Generelle Frage zum Aufbau einer Postfix-Infrastruktur
Liebe Liste,
bitte entschuldigt, falls das eine total simple Frage sein sollte. Aber ich befürchte, dass ich etwas übersehe.
Ich möchte meine Domains über kurz oder lang mit DNSSEC ausstatten, sprich meine eigenen Nameserver aufsetzen. Die beiden Maschinen sind startklar, bis auf die Postfix-Konfiguration. Und da habe ich mich jetzt gefragt, ob ich auf zwei separate Master gehen soll, oder auf Master+Slave.
Ich habe vor, die komplette Konfiguration per Ansible zu erledigen. Es geht nur um kleine Domains, nicht viele Hosts, keine dynamischen Updates oder ähnliches. Sprich die Zonendateien sollten relativ stativ sein.
Lasse ich DNSSEC außen vor, sollte eigentlich ein Setup mit zwei (fast?) identischen Mastern funktionieren, einer als Primary und einer als Secondary Nameserver.
Bei DNSSEC sieht es anders aus, da ich die Signaturen ja nicht auf dem Ansible-Host in die Zonendateien einbauen kann. Und die Schlüssel per Ansible zu verteilen könnte auch etwas schwieriger werden. Daher würde ich jetzt auf eine einfach Master+Slave Kombination gehen.
Master und Slave in die Konfigurationen eintragen, die Transfers per TSIG absichern und dann sollte das eigentlich recht sicher und sauber laufen.
Oder übersehe ich etwas?
Vielen Dank im Voraus!
Grüße Johannes
Am 08.08.2016 um 20:54 schrieb Johannes Kastl:
Liebe Liste,
bitte entschuldigt, falls das eine total simple Frage sein sollte. Aber ich befürchte, dass ich etwas übersehe.
Ich möchte meine Domains über kurz oder lang mit DNSSEC ausstatten,
gut
sprich meine eigenen Nameserver aufsetzen. Die beiden Maschinen sind startklar, bis auf die Postfix-Konfiguration. Und da habe ich mich jetzt gefragt, ob ich auf zwei separate Master gehen soll, oder auf Master+Slave.
eigentlich eine DNS Frage
Ich habe vor, die komplette Konfiguration per Ansible zu erledigen. Es geht nur um kleine Domains, nicht viele Hosts, keine dynamischen Updates oder ähnliches. Sprich die Zonendateien sollten relativ stativ sein.
keine Ahnung was das damit zu tun hat
Lasse ich DNSSEC außen vor, sollte eigentlich ein Setup mit zwei (fast?) identischen Mastern funktionieren, einer als Primary und einer als Secondary Nameserver.
verwirrt mich grade
Bei DNSSEC sieht es anders aus, da ich die Signaturen ja nicht auf dem Ansible-Host in die Zonendateien einbauen kann. Und die Schlüssel per Ansible zu verteilen könnte auch etwas schwieriger werden. Daher würde ich jetzt auf eine einfach Master+Slave Kombination gehen.
Master und Slave in die Konfigurationen eintragen, die Transfers per TSIG absichern und dann sollte das eigentlich recht sicher und sauber laufen.
Oder übersehe ich etwas?
hm ich habe mal einen DNS Master und 3 DNS slaves aufgebaut mit bind9, auf den postfix servern hatte ich unbound
das Thema ist ja nun nicht direkt postfix
evtl lies mal hier nach
https://sys4.de/de/blog/2014/05/24/einen-tlsa-record-fuer-dane-mit-bind-9-pu...
und evtl antwortet dir ja noch jemand konkreter , ich bin nicht mehr so in dem dns thema drinn
Vielen Dank im Voraus!
Grüße Johannes
Best Regards MfG Robert Schetterer
* Johannes Kastl mail@ojkastl.de:
Liebe Liste,
bitte entschuldigt, falls das eine total simple Frage sein sollte. Aber ich befürchte, dass ich etwas übersehe.
Ich möchte meine Domains über kurz oder lang mit DNSSEC ausstatten, sprich meine eigenen Nameserver aufsetzen. Die beiden Maschinen sind startklar, bis auf die Postfix-Konfiguration. Und da habe ich mich jetzt gefragt, ob ich auf zwei separate Master gehen soll, oder auf Master+Slave.
Ich habe vor, die komplette Konfiguration per Ansible zu erledigen. Es geht nur um kleine Domains, nicht viele Hosts, keine dynamischen Updates oder ähnliches. Sprich die Zonendateien sollten relativ stativ sein.
Lasse ich DNSSEC außen vor, sollte eigentlich ein Setup mit zwei (fast?) identischen Mastern funktionieren, einer als Primary und einer als Secondary Nameserver.
Bei DNSSEC sieht es anders aus, da ich die Signaturen ja nicht auf dem Ansible-Host in die Zonendateien einbauen kann. Und die Schlüssel per Ansible zu verteilen könnte auch etwas schwieriger werden. Daher würde ich jetzt auf eine einfach Master+Slave Kombination gehen.
Ich rate Dir eine Hidden Primary aufzubauen. Den packst Du in einen geschützten Bereich und dort generierst Du Dir alles, was Du für DNS und später DNSSEC brauchst.
Von dort aus pushed Du Updates auf Deine zwei Public DNS. Mach beide zu Secondaries und announce sie als Primaries für die relevanten Domains.
p@rick
Am 08.08.2016 um 23:07 schrieb Patrick Ben Koetter <p@sys4.demailto:p@sys4.de>:
Ich rate Dir eine Hidden Primary aufzubauen. Den packst Du in einen geschützten Bereich und dort generierst Du Dir alles, was Du für DNS und später DNSSEC brauchst.
Von dort aus pushed Du Updates auf Deine zwei Public DNS. Mach beide zu Secondaries und announce sie als Primaries für die relevanten Domains.
p@rick was p@trick hier empfiehlt, kann ich auch nur empfehlen. wir haben (wenn auch bisher noch ohne DNSSEC) genau das: zwei slaves (bind9, public) ein master (powerdns+mysql, hidden/internal)
aber was genau ist unter "Announcen als Primaries" zu verstehen?
ps: powerdns soll sich angeblich besonders dafür eignen DNSSEC zu implementieren
grüEssLI von meinem eiFöhn getrocknet
* Kupferschmid Eli eli.kupferschmid@fhnw.ch:
Am 08.08.2016 um 23:07 schrieb Patrick Ben Koetter <p@sys4.demailto:p@sys4.de>:
Ich rate Dir eine Hidden Primary aufzubauen. Den packst Du in einen geschützten Bereich und dort generierst Du Dir alles, was Du für DNS und später DNSSEC brauchst.
Von dort aus pushed Du Updates auf Deine zwei Public DNS. Mach beide zu Secondaries und announce sie als Primaries für die relevanten Domains.
p@rick was p@trick hier empfiehlt, kann ich auch nur empfehlen. wir haben (wenn auch bisher noch ohne DNSSEC) genau das: zwei slaves (bind9, public) ein master (powerdns+mysql, hidden/internal)
aber was genau ist unter "Announcen als Primaries" zu verstehen?
Ich habe unsauber formuliert. Du hast recht. Es ist nicht möglich DNS-Server nach aussen hin als master oder slave zu announcen. Die Rollenunterscheidung kennen clients nicht. Sie sprechen einfach mit "einem DNS-Server".
p@rick
On 08.08.16 20:54 Johannes Kastl wrote:
Oder übersehe ich etwas?
Wie ihr sicherlich bemerkt habt, hat diese Frage praktisch nix mit Postfix zu tun. Ich versuche gerade verzweifelt herauszufinden, warum ich die Mail a) auf deutsch und b) an die Postfix-Liste geschrieben habe. Aber meine Gründe sind mir entfallen...
Bitte entschuldigt die Störung.
Johannes
P.S.: Danke trotzdem für die tollen Antworten.
participants (4)
-
Johannes Kastl -
Kupferschmid Eli -
Patrick Ben Koetter -
Robert Schetterer