[dns-esp] Consulta: ¿Que eventos desencadenan una transferencia de zona maestro / esclavo ?
Carlos M. Martinez
carlosm3011 en gmail.com
Lun Sep 2 13:26:38 CLT 2013
No... no estoy usando -N, y lo que estoy haciendo es reiniciar todo el
bind cada vez que se re-firma la zona (si, ya se, medio bestia, pero
como es un servidor que no usa casi mas nadie, y las zonas son pequeñas,
funciona perfectamente).
A grosso modo el script hace lo siguiente:
- programa alertas para el futuro (envia mails avisando que la zona debe
refirmarse), at -q
- llama al dnssec-signzone
- llama /etc/init.d/bind9 restart
s2
~Carlos
On 9/2/13 1:45 PM, Mauricio Vergara Ereche wrote:
> Hola Carlos,
>
> En el script que mencionas, al momento de re-firmar cómo es posible que
> puedas re-cargar la zona con bind sin que te arroje un error?
>
> En los logs debería decirte algo como:
>
> error: zone labs.lacnic.net/IN: zone serial (2013082100) unchanged. zone
> may fail to transfer to slaves.
>
> Estás ocupando las herramientas de bind para firmar? Estás seguro que no
> estás ocupando "-N increment" por ahí entremedio?
>
> Saludos!
>
> El 02-09-13 12:04, Carlos M. Martinez escribió:
>> Nada especial, BIND 9.7.3 en ambos servidores, firma con dnssec-signzone
>>
>> On 9/2/13 1:03 PM, Cristian Rojas R. wrote:
>>> Hola Carlos:
>>> La teoría que yo manejo está en la misma linea de lo que tu
>>> esperabas. Puedes darnos más información sobre qué software estás
>>> usando? tal vez haya algún feature especial de alguna versión especial
>>> y/o tal vez como un comportamiento especial para el uso de DNSSEC?
>>>
>>> Atte.
>>> CR
>>>
>>> Carlos M. Martinez wrote:
>>>> Hola,
>>>>
>>>> tengo un caso donde la teoria (al menos la teoria en mi cabeza) no se
>>>> corresponde con un hecho observado en la realidad.
>>>>
>>>> Tengo una zona (labs.lacnic.net) la cual tiene dos NS
>>>> (mvuy.labs.lacnic.net y spbr.labs.lacnic.net). La zona está firmada con
>>>> DNSSEC, pero la firma se mantiene manualmente con un script, con lo cual
>>>> normalmente incremento el serial manualmente y vuelvo a correr el script
>>>> que firma.
>>>>
>>>> Ahora, a guisa de experimento, puse el script en el crontab, y como el
>>>> script no incrementa el serial, en mi cabeza al menos, el secundario no
>>>> se iba a transferir la zona ya que el serial no cambia.
>>>>
>>>> Ahora, la realidad me indica que el secundario obendientemente SI se
>>>> transfiere la zona cuando recibe los mensajes de NOTIFY / INOTIFY a
>>>> pesar de que el serial no cambia.
>>>>
>>>> Aca es donde le pido a mis amigos expertos que me cuenten bien que es lo
>>>> que está pasando. Hugo, te estoy mirando fijamente :-)
>>>>
>>>> Abrazo,
>>>>
>>>> ~Carlos
>>>> _______________________________________________
>>>> dns-esp mailing list
>>>> dns-esp en listas.nic.cl
>>>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>>>
>>>
>>>
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>
>
>
>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
Más información sobre la lista de distribución dns-esp