* Johannes Kastl mail@ojkastl.de:
Liebe Liste,
bitte entschuldigt, falls das eine total simple Frage sein sollte. Aber ich befürchte, dass ich etwas übersehe.
Ich möchte meine Domains über kurz oder lang mit DNSSEC ausstatten, sprich meine eigenen Nameserver aufsetzen. Die beiden Maschinen sind startklar, bis auf die Postfix-Konfiguration. Und da habe ich mich jetzt gefragt, ob ich auf zwei separate Master gehen soll, oder auf Master+Slave.
Ich habe vor, die komplette Konfiguration per Ansible zu erledigen. Es geht nur um kleine Domains, nicht viele Hosts, keine dynamischen Updates oder ähnliches. Sprich die Zonendateien sollten relativ stativ sein.
Lasse ich DNSSEC außen vor, sollte eigentlich ein Setup mit zwei (fast?) identischen Mastern funktionieren, einer als Primary und einer als Secondary Nameserver.
Bei DNSSEC sieht es anders aus, da ich die Signaturen ja nicht auf dem Ansible-Host in die Zonendateien einbauen kann. Und die Schlüssel per Ansible zu verteilen könnte auch etwas schwieriger werden. Daher würde ich jetzt auf eine einfach Master+Slave Kombination gehen.
Ich rate Dir eine Hidden Primary aufzubauen. Den packst Du in einen geschützten Bereich und dort generierst Du Dir alles, was Du für DNS und später DNSSEC brauchst.
Von dort aus pushed Du Updates auf Deine zwei Public DNS. Mach beide zu Secondaries und announce sie als Primaries für die relevanten Domains.
p@rick