Vlastné DNSSEC spolu so slave zonou na ns.wedos.net?
Dobrý deň,
mal som nastavené vlastné podpisovanie .sk domény mimo Vašich serverov. DNSSEC som nakonfiguroval cez web rozhranie a funguje správne.
Chcel som ale pridať jeden z Vašich serverov (ns.wedos.net) ako slave server, ktorý by kopíroval celú zónu, vrátane DNSSEC podpisov. Server som pridal, ale časom som si všimol, že táto zmena automaticky deaktivuje DNSSEC v zóne.
Prečo je to takto? Veď slave server zónu nijak nepodpisuje, len preberie údaje z master servra a distribuuje ich ďalej. Nemalo by ho zaujímať, akým kľúčom je zóna podpísaná, ani kto ju podpísal.
Nepríjemné je aj to, že síce pri aktivácii DNSSEC webrozhranie upozorní, že ho nie je možné aktivovať, ak používam Vase DNS servery, ale opačne na to vôbec neupozorní a DNSSEC deaktivuje.
Viete to prosím upraviť, aby som mohol použiť Váš slave server aj s mojím DNSSEC podpisom zóny? Ďakujem.
Jano
4 Odpověď
Dobrý den,
u nás bohužel není možné používat DNSSEC v kombinaci s externím master serverem. Jakmile je naše DNS nastaveno jako „slave“, systém DNSSEC automaticky deaktivuje.
Je to záměrné omezení – naše DNS servery v režimu slave zónu pouze přebírají, ale DNSSEC podpisy nepřenášejí ani neukládají. DNSSEC proto funguje jen u zón, které jsou spravovány přímo na našich DNS serverech a podepisovány naším systémem.
Pokud tedy potřebujete zachovat vlastní DNSSEC podpisování, doporučujeme zůstat u vlastních DNS serverů bez použití našich.
Dobrý den,
já bych radil pořídit si VPS a hostovat si slave NS sám. Nebo zkusit pohledat free služby jako https://ns-global.zone/ nebo https://freedns.afraid.org/secondary/ (nevím, zda fungují, jen jsem si je vygooglil)
MZ
Samozrejme mam vlastny slave, ale chcel som nejaky s DDOS ochranou, nieco navyse. To, ze tu je to ponukane v cene sluzby sa mi celkom pozdavalo. Pridaval som 3. DNS server.
Nie celkom rozumiem, aky je problem s distribuciou DNSSEC zaznamov na slave servri. Pokial viem, tak slave server s tymi zaznamami nemusi nic robit, nijak ich podpisovat ani upravovat, staci ich zobrat z primarneho servra rovnako ako ostatne zaznamy.
Ani hosting celej sk zony na Vasich serveroch nie je riesenim, pretoze pri SK zonach DNSSEC na Vasich serveroch tiez nepodporujete.
Neprijemne je aj to, ze som o vypnuti DNSSEC pri pridani Vasho servra nevedel, system na to vobec neupozornil. Prisiel som na to az pri jedno z dalsich testov.