servidor actual, pero sólo si el servidor permite esa solicitud y es muy poco probable que su proveedor tenga esto habilitado para algo que no sean sus propios servidores DNS secundarios.
Dado que esto funcionará en sincronización con el NS del proveedor, ¿hay algo que deba tener en cuenta, como actualización, caducidad o incluso configuración de iptables?
La idea completa de un esclavo es que contiene la misma información. Obtiene información del servidor maestro y la almacena en caché. Un esclavo no debe agregar registros adicionales, por lo tanto, debe hacer que su servidor de enlace sea independiente.