Master Backup DNS Setup

UCS - Univention Corporate Server
,
#1

Hallo zusammen,

das ist vielleicht hier mehr eine Verständsfrage als ein Problem aber dennoch.

Ich habe hier 2 UCS Server am laufen. Einen DC Master und einen DC Backup. Der Master macht eigentlich nur Domänenkrams, der Backup macht Mail.
Fürs DHCP ist bei allen Benutzerclients der Master als primärer DNS Server hinterlegt. Jetzt liegt dieser leider auf einem Virtualisierungsserver der nicht mehr ganz so stabil läuft und fällt deswegen manchmal aus. Grundsätzlich hier nicht so das schlimme Problem, in der Zeit können halt einige interne Dienste nicht genutzt werden.
So wollte ich dann jetzt um diesen Fall abzufangen den Backup als zweiten DNS Server hinterlegen. Soweit so gut.
Jetzt ist der Master heute früh nicht erreichbar gewesen, DNS ging dann aber absolut gar nicht mehr.

Mein Verständnis von UCS war bisher eigentlich immer dass der Backup eine lesende LDAP Kopie vorhält die man im falle eines Ausfalls dann eben weiterhin nutzen kann, z.B. für DNS.
Der DC Backup soll in diesem falle halt auch nicht als konrekter Fallback Server existieren, jedoch aber DNS anfragen beantworten können.
Habe ich das ganze Thema einfach falsch verstaden?

Gruß,
Charly

#2

Der laufende DNS-Dienst ist grundsätzlich erst einmal unabhängig davon, ob der UCS -Master aktiv ist oder nicht.

Ja, der DNS-Server sollte Anfragen beantworten, wenn der “erste” DNS-Server nicht erreichbar ist. Dafür muss dieser natürlich sauber konfiguriert sein.

Folgende Schritte sind dafür auszuführen:

  1. Per DHCP BEIDE DNS-Server verteilen!
    Der Client befragt üblicherweise beide gleichzeitig und akzeptiert die erste Anwtwort.
  2. Beim Backup sicherstellen, dass dieser nicht nur auf den DNS-Master zugreift, sondern als Forwarder den DNS-Server des Providers nutzt!

DAnn sollte das eigentlich alles problemlos funktionieren.

Sind alle beiden Schritte umgesetzt?

#3

Beide Server sind im DHCP Objekt hinterlegt, das waren sie auch zuvor - weswegen es ja auch zu dem totalen Ausfall vom DNS kam.
Der Backup hat als Domänen DNS den Master hinterlegt (nur diesen) und als externen DNS sind einmal die 8.8.8.8 und die 8.8.4.4 hinterlegt.

#4

Die UCR-Variable nameserver1 ist also auf die IP des DC Masters gesetzt? Dann hat der DC Backup also keinen funktionierenden DNS-Server hinterlegt, falls der Master abraucht, was auch den Betrieb des DNS-Servers auf dem DC Backup beinträchtigen dürfte.

#5

Die UCR-Variable nameserver1 enthält doch aber den Wert des Domänen-DNS Servers. Laut Doku sollte da doch der Master eingetragen sein(?). Soll ich da nun noch den DC Backup selbst eintragen damit dieser sich selbst fragt?
Ich dachte eigentlich das dieser das eh tut.

#6

Moin! :slight_smile:

Wenn das so in der Doku steht, sollten wir das verbessern. Hast du gerade nen Link parat?
Alle UCS-Systeme, die selbst ein OpenLDAP und einen Bind haben (in UCS Rollen wären das Master, Backup und Slave), sollten als nameserver1 ihre eigene IP eingetragen haben, damit sie sich zuallererst mal selbst fragen. Direkt nach dem Join ist das auch so :slight_smile:
In nameserver2 und nameserver3 kann man andere UCS-Systeme als Fallback eintragen (auf dem Master trägt man als nameserver2 den Backup ein, auf dem Backup trägt man als nameserver2 den Master ein und so weiter …)

Schönen Gruß,
Michael

#7

Moin Michael!
schön dich mal zu lesen :stuck_out_tongue:

Ich referenzierte eigentlich auf die Doku zum Join, und das auch nur aus dem Gedächtnis heraus, da meine ich mich erinnern zu können das beim Join der Master als erster DNS stehen sollte. Vielleicht irre ich mich aber auch total.
Das mit den Nameservern hilft mir zumindest gewaltig weiter. Auf dem Master war das auch so Eingetragen wie du’s beschrieben hast.
Auf dem Backup habe ich nun den Backup auf nameserver1 und den Master auf nameserver2.
Mal schauen was beim nächsten Ausfall passiert.

Gruß,
Charly

#8

Gleichfalls! :metal:

Das stimmt schon. Beim Join muss man den Master als ersten DNS-Server angeben, damit der Join funktioniert (zu dem Zeitpunkt hat das ungejointe System ja noch keine eigenen DNS-Informationen). Während des Joins sollte ein Backup oder Slave das aber wiederum umstellen (afaik in 90univention-bind-post.inst).

Gruß, Michael

#9

Das’ ja komisch - dann muss ich das wohl mal selbst geändert haben.
Naja, immerhin haben wirs damit ja mit ziemlich großer Sicherheit auch erledigt!

Danke dir Michael und viele Grüße nach Bremen und an den prof. service :slight_smile:

1 Like
#10

Hallo, klinke mich hier mal ein :slight_smile:

Kann das Szenario von cfrahm aber bestätigen, der Master bleibt der erste DNS-Server, zumindest
bei Installation vom Grundsystem 4.1 und 4.2, wurde vielleicht in 4.3 angepasst.

Aber hier steht jetzt auch etwas mehr zu diesem Thema: https://help.univention.com/t/fail-safe-domain-setup/6682

Ich zitiere:

DNS

Different name servers can be configured via UCR:

root@master:~# ucr search nameserver
nameserver1: 10.200.11.240 The first DNS server to be used.
nameserver2: 10.200.11.1 The second DNS server to be used.
nameserver3: empty The third DNS server to be used.
To improve reliability additional name servers in the domain can be used - for example:

root@master:~# ucr set nameserver1=ip of master nameserver2=ip of backup1 nameserver3=ip of backup2
UCS systems with the roles Master, Backup or Slave run their own instance of the BIND nameserver. It is recommended to use this local instance of the BIND namserver as nameserver1 on these systems.
UCS Memberserver do not have their own BIND nameserver, therefore nameserver1-3 need to point to UCS systems with the roles Master, Backup or Slave.

UCR settings can also be applied domain wide via UCR policies.

If a DHCP server is in use, it should be configured to send its clients the list of all available DNS servers.

Hilft mir auf jedem Fall auch weiter, weil ich genau auch vor diesem Problem stand, ich aber noch nicht dazu gekommen bin, mich hierum weiter zu kümmern :slightly_smiling_face:

Gruß, Oliver

Mastodon