Вторичный DNS сервер.

Сначала настроим первичный  DNS сервер.

Добавляем в /etc/bind/named.conf.options следующее:

dnssec-enable yes;

Генерируем MD5 хэш ключ:

dnssec-keygen -r /dev/urandom -a hmac-md5 \

 -b 256 -n host rndc ; cat Krndc.*.private \

 | grep Key ; rm Krndc*

Результат:

Key: 9EKQM+7+EnJzO7TWyayUf0vks4k+SZPf9DAs8fOeREM=

Создаем /etc/bind/transfer.key

key TRANSFER {

        algorithm hmac-md5;

        secret "9EKQM+7+EnJzO7TWyayUf0vks4k+SZPf9DAs8fOeREM=";

};

Защищаем ключ:

chmod o-r /etc/bind/transfer.key

Создаем /etc/bind/named.conf.transfer

include "/etc/bind/transfer.key";

// Slave IP Address

server 192.168.17.3 {

        keys {

        TRANSFER;

    };

};

Добавляем в /etc/bind/named.conf

include "/etc/bind/named.conf.transfer";

Настройка вторичный DNS сервер.

Добавляем в /etc/bind/named.conf.options

dnssec-enable yes;

Вносим в /etc/bind/transfer.key

key TRANSFER {

        algorithm hmac-md5;

        secret "9EKQM+7+EnJzO7TWyayUf0vks4k+SZPf9DAs8fOeREM=";

};

ключ поставить ваш сгенерированный ранее.

Защищаем ключ:

chmod o-r /etc/bind/transfer.key

Добавляем в /etc/bind/named.conf.transfer

include "/etc/bind/transfer.key";

// Master IP Address

server 192.168.17.2 {

        keys {

        TRANSFER;

    };

};

Добавляем в /etc/bind/named.conf

include "/etc/bind/named.conf.transfer";

Указываем SLAVE зоны в /etc/bind/named.conf.local

zone "OFFICE.LOCAL" IN {

       type slave;

       file "/etc/bind/db.OFFICE.LOCAL";

       masters { 192.168.17.2; };

       allow-notify { 192.168.17.2; };

};

zone "17.168.192.IN-ADDR.ARPA" IN {

       type slave;

       file "/etc/bind/db.17.168.192";

       masters { 192.168.17.2; };

       allow-notify { 192.168.17.2; };

};

Копируем форвардинг (если он есть) в вторичный конфиг /etc/bind/named.conf.forward

zone "corp.local" IN {

       type forward;

       forwarders { 192.168.11.2; 192.168.11.3; };

};

Убеждаемся, что bind:bind есть владельцем конфигурации и может принимать обновления от первичного сервера.

chown -R bind:bind /var/chroot/bind9/etc/*

Проверяем синхронизацию времени на серверах. Рестартим bind9 на обоих серверах и убеждаемся, что вторичный получает обновления с первичного.

/etc/init.d/rsyslog restart ; /etc/init.d/bind9 start

Если что то идет не так, смотрим файлы лога:

tail -f /var/log/syslog