Changer le numéro de série DNS pour être dans le passé

12

J'ai quelques serveurs DNS pour notre organisation qui ont été installés par mon prédécesseur. Il n'a pas utilisé le format standard pour les numéros de série, il a plutôt utilisé un format impair commençant par 2033. Ce que je veux faire, c'est remplacer ses serveurs DNS par les miens, mais je m'inquiète de changer le numéro de série en un format "approprié" en utilisant YYYYMMDDXX car ce sera un nombre inférieur.

Ce sont nos serveurs DNS publics, et je veux juste m'assurer qu'il n'y aura aucun problème à le faire. Quelqu'un a-t-il une expérience de ce type de transition?

domain-name-system bind Jordan Eunson
la source
6
Attention: il n'y a pas de format standard pour les numéros de série DNS.
John Gardeniers
1
@John Ce format série est recommandé par RFC1912 section 2.2. Voir: faqs.org/rfcs/rfc1912.html
Justin Scott
@Justin, ce n'est rien de plus qu'une suggestion. Ce n'est pas une norme. En plus de cela, un RFC n'est pas une norme de toute façon. C'est un précurseur d'une recommandation de norme. Rien de plus.
John Gardeniers
@John Je n'ai pas dit que c'était un standard, j'ai dit que c'était "recommandé". Cependant, presque toutes les zones DNS que j'ai jamais vues utilisent ce format, vous pouvez donc dire que c'est une norme de facto.
Justin Scott

Réponses:

6

Si son nombre commençant par 2033 est supérieur à la norme YYYYMMDDXX , vous pouvez réinitialiser la valeur.

Voici un article qui décrit la procédure. Fondamentalement, vous devez exploiter le fait que le numéro de série est un entier de 32 bits et se terminera si vous utilisez des valeurs plus grandes.

Zoredache
la source
C'est pourquoi la liaison à une solution dans l'échange de pile ne fournit pas vraiment d'informations. Le lien est mort!
labradort
@labradort le fonctionne toujours pour moi. Il a été changé en un lien archive.org il y a quelque temps qui est toujours valide. Voici quelques liens supplémentaires unix.stackexchange.com/questions/36869/… microhowto.info/howto/… Je ne voulais pas vraiment copier-coller l'intégralité des pages dans une réponse. De plus, je pense toujours que la mention qu'il s'agit d'un entier 32 bits est probablement suffisante pour que la plupart des gens accèdent aux pages actuelles via Google.
Zoredache
"Délai d'expiration de la passerelle 504 Le serveur n'a pas répondu à temps." - à partir du lien d'origine. Voici quelques informations utiles ... Bind 9.9 ne fera pas de transfert de zone via "also-notify" sauf si le numéro de série est incrémenté. Le numéro de série ne peut jamais avancer plus de 2147483647 à la fois. L'équivalent de 99999999 sur l'odomètre est 2 ^ 32 - 1, ou 4294967295. Attendez que le NS secondaire obtienne la nouvelle SOA avant de l'incrémenter afin que vous puissiez les faire avancer jusqu'au numéro de série de valeur inférieure.
labradort
6

Je n'ai pas eu à le faire moi-même, mais j'ai mis en signet une solution ( HOWTO Fix SOA RR numéros de série ) de l'auteur du livre Pro DNS et BIND au cas où je ferais cette erreur moi-même.

Peter Murray
la source
4

Vous pouvez définir les numéros de série à votre guise. Par défaut, les serveurs secondaires ne tirent pas de transfert de zone à moins que le nombre ne soit plus élevé, mais vous pouvez leur commander de forcer un transfert et de recharger tant que vous y avez un accès direct. Il vous suffit de définir le numéro de série comme vous le souhaitez, puis d'émettre les commandes de retransfert vers les serveurs secondaires afin qu'ils récupèrent les nouvelles informations malgré le numéro de série inférieur.

Justin Scott
la source
3
Et si cela ne fonctionne pas (au moins dans ce cas de BIND), supprimez simplement le ou les fichiers de zone du secondaire et faites-le recharger, ce qui entraînera la récupération des nouvelles copies.
John Gardeniers
0

Comme indiqué, le champ SERIAL dans un enregistrement de ressource SOA n'a pas ce qu'on appelle un "format standard". Il n'est même pas utilisé par tous les logiciels de serveur DNS. (De nos jours, une bonne partie du monde n'utilise même pas la réplication de base de données de transfert de zone.) Avec BIND d'ISC, c'est juste un nombre sans signification inhérente à sa valeur spécifique, utilisé pour vérifier pendant la réplication de la base de données de transfert de zone si les réplicas sont hors de date, et on peut choisir n'importe quel schéma que l'on aime pour le fixer, à la condition, comme indiqué également, que "plus récent" doit signifier "un plus grand nombre, modulo 32 bits".

Vous avez déjà rencontré l'écueil ici. Quel que soit le schéma que l'on choisit, quelqu'un est obligé de venir et (en l'absence d'informations) de ne pas le comprendre, ou de vouloir le changer, tout comme vous n'avez pas compris et que vous souhaitez changer le schéma de la personne qui vous a précédé. C'est le piège de ne pas documenter ses choix d'administration système . Alors, documentez votre choix.

JdeBP
la source
Bien sûr, il est également possible que le prédécesseur n'ait tout simplement pas réfléchi au choix avant de le faire. Je trouve que c'est le cas plus souvent que «il y a une raison et elle n'a tout simplement pas été documentée».
Chris S