Jeg administrerer et lille netværk, hvor der med tiden er kommet flere servere på. Der er især tale om udviklingsservere til webapplikationer.
Når en bruger skal arbejde med et site, retter han i /etc/host, tilføjer en linien med serverens ipadresse og sitets navn. Det er en normal og velfungerende fremgangsmåde.
Ulempen i systemet er, når man flytter et site fra en server til en anden, så skal alle linierne i de computeres /etc/hosts, der peger på sitet, rettes.
Brugere der bytter computere/arbejdsplads skal også ind og rette i /etc/host
Jeg er tidligere blevet anbefalet, at bruge Bind til at løse problemet. På den måde skulle man fra et centralt sted, kunne ændre alle pegning, så der ikke skal rettes noget på de enkelte arbejdsstationer.
Jeg har svært ved at overskue konsekvenserne af Bind. Dels fordi jeg ikke helt kan overskue konsekvenserne.
Arbejdsstationerne på det aktuelle netværk peger ud på vores udbyders DNS, gennem vores router (Gateway) 192.168.0.1. Det må næsten skulle forandres, hvis en bind-server skal overtage netværkets DNS-pegninger, eller har jeg misforstået noget omkring bind?
Hvis man lader en server overtage DNS, bliver netværket vel også afhængig af denne. Alle servere bliver i øjeblikket lukket ned med jævne mellemrum af strømbesparelsesårsager. Hvis man slukker bind-serveren, kan arbejdssationerne vel ikke længere finde ud på nettet - eller det kan man måske indstille sig ud af?
Skulle nogen kende en god beskrivelse af bind og evt. af installationen, er jeg meget interesseret. Eller skulle nogen kende en anden og smartere teknik - er jeg naturligvis også interesseret i det.
Bind?
-
- Indlæg: 92
- Tilmeldt: 21. apr 2009, 00:11
-
- Admin
- Indlæg: 3652
- Tilmeldt: 5. mar 2010, 19:58
- IRC nickname: nicky
- Geografisk sted: 192.168.20.42
Re: Bind?
Jeg har lige rykket dit spørgsmål til server-afdelingens serveropsætning
Udover det har jeg desværre kun begrænset erfaring i det du spørger om, men lidt af det kan jeg svarer på. En ting er sikkert, installerer du DNS på netværket er det korrekt at du bliver afhængig af den, men BIND er i sig selv ikke krævende, så du burde kunne køre det fra en normal PC.
Omkring det at give PC'erne og serverne navne, så burde det fungere fint og være nemt at sætte op. Men jeg ved ikke hvordan man administrer det, at ét site flyttes fra en fysisk server til en anden. Jeg ville tro at den slags oplysninger står i BIND's config, men jeg er ikke sikker. Spørgsmålet er om det betyder noget i denne sammenhæng, prøv og betragt følgende eksempel:
Vælger du at rykke Site B til server B, så sker det vel ingen ændring i netværkets sammensætning. Server B skal bare kontaktes som sædvanlig, men på port 12000 for at få fat i Site B. Så det er nærmere et spørgsmål om at sætte Apache (eller hvad du bruger) op til at køre på denne måde (hvis ikke det allerede er gjort).
Omkring routeren kan fortælle at de fleste routere kan sende adressen til 2 DNS-servere videre når klienterne kontakter DHCP-delen og bliver tildelt en IP-adresse. Forudsat at du bruger routerens DHCP? Hvad du gør er at sætte din DNS som primær, din udbyders som sekundær, og skulle din DNS-server gå ned eller blive slukket, så kontakter klienterne din udbyders (omend klienterne nok ikke kan finde hinanden så længe din DNS er offline).
Hvis du kigger nærmere på BIND er det vigtigt at du kigger på sikkerhedsaspektet i det, for BIND er som standard åben for alle, og svarer på spørgsmål om alt fra alle. Det er sikkert ikke noget du ønsker.
Spændene spørgsmål ellers, jeg håber der er andre der kan bidrage med forslag, og du må gerne holde os informeret om fremgangen, hvis du har mulighed for det.
Udover det har jeg desværre kun begrænset erfaring i det du spørger om, men lidt af det kan jeg svarer på. En ting er sikkert, installerer du DNS på netværket er det korrekt at du bliver afhængig af den, men BIND er i sig selv ikke krævende, så du burde kunne køre det fra en normal PC.
Omkring det at give PC'erne og serverne navne, så burde det fungere fint og være nemt at sætte op. Men jeg ved ikke hvordan man administrer det, at ét site flyttes fra en fysisk server til en anden. Jeg ville tro at den slags oplysninger står i BIND's config, men jeg er ikke sikker. Spørgsmålet er om det betyder noget i denne sammenhæng, prøv og betragt følgende eksempel:
Kode: Vælg alt
ServerA
- Site A på 192.168.1.10:80
- Site B på 192.168.1.10:12000
Server B
- Site C på på 192.168.1.12:80
Vælger du at rykke Site B til server B, så sker det vel ingen ændring i netværkets sammensætning. Server B skal bare kontaktes som sædvanlig, men på port 12000 for at få fat i Site B. Så det er nærmere et spørgsmål om at sætte Apache (eller hvad du bruger) op til at køre på denne måde (hvis ikke det allerede er gjort).
Omkring routeren kan fortælle at de fleste routere kan sende adressen til 2 DNS-servere videre når klienterne kontakter DHCP-delen og bliver tildelt en IP-adresse. Forudsat at du bruger routerens DHCP? Hvad du gør er at sætte din DNS som primær, din udbyders som sekundær, og skulle din DNS-server gå ned eller blive slukket, så kontakter klienterne din udbyders (omend klienterne nok ikke kan finde hinanden så længe din DNS er offline).
Hvis du kigger nærmere på BIND er det vigtigt at du kigger på sikkerhedsaspektet i det, for BIND er som standard åben for alle, og svarer på spørgsmål om alt fra alle. Det er sikkert ikke noget du ønsker.
Spændene spørgsmål ellers, jeg håber der er andre der kan bidrage med forslag, og du må gerne holde os informeret om fremgangen, hvis du har mulighed for det.
-
- Indlæg: 92
- Tilmeldt: 21. apr 2009, 00:11
Re: Bind?
Det er så enkelt at sætte selvstændige sites op uden brug af porte og jeg vil helst undgå dem - primært af æstetiske årsager. Om jeg herved begrænser mig fra noget smartere, kan jeg ikke helt overskue.
Jeg har eksperimenteret med bind og det har drillet mig en del. Sagen er, at bind er fokuseret meget på domænenavne som defineret i RFC standard. Det betyder, at man skal defindere et fuldgyldigt domæne - altså f.eks. mitdomæne.udvik, herunder skal alle de sites, som bind skal håndtere, placeres/navngives. Altså f.eks.
Det bryder med min selvvalgte og simple navngivning. Derudover tyder det på, at jeg skal lave et stjernedomæne for samtlige servere der er i spil, med mindre jeg sætter dem sammen i et cluster?
Jeg har diskuteret de her ting på et andet - lukket - forum, og jeg er ret overbevist om, at det hænger sammen som beskrevet. Men jeg er meget interesseret i input, hvis nogen kan supplere, eller modgå dette.
Hvis bind fungerer, som jeg tror - er der i mit tilfælde tale om et stort overkill, for at løse den problemstilling, jeg beskriver.
I bund og grund handler det blot om en mulighed for at registrere centrale hostindgange på et lukket netværk. Der er måske ligefrem basis for et lille nyt Open Source projekt?
Jeg har eksperimenteret med bind og det har drillet mig en del. Sagen er, at bind er fokuseret meget på domænenavne som defineret i RFC standard. Det betyder, at man skal defindere et fuldgyldigt domæne - altså f.eks. mitdomæne.udvik, herunder skal alle de sites, som bind skal håndtere, placeres/navngives. Altså f.eks.
Kode: Vælg alt
dsb.mitdomæne.udvik
lego.dk.mitdomæne.udvik
o.s.v.
Det bryder med min selvvalgte og simple navngivning. Derudover tyder det på, at jeg skal lave et stjernedomæne for samtlige servere der er i spil, med mindre jeg sætter dem sammen i et cluster?
Jeg har diskuteret de her ting på et andet - lukket - forum, og jeg er ret overbevist om, at det hænger sammen som beskrevet. Men jeg er meget interesseret i input, hvis nogen kan supplere, eller modgå dette.
Hvis bind fungerer, som jeg tror - er der i mit tilfælde tale om et stort overkill, for at løse den problemstilling, jeg beskriver.
I bund og grund handler det blot om en mulighed for at registrere centrale hostindgange på et lukket netværk. Der er måske ligefrem basis for et lille nyt Open Source projekt?
-
- Indlæg: 28
- Tilmeldt: 28. dec 2011, 03:22
- IRC nickname: pefu
Re: Bind?
Web Proxy:
-------------
Hvis det alene handler om web-udvikling med http /https trafik i retning af test-serveren og der i øvrigt ikke er andet til hindre herfor, så /kunne/ man opsætte en web-proxy (eg. squid) og vedligeholde en host file på proxy-dåsen.
Præmisser:
/etc/host.conf:
order hosts,bind
multi on
/etc/hosts:
...
x.y.z.1 mytestdomain.example.com
++
DNS:
------
Normalt laver man omdirigering på domæneniveau ... men det du principielt er ude på, det er noget: DNS spoofing / DNS cache poisoning på FQDN niveau.
Med fx djbdns cache burde man kunne lave noget i den stil (men de flester er jo BIND orienteret nu om dage).
PATH/djbdns/dnscache/root/servers:
redirect.mydomain.example.com
Hvor FQDN'et: redirect.mydomain.example.com indeholder IP'en på den "autoritative" NS fx på IP 127.0.0.1, hvor man herefter fedter rundt med, hvilken IP adresse der skal returneres (ud fra fx et stjerne RR for den pgl zone, eller på hostniveau).
Man skal med den løsning administrativt løbende ind og fedte rundt 2 steder (efter at ens clients har fået at vide, at de skal lave opslag i den lokale dnscache), dvs både i opsætningen på dnscache og på en fake tinydns (og så skal dnscache og tinydns restartes/reloades ved ændringer).
Dvs. indsætter du fx: host1.example.com i dnscache til at pege på en NS på fx 127.0.0.1, hvor du har opsat en zone for example.com kan du udlevere det ønskede en IP derfra.
Når man ikke længere ønsker en lokal redirect, så fjerner man bare redirect informationerne i dnscache (og reloader dnscache) ... så resolver opslag atter til det der vises ude i verden på de autoritative servers.
Zone opsætningen på den lokale fake DNS behøver man egentlig ikke gøre noget ved - og så bliver det hurtigere at lave lokal omdirigering igen til det pgl domaine/FQDN skulle behovet genopstå.
BIND må kunne noget i nævnte omegn ... men når ønsket ikke er at gøre det på zone niveau, så bliver det formodentlig også her noget fedteri
Konklusion:
-------------
Det nemmeste at administrere er umiddelbart en web-proxy løsning - men det forudsætter, at det kun er de protokoller proxy'en håndterer, der ønskes omdirigeret.
Alternativet på FQDN niveau bliver som antydet nemt noget fedteri ... men vil kunne lade sig gøre, som anvist ovenfor.
-------------
Hvis det alene handler om web-udvikling med http /https trafik i retning af test-serveren og der i øvrigt ikke er andet til hindre herfor, så /kunne/ man opsætte en web-proxy (eg. squid) og vedligeholde en host file på proxy-dåsen.
Præmisser:
/etc/host.conf:
order hosts,bind
multi on
/etc/hosts:
...
x.y.z.1 mytestdomain.example.com
++
DNS:
------
Normalt laver man omdirigering på domæneniveau ... men det du principielt er ude på, det er noget: DNS spoofing / DNS cache poisoning på FQDN niveau.
Med fx djbdns cache burde man kunne lave noget i den stil (men de flester er jo BIND orienteret nu om dage).
PATH/djbdns/dnscache/root/servers:
redirect.mydomain.example.com
Hvor FQDN'et: redirect.mydomain.example.com indeholder IP'en på den "autoritative" NS fx på IP 127.0.0.1, hvor man herefter fedter rundt med, hvilken IP adresse der skal returneres (ud fra fx et stjerne RR for den pgl zone, eller på hostniveau).
Man skal med den løsning administrativt løbende ind og fedte rundt 2 steder (efter at ens clients har fået at vide, at de skal lave opslag i den lokale dnscache), dvs både i opsætningen på dnscache og på en fake tinydns (og så skal dnscache og tinydns restartes/reloades ved ændringer).
Dvs. indsætter du fx: host1.example.com i dnscache til at pege på en NS på fx 127.0.0.1, hvor du har opsat en zone for example.com kan du udlevere det ønskede en IP derfra.
Når man ikke længere ønsker en lokal redirect, så fjerner man bare redirect informationerne i dnscache (og reloader dnscache) ... så resolver opslag atter til det der vises ude i verden på de autoritative servers.
Zone opsætningen på den lokale fake DNS behøver man egentlig ikke gøre noget ved - og så bliver det hurtigere at lave lokal omdirigering igen til det pgl domaine/FQDN skulle behovet genopstå.
BIND må kunne noget i nævnte omegn ... men når ønsket ikke er at gøre det på zone niveau, så bliver det formodentlig også her noget fedteri
Konklusion:
-------------
Det nemmeste at administrere er umiddelbart en web-proxy løsning - men det forudsætter, at det kun er de protokoller proxy'en håndterer, der ønskes omdirigeret.
Alternativet på FQDN niveau bliver som antydet nemt noget fedteri ... men vil kunne lade sig gøre, som anvist ovenfor.
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: Bind?
Den her hjælpeside fra Ubuntu Community Documentation (UCD) synes du nok er rigtig interessant:
https://help.ubuntu.com/community/BIND9ServerHowto#Hybrids
Vil du i dybden er der også: "BIND 9 Administrator Reference Manual Book" [PDF]: https://www.isc.org/files/arm97.pdf
Det er netop nok Hybrid udgaven du er ude efter, altså du bestemmer selv IP adresse og tilhørende navne for dine egne hosts, og så er det ellers det der hedder caching nameserver for alt andet, hvor du automatisk får skubbet alle DNS opdateringer fra DNS serverne alle andre domæner ned på din DNS server
du har nok gavn af at kend den her side, med links til masser af Ubuntu server information: https://help.ubuntu.com/community/Servers
/Lars
https://help.ubuntu.com/community/BIND9ServerHowto#Hybrids
Vil du i dybden er der også: "BIND 9 Administrator Reference Manual Book" [PDF]: https://www.isc.org/files/arm97.pdf
Det er netop nok Hybrid udgaven du er ude efter, altså du bestemmer selv IP adresse og tilhørende navne for dine egne hosts, og så er det ellers det der hedder caching nameserver for alt andet, hvor du automatisk får skubbet alle DNS opdateringer fra DNS serverne alle andre domæner ned på din DNS server
du har nok gavn af at kend den her side, med links til masser af Ubuntu server information: https://help.ubuntu.com/community/Servers
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags