Es kann keine Vorwärtsauflösung über den sekundären Nameserver in die delegierte Zone ausgeführt werden

484
Dave

Der Domänenname meiner Organisation lautet example.com . Die Nameserver der Organisation heißen ns1.example.com und ns2.example.com .

Ich bin der Administrator der Subdomain project.example.com . Unser IP-Adressraum ist 10.0.0.0/22 ​​(10.0.0.0 - 10.0.3.255) .

Ich habe einen primären Nameserver und einen sekundären Nameserver ( ns1.project.example.com (10.0.0.2) bzw. ns2.project.example.com (10.0.1.2) ).

Diese Nameserver sind Bind 9.10.3 unter Debian 9.5.

Ich habe diese Zonen konfiguriert (für die ich autorisierend bin oder die Autorität delegiere):

  • project.example.com
  • 0.0.10.inaddr.arpa
  • 1.0.10.inaddr.arpa
  • 2.0.10.inaddr.arpa
  • 3.0.10.inaddr.arpa

Die Nameserver meiner Organisation leiten Abfragen (nicht delegieren) innerhalb des Namespaces project.example.com an meine Nameserver weiter.

Für Abfragen von Namen, für die ich nicht autorisiert bin, nicht delegieren, nicht weiterleiten und nicht im Cache gespeichert habe, verwende ich den Modus "Nur Weiterleiten", um die Abfrage an ns1.example.com / ns2.example.com weiterzuleiten .

Ich habe einen Teil meines Namespaces in die Subdomäne sub.project.example.com aufgeteilt . Der IP-Adressraum für diese Unterdomäne lautet 10.0.3.0/24 .

Es gibt nur einen Nameserver für sub.project.example.com . Der Hostname lautet ns1.project.example.com (10.0.3.2) .

Dieser Nameserver ist Bind 9.9.4 unter CentOS 7.3.

Für Forward Lookups innerhalb von sub.project.example.com delegiere ich an ns1.project.example.com (10.0.3.2) . Ich habe die erforderliche Kleberaufzeichnung an Ort und Stelle.

Für Reverse-Lookups innerhalb von 3.0.10.in-addr.arpa leite ich an ns1_project.example.com (10.0.3.2) weiter (nicht delegieren ) . Ich kann nicht delegieren, da ich 0.10.in-addr.arpa nicht kontrolliere .

Das Problem

Es gibt einen bestimmten Fall, in dem die Dinge nicht funktionieren. Dieser Fall tritt auf, wenn ich meinen primären Nameserver heruntergefahren habe, um den sekundären Nameserver zu testen .

Angenommen, ich öffne auf meinem Windows-Desktopcomputer eine Eingabeaufforderung, nämlich my-host.example.com . Ich kann nicht nach host-1.project.example.com abfragen . Die Anfrage läuft ab.

Wenn ich tcpdump auf dem sekundären Nameserver ns2.project.example.com (10.0.1.2) ausführen, sehe ich die Abfrage von ns1.example.com . Anstatt es jedoch nicht an ns1.project.example.com zu delegieren, leitet es es an ns1.example.com zurück .

Um den ersten Absatz dieses Abschnitts neu zu formulieren, ist die Abfrage erfolgreich, wenn mein primärer Nameserver ns1.project.example.com (10.0.0.2) ausgeführt wird. Wenn der primäre Nameserver inaktiv ist und der sekundäre Nameserver ns2.project.example.com (10.0.1.2) abgefragt wird, ist dies der Fehlerfall .

Ich habe meine Konfigurationsdateien unten hinzugefügt.

Wie kann ich dieses Problem lösen?

Zonenkonfiguration (NS-Datensätze)

; project.example.com  @ NS ns1 @ NS ns2  sub NS ns1.sub  ; Forward 3.0.10.in-addr.arpa rather than delegate it ; We can't delegate since we don't own 0.10.in-addr.arpa. ; That's why the line below is commented out. ; 203.240.10.in-addr.arpa. NS centos-s1.ipa  ; Glue record ns1.sub A 10.0.3.2 

project.example.com Konfiguration des primären Nameservers

controls {};  acl "internal-hosts" { 10.0.0/22; 127/8; }; acl "external-hosts" { 10/8; 192.168/16; 172.16/12; };  view "internal-view" { match-clients { "internal-hosts"; };  zone "project.example.com" { type master; file "db.project.example.com_internalView"; forwarders { }; };  zone "0.0.10.in-addr.arpa" { type master; file "db.10.0.0"; forwarders { }; };  zone "1.0.10.in-addr.arpa" { type master; file "db.10.0.1"; forwarders { }; };  zone "2.0.10.in-addr.arpa" { type master; file "db.10.0.2"; forwarders { }; };  zone "3.0.10.in-addr.arpa" { type forward; forwarders { 10.0.3.2; }; };  // Internal-only zone zone "31.172.in-addr.arpa" { type master; file "db.172.31"; forwarders { }; }; };  view "external-view" { match-clients { "external-hosts"; };  zone "project.example.com" { type master; file "db.project.example.com_externalView"; forwarders { }; };  zone "0.0.10.in-addr.arpa" { type master; file "db.10.0.0"; forwarders { }; };  zone "1.0.10.in-addr.arpa" { type master; file "db.10.0.1"; forwarders { }; };  zone "2.0.10.in-addr.arpa" { type master; file "db.10.0.2"; forwarders { }; };  zone "3.0.10.in-addr.arpa" { type forward; forwarders { 10.0.3.2; }; }; }; 

project.example.com Sekundäre Nameserver-Konfiguration

controls {};  acl "internal-hosts" { 10.0.0/22; 127/8; }; acl "external-hosts" { 10/8; 192.168/16; 172.16/12; };  masters "my-master" { 10.0.0.2; };  view "internal-view" { match-clients { "internal-hosts"; };  zone "project.example.com" { type slave; file "bak.project.example.com_internalView"; masters { my-master; }; forwarders { }; };  zone "0.0.10.in-addr.arpa" { type slave; file "bak.10.0.0"; masters { my-master; }; forwarders { }; };  zone "1.0.10.in-addr.arpa" { type slave; file "bak.10.0.1"; masters { my-master; }; forwarders { }; };  zone "2.0.10.in-addr.arpa" { type slave; file "bak.10.0.2"; masters { my-master; }; forwarders { }; };  zone "3.0.10.in-addr.arpa" { type forward; forwarders { 10.0.3.2; }; };  // Internal-only zone zone "31.172.in-addr.arpa" { type slave; file "bak.172.31"; masters { my-master; }; forwarders { }; }; };  view "external-view" { match-clients { "external-hosts"; };  zone "project.example.com" { in-view "internal-view"; };  zone "0.0.10.in-addr.arpa" { in-view "internal-view"; };  zone "1.0.10.in-addr.arpa" { in-view "internal-view"; };  zone "2.0.10.in-addr.arpa" { in-view "internal-view"; };  zone "3.0.10.in-addr.arpa" { // in-view "internal-view"; type forward; forwarders { 10.0.3.2; }; }; }; 
1

0 Antworten auf die Frage