ava2k3 Geschrieben 1. März 2010 Teilen Geschrieben 1. März 2010 Hi, habe mir auf meinem Server (steht in einem RZ) einen Bind9 für meine Domain (nennen wir sie hier mal domain.net) eingerichtet. Soweit funktioniert er auch sehr gut und alles ist ok. Im log des bind ist mir jetzt aber was aufgefallen, was mir komisch vor kommt. Ich bin mir nicht sicher ob das ok ist, oder ein Fehler. Ich habe von zuhause (unitymedia, mein rechner ist in der active directory domäne "domäne.de") einen nslookup auf meine Domain über meinen DNS gemacht. --- nslookup mail.domain.net "ip_vom_dns" Server: ns1.domain.net Address: "ip_vom_dns" Name: mail.domain.net Address: "ip_vom_mailserver" --- passt soweit also. Im log des DNS finde ich bei der Anfrage jedoch folgenden "fehler": --- Mar 1 15:05:02 ns1 named[13720]: client "meine_unity_ip"#54084: query (cache) 'mail.domain.net.domäne.de/A/IN' denied Mar 1 15:05:02 ns1 named[13720]: client "meine_unity_ip"#54085: query (cache) 'mail.domain.net.domäne.de/AAAA/IN' denied --- es wird also noch "meineDomain.net.meineLokaleDomäne.de" abgefragt. Ist das ein normales verhalten, oder vielleicht ein config Fehler im DNS? Gruß Sebastian Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
flashpixx Geschrieben 1. März 2010 Teilen Geschrieben 1. März 2010 Sieht nach einem Fehler in der Konfig aus. Ich tippe darauf dass der origin-Ausdruck in der Forward-Zone falsch ist oder bei den Adresseinträgen hinter einem absoluten Namen ein Punkt fehlt. (Bei Korrektur auch direkt einmal die Reverse-Zone anschauen) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ava2k3 Geschrieben 1. März 2010 Autor Teilen Geschrieben 1. März 2010 da ich mir nicht 100% sicher bin was du meinst, hier mal die config der zone und des named. zone: $TTL 1D @ IN SOA ns1.domain.net. info@domain.net. ( 2010030102 ; serial 3H ; refresh 1H ; retry 1W ; expire 11H ) ; minimum IN NS ns1.domain.net. IN NS ns2.domain.net. ns1 IN A IP ns2 IN A IP domain.net. IN MX 10 mail.domain.net. mail IN A IP test IN CNAME bluub.ath.cx. named.conf: options { directory "/var/named"; pid-file "/var/run/named/named.pid"; notify yes; allow-transfer { 127.0.0.1; IP; }; also-notify { IP; }; listen-on port 53 { 127.0.0.1; IP; }; listen-on-v6 { none; }; allow-query { any; }; allow-recursion { none; }; auth-nxdomain no; version "bla"; statistics-file "/var/cache/bind/named.stats"; dnssec-enable yes; }; zone "." { type hint; file "named.ca"; }; zone "domain.net" { type master; file "domain.net"; allow-query { any; }; }; danke für die Hilfe! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 1. März 2010 Teilen Geschrieben 1. März 2010 (bearbeitet) In Deiner named.conf fehlt allow-query-cache. D.h. Deine Zones koennen zwar angefragt (allow-query), es darf dafuer aber nicht der Cache genutzt werden. Du brauchst allow-query nicht nochmal bei der Zone angeben, wenn es bereits in options enthalten ist. Dein Freund ist das zu Deiner (leider zu ungenau angegebenen) bind-Version passende Administrator's Reference Manual (ARM), gibt es als Download bei BIND Documentation | Internet Systems Consortium. Bearbeitet 1. März 2010 von hades Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 1. März 2010 Teilen Geschrieben 1. März 2010 (bearbeitet) Versuch es auch mal ohne das Dranhaengen der AD-Domain als DNS-Suffix. Denn Dein PC haengt den DNS-Namen Deiner AD-Domain ran, die es auf Deinem im RZ gehosteten DNS-Server gar nicht gibt. nslookup >set nosearch >server ns1.domain.net ... >mail.domain.net Auch wenn Umlaute mittlerweile bei der DENIC fuer de-Domains erlaubt sind, bitte nutze diese in AD-Domain-Namen nicht. Denn alte Exchange (2003 und aelter) und Outlook Versionen (2003 und aelter) koennen das nicht. Wenn allow-query-cache nicht vorhanden ist, wird es automatisch mit den Werten von allow-query gefuellt, wenn diesen vorhanden ist. Bearbeitet 1. März 2010 von hades Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ava2k3 Geschrieben 1. März 2010 Autor Teilen Geschrieben 1. März 2010 (bearbeitet) Hi und danke, die AD Domäne heisst nicht "domäne.de" ... das war nur ein Beispiel. Der richtige Name enthält keine Umlaute Bzgl. der Version: Sorry. Es ist 9.3.6-4.P1.el5_4.2 (auf CentOS) Ich hab "allow-query-cache" jetzt mal in der named.conf gesetzt: allow-query-cache { any; }; und "allow-query" aus den zonen rausgenommen, die ich nicht expliziet einschränken möchte (ich hab noch zonen, die nur aus meinem netz erreichbar sein sollten, da hab ich "allow-query" in der zone selber noch mal auf netze und ips beschränkt) Seh ich das richtig, dass ich "allow-query-cache" nicht einschränken kann/muss? Ich wollte es wie mit "allow-query" machen und das in manchen zonen auf ips / netz beschränken. das brachte aber einen Fehler beim starten(?!) Das sieht besser aus. Wenn ich jetzt eine Anfrage mache, tauchen keine Fehler mehr im Log auf. Nur bei domains für die ich es nicht zulasse, kommt jetzt folgende Ausgabe im nslookup: "BAD ERROR VALUE" (zb. beim nslookup auf heise online - Home). Das er das ableht ist ja richtig und ok, nur die Meldung sieht "komisch" aus. Vorher (vor dem allow-query-cache) sah die meiner Erinnerung nach anders aus. EDIT: gerade geschaut: vorher kam als Rückmeldung "Query refused" Gruß und danke Sebastian Bearbeitet 1. März 2010 von ava2k3 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 2. März 2010 Teilen Geschrieben 2. März 2010 Query refused ist die richtige Antwort auf DNS-Anfragen, die Du nicht erlaubst. Z.B. auf die nicht gewuenschten rekursiven Anfragen. Mangels ARM fuer die 9.3 kann man schlecht nachschauen ob query-allow-cache in bind 9.3 unterstuetzt wird. Koennte durchaus erst spaeter eingefuehrt worden sein. Die 9.3 ist schon etwas aelter. Kommentiere query-allow-cache mal aus, starte den bind neu und versuche die Aufloesung mal ohne das Dranhaengen der AD-Domain. Poste auch mal die veraenderte named.conf Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ava2k3 Geschrieben 2. März 2010 Autor Teilen Geschrieben 2. März 2010 moin, named.conf stand jetzt: options { directory "/var/named"; pid-file "/var/run/named/named.pid"; notify yes; allow-transfer { 127.0.0.1; IP; }; also-notify { IP; }; listen-on port 53 { 127.0.0.1; IP; }; listen-on-v6 { none; }; allow-query { any; }; allow-query-cache { any; }; allow-recursion { none; }; auth-nxdomain no; version "bla"; statistics-file "/var/cache/bind/named.stats"; dnssec-enable yes; }; zone "." { type hint; file "named.ca"; }; zone "domain.net" { type master; file "domain.net"; }; mit der config tauchen keine Fehler alá "www.domain.net.domäne.de" mehr im log auf. nslookup unter windows sieht damit so aus (auf nicht erlaubte domains): Server: ns1.domain.net Address: IP *** www.heise.de wurde von ns1.domain.net nicht gefunden: BAD ERROR VALUE unter linux: ;; Got referral reply from ns1.domain.net, trying next server Server: IP_von_anderem_DNS Address: IP_von_anderem_DNS#53 Non-authoritative answer: Name: www.heise.de Address: 193.99.144.85 ich finde unter linux nslookup sieht das richtig aus. Unter windows komisch wegen "bad error value" ----- nun mit "allow-query-cache" auf "none: named.conf options { directory "/var/named"; pid-file "/var/run/named/named.pid"; notify yes; allow-transfer { 127.0.0.1; IP; }; also-notify { IP; }; listen-on port 53 { 127.0.0.1; IP; }; listen-on-v6 { none; }; allow-query { any; }; allow-query-cache { none; }; allow-recursion { none; }; auth-nxdomain no; version "bla"; statistics-file "/var/cache/bind/named.stats"; dnssec-enable yes; }; zone "." { type hint; file "named.ca"; }; zone "domain.net" { type master; file "domain.net"; }; nslookup unter windows sieht damit so aus (auf nicht erlaubte domains): Server: ns1.domain.net Address: IP *** www.heise.de wurde von ns1.domain.net nicht gefunden: Query refused unter linux: Server: IP Address: IP#53 ** server can't find www.heise.de: REFUSED im log tauchen dann aber wieder fehler auf (die ersten 4 fehler sind von windows aus, die anderen beiden von Linux): Mar 2 12:18:38 ns1 named[7647]: client xxxx#50066: query (cache) 'www.heise.de.domäne.de/A/IN' denied Mar 2 12:18:39 ns1 named[7647]: client xxxx#50067: query (cache) 'www.heise.de.domäne.de/AAAA/IN' denied Mar 2 12:18:39 ns1 named[7647]: client xxxx#50068: query (cache) 'www.heise.de/A/IN' denied Mar 2 12:18:39 ns1 named[7647]: client xxx#50069: query (cache) 'www.heise.de/AAAA/IN' denied Mar 2 12:19:44 ns1 named[7647]: client xxx#34255: query (cache) 'www.heise.de/A/IN' denied Mar 2 12:19:44 ns1 named[7647]: client xxx #40790: query (cache) 'www.heise.de/A/IN' denied wenn ich es unter windows wie von dir erklärt mit "nosearch" mache, tauchen die .domäne.de fehler nicht mehr auf, sondern nur noch diese hier: Mar 2 12:22:21 ns1 named[7647]: client xxx#53467: query (cache) 'www.heise.de/A/IN' denied Mar 2 12:22:21 ns1 named[7647]: client xxx#53468: query (cache) 'www.heise.de/AAAA/IN' denied Alles in allem sieht es mit "allow-query-cache" am besten aus, bis auf den Fehler im nslookup (der kommt übrigens auch mit "nosearch") ist nur die Frage, ob der "fehler" mit bad error value nicht vielleicht normal ist unter windows?! Gruß und danke für deine Hilfe. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.