BIND

Konfiguracja serwerów, usług, itp.
fragli
Posty: 4
Rejestracja: 09 sierpnia 2022, 23:15

BIND

Post autor: fragli »

Witam

Mam następujący problem
skonfigurowany jest serwer NS1 jako PRI i przesyła dane do NS2 i NS3 jako SEC
gdy na NS2 i NS3 dam

Kod: Zaznacz cały

/etc/init.d/bind stop
to:
odpytując np. 8.8.8.8 o jakąkolwiek domenę na nim zaparkową dostaje odpowiedz:
# host -a domena.pl 8.8.8.8
Trying "domena.pl"
;; connection timed out; no servers could be reached
natomiast gdy zapytanie będzie:
# host -a domena.pl [jego_adres_IP]
odpowiedz jest prawidłowa
w momencie gdy uruchomię któregokolwiek secondary wszystko zaczyna działać tak jak należy.
proszę o jakiekolwiek sugestie bo mi już skończyły się pomysły.
Awatar użytkownika
LordRuthwen
Moderator
Posty: 2302
Rejestracja: 18 września 2009, 21:45
Lokalizacja: klikash?

Re: BIND

Post autor: LordRuthwen »

A domena ma ustawione jakie NS?
W SOA co masz?
fragli
Posty: 4
Rejestracja: 09 sierpnia 2022, 23:15

Re: BIND

Post autor: fragli »

przykładowy plik strefy inna_domena.pl obslugiwany przez serwer

Kod: Zaznacz cały

$TTL        3600
@       IN      SOA     ns1.domena.pl. admin.domena.pl. (
                        2022081001       ; serial, todays date + todays serial #
                        7200              ; refresh, seconds
                        540              ; retry, seconds
                        604800              ; expire, seconds
                        3600 )            ; minimum, seconds
;

inna_domena.pl. 3600 A        IP.IP.IP.IP
mail 3600 A        IP.IP.IP.IP
www 3600 A        IP.IP.IP.IP
inna_domena.pl. 3600      MX    10   mail.inna_domena.pl.
inna_domena.pl. 3600      NS        ns1.domena.pl.
inna_domena.pl. 3600      NS        ns2.domena.pl.
plik strefy domeny głównej serwera domena.pl z oczywistych względów wywaliłem jeszcze jakieś dodatkowe TXT i szereg rekordów A żeby nie zaciemniało.

Kod: Zaznacz cały

$TTL        3600
@       IN      SOA     ns1.domena.pl. admin.domena.pl. (
                        2022080101       ; serial, todays date + todays serial #
                        3600              ; refresh, seconds
                        600              ; retry, seconds
                        1209600              ; expire, seconds
                        600 )            ; minimum, seconds
;

* 3600 A        IP.IP.IP.IP
mail 3600 A        IP.IP.IP.IP
new 3600 A        IP.IP.IP.IP
ns1 3600 A        IP.IP.IP.IP
ns2 3600 A        IP.IP.IP.XX
ns3 3600 A        IP.IP.IP.YY
old 3600 A        IP.IP.IP.YY
domena.pl. 3600 A        IP.IP.IP.IP
www 3600 A        IP.IP.IP.IP
server 3600      CNAME        domena.pl.
domena. 3600      MX    5   domena.pl.
domena. 3600      NS        ns1.domena.pl.
domena. 3600      NS        ns2.domena.pl.
domenal. 3600      NS        ns3.domena.pl.
rdns130 3600      PTR        ns3.domena.pl.

co do poprawnosci tej konfiguracji raczej nie doszukiwał bym sie błędów gdyż secondary taransferuje pliki a nie sa recznie skonfigurowane a gdy one sa włączone to wszystko działa jak należy. Kolejna sprawa to gdy w jakimkolwiek komputerze wpiszemy serwer dns IP.IP.IP.IP to dostaniemy poprawną odpowiedz. Jak dla mnie to tak wyglada jak by servery ROOT nie mogły odczytywać z tego serwera i dopiero odczytują z secondary, ale gdyby firewall blokował port 53 to kazdy indywidualny komputer nie uzyskał by odpowiedzi.
Awatar użytkownika
LordRuthwen
Moderator
Posty: 2302
Rejestracja: 18 września 2009, 21:45
Lokalizacja: klikash?

Re: BIND

Post autor: LordRuthwen »

No dobra, a ns1.domena.pl to który serwer? Ten, który wyłączasz?
Strefa nie ma zdefiniowanych rekordów NS, więc brany jest ten z SOA.
Sprawdź co ci zwróci:

Kod: Zaznacz cały

dig jakasdomena.tld ns
fragli
Posty: 4
Rejestracja: 09 sierpnia 2022, 23:15

Re: BIND

Post autor: fragli »

No dobra, a ns1.domena.pl to który serwer? Ten, który wyłączasz?
nie, wyłączam NS2 i NS3 czyli obydwa secondary NS1 jest uruchomiony i wtedy odpytując jakiegokolwiek z globalnych np. 8.8.8.8 jest brak odpowiedzi
Strefa nie ma zdefiniowanych rekordów NS, więc brany jest ten z SOA.
w kazdej strefie sa zdefiniowane NS
Odnosnie zapytań to czy użyje host -a, dig, nslookup czy cokolwiek wskazujac ze pytam IP.IP.IP.IP dostaje zawsze poprawną odpowiedz jak np 8.8.8.8 to gdy secondary są start (wystarczy jeden) to jest ok, gdy są stop brak odpowiedzi
Awatar użytkownika
LordRuthwen
Moderator
Posty: 2302
Rejestracja: 18 września 2009, 21:45
Lokalizacja: klikash?

Re: BIND

Post autor: LordRuthwen »

fragli pisze: 10 sierpnia 2022, 10:32 w kazdej strefie sa zdefiniowane NS
Nie widzę ich w przykładach powyżej, jak są to spoko.
fragli pisze: 10 sierpnia 2022, 10:32 Odnosnie zapytań to czy użyje host -a, dig, nslookup czy cokolwiek wskazujac ze pytam IP.IP.IP.IP dostaje zawsze poprawną odpowiedz jak np 8.8.8.8 to gdy secondary są start (wystarczy jeden) to jest ok, gdy są stop brak odpowiedzi
Ok, a u rejestratora domeny na jakie serwery ją wydelegowałeś?
fragli
Posty: 4
Rejestracja: 09 sierpnia 2022, 23:15

Re: BIND

Post autor: fragli »

Problem rozwiazany u rejestartora były takie same NS problemem okazał sie u rejestartora gluerecord mianowice mimo zmiany w ustyawieniach dns nie robil zmiany w host w konsekwencji NS1 zamiast miec IP new.domena.pl miał IP old.domena.pl gdzie IP old.domena.pl ma NS3 i takim to sposobem zatrzymując NS3 serwery root odpytywały o NS1 i kierowały zapytania do wyłączonego NS3

To dla potomnych może się komuś przyda na co zwrócić uwagę w takich przypadkach.
odpowiadając na twoje pytanie:
Nie widzę ich w przykładach powyżej, jak są to spoko.
wycinek z pliku strefy inna_domena.pl
inna_domena.pl. 3600 MX 10 mail.inna_domena.pl.
inna_domena.pl. 3600 NS ns1.domena.pl.
inna_domena.pl. 3600 NS ns2.domena.pl.
oraz wycinek z pliku domeny głównej serwera
ns1 3600 A IP.IP.IP.IP
ns2 3600 A IP.IP.IP.XX
ns3 3600 A IP.IP.IP.YY
old 3600 A IP.IP.IP.YY
domena.pl. 3600 A IP.IP.IP.IP
www 3600 A IP.IP.IP.IP
server 3600 CNAME domena.pl.
domena. 3600 MX 5 domena.pl.
domena. 3600 NS ns1.domena.pl.
domena. 3600 NS ns2.domena.pl.
domenal. 3600 NS ns3.domena.pl.
w kodzie trzeba rozjechać oddzielnym scrolem może dlatego nie zauważyłeś

Tak czy owak bardzo dziękuje za zainteresowanie się tematem i chęcią pomocy
ODPOWIEDZ