Konfiguration und Betrieb eines Nameservers, Teil 3
Betrieb eines Nameservers
Die Programme aus dem BIND-Paket sind so stabil, dass im täglichen Betrieb kaum mit Problemen zu rechnen ist. Insbesondere ist der Betrieb eines Secondary- DNS praktisch wartungsfrei. Dennoch sollte man ab und zu einen Blick in die Log-Dateien werfen, insbesondere, wenn man die Daten der Zone geändert hat.
Eine solche Änderung ist nicht sofort auf allen Rechnern bekannt. Die Secondary-Server erkennen nach der Erhöhung der serial-Nummer, dass sie die Zone neu laden müssen. Das erfolgt normalerweise einmal je refresh-Intervall. Treten hierbei Fehler auf, wird der Zonentransfer alle retry Sekunden erneut versucht. Die Anfragen werden vom Secondary-Server aber weiterhin als authoritative beantwortet, bis die Zeit expire abgelaufen ist.
Das heißt, dass es – auch durch das normale DNS-Caching und die Möglichkeit, einen privaten Secondary-Server für fremde Zonen aufzusetzen – keine Möglichkeit gibt, eine Zonenänderung sofort überall wirksam werden zu lassen. Normalerweise wird man tunlichst versuchen, derartige Situationen zu vermeiden, indem man beispielsweise Dienste temporär auf dem alten und dem neuen Rechner parallel anbietet.
Sollte man eine derart plötzliche Umschaltung nicht vermeiden können, so sollte man vorher die Timing-Werte in der Zone schrittweise vermindern (dabei muss auch die serial-Nummer erhöht werden). Zum Umschaltzeitpunkt kann man dann mit einer schnellen Verteilung der Daten rechnen. Das bedeutet allerdings, dass in der Zwischenzeit eine deutlich höhere Netzwerklast nur durch DNS-Anfragen zu verzeichnen sein wird.
Ein weiterer Fall, bei dem Sie vorsichtig sein müssen, ist die Verminderung der serial-Nummer in einer Zone. Eigentlich ist das nämlich nicht möglich – und Sie sollten es auch zu vermeiden suchen. Wenn Sie es dennoch tun müssen und alle Secondary-Server unter Kontrolle haben, dann können Sie dort die kopierte Zone löschen und die Server neu starten. Im Internet haben Sie normalerweise diesen Zugriff auf die Secondary-Server nicht, so dass Sie hier das in den Quellen zum BIND beschriebene Verfahren (schrittweises und gezieltes Erhöhen der serial-Nummer bis zum Überlauf) anwenden müssen.