<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Texte de bulles Car";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.TextedebullesCar
        {mso-style-name:"Texte de bulles Car";
        mso-style-priority:99;
        mso-style-link:"Texte de bulles";
        font-family:"Tahoma","sans-serif";
        mso-fareast-language:FR;}
.MsoChpDefault
        {mso-style-type:export-only;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=FR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Hello John,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thanks for taking the time to respond.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>For the journal files could i force the dump every time i do an update ?  nsupdate… rndc freeze/thaw boom everything in sync.   I know that normaly you wait 15 minutes and that bind does that for you but we do not have that much load and it would provide us with a safety net regarding a crash?  But then again I’m pretty confident a 15 minutes lost of update data is acceptable for production.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>For your main solution let me get this…<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>My master with VIP gets the dynamic updates and since I have an also-notify configured he pushes the updates to my warm-stand-by server running a named in what mode?  Master also?   But since no one has this server configured as a resolver he doesn’t get requested until I flip the VRRP VIP and restart bind?  That could very well work for us BUT what if I want to push an update to this “warm stand-by server”?  Since he’s also a master it should work no?  And resyncing back to first master……. This is not an easy one if we do not use shared storage.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>To be able to use a backend database I would have to upgrade my bind version no?  It’s why people use the new map format?  I’m pushing for it (want named-journalprint from 9.8 tools) and it would be nice but I’m afraid the support team will have an heart attack from too many changes at the same time (it’s a government organization so it’ssssss waaaayyyy sllllooowwww).  That is also why we are running on RHEL5.7 and not 6 even if every new server deployed is on RHEL6.3.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>They are planning Infoblox appliances (I’m actually using those on another project) but since it’s the production servers it might take at least a year before they start the project.  Dynamic updates prepares this so their world will not fall apart in one shot.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Puppet is used but only on non-system related config… so I would have a tough time for them to accept this but at least I’m advancing towards my goals </span><span lang=EN-US style='font-size:11.0pt;font-family:Wingdings;color:#1F497D'>J</span><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>  <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thanks.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Eric<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>De :</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> John Miller [mailto:johnmill@brandeis.edu] <br><b>Envoyé :</b> jeudi 11 septembre 2014 17:02<br><b>À :</b> BERTHIAUME Eric (UA 2148)<br><b>Objet :</b> Re: Promoting slave to master DNS server with dynamic updates<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal style='margin-bottom:12.0pt'>Hi Eric,<o:p></o:p></p></div><div><p class=MsoNormal>Depends on how long you can live without dynamic updates, and how many dynamic updates it's acceptable to lose in the event of a master failure.  Journal files are synced every 15 minutes, so in the event of a master failure (in a single-master situation), you've lost at most 15 minutes' worth of updates.  Stand up a new master (with config management software, doable in a few minutes), and you're good to go.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>But why have just a single master?  If you're worried about the primary going down, just have a warm standby ready to go.  To keep zone data in sync, you could use shared storage, a replicated database (BIND does support a database backend), or perhaps some sort of also-notify configuration.  To do the failover itself, you could use something like Pacemaker/Corosync, ucarp, or similar.  Just pass a VIP back/forth between the two -- your NS records would only use the VIP.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>The big issue I see with converting a slave to a master is that you'd have to change all of your zone definitions, change your named.conf, and do so under time pressure.  Then, when the master came back online, you'd have to change your zone definitions again.  With config management software, not that hard to do, but servers are cheap these days -- easier just to create a failover pair (or group) for your master, then stand up as many slaves (doing update forwarding) as you need.  If you purchase a DNS appliance (Infoblox, SolidServer, Bluecat, etc.), this is how they handle things.<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'>Separate issue: you might think about trying out RHEL 6 -- it's using a much newer version of BIND which has some updated tools (particularly rndc freeze/thaw, HTTP stats interface).<o:p></o:p></p></div><div><p class=MsoNormal>John<o:p></o:p></p></div></div><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>On Thu, Sep 11, 2014 at 4:48 AM, <<a href="mailto:Eric.BERTHIAUME.external@banque-france.fr" target="_blank">Eric.BERTHIAUME.external@banque-france.fr</a>> wrote:<o:p></o:p></p><div><div><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>Hello DNS gurus,</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>New on the list, I’ve been tasked by my manager to revamp our dns infrastructure.  I think this list is the best place to get answers.</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>Bind 9.3.6-16 running on RHEL5.7</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>Right now everything run’s on manually editing zone files but we have recently integrated vmware orchestrator (automatic deployment of linux vm’s) in the mix and that complicates things for automated processes.  Add Autosys to this and you have one big messy DNS infrastructure and of course no team wants to change their work flows (classic).</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>So I’ve written a basic script that would allow everyone (admin’s, vmware, autosys) to use dynamic updates with nsupdate for all tasks.  Everything works dandy but a simple question remains:</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>If the primary goes down for whatever reason, how can we quickly continue to update our DNS records on the secondary?  What are the options?</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p><span lang=EN-US>-</span><span lang=EN-US style='font-size:7.0pt'>          </span><span lang=EN-US>Classic slave/master change manually editing the named.conf?  What happens to everything in the jnl file on the master if it crashes before the dump and zone transfer?  Lost?</span><o:p></o:p></p><p><span lang=EN-US>-</span><span lang=EN-US style='font-size:7.0pt'>          </span><span lang=EN-US>Nsupdate special ninja trick?  Read something about updating the SOA through dynamic update but didn’t fully understand that process.</span><o:p></o:p></p><p><span lang=EN-US>-</span><span lang=EN-US style='font-size:7.0pt'>          </span><span lang=EN-US>Pray that we get the primary up?</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>The last option would normally be the logical choice but like I said our DNS infrastructure is a mess and those autosys process control DNS records for their “failover” feature (yeah I know) so we need a super-lightning-fast switch if we do not want production to stop.</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>Of course the best solution would be something automatic but I haven’t seen anything anywhere.  If it’s manual so be it maybe I would be able to write a script that could be used by support and minimize human errors.</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>I’m already at least pushing for a more recent bind version and of course if a special feature exist (maybe I’ve missed it) that provides an easier solution that would be a super argument to push for something with more features.</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>Thanks in advance.</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US>Eric</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> </span><o:p></o:p></p></div><p>**************************************************************<br>Ce courrier électronique, y compris les pièces jointes, est à l'attention exclusive des destinataires désignés et revêt un caractère confidentiel.<br>Si vous recevez ce courrier électronique par erreur, merci d'en informer sans délai l'expéditeur et de supprimer son contenu et ses pièces jointes.<o:p></o:p></p><p>Le contenu de ce courrier électronique ne pourrait engager la responsabilité de la Banque de France que s'il a été émis par une personne dûment habilitée agissant dans le strict cadre des fonctions auxquelles elle est employée et à des fins non étrangères à ses attributions.<o:p></o:p></p><p>L'expéditeur de ce courrier électronique ne peut pas garantir la sécurité de l'acheminement par voie électronique et ne saurait dès lors encourir une quelconque responsabilité en cas d'altération de son contenu.<o:p></o:p></p><p>**************************************************************<o:p></o:p></p><p>This e-mail, attachments included, is intended solely for the addressees and should be considered as confidential.<br>Should you receive this message by error, please notify the sender immediately and destroy this e-mail and its attachments.<o:p></o:p></p><p>Banque de France cannot be considered as liable for the content of this message unless the sender has been duly authorized and has acted strictly in the course of his/her tasks as an employee.<o:p></o:p></p><p>The sender of this e-mail cannot ensure the security of its electronic transmission and consequently will not be liable should its content be altered.<br>**************************************************************<o:p></o:p></p></div><p class=MsoNormal><br>_______________________________________________<br>Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br><br>bind-users mailing list<br><a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br><a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><o:p></o:p></p></div><p class=MsoNormal><br><br clear=all><br>-- <br>John Miller<br>Systems Engineer<br>Brandeis University<br><a href="mailto:johnmill@brandeis.edu">johnmill@brandeis.edu</a><br>(781) 736-4619 <o:p></o:p></p></div></div><P>**************************************************************<br>Ce courrier électronique, y compris les pièces jointes, est à l'attention exclusive des destinataires désignés et revêt un caractère confidentiel.<br>Si vous recevez ce courrier électronique par erreur, merci d'en informer sans délai l'expéditeur et de supprimer son contenu et ses pièces jointes.</P>
<P>Le contenu de ce courrier électronique ne pourrait engager la responsabilité de la Banque de France que s'il a été émis par une personne dûment habilitée agissant dans le strict cadre des fonctions auxquelles elle est employée et à des fins non étrangères à ses attributions.</P>
<P>L'expéditeur de ce courrier électronique ne peut pas garantir la sécurité de l'acheminement par voie électronique et ne saurait dès lors encourir une quelconque responsabilité en cas d'altération de son contenu.</P>
<P>**************************************************************</P>
<P>This e-mail, attachments included, is intended solely for the addressees and should be considered as confidential.<br>Should you receive this message by error, please notify the sender immediately and destroy this e-mail and its attachments.</P>
<P>Banque de France cannot be considered as liable for the content of this message unless the sender has been duly authorized and has acted strictly in the course of his/her tasks as an employee.</P>
<P>The sender of this e-mail cannot ensure the security of its electronic transmission and consequently will not be liable should its content be altered.<br>**************************************************************</P></body></html>