Forums Neueste Beiträge
 

BIND9: Unauflösbare Namen nach oben weiterleiten

12/08/2009 - 22:27 von Bernd Hohmann | Report spam
Ich muss hier gerade eine uraltschlampenkomposthaufeninstallation auf
Vordermann bringen.

Für den Übergang möchte ich auf dem Server einen Mailserver installieren
und alle Clients auf "mail.kundendomain.tld" setzen
(mail.kundendomain.tld = lokaler Server). Spàter soll dann
"mail.kundendomain.tld" auf einen ordentlichen Server irgendwo im Rack
verweisen.

Ausserdem würde ich gerne eine gescheite Namensauflösung im lokalen Netz
auf die Reihe bringen (sekretariat.kundendomain.tld = 192.168.1.112),
dabei aber diese @½%¼! Konstruktion mit "kundendomain.local" vermeiden.

So im ersten Griff dachte ich mir, dass ich auf dem Server einen BIND9
hinstelle, der zuerst abgefragt und zu allen Negatives (auch für die
eigene Zone) einen anderen Nameserver befragt.

Eigentlich eine typische Konstellation, geht sowas?

Im Moment trag ich sowas in die "public" Zone ein, was dazu führt dass
"bernd.harddiskcafe.de" von jedem Arsch in der Welt aufzulösen ist.

Im oben genannten Fall geht das nicht weil ich keinen Zugriff aufs
Zonefile habe.

Bernd

Visit http://www.nixwill.de and http://www.spammichvoll.de
jean.oliver@nixwill.de & bernado.bernhardi@spammichvoll.de
 

Lesen sie die antworten

#1 Juergen Ilse
13/08/2009 - 08:33 | Warnen spam
Hallo,

Bernd Hohmann wrote:
Ausserdem w?rde ich gerne eine gescheite Namensaufl?sung im lokalen Netz
auf die Reihe bringen (sekretariat.kundendomain.tld = 192.168.1.112),
dabei aber diese @?%?! Konstruktion mit "kundendomain.local" vermeiden.
So im ersten Griff dachte ich mir, dass ich auf dem Server einen BIND9
hinstelle, der zuerst abgefragt und zu allen Negatives (auch f?r die
eigene Zone) einen anderen Nameserver befragt.



Das wird so nicht tun. Wenn der Server fuer eine Zone authoritativ ist,
dann ist er fuer die Zone authoritative (sowohl was positive als auch was
negative Antworten betrifft). Die einfachste Abhilfe waere es, fuer das
lokale (nicht oeffentliche) Netz einfach eine Subdomain zu verwenden:
sekretariat.intern.kundendomain.tld
und den bind nur fuer diese Zone authoritativ zu machen, dann wird alles,
was *nicht* in der Subdomain, wohl aber in "kundendomain.tld liegt, ueber
externe Server aufgeloest (so es denn aufloesbar ist).

Eigentlich eine typische Konstellation, geht sowas?



Man koennte so etwas bauen, aber das wirst du nicht wirklich wollen
(man koennte z.B. fuer *jeden* *Hostnamen* im internen Netz eine Zone
einrichten, und den bind fuer *diese* Zonen authoritativ machen, nicht
aber fuer die kundendomain.tld ... Ein Riesenaufwand fuer ein bischen
Bequemlichkeit?).

Im Moment trag ich sowas in die "public" Zone ein, was dazu f?hrt dass
"bernd.harddiskcafe.de" von jedem Arsch in der Welt aufzul?sen ist.



Wenn der lokal laufende bind authoritive fuer die Zone waere und auch
die Zonendaten "fuer die Welt da draussen" liefern soll, koennte man
mit "views" arbeiten, um dem internen Netz eine andere "Sicht der Zone"
zu geben als dem Rest der Welt ...

Im oben genannten Fall geht das nicht weil ich keinen Zugriff aufs
Zonefile habe.



Dann verwenden fuer das interne Netz eie Subdomain. Mag nicht ganz so
huebsch sein, aber es funktioniert problemlos (und wenn im authoritativen
DNS fuer die Zone keine Delegation fuer die Subdomain drin steht, kommt
so schnell auch keienr auf die Idee, den bind fuer die interne Zone nach
irgend etwas befragen zu wollen (zudem kann man die Zugriffe auch noch
mittels ACLs beschranken, was moeglicherweise ohnehiun eine gute Idee
waere ...).

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen