# Problem - Neue Server-IP - SchlundTech



## schmidtedv (18. Mai 2009)

Ich mußte den Server (ISPConfig2) wechseln. Nun hat der neue Server eine andere IP und ist komplett neu aufgesetzt nach Etch-HowTo (statt Dedicated jetzt VPS von HostEurope). Die Domains wurden noch auf dem Alten verwaltet unter der alten IP mittels dem HowTo "Eigener Nameserver mit SchlundTech".

Der neue Server ist was die BIND-Konfiguration angeht eigentlich gleich, bis auf die zusätzliche Zeile *allow-recursion { none; };*

*named.conf:*


```
options {
pid-file "/var/run/bind/run/named.pid";
directory "/etc/bind";
auth-nxdomain no;
allow-recursion { none; };
// query-source address * port 53;
dnssec-enable yes;
};
 
zone "." {
type hint;
file "db.root";
};
 
zone "0.0.127.in-addr.arpa" {
type master;
file "db.local";
};
 
zone "xxx.xx.xx.in-addr.arpa" {
type master;
file "pri.xxx.xx.xx.in-addr.arpa";
};
　
zone "webseite.de" {
type master;
file "pri.webseite.de";
};
```
Wenn ich nun bei Schlund hingehe und einfach für den Nameserver-A-Record der Domain (primärer NS) *ns.webseite.de* die neue Server-IP eingebe kriege ich:


```
Fehler: Zone konnte nicht auf Nameserver aktualisiert werden. (E0202) 
Notiz: Kommunikation zu SMAX-Server konnte nicht aufgebaut werden. (SECONDARY PDNS-SMAX:62.116.163.100)
```
Habe ich da etwas völlig falsch gemacht oder kann ich irgendwie prüfen ob's an meiner Config oder dem *ns10* von Schlund liegt?


----------



## Till (18. Mai 2009)

Frag doch mal bei Schlund nach, was der Fehler exakt bedeutet.


----------



## schmidtedv (18. Mai 2009)

Also nach 15min a' 0,99 € am Telefon stellte sich nun heraus, das es möglich ist, daß das Formular von SchlundTech die Änderungen nicht übernimmt. Meine IP-Änderung mußte nun jedenfalls manuell vom Techniker eingetragen werden und siehe da, der Zonentransfer hatte Erfolg. Tipp vom Techniker: Bei Änderung die Domain erst einmal auf "Keine Einrichtung" umstellen. Zitat: Das löscht den Cache und danach kann dann wieder umgestellt werden und die Aktualisierung sollte fehlerfrei funktionieren.

Naja...

Dennoch mal eine Frage zu meiner nun durch hin- und herprobieren stark abgewandelten *named.conf:*


```
options {
        pid-file "/var/run/bind/run/named.pid";
        directory "/etc/bind";
        notify yes;
        allow-transfer { 62.116.163.100; 62.116.162.121; };
        forwarders { 80.237.128.144; 80.237.128.145; };
        forward first;
        listen-on port 53 { [B]127.0.0.1[/B]; [COLOR=black][B]Server-IP[/B][/COLOR]; };
        listen-on-v6 { none; };
        allow-query { [B]127.0.0.1[/B]; [B]Server-IP[/B];};
        allow-recursion { [B]127.0.0.1[/B]; [B]Server-IP[/B];};
        auth-nxdomain no;
};
zone "." {
        type hint;
        file "db.root";
};
zone "0.0.127.in-addr.arpa" {
        type master;
        file "db.local";
};
zone "xxx.xx.xx.in-addr.arpa" {
        type master;
        file "pri.xxx.xx.xx.in-addr.arpa";
        allow-query { any; };
};
zone "webseite.de" {
        type master;
        file "pri.webseite.de";
        allow-query { any; };
};
```
Ich habe diese Anpassungen für meinen Server so auch ins ISPConfig-Template übernommen, da sich diese Grundeinstellungen ja nicht verändern.

Grundsätzlich die Frage auf den ersten Blick: Kann das so stehen bleiben oder blockiere ich etwas/ist etwas unnötig?

Zur Erläuterung:

1. HostEurope gibt an, für deren Backup und schnellere Auflösung solle man die oben eingetragenen *forwarder* nutzen. Ist das auch korrekt, wenn ich, wie erwähnt, meinen Server als primary NS mit SchlundTech als secondary NS gekoppelt habe oder egal/nutzlos?

2. Um ein wenig zum sicheren Web beizutragen meine *transfer*-Einschränkung auf die IP's von SchlundTech...hier nehme ich an, das kann so bleiben?

3. Wo ich nicht sicher bin, ob das was bringt oder eher Probleme machen kann sind folgende Optionen:

*listen-on port 53 { 127.0.0.1; Server-IP; };*
*allow-query { 127.0.0.1; Server-IP;};
allow-recursion { 127.0.0.1; Server-IP;};*

Und als zugehöriger Eintrag zur "Arpa" und Domain:

*allow-query { any; };
*
Ich nehme z.B. an, das der alte Eintrag _dnssec-enable yes;_ dazu diente, gerade den port 53 bei listen-on-port zu umgehen. Wenn ich aber nun eh den Server auf localhost und die IP beschränke, brauche ich den dnssec-Eintrag doch nicht, oder bringt der mir noch zusätzliche Sicherheit?


----------

