Likes Likes:  0
Resultaten 1 tot 3 van de 3
  1. #1
    AXFR & DNSSEC met PowerDNS cluster
    geregistreerd gebruiker
    607 Berichten
    Ingeschreven
    09/04/08

    Locatie
    Weert

    Post Thanks / Like
    Mentioned
    9 Post(s)
    Tagged
    0 Thread(s)
    11 Berichten zijn liked


    Bedrijf: Openworx
    URL: www.openworx.nl
    Registrar SIDN: nee
    KvK nummer: 14129365
    Ondernemingsnummer: nvt

    AXFR & DNSSEC met PowerDNS cluster

    Ik draai een setup met DirectAdmin servers waarvan BIND alle DNS records via AXFR naar een PowerDNS cluster (met MySQL replicatie) sturen.

    Nu wil ik DNSSEC gaan activeren. Op het PowerDNS cluster kan een domein via de shell gesigned worden als deze master is. Wat zou nu de beste methode zijn om DNSSEC te gebruiken icm AXFR:

    1. Domein signen op PowerDNS, maar gaat dit wel werken als PowerDNS slave is voor het domein of wordt DNSSEC info overschreven bij de eerst volgende DNS record update?
    2. DNSSEC activeren binnen DirectAdmin, zal AXFR dan ook de DNSSEC meesturen naar PowerDNS?

  2. #2
    AXFR & DNSSEC met PowerDNS cluster
    geregistreerd gebruiker
    607 Berichten
    Ingeschreven
    09/04/08

    Locatie
    Weert

    Post Thanks / Like
    Mentioned
    9 Post(s)
    Tagged
    0 Thread(s)
    11 Berichten zijn liked


    Bedrijf: Openworx
    URL: www.openworx.nl
    Registrar SIDN: nee
    KvK nummer: 14129365
    Ondernemingsnummer: nvt

    Een update:

    Intussen ben ik gaan testen door DNSSEC aan te zetten in DirectAdmin, de zone te signen vanuit DA en de KSK key geupload naar de registrar. Via AXFR worden allerlei RRSIG records gepushed naar PowerDNS. Het domein komt door de DNSSEC validatie tests en werkt. Alleen via pdnssec show-zone zie je geen DNSSEC info, dit moet je vanuit DA doen.

    Een zone signen binnen PowerDNS zelf, waarvan deze slave is, werkt ook maar je krijgt wel een waarschuwing vanwege de slave.

  3. #3
    AXFR & DNSSEC met PowerDNS cluster
    geregistreerd gebruiker
    607 Berichten
    Ingeschreven
    09/04/08

    Locatie
    Weert

    Post Thanks / Like
    Mentioned
    9 Post(s)
    Tagged
    0 Thread(s)
    11 Berichten zijn liked


    Bedrijf: Openworx
    URL: www.openworx.nl
    Registrar SIDN: nee
    KvK nummer: 14129365
    Ondernemingsnummer: nvt

    Wel oppassen met supermaster, als je bijv een sub.domein.nl aanmaakt binnen DA, wordt binnen PowerDNS een nieuwe zone sub.domein.nl aangemaakt. Zonder DNSSEC werkt deze opstelling wel, maar bij DNSSEC is alleen domein.nl gesigned en sub.domein.nl niet.

    Best practice is om supermaster uit te zetten binnen PowerDNS en alleen DNS updates toestaan voor bestaande zones en de rest gedropt wordt. Bij een nieuwe domeinnaam zul je wel eerst een zone binnen PowerDNS moeten aanmaken en als slave voor DA instellen.



Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2017 Webhostingtalk.nl.
Web Statistics