<div dir="ltr">Thank You very much Anand for the very detailed answer.<br><div><br><div class="gmail_quote">
> 4. Although, djbdns is working fine since last ten years (I must say its a<br>
> brilliantly crafted  DNS server), it lacks some security features which are<br>
> now a must (eg. DNSSEC).<br>
<br>
I agree. I have used djbdns in the past, and its authoritative<br>
component, tinydns, is very simple and light, and does its job very well.140</div><div class="gmail_quote"><br></div><div class="gmail_quote">Djbdns, I am finding it hard to maintain.  Therefore, I  want to shift to some other contemporary DNS server.<br></div><div class="gmail_quote">
<br>
> 5. I want to migrate this name server to NSD, with al the security feature<br>
> and high availability so that it meets the current requirements.<br>
<br>
Okay, so let me clarify some things about NSD. It is a very solid and<br>
reliable DNS server. In fact, it powers some of the DNS root name<br>
servers, as well as several ccTLD name servers. The reason you don't<br>
hear so much about it is that mostly it just runs reliably. As with any<br>
software, it has bugs, but they are rare, and are fixed quickly.<br>
<br>
The documentation is perhaps sparser than that of BIND or Knot, but it's<br>
mostly complete. The NSD user community here is quite knowledgeable and<br>
helpful, so if you ask good and structured questions, you'll get a lot<br>
of help.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Because NSD is so solid that even some of the TLDs are running over it, got me to try it.Moreover, we have a very limited use. <br></div><div class="gmail_quote">There is no problem from the NSD's side,  it is very powerful and solid in performance, and the community is knowledgeable for sure. I was only doubtful as to whether, with a little help, I would be able to migrate and use it in my case. But now with more information under my belt, thanks to the mailing list, I am ready to give it a try.<br></div><div class="gmail_quote"><br></div><div class="gmail_quote">
But I'd like to point one thing out. You mentioned DNSSEC above. NSD can<br>
certainly serve DNSSEC signed zones. But it does NOT has any signing<br>
ability in it. And it never will. This is what makes NSD so lean,<br>
compared to other servers. If you want to sign your zones, you have to<br>
do that with external tools, such as dnssec-signzone (from BIND), or<br>
ldns-signzone (from LDNS). Or you can install and configure OpenDNSSEC.<br>
However, that it certainly no simple task. OpenDNSSEC is fairly complex.<br>
So if you want to sign your zones with ease, then I'd recommend using<br>
another DNS server such as BIND, Knot DNS or PowerDNS. They all provide<br>
authoritative DNS functionality, but also have signing code in them. At<br>
RIPE NCC, we use BIND, Knot DNS and NSD to serve the root zone as well<br>
as all the reverse DNS zones we operate. It takes quite some work to<br>
maintain equivalent configurations for all three, but I am happy with<br>
all three. We do this for diversity. For DNSSEC signing, we use Knot<br>
DNS, and personally, I am very happy with it. BIND and PowerDNS also<br>
automate DNSSEC rather well.<br>
</div><div class="gmail_quote"><br></div><div class="gmail_quote">Djbdns is not supporting the DNSSEC, inherently. Implementing it on NSD is also not a simple task.</div><div class="gmail_quote">So for my limited setup, would it be more appropriate to go for Knot or PowerDNS (BIND I am scared of)?</div><div class="gmail_quote">Maybe, even we can try a mix of NSD and Knot, what do you suggest?</div><div class="gmail_quote"><br></div><div class="gmail_quote">
> Can anybody please tell me how to plan for this migration so that I have a<br>
> minimum downtime. Moreover, I want to build a setup with NSD so that it<br>
> runs smoothly for the next 10 years. Of course want to know how to keep on<br>
> upgrading will be an issue, I need to consider.<br>
<br>
Just install NSD (or BIND, Knot or PowerDNS) on your existing servers,<br>
and bring it up on a different port, for testing. Load your zones into<br>
your new name server, test that they're properly loaded and you can<br>
query them, and then you can turn off djbdns, and bring up the new<br>
server on port 53. If doing this on the same server is too complex, then<br>
set up completely new servers. Once tested, you can ask for your<br>
delegation to be changed to these new servers. Or you can just move the<br>
IP addresses from the old servers to the new ones, and avoid a<br>
delegation change. Use whichever method you feel comfortable with.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Yes. I have planned to install a DNS service on a fresh set of servers. I have made a HA cluster using Proxmox VE HA. Will run three servers on them. I am more comfortable with Debian, so plan to run on those. Then will follow the steps mentioned above to migrate the existing  servers to a new cluster. Am I thinking it right?</div><div class="gmail_quote">But I want to make sure NSD supports all the features that I may be requiring in future.</div><div class="gmail_quote"><br></div><div class="gmail_quote"><br></div><div class="gmail_quote">Thanks and regards.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Mukul<br></div></div></div>