我在 OPNsense 上运行 BIND 作为内部 DNS 区域的从属服务器。
我注意到,如果该区域的主服务器发生故障,则从服务器将在第一次更新尝试失败后停止应答该区域的请求(以 SRVFAIL 响应)。
这样做的原因可能是为了避免在无法访问主服务器时泄露从服务器的过期数据。(毕竟,主服务器可能仍然正常,只是从服务器的网络连接出现故障。)但是,如果主服务器宕机并且无法及时启动,这对于弹性来说是个坏消息。
是否有一个设置可以告诉 BIND 始终为从属区域提供最新已知信息,而不管主服务器无法访问的时间有多久,即使存在返回陈旧数据的风险?
如果是这样,是否可以通过 OPNsense Web GUI 以某种方式访问(即没有不受支持的底层操作)?
答案1
此1没有全局 BIND 选项。相反,SOA 记录的第 6 个字段告诉辅助服务器在更新失败后,它们被允许为陈旧的区域副本提供多长时间的服务。
@ SOA <mserver> <rperson> <serial> <refresh> <retry> <expire> <minttl>
听起来您的区域的到期时间设置为与刷新间隔相同的值 - 您需要将其增加到左右1w(例如SOA ns1 hostmaster 1897 4h 1h 1w 30m)。
1您可能会在较新版本的 BIND 中发现的全局选项适用于从缓存提供数据的递归解析器,而不是权威服务器。