PowerDNS PDNS: Fragen zu SOA und subdomains

Mr. Macintosh

Mr. Macintosh

Member
<? echo $begrüßung & smily; ?>

Ich habe ein Problem mit der Delegation von Subdomains.

Angenommen wir sind Eigentümer der Domain xyz.tld
und wollen Subdomains wie abc.xyz.tld delegieren.

Alle Subdomains von xyz.tld sollen auf unserem (P)DNS nur NS records haben.

1. (Wie) Kann man die zone abc.xyz.tld anlegen, OHNE dass sie vom Eintrag *.abc.tld in der abc.tld-zone überlagert wird?
2. Oder lautet die Antwort auf 1.: "Garnicht. abc muss als record in die xyz.tld-zone"?
3. Wenn es doch möglich ist 2 Zonen parallel zu haben, nämlich xyz.tld und zusätzlich abc.xyz.tld: Ist ein SOA Eintrag in der abc.xyz.tld-zone zwingend erforderlich, selbst wenn abc.xyz.tld ausschließlich NS records enthält und die darin eingetragenen Nameserver die SOA sind und letztendlich die Antwort auf die Anfrage geben?

Wie sieht z.B. die Zone "serversupportforum.de" auf den .de-Nameservern bei DeNIC aus? Hat die einen SOA-Eintrag?

Besten Dank für Eure kompetenten Antworten,

Mr. Mac :)
 
Mr. Macintosh said:
1. (Wie) Kann man die zone abc.xyz.tld anlegen, OHNE dass sie vom Eintrag *.abc.tld in der abc.tld-zone überlagert wird?
Click to expand...
Code: 
# Zone file für example.com
# […]
sub NS ns1.example.net
sub NS ns2.example.net

Einträge für sub.example.com und Subdomains für sub.example.com dann in ein eigenes vollständiges Zone File (d. h. inklusive SOA Resource Record).

Mr. Macintosh said:
3. Wenn es doch möglich ist 2 Zonen parallel zu haben, nämlich xyz.tld und zusätzlich abc.xyz.tld: Ist ein SOA Eintrag in der abc.xyz.tld-zone zwingend erforderlich, selbst wenn abc.xyz.tld ausschließlich NS records enthält und die darin eingetragenen Nameserver die SOA sind und letztendlich die Antwort auf die Anfrage geben?
Click to expand...
Natürlich muss ein SOA Resource Record für sub.example.com existieren, wenn du sub.example.com als eigene Zone delegiert hast.

Mr. Macintosh said:
Wie sieht z.B. die Zone "serversupportforum.de" auf den .de-Nameservern bei DeNIC aus? Hat die einen SOA-Eintrag?
Click to expand...
Die .de Zone hat natürlich einen SOA Resource Record. Resource Records für serversupportforum.de sind dann nur normale Einträge in der .de Zone. Wenn serversupportforum.de an andere Nameserver delegiert wurde (was der Fall ist), muss die Zone serversupportforum.de natürlich auch einen SOA Resource Record haben.
 
Hallo Roger,

vielen Dank für deine schnelle und kompetente Antwort.

Vielleicht ist ja meine Erwartungshaltung falsch und PDNS arbeitet genauso "nur" nach RFC wie bind, aber ich vermute(te) hinter der Zeile...:

Code: 
default-soa-name=...
name to insert in the SOA record if none set in the backend

daß man damit einen "default-pseudo" SOA Eintrag setzen kann, der es ermöglicht autoritative Antworten für Anfragen rauszugeben, ohne für jede Zone extra einen SOA Record haben/pflegen zu müssen.

Auch folgendes spricht für das Vorhandensein eines solche Features.

Code: 
out-of-zone-additional-processing | --out-of-zone-additional-processing=yes | --out-of-zone-additional-processing=no
Do out of zone additional processing. 
This means that if a malicious user adds a '.com' zone to your server, it is not used for other domains and will not contaminate answers. 
Do not enable this setting if you run a public DNS service with untrusted users. Off by default.

...aber da war wohl der Wunsch Vater des Gedankens?

Schliesslich sind die Fancy Records des PDNS auch nicht RFC konform, oder?

lg,
Mr. Macintosh
 
Mr. Macintosh said:
Code: 
default-soa-name=...
name to insert in the SOA record if none set in the backend

daß man damit einen "default-pseudo" SOA Eintrag setzen kann, der es ermöglicht autoritative Antworten für Anfragen rauszugeben, ohne für jede Zone extra einen SOA Record haben/pflegen zu müssen.
Click to expand...
Dadurch wird für jede Zone ein SOA Resource Record generiert. PowerDNS liefert diesen dann natürlich RFC-konform bei Anfragen aus. Nur weil dein Zonefile (oder die Zonendaten im von PowerDNS genutzten Backend) keinen expliziten SOA Resource Record haben, heißt das nicht, dass auch die Zone selbst (also die Daten die PowerDNS ausliefert) keinen SOA Resource Record haben.

Mr. Macintosh said:
Schliesslich sind die Fancy Records des PDNS auch nicht RFC konform, oder?
Click to expand...
Wie schon geschrieben: Was PowerDNS intern macht, ist völlig egal, solange gültige Antworten ausgeliefert werden.
 
Roger Wilco said:
Dadurch wird für jede Zone ein SOA Resource Record generiert. PowerDNS liefert diesen dann natürlich RFC-konform bei Anfragen aus. Nur weil dein Zonefile (oder die Zonendaten im von PowerDNS genutzten Backend) keinen expliziten SOA Resource Record haben, heißt das nicht, dass auch die Zone selbst (also die Daten die PowerDNS ausliefert) keinen SOA Resource Record haben.
Click to expand...

Ersetzt denn der default SOA Eintrag in der pdns.config einen nicht vorhandenen Eintrag in der Zone?

Wenn ich nur 2 NS-Records im 'Zonefile' hab und keinen SOA-Record... gibt PDNS diesen default Eintrag bei Anfragen für die Zone m.E. nicht raus.

Wozu genau dient denn der default SOA Eintrag in der pdns.config?
RTFM bringt nicht weiter, da dieses Feature erwähnt, aber nicht erläutert ist.
 
Mr. Macintosh said:
Ersetzt denn der default SOA Eintrag in der pdns.config einen nicht vorhandenen Eintrag in der Zone?
Click to expand...
„…if none set in the backend”.

Mr. Macintosh said:
Wenn ich nur 2 NS-Records im 'Zonefile' hab und keinen SOA-Record... gibt PDNS diesen default Eintrag bei Anfragen für die Zone m.E. nicht raus.
Click to expand...
Wie kommst du zu dieser Meinung?

Mr. Macintosh said:
Wozu genau dient denn der default SOA Eintrag in der pdns.config?
Click to expand...
Damit du nicht selbst einen SOA Resource Record pflegen musst (z. B. bei jeder Änderung die Seriennummer erhöhen).
 
Also wäre es doch so, wie ich es mir gedacht/gewünscht hätte?

Ich komme drauf weil ein dig ein leeres Ergebnis liefert:
Code: 
dig [abc.xyz.tld] @ns1.[dnameserver.tld] SOA

; <<>> DiG 9.6.0-APPLE-P2 <<>> [abc.xyz.tld] @ns1.[dnameserver.tld] SOA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9021
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;[abc.xyz.tld].			IN	SOA

;; Query time: 22 msec
;; SERVER: [die IP des Nameservers]#53([die IP des Nameservers])
;; WHEN: Fri Aug  6 12:47:55 2010
;; MSG SIZE  rcvd: 30

Evtl. ein Fehler in meiner pdns.config?

Hier meine Einträge:

Code: 
allow-recursion-override=off
daemon=yes
default-soa-name=[der hostname des Nameservers]
disable-axfr=yes
guardian=yes
launch=gmysql
lazy-recursion=yes
local-address=[die IP des Nameservers]
master=yes
out-of-zone-additional-processing=yes
recursor=[die IP eines Nameservers im Rechenzentrum]
soa-minimum-ttl=3600
soa-refresh-default=10800
soa-retry-default=3600
soa-expire-default=604800
soa-serial-offset=0

Nochmal besten Dank für Deine Unterstützung, Roger! :)
 
You must log in or register to reply here.
Back
Top