LINUX.ORG.RU
ФорумAdmin

Помогите до настроить DNS сервер


0

2

Пытаюсь настроить master/slave dns на разных серверах. Вроде все работает, но остались некоторые ошибки, которые я уже не знаю как исправить. Очень надеюсь на вашу помощь.

Сначало об особенности. Есть сайт донор site.ru, на нем построены dns ns1.site.ru ns2.site.ru Так вот site.ru проходит все проверки без ошибок. Берем another-site.ru и присваиваем ему ns записи указанные выше. При прохождении тестов получаем ошибки указанные ниже.

Сейчас немного о конфигурации named:

Master server /etc/named.conf

[root@srv1 ~]# cat /etc/named.conf 
options {
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
	//recursion yes;

	allow-query { any; };
	version "Forbidden";
	listen-on port 53 { 178.89.xxx.ccc; };
	allow-recursion { none; };
	allow-transfer { 178.89.aaa.bbb; };

	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;

	bindkeys-file "/etc/named.iscdlv.key";
	managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
	type hint;
	file "named.ca";
};


zone "xxx.89.178.in-addr.arpa" IN {
  type master;
  file "/var/named/xxx.89.178.in-addr.arpa";
  allow-update { none; };
};
zone "site.ru" {
	type master;
	file "/var/named/site.ru";
	notify yes;
};
zone "another-site.ru" {
	type master;
	file "/var/named/another-site.ru";
};

Slave server

[root@srv2 ~]# cat /etc/named.conf 

options {
	listen-on port 53 { 178.89.aaa.bbb; 127.0.0.1; };
	listen-on-v6 port 53 { none; };
	version "No info";
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
	recursion no;
	allow-recursion { any; };
	allow-query { any; };
     	allow-query-cache { any; };

	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;

	bindkeys-file "/etc/named.iscdlv.key";
	masterfile-format text;
	managed-keys-directory "/var/named/dynamic";
};

logging {
      category lame-servers { null; };  
      channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
zone "." IN {
	type hint;
	file "named.ca";
};

zone "site.ru" IN {
	type slave;
	file "/var/named/site-slave/site-slave.conf";
	masters { 178.89.xxx.ccc; };
};

key "rndc-key" {
	algorithm hmac-md5;
	secret "fergergergerg";
};

controls {
       inet 127.0.0.1 port 953
       allow { 127.0.0.1; } keys { "rndc-key"; };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

1. по тестам http://www.dnsstuff.com
Ошибка: SMTP greeting
Описание:

Malformed greeting or no A records found matching banner text for following servers, and banner is not an address literal. RFC5321 requires one or the other (should not be a CNAME). If this is not set correctly, some mail platforms will reject or delay mail from you, and can cause hard to diagnose issues with deliverability. Mailserver details:

178.89.xxx.yyy | WARNING: The hostname in the SMTP greeting does not match the reverse DNS (PTR) record for your mail server. This probably won't cause any harm, but may be a technical violation of RFC5321
178.89.xxx.zzz | WARNING: The hostname in the SMTP greeting does not match the reverse DNS (PTR) record for your mail server. This probably won't cause any harm, but may be a technical violation of RFC5321

2. по тестам http://www.intodns.com
Ошибка: Nameservers are lame
Описание:

ERROR: looks like you have lame nameservers. The following nameservers are lame: 
178.89.aaa.bbb
178.89.aaa.bbb <- это адрес slave dns, т.е. ns2.site.ru

3. по тестам http://mxtoolbox.com
Ошибка: Some of the name servers are not Authoritative
Описание:

Some of the name servers are not Authoritative
178.89.aaa.bbb

4. по тестам http://www.dnssy.com несколько ошибок
Ошибка 1: Any root nameservers returned:
Описание:

Some/all of your nameservers returned root nameserver records. This means that your nameservers are not responding correctly for your domain and are instead referring back to the root nameservers. I found the following root nameservers referenced:
 
g.root-servers.net
k.root-servers.net
h.root-servers.net
e.root-servers.net
i.root-servers.net
a.root-servers.net
d.root-servers.net
j.root-servers.net
f.root-servers.net
l.root-servers.net
c.root-servers.net
m.root-servers.net
b.root-servers.net

Ошибка 2: All of your nameservers match:
Описание:

Your nameservers returned different nameserver records.
 
Got 2 records at ns1.site.ru.. Got 13 records at ns2.site.ru.
At your nameservers I found:
   ns1.site.ru
   ns2.site.ru
   g.root-servers.net
   k.root-servers.net
   h.root-servers.net
   e.root-servers.net
   i.root-servers.net
   a.root-servers.net
   d.root-servers.net
   j.root-servers.net
   f.root-servers.net
   l.root-servers.net
   c.root-servers.net
   m.root-servers.net
   b.root-servers.net
At parent nameserver I found:
   ns1.site.ru
   ns2.site.ru

Ошибка 3: All of your nameservers return an A record:
Описание:

Some of your nameservers failed to return an A record for your domain. This is probably not what you want. The following nameservers did not return an A record:
 
ns2.site.ru

Ошибка 4: Nameservers respond authoritatively:
Описание:

Some of your nameservers did not respond authoritatively for your domain. The following nameservers did not respond authoritatively:
 
ns2.site.ru


Что то так много текста. Этот самый 178.89.aaa.bbb зону то себе странсферил? На запросы с localhost отвечает?

mky ★★★★★ ()

The hostname in the SMTP greeting does not match the reverse DNS (PTR) record for your mail server

Не ошибка. Считают это ошипкой только мудаки.

Got 2 records at ns1.site.ru.. Got 13 records at ns2.site.ru.

Руки из ж..пы. Напиши нормально зону и отреплицируй её.

Some of your nameservers failed to return an A record for your domain

Не ошибка. Считают это ошибкой только мудаки в квадрате.

no-dashi ★★★★★ ()
Ответ на: комментарий от mky

Да, у 178.89.aaa.bbb скачена зона site.ru и обновляется при изменении серийника в СОА родителя. Проблема с nslookup
[root@srv2]# nslookup another-site.ru ns1.site.ru
Server: ns1.site.ru
Address: 178.89.xxx.ccc#53

Name: another-site.ru
Address: 178.89.xxx.ddd

[root@srv2]# nslookup another-site.ru ns2.site.ru
Server: ns2.site.ru
Address: 178.89.aaa.bbb#53

Non-authoritative answer:
*** Can't find another-site.ru: No answer

Sky4eg ()
Ответ на: комментарий от no-dashi

The hostname in the SMTP greeting does not match the reverse DNS (PTR) record for your mail server
Не ошибка. Считают это ошипкой только мудаки.

Ок

Got 2 records at ns1.site.ru.. Got 13 records at ns2.site.ru.
Руки из ж..пы. Напиши нормально зону и отреплицируй её.

Как выглядит, по вашему, нормальная зона и что значит отреплицировать ее?

Some of your nameservers failed to return an A record for your domain
Не ошибка. Считают это ошибкой только мудаки в квадрате.

Ок

Sky4eg ()
Ответ на: комментарий от Sky4eg

Дак у вас проблема с зоной another-site.ru? На 178.89.aaa.bbb эта зона не описана, поэтому он её и не знает. Сделайте там slave-запись, по аналогии с site.ru. Или я не правильно понял, что вы хотите сделать?

mky ★★★★★ ()
Ответ на: комментарий от mky

Это получается для каждого сайта на 178.89.aaa.bbb нужно делать слейв запись? Я думал что достаточно заслейвить тот сайт, которому принадлежат ns записи. В мат части я пока не силен... Во всех туториалах говорится что для того чтобы сделать слейв ns нужно прописать слейв на втором сервере для основного домена

Sky4eg ()
Ответ на: комментарий от Sky4eg

Для каждой зоны нужно делать slave-запись. Вот в этой команде

nslookup another-site.ru ns1.site.ru

из какой зоны берётся запись для another-site.ru?

mky ★★★★★ ()
Ответ на: комментарий от no-dashi

The hostname in the SMTP greeting does not match the reverse DNS (PTR) record for your mail server

Не ошибка. Считают это ошипкой только мудаки.

Сам ты мудак.

anonymous ()
Ответ на: комментарий от anonymous

ОП, лучше настрой greeting. Мудаки-мудаками, а в спам-лист легко можешь загреметь.

anonymous ()
Ответ на: комментарий от mky

Добавил slave на домен another-domain.ru почти все ошибки пропали. Как теперь сделать автодобавление на slave сервер зон в named.conf? хотя можно инклудить из подготовленной папки на каждый сайт файл подключения зоны, но опять же как создавать слэйвы при создании новых доменов на мастере?

Sky4eg ()
Ответ на: комментарий от Sky4eg

Я давно не рулю DNS-серверами и не знаю, что там на данный момент есть штатного. Лет пять назад, у меня были самописные скрипты, которые копировали, И конфиг-файл, И файлы с зонами. Потому что, если вы админите оба сервера, то лучше, чтобы они оба были master'ами, а не master/slave.

mky ★★★★★ ()
Ответ на: комментарий от anonymous

Ссылка на RFC в котором говорится, что «SMTP greeting have to match rverse DNS (PTR) record» будет? Вот когда будет - тогда и будешь выступать.

А пока что, читай RFC 821, в котором говорится «The HELO receiver MAY verify that the HELO parameter really corresponds to the IP address of the sender. However, the receiver MUST NOT refuse to accept a message, even if the sender's HELO command fails verification».

Впрочем, ты наверное из тех быдлоадминов, что спамхаусом пользуются, что в админской среде приравнивается примерно к тому же, к чему в программерской приравнен «программист 1С».

no-dashi ★★★★★ ()
Ответ на: комментарий от mky

Потому что, если вы админите оба сервера, то лучше, чтобы они оба были master'ами, а не master/slave.

Зачем? Зачем это нужно, если master-slave прекрасно работает при подобающей настройке? Там ведь всё что нужно - написать правильно masters в named.conf, NS'ы в зоне и открыть файрволы - у меня даже студентки-блондинки с этим справлялись.

no-dashi ★★★★★ ()
Ответ на: комментарий от Sky4eg

Как теперь сделать автодобавление на slave сервер зон в named.conf?

Никак. Потому, что ненужно.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

но если я не дабавляю зону на слейв сервер, то будет куча ошибок как я описывал в первом посте. Или же я что-то неверно настраиваю?

Sky4eg ()
Ответ на: комментарий от Sky4eg

но если я не дабавляю зону на слейв сервер

То сам себе злобный буратино. Или ты предпочитаешь, чтоб любой тебе на сервер мог свою зону залить, зато табе типа меньше работы?

то будет куча ошибок как я описывал в первом посте

«куча ошибок как ты описывал в первом посте» - следствие ТВОИХ ошибок.

no-dashi ★★★★★ ()
Последнее исправление: no-dashi (всего исправлений: 1)
Ответ на: комментарий от Sky4eg

Если я правильно понял, no-dashi говорил про не нужность автоматического добавления зон на слейв сервер, видимо, считает, что это нужно делать руками.

Вот обсуждение по теме: BIND автоматическое создание zones на слейвах.

mky ★★★★★ ()
Ответ на: комментарий от no-dashi

Лучше с точки зрения надёжности. Если slave будет запускаться при выключенном master'е, он не получит зоны. По мне эта ситуация не так уж экзотична. Допустим, оба сервера в одном помещении, электрики выключили питание, сервера выключились через UPS, а при включении жесткий диск на master не ожил.

И я не говорил, что конфигурация master/master проще, чем master/slave. Но, только синхронизация конфигов позволит использовать view'ы, автоматически добавлять зоны на второй DNS-сервер и не мониторить постоянно логи на slave-сервере на отсутствие ошибок трансфера зоны.

mky ★★★★★ ()
Ответ на: комментарий от no-dashi

тем не менее много серверов проверяют соответствие A<>PTR

и пофиг что там по рфц не обязательно

вы сами то хотите принимать почту с таки «серверов»,
которые даже PTR не имеют?

в 99% случаев это будет зараженный/ботнет/спаммер

neomag ()
Ответ на: комментарий от mky

Если slave будет запускаться при выключенном master'е, он не получит зоны

Во-первых, у слэйва есть кэш старой версии зоны. Который он регулярно обновляет, связываясь с мастером и опрашивая серийник зоны. Если мастер недоступен - слейв будет использовать старую версию зоны из кэша. Угу.

Во-вторых, мастер рассылает нотифи если зона на нём изменилась, а также уведомления при своём старте, поэтому ситуация «слейв поднялся а мастер недоступен» при ПРАВИЛЬНОЙ настройке и ПРАВИЛЬНОМ ведении зон практически никогда не приведет к ошибке.

Пять зон на пяти серверах, когда каждая зона лежит на каждом из 5 серверов, на одном в мастере на остальных в слейвах, доступность хостов от 0.9 до 0.1 (это мои компьютеры и ноутбуки), и зоны не разу не «разбежались».

мониторить постоянно логи на slave-сервере на отсутствие ошибок трансфера зоны

... не нужно. Достаточно скрипта, который будет сравнивать серийники зон на мастере и слейве. Примерно в 20 строчек на баше, включая комментарии.

no-dashi ★★★★★ ()
Последнее исправление: no-dashi (всего исправлений: 1)
Ответ на: комментарий от neomag

вы сами то хотите принимать почту с таки «серверов», которые даже PTR не имеют?

У меня спамассассин есть, чтобы отделять спам от неспама, и sieve который позволяет автоматизировать сортировку и раскладывание по фолдерам Maildir.

в 99% случаев это будет зараженный/ботнет/спаммер

А в 1% это будет новый клиент, которому я не отвечу и которого навсегда потеряю.

тем не менее много серверов проверяют соответствие A<>PTR

Конторы которые наняли (и не уволили и не выдрючили) «труЪодминов», которые нарушают RFC с целью защиты от мифического «спама», по определению бесперспективны.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

вы только что админов гугла назвали бесперспективными,

например по приходу письма с хоста, у которого нет ptr
письмо тихо клалось в спам.


вы можете по прежнему размахивать рфц по форумам, а большая часть
интернета по прежнему будет футболить/маркировать как спам
письма с подобных.

если ТС пофигу до доставки, то пусть оставляет как есть
:)

neomag ()
Ответ на: комментарий от neomag

по приходу письма с хоста, у которого нет ptr

1. научись разделять «отсутствие PTR» и «соответствие A<>PTR»

2. научись разделять отказ принять почту от принятия и пометки как спам

3. и только потом приходи учить

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

WARNING: The hostname in the SMTP greeting does not match the reverse DNS (PTR) record for your mail server. This probably won't cause any harm, but may be a technical violation of RFC5321

что там с PTR у ТС неизвестно, но слушая вас он реально сделает так, что с его почтовика очень многие сервера почту принимать или не будут или будут маркировать как спам.
а вы можете дальше трясти своим рфц...

п. 2 разделяю, не надо трололо тут разводить

научитесь ходить на форумы не самоутверждаться а помогать людям
:)

neomag ()
Ответ на: комментарий от neomag

что там с PTR у ТС неизвестно

PTR не важен. Важно, чтобы в HELO отдавался hostname, и (желательно) оный hostname ресолвился в коннектящийся адрес. Всё остальное домыслы.

no-dashi ★★★★★ ()
Ответ на: комментарий от neomag

В общем заказал книгу BIND и DNS буду досканально учить

Sky4eg ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.