Wie kann man die Resource Records in den Primary / Secondary DNS Servern aktualisieren, damit diese auch schnell und überall greifen?
Damit die Änderungen in den Zonenfiles schnell und überall greifen, würde ich es so angehen:
SOA Refresh Wert
SOA hidden-dns2.waz-mediengruppe.de. hostmaster.waz-mediengruppe.de. 2012110901 28800 7200 604800 86400
Den ersten Wert im SOA Header prinzipiell auf 1 Stunde setzen, das habe ich mit Volker geklärt und er ist dran. Damit wird sichergestellt, dass die Secondarys spätestens jede Stunde nach der Zonen-Serialnumber schauen und diese Zone dann ggfs. per AXFR neu ziehen.
In diesem Falle muss 28000 durch 3600 ausgetauscht werden.
Update der Secondaries per Notify
Wir möchten aber erreichen, dass das Update eines Records nicht nur per Refresh Timer sondern SOFORT zu den Secondarys übertragen wird. Dazu muss sichergestellt werden, dass ausgehend vom Hidden Primary UDP als für das Notify Paket zu den drei Secondarys und dem Gate des Providers erlaubt ist.
(Hidden) Primary -> Secondary Server (UDP)
Sinnvoller Standard TTL Wert in der Zone
SOA hidden-dns2.waz-mediengruppe.de. hostmaster.waz-mediengruppe.de. 2012111601 28800 7200 604800 86400
Der aktuelle Wert von 86400 sorgt dafür, dass trotz eines sofortigen Updates auf den Secondary Servern dieser Wert bis zu 86400 Sekunden im Cache der nicht authoritativen DNS Servern bleiben kann, das sind 24 Stunden !!
D.h selbst wenn der neue niedrige TTL eines Records sofort zu den Authoritativen Secondarys übertragen wird, werden die meisten Internet DNS Server bis zu 24 Stunden diesen Record aus dem Cache bedienen, weil sie noch den alten TTL kennen. In unserer Vorgabe stehen 180 Sekunden. Das ist richtig frech, sorgt aber für sehr viel Flexibilität. Auf der anderen Seite werden erfahrungsgemäß solche niedrigen Wert von bestimmten Providern einfach ignoriert und durch höhere TTL Werte „ersetzt“. Ich würde dort auch 600 eintragen (10 Minuten), das liegt an euch. Damit stellt man theoretisch sicher, dass in 10 Minuten nach dem Update der Secondarys auch die TTL Werte bei den nicht authoritativen DNS Servern abgelaufen sind und diese die Zone bei den Socondarys aktualisieren.