Onderwerp: Subdomein op andere webserver inclusief dnssec validatie

Ik heb de volgende opzet:
Server A met cPanelaccount voor hoofddomein: DOMEINnl
Server B met cPanelaccount voor subdomein van hoofddomein: SUB.DOMEINnl

In dns zone van DOMEINnl op server A kan ik dan een A-record maken of de NS records voor SUB.DOMEINnl
Ik maak nu gebruik van een A-record met IP van server B.

In de dns zone op server B staat een complete cpanel account voor SUB.DOMEINnl

Beide maken gebruik van dezelfde hidden master/slave DNS servers [powerdns] met dnssec. Voor het hoofddomein is dnssec actief.
DOMEINnl is werkend in orde met dnssec.
SUB.DOMEINnl is werkend als subdomein, maar dnssec valideert (nog) niet [terecht].

Hoe krijg ik het beste/makkelijkste dnssec werkend voor het subdomein? Wat is beste practice?

Mijn poging:
Subdomein SUB.DOMEINnl secure maken in powerdns:

Code:

pdnssec secure-zone SUB.DOMEINnl
pdnssec rectify-zone SUB.DOMEINnl
pdnssec show-zone SUB.DOMEINnl

De DS invoeren in de dns van het hoofddomein DOMEINnl lukt niet omdat cPanel steeds een fout geeft: 'Invalid data'.
Graag tips om dit werkend te krijgen of andere (betere) oplossingen...

Er zijn naar mijn idee 2 relatief simpele opties (die mogelijk niet standaard werken met een controlpanel).

Optie 1: verwijder sub.domeinnl als losse zone uit de naamservers en doe alles daaronder vanuit domeinnl (mijn voorkeur)
Optie 2: voeg de DS van sub.domeinnl toe aan de DNS van domeinnl en maak NS records aan ipv A records

Tot slot: met dnssec is het van belang om een recente PowerDNS versie te draaien om de minste problemen tegen te komen.

Dank je Mark. Powerdns versie is recent.

Optie 1 verwijder sub.domeinnl als losse zone uit de naamservers > De dns-servers worden steeds geupdate vanaf beide cpanel via axfr.
1.1 Zou alleen kunnen als ik de zone van sub.domeinnl ook uit cpanel van server B weghaal. Anders wordt ie steeds ge-update via axfr en weer toegevoegd, als ik m alleen op de dns-servers verwijder. Kan dat? Lijkt me niet toch?
1.2 Zou ook kunnen als ik het subdomein kan excluden voor axfr. Bij mijn weten niet mogelijk.

Optie 2: Kan het met NS records proberen inderdaad. Lijkt dan de beste optie in mijn situatie. De DS record toevoegen werkte niet, daar kan ik dan cPanel eens over vragen. Tenzij deze records gegevens fout zijn:

Code:

sub.domeinnl IN DS 12345 8 2 706fe0d73ab2658c9efa0d5bfe16d3b3193c902a24806766f38d3749bb5da752

Alles achter DS komt dan vanaf powerdns > dnssec show-zone.
Anders is t bug in cpanel...

1.1: voor cpanel durf ik het niet met zekerheid te zeggen, probeer hem anders als test te verwijderen uit de (Bind?) naamserver config die cpanel gebruikt. Mogelijk wordt dit herschreven, bij DirectAdmin werkt dit wel.
1.2: dit is afhankelijk van hoe AXFR is ingesteld, als dit door opties per domeinnaam gaat kan dit vrij simpel. Anders wordt het lastiger (en ja je kunt het ook in PowerDNS regelen, maar daar wordt het niet efficiënter van).

2.: hoe je aangeeft dat je aan de DS komt zou goed moeten zijn. Aangezien je aangeeft dat je een recente versie van PowerDNS draait ga ik uit van 3.1 of nieuwer (3.0 wil je niet draaien icm dnssec).

Indien gewenst wil ik wel voor je kijken op je server wat de beste optie is. PM me hiervoor de login gegevens of bel me even, in dat laatste geval kan het zonder dat ik de login gegevens hoef te weten.

DNSSEC wordt binnen cPanel (out-of-the-box) nog niet ondersteund, evenals PowerDNS, dus je zult m.i. altijd een "halfbakken" oplossing krijgen.

@dreamhost_nl ondersteund cPanel AXFR op een redelijk simpele manier? Of een systeem die uitgaand laat weten dat er een update is? In beide gevallen is op fatsoenlijke wijze PowerDNS te koppelen naar mijn idee. Van cPanel durf ik het niet te zeggen, bij DirectAdmin zijn beide opties goed ondersteund (de ene vanuit DirectAdmin en de andere door een paar regels toe te voegen aan een config bestand van Bind).

@Mark17 Dank voor je aanbod, ik hou het achter de hand. Heb support nu eerst bij de vps leverancier gevraagd vanwege de cPanel weigering een DS record te maken. Even afwachten wat zij melden...

Daar kwam ik niet verder mee anders dan hierop geven we geen support.
Ik heb contact gehad met een cpanel support medewerker, reactie:

Upon investigating a little more, it looks like DNSSEC is not yet something implemented in cPanel. We do have a feature request for that available here, however:
http://features.cpanel.net/responses...ating-resolver
You're welcome to vote that up for faster inclusion into cPanel. I know we're planning on implementing it and likely sooner than later, but feedback certainly does help push things along.

Als je wilt, geef deze feature request aan cPanel een LIKE, wellicht helpt dat.
Buiten dat beetje suf antwoord.

ondersteund cPanel AXFR op een redelijk simpele manier?

Ja dat gaat goed via options in:

/etc/named.conf

Daar heb ik tevens de volgende 'halfbakken' oplossing getest, escapen/verwijderen van de subdomein config in cPanel:

Code:

#zone "SUB.DOMEINnl" {
#	type master;
#	file "/var/named/SUB.DOMEINnl.db";
#};

en de mx/a records toegevoegd binnen de domeinnl zone[@Mark17 oplossing 1]. Op de dns-servers vervolgens de zone sub.domeinnl verwijderd. En dat werkt.
Tot het moment dat cPanel dnssec ondersteunt, werkt dit voor me.
Dank voor het meedenken, want heeft me verder geholpen.