Posts by oliver.g

    Eine Website ist sofort zu sehen "Hier entsteht eine neue Website" das ist aber die "lokale" Site aus Netcup....

    Die eigentliche site ist eine Musikband...:)

    Die erscheint auch. Vielleicht ist bei dir noch der alte Record im Cache

    Ich überlege gerade, ob der Postfix Hostname zwingend mit dem System Hostnamen übereinstimmen muss. Bisher hatte ich das immer so und eigentlich nie darüber groß nachgedacht, ob das nicht vielleicht auch anders möglich wäre. Gibt es evtl. Szenarien, wo das Sinn machen könnte?

    Ja gibt es. Meine Container und VMs tragen alle einen FQDN in der lokalen Domain (.loc) als Hostnamen. Auf meinen Mail Container äußert sich Postfix nach außen (HELO) mit dem entsprechenden gültigen FQDN (.de). Konfigvariable ist myhostname

    Habe ich eine Anleitung übersehen? Ich habe hier mal geschaut Github habe aber nichts spezifisches gefunden. DIe Anleitung sieht weitgehenst gleich aus wie die von mir verwendete von hier. Ich verwende nginx.

    Schau mal hier, das sieht recht aktuell aus: https://jonaharagon.com/instal…ns-admin-on-ubuntu-18-04/

    Was hast du oder möchtest du denn daran ändern? WIe verbindest du dich Zuhause denn mit dem VLAN?

    Ich evaluiere derzeit einen Windows Server für meine zentralen Dienste. Dieser soll, wenn alles gut läuft, den Hidden Master, den Resolver und den LDAP Server als DC ablösen. Vielleicht steige ich dafür aber auch wieder auf Linux mit Samba als DC um, mal schauen. Ich teste immer gerne rum.

    Mit dem VLAN verbinde ich mich über einen OpenVPN Jumphost.

    Ich habe mal im Monitor geschaut. Weisst du grad auswendig welches Logfile das wäre? Dann sehe ich da ggf die vorhandenen Fehler

    Das syslog lässt sich ganz einfach mit pdns greppen.

    Das macht es bei mir nicht. Ich habe aber DNSSEC im moment noch per pdnsutil secure-zone aktiviert. Und die Abfrage pdnsutil show-zone zeigt nur auf dem Master die Ausgabe. Ggf ist ja ein Fehler im Log wie du oben gesagt hast.

    Sind denn die Zonen auf den Slaves wirklich slave zonen?

    Ok das klappt bei mir nicht. Bei mir kommt irgendwas von API-RECTIFY. Weiss aber nicht weshalb. Muss mich da mal mit Beschäftigen. Auf die schnelle habe ich nichts gefunden. Ggf hast ja du eine Idee?

    Hast du dich an die Anleitung von GitHub gehalten (nGinx, Gunicorn)?


    Wie gesagt, Setup ist seit kurzem nicht mehr aktuell, aber es war wie folgt:

    1. Ja, 1 Hidden Primary Master und 3 Slaves. Der Hidden Primary Master (ns0) ist der Master Server, auf dem die Zonen verwaltet werden. Dieser ist nur aus dem VLAN erreichbar und daher nicht öffentlich zugänglich. Dieser sendet Zonenupdates per AXFR an meine 3 Slaves (ns1, ns2 und ns3), die public erreichbar und bei meiner Domain als Nameserver eingetragen sind.

    2. Jeweils PowerDNS drauf, ja. Der ns0 ist als Master konfiguriert, die anderen als Slave

    3. Alle Server bei netcup 8)

    4. Eine MySQL DB für den Master, die Slaves hatten ihre lokale SQLite DB

    5. PowerDNS Admin nur auf dem Master, auf den Slaves kann man in den logs prüfen ob die AXFRs reinkommen. Ansonsten merkt man auch schnell, wenn was kaputt ist. In der ganzen Laufzeit gab es aber keine Sync issues.

    6. Wie gesagt, die Domains werden auf dem Master verwaltet. Die Slaves sind schnell konfiguriert. Die bekommen in die supermasters Tabelle in ihrer DB einen Eintrag, wer als Supermaster zugelassen ist und fertig. Der Rest läuft über AXFR, die Records für DNSSEC werden also ebenfalls darüber auf die Slaves transferiert und damit public gemacht.

    Hi, so ein Setup hatte ich auch.

    1. Als GUI hat sich bei mir PowerDNS-Admin etabliert. Ist leicht zu installieren, lässt sich an LDAP anbinden (kein muss) und du kannst DNSSEC mit einem Klick pro Domain aktivieren.

    2. Mit AXFR hatte ich noch nie Probleme. In meinem Setup gibt es immer einen Hidden Primary Master und 3 Slaves, die per AXFR versorgt werden.


    DNSSEC gilt immer für die Hauptdomain und alle Records darunter, also auch die Subdomains.

    Zu 2.: Du musst für den SMTP Dane natürlich auch einen Record a la _25._tcp.mail.example.de angelegt haben.

    Wieso lauscht dein SMTP nicht auf 25? Dann ist ein Mail Empfang nicht möglich.

    Zu 3.: Du kannst für jede Subdomain einen Record anlegen ja, bei einem Wildcard Cert bietet sich aber auch ein Wildcard Record an.

    Ja das mit den Limits ist wirklich so eine Sache. Beziehen die sich pro IP oder pro E-Mail die man angibt bei der ersten generierung auf dem Server?

    Ich meine die Limits sind pro CN des Zertifikats.

    Ich lasse das alles einmal pro Monat meinen Hidden Master NS per DNS Challenge machen und pushe sie auf den Storagespace, von dem die Server, die die Certs benötigen, diese dann runterziehen und die entsprechenden Dienste neu starten.

    Mir ist nur aufgefallen (Debian Stretch minimal Image), dass mein Außeninterface als ens3 bekannt aber als eth0 konfiguriert wurde. Mein VLAN Interface war als eth1 bekannt und nicht konfiguriert (wie auch erwartet). Das führte allerdings dazu, dass ens3 unkonfiguriert blieb.

    Sicherste Installation ist also weiterhin von ISO. Da weiß man genau, was wie eingerichtet ist.