Der CentOS bind9 Server erhält ständig Fehlermeldungen von Master-ADDNS
464
DamnPeggy
In den letzten Tagen habe ich versucht, meinen Bind9-Server als sekundäre Zone mit dem DNS meiner AD zu verbinden, ohne Erfolg. Dies geschieht alles auf VMware, wobei pfSense die beiden miteinander verbindet (ja, Port 53, TCP / UDP ist auch dort offen).
Das Problem scheint zu sein, dass beim Versuch, eine Zone vom Master übertragen zu bekommen, die Pakete verworfen werden, obwohl es keine Firewalls gibt, die sie ablehnen sollten.
Ich kann alle ohne Probleme pingen, und ich kann die Zone auch über nslookup von einem normalen Windows-Client übertragen.
Betrachten wir Wireshark und tcpdump -i an jedem Port 53, wenn Sie den Bind-Server mit dem ADDNS-Server verbinden, erhalten Sie Folgendes:
Ja, es sieht so aus, als würde eine Firewall die Abfragen blockieren, aber glauben Sie mir, das kann nicht sein. Ich habe versucht, alle Firewalls zu deaktivieren, und fügte außerdem Dienste und Portnummern hinzu.
Sie können auch sehen, dass der Windows-Server einen Timeout-Fehler ausgegeben hat, obwohl er begonnen hat, "Der Server mit dieser IP-Adresse ist nicht autorisierend für die Zone" Dieser Fehler tritt auf, unabhängig davon, wo ich ihn anwende. NS-Datensatz, Verbindung zum Server herstellen usw.)
Und wenn ich mir den genannten Status anschaue, gibt es mir eine Menge Probleme, hauptsächlich in Bezug auf nicht autorisierende Antworten:
managed-keys-zone: loaded serial 97 zone 0.in-addr.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone localhost.localdomain/IN: loaded serial 0 all zones loaded running zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)
-
managed-keys-zone: loaded serial 97 zone 0.in-addr.arpa/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone localhost.localdomain/IN: loaded serial 0 all zones loaded running zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0) error (host unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 192.5.5.241#53 error (host unreachable) resolving './DNSKEY/IN': 192.5.5.241#53 error (host unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 198.97.190.53#53 error (host unreachable) resolving './NS/IN': 192.5.5.241#53
- Dies ist nach dem Festlegen eines CNAME-Datensatzes in ADDNS für den Server. Ich habe zwar kein DNSSEC eingerichtet.
-
managed-keys-zone: journal file is out of date: removing journal file managed-keys-zone: loaded serial 101 zone 0.in-addr.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone localhost.localdomain/IN: loaded serial 0 all zones loaded running zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0) received control channel command 'stop' shutting down: flushing changes stopping command channel on 127.0.0.1#953 stopping command channel on ::1#953 no longer listening on 127.0.0.1#53 no longer listening on 192.168.64.128#53 exiting managed-keys-zone: loaded serial 101 zone 0.in-addr.arpa/IN: loaded serial 0 zone localhost.localdomain/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone localhost/IN: loaded serial 0 all zones loaded running zone centns.bliss.lan/IN: refresh: NODATA response from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: NODATA response from master 192.168.64.64#53 (source 0.0.0.0#0)
- Also die Probleme scheinen einfach zu sein, es wird als autoritärer Server angesehen, obwohl ich es als Sklave bezeichne?
Hier ist meine named.conf
[root@centns ~]# cat /etc/named.conf // // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // // See the BIND Administrator's Reference Manual (ARM) for details about the // configuration located in /usr/share/doc/bind-/Bv9ARM.html options { listen-on port 53 { 192.168.64.128; 127.0.0.1; }; filter-aaaa-on-v4 yes; directory "/var/named/"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; // auth-nxdomain no; // allow-query { 192.168.64.0/24; }; // allow-transfer { 127.0.0.1; 192.168.64.64; }; // allow-notify { 127.0.0.1; 192.168.64.64; }; // allow-recursion { 127.0.0.1; 192.168.64.64; }; /* - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion. - If you are building a RECURSIVE (caching) DNS server, you need to enable recursion. - If your recursive DNS server has a public IP address, you MUST enable access control to limit queries to your legitimate users. Failing to do so will cause your server to become part of large scale DNS amplification attacks. Implementing BCP38 within your network would greatly reduce such attack surface */ recursion no; dnssec-enable no; dnssec-validation auto; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; pid-file "/run/named/named.pid"; session-keyfile "/run/named/session.key"; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "centns.bliss.lan" IN { type slave; file "centNS.bliss.lan"; masters { 192.168.64.64; }; allow-query { 192.168.64.0/24; }; allow-transfer { 192.168.64.0/24; }; // allow-recursion { 192.168.64.0/24; }; }; /* zone "64.168.192.in-addr.arpa" IN { type slave; file "rev.centNS.bliss.lan"; masters { 192.168.64.64; }; notify yes; }; */ zone "." IN { type hint; file "named.ca"; }; include "/etc/named.rfc1912.zones"; include "/etc/named.root.key";
Wie Sie aus allen kommentierten Zeilen sehen können, habe ich jetzt ein paar Dinge ausprobiert.
Ich habe versucht:
* Deaktivieren der Firewall unter Windows und CentOS
* Einstellen eines A- und CNAME-Datensatzes im AD-DNS für meinen CentNS-Server
* Sicherstellen, dass Windows BIND aktiviert hat
Wenn Sie weitere Informationen benötigen, fragen Sie bitte. Ich möchte, dass dies funktioniert.
Messe. Ich dachte nur, es hätte etwas mit dem bind conf zu tun, weshalb ich stattdessen hier gepostet habe. Ich habe es auch ohne Firewalls versucht (wie gesagt), aber immer noch keine Würfel.
vor 5 Jahren
0
2 Antworten auf die Frage
0
Rui F Ribeiro
Um einen Slave des Windows-DNS zu erstellen, müssen Sie auf der Windows-Seite Zonentransfers autorisieren.
In etwa ist dies abhängig von der Windows-Version "Server-Manager-> DNS-> DNS-Manager-> Eigenschaften-> Zonentransfers". Wählen Sie "Zulassen von Zonenübertragungen" und "nur zu den folgenden Servern" und fügen Sie Ihre BIND-IP-Adressen hinzu.
Für Ihre BIND-Konfiguration müssen Sie auch Namen zulassen, die mit _ beginnen, da Windows DNS sie verwendet. So fügen Sie im Abschnitt Optionen Folgendes hinzu:
check-names master ignore;
Passen Sie auch auf Ihre DLV-DNSSEC-Konfiguration auf. Sie erhalten den Fehler, (host unreachable)weil der DLV seit Jahren veraltet ist und das Projekt seit 2015 eingestellt wurde.
Kommentieren oder löschen Sie die Zeile bindkeys-file "/etc/named.iscdlv.key";
Ich habe die Übertragung auf den Server erlaubt, Windows gibt mir nur "Der Server mit dieser IP-Adresse ist nicht autorisierend für die Zone" Ich hatte vorher auch den Schecknamen-Master ignoriert; Obwohl diese Linie immer noch keinen Unterschied machte. Das Gleiche gilt für das Auskommentieren der bindkeys-Datei
vor 5 Jahren
0
0
RalfFriedl
Ihr Bild zeigt "Host administrativ verboten", daher muss sich irgendwo eine Firewall befinden.
es wird als autoritärer Server angesehen, obwohl ich es als Slave erkläre?
Ein Slave-Server ist ebenfalls maßgebend.
Woher glaubst du könnte es kommen? Ursache Ich habe dns aa-Dienst sowie die Ports 53 / tcp und 53 / udp zu meiner Zone in Firewall hinzugefügt. Die gleichen Regeln wurden auch für die Windows-Firewall und für pfSense konfiguriert
DamnPeggy vor 5 Jahren
0
Gibt es auch etwas in der named.conf, das sie nicht autoritativ machen würde oder fehlt mir etwas?
DamnPeggy vor 5 Jahren
0
Die Quelladresse der ICMP-Pakete wird im Bild angezeigt. Finden Sie den Host mit dieser Adresse und finden Sie heraus, warum er die Pakete ablehnt.
RalfFriedl vor 5 Jahren
0