Bonjour,
Je viens de migrer mon vieux Kimsufi vers un nouveau KS-5.
Ce serveur joue le rôle de serveur DNS (grâce à named).
J'utilise OVH comme DNS secondaire pour tous mes domaines.
Sur mon ancien serveur, le DNS secondaire fourni par OVH était : ns.kimsufi.com / 213.186.33.199 == aucun soucis.
Sur mon nouveau serveur, le DNS secondaire fourni par OVH est : sdns2.ovh.net / 213.251.188.141 == soucis.
Je remarque que depuis la configuration initiale (qui est passée correctement), le serveur secondaire ne se met plus à jour malgré des 'notify' envoyé par le serveur DNS maître.
Un 'notify 'doit, selon la RFC, amener le slave à demander un transfert de zone via une requête IXFR ou AXFR - ce qu'il ne fait pas (preuves TCPDUMP à l'appui).
Cela pose quelques soucis dont le plus important est lié à Letsencrypt : j'utilise Certbot qui publie dynamiquement des records TXT du type: _acme-challenge.domain.tld.
Ces records sont vérifiés par Letsencrypt et, avec 50% de chances, la requête va être dirigée vers le slave fautif qui n'a pas mis à jour correctement le contenu de la zone.
Est-ce que quelqu'un a déjà fait face à ce soucis ? Je suspecte sdns2.ovh.net de ne pas se comporter comme attendu mais il est possible que j'ai oublié quelque chose…
Merci d'avance,
a.
Je me réponds à moi-même suite aux investigations ultérieures que j'ai menées.
Donc:
sdns2 est réputé pour être lent voire très lent (48h dans mon cas) à mettre à jour la zone malgré les NOTIFY du master (et malgré le fait que le serial SOA ait bien été incrémenté et soit dans les clous i.e. champs 32bits.)
Dommage que le service ne soit pas au rendez-vous pour ce DNS secondaire "offert" comme une commodité lorsque l'on souscrit à un serveur dédié.
Je suis en train de me tourner vers cloudns.net. Les tests sont concluants, l'AXFR suivant le NOTIFY a lieu dans les secondes qui suivent.
On pourrait penser que sdns2.ovh.net n'est pas configuré correctement pour prendre en compte les NOTIFY des masters qu'il est sensé servir en tant que secondaire. Problème d'ACL mal adaptée par un robot ?
[edit] Sans vouloir me taper toute la/les RFC, ChatGPT m'informe qu'il n'y a aucune notion de delai maximum entre un Notify et un AXFR résultant. Donc je ne peux pas incriminer sdns2.ovh.net. Je vais revoir ma façon de procéder. Case closed.
Bonjour @apn,
Je vous remercie d'avoir répondu à votre propre thread avec la solution,
Passez une excellente journée,
^FabL