Beiträge von oliver.g

    Das Problem hat man zumindest wenn man das eigentlich frische Netinstall Image von Netcup wählt, dafür lade ich nicht erst immer das Netinstall von Debian hoch, ...

    Die Netinstall ISO musst du doch nicht hochladen, die gibt's doch schon bei den durch Netcup bereitgestellten.

    Jetzt darf ich für 25€ mein Mainboard zum Service Point von MSI einschicken, die machen dann über SPI ein neues BIOS drauf.

    Der Raspi hat ein SPI. Gibts keine Anleitung im Netz, wie du das selbst aufspielen kannst? Vorausgesetzt natürlich du hast nen Pi.

    Ich überlege gerade, ob der Postfix Hostname zwingend mit dem System Hostnamen übereinstimmen muss. Bisher hatte ich das immer so und eigentlich nie darüber groß nachgedacht, ob das nicht vielleicht auch anders möglich wäre. Gibt es evtl. Szenarien, wo das Sinn machen könnte?

    Ja gibt es. Meine Container und VMs tragen alle einen FQDN in der lokalen Domain (.loc) als Hostnamen. Auf meinen Mail Container äußert sich Postfix nach außen (HELO) mit dem entsprechenden gültigen FQDN (.de). Konfigvariable ist myhostname

    Habe ich eine Anleitung übersehen? Ich habe hier mal geschaut Github habe aber nichts spezifisches gefunden. DIe Anleitung sieht weitgehenst gleich aus wie die von mir verwendete von hier. Ich verwende nginx.

    Schau mal hier, das sieht recht aktuell aus: https://jonaharagon.com/instal…ns-admin-on-ubuntu-18-04/

    Was hast du oder möchtest du denn daran ändern? WIe verbindest du dich Zuhause denn mit dem VLAN?

    Ich evaluiere derzeit einen Windows Server für meine zentralen Dienste. Dieser soll, wenn alles gut läuft, den Hidden Master, den Resolver und den LDAP Server als DC ablösen. Vielleicht steige ich dafür aber auch wieder auf Linux mit Samba als DC um, mal schauen. Ich teste immer gerne rum.

    Mit dem VLAN verbinde ich mich über einen OpenVPN Jumphost.

    Ich habe mal im Monitor geschaut. Weisst du grad auswendig welches Logfile das wäre? Dann sehe ich da ggf die vorhandenen Fehler

    Das syslog lässt sich ganz einfach mit pdns greppen.

    Das macht es bei mir nicht. Ich habe aber DNSSEC im moment noch per pdnsutil secure-zone aktiviert. Und die Abfrage pdnsutil show-zone zeigt nur auf dem Master die Ausgabe. Ggf ist ja ein Fehler im Log wie du oben gesagt hast.

    Sind denn die Zonen auf den Slaves wirklich slave zonen?

    Ok das klappt bei mir nicht. Bei mir kommt irgendwas von API-RECTIFY. Weiss aber nicht weshalb. Muss mich da mal mit Beschäftigen. Auf die schnelle habe ich nichts gefunden. Ggf hast ja du eine Idee?

    Hast du dich an die Anleitung von GitHub gehalten (nGinx, Gunicorn)?


    Wie gesagt, Setup ist seit kurzem nicht mehr aktuell, aber es war wie folgt:

    1. Ja, 1 Hidden Primary Master und 3 Slaves. Der Hidden Primary Master (ns0) ist der Master Server, auf dem die Zonen verwaltet werden. Dieser ist nur aus dem VLAN erreichbar und daher nicht öffentlich zugänglich. Dieser sendet Zonenupdates per AXFR an meine 3 Slaves (ns1, ns2 und ns3), die public erreichbar und bei meiner Domain als Nameserver eingetragen sind.

    2. Jeweils PowerDNS drauf, ja. Der ns0 ist als Master konfiguriert, die anderen als Slave

    3. Alle Server bei netcup 8)

    4. Eine MySQL DB für den Master, die Slaves hatten ihre lokale SQLite DB

    5. PowerDNS Admin nur auf dem Master, auf den Slaves kann man in den logs prüfen ob die AXFRs reinkommen. Ansonsten merkt man auch schnell, wenn was kaputt ist. In der ganzen Laufzeit gab es aber keine Sync issues.

    6. Wie gesagt, die Domains werden auf dem Master verwaltet. Die Slaves sind schnell konfiguriert. Die bekommen in die supermasters Tabelle in ihrer DB einen Eintrag, wer als Supermaster zugelassen ist und fertig. Der Rest läuft über AXFR, die Records für DNSSEC werden also ebenfalls darüber auf die Slaves transferiert und damit public gemacht.

    Hi, so ein Setup hatte ich auch.

    1. Als GUI hat sich bei mir PowerDNS-Admin etabliert. Ist leicht zu installieren, lässt sich an LDAP anbinden (kein muss) und du kannst DNSSEC mit einem Klick pro Domain aktivieren.

    2. Mit AXFR hatte ich noch nie Probleme. In meinem Setup gibt es immer einen Hidden Primary Master und 3 Slaves, die per AXFR versorgt werden.


    DNSSEC gilt immer für die Hauptdomain und alle Records darunter, also auch die Subdomains.

    Zu 2.: Du musst für den SMTP Dane natürlich auch einen Record a la _25._tcp.mail.example.de angelegt haben.

    Wieso lauscht dein SMTP nicht auf 25? Dann ist ein Mail Empfang nicht möglich.

    Zu 3.: Du kannst für jede Subdomain einen Record anlegen ja, bei einem Wildcard Cert bietet sich aber auch ein Wildcard Record an.