LINUX.ORG.RU
ФорумAdmin

DNS, помогите побороть SERVFAIL

 ,


0

1

Здравствуйте, помогите пожалуйста советом,

Отрабатывает..

[root@ns1 named]# nslookup  90.100.143.43
Server:         90.100.143.43
Address:        90.100.143.43#53

43.143.100.90.in-addr.arpa      name = ns2.ts-domain.ru.
43.143.100.90.in-addr.arpa      name = ns1.ts-domain.ru.

Увы:

[root@ns1 named]# nslookup  ts-domain.ru
Server:         90.100.143.43
Address:        90.100.143.43#53

** server can't find ts-domain.ru: SERVFAIL

Bind9 работает под chroot+Selinux

Далее конфиги...

less /etc/named.conf

options {
        listen-on port 53 { 127.0.0.1; 90.100.143.43; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;

        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

};


controls {
    inet 127.0.0.1 port 953
    allow { 127.0.0.1; } keys { "rndc-key"; };
};



logging {
        channel default_debug {
                file "data/named.run";
                severity debug 10;
        };

 channel debug_log {
        file "data/debug.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
       };

 channel query_log {
        file "data/query.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };

 channel client {
        file "data/client.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };

 channel update {
        file "data/update.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };

 channel update-security {
        file "data/update-security.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };

 channel xfer-in {
        file "data/xfer-in.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };


 channel xfer-out {
        file "data/xfer-out.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };


 channel config {
        file "data/config.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };


channel database {
        file "data/database.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };


channel default {
        file "data/default.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };



channel dispatch {
        file "data/dispatch.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };

channel general {
        file "data/general.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };

channel network {
        file "data/network.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };

channel notify {
        file "data/notify.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };

channel resolver {
        file "data/resolver.log";
        severity debug 10;
        print-category yes;
        print-severity yes;
        print-time yes;
    };


    category resolver { resolver; };
    category security { debug_log; };
    category queries { query_log; };
    category client { client; };
    category update { update; };
    category update-security { update-security; };
    category xfer-in { xfer-in; };
    category xfer-out { xfer-out; };
    category config { config; };
    category database { database; };
    category default { default; };
    category dispatch { dispatch; };
    category general { general; };
    category network { network; };
    category notify  { notify; };


};


zone "." IN {
        type hint;
        file "named.ca";
};




include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/var/named/ts-domain.ru";
include "/etc/rndc.key";
include "/var/named/master/ts-domain.ru.key";

less /var/named/ts-domain.ru

zone "ts-domain.ru" IN {
        type master;
        file "/var/named/master/ts-domain.ru";
        allow-update { any; };
        zone-statistics  yes;
};

zone "143.100.90.in-addr.arpa" IN {
        type master;
        file "/var/named/master/ts-domain.ru.rev";
        allow-update { any; };
        zone-statistics  yes;
};

Прямая:

$TTL 57600
$ORIGIN ts-domain.ru.
@ IN  SOA ns1.ts-domain.ru. root.ts-domain.ru. ( 20130801 10800 1200 3600000 3600 )


            IN      NS ns1.ts-domain.ru.
            IN      NS ns2.ts-domain.ru.



ns1         IN       A  90.100.143.43
ns2         IN       A  90.100.143.43
www         IN       A  90.100.143.43
@                    TXT "domain"


mnode01              A 90.100.143.20
esxi5                A 90.100.143.30
ipam                 A 90.100.143.145

Обратная:

$TTL 57600
$ORIGIN  143.100.90.in-addr.arpa.
@ IN  SOA ns1.ts-domain. root.ts-domain. ( 20130801 10800 1200 3600000 3600 )

               NS ns1.ts-domain.
               NS ns2.ts-domain.

43         IN  PTR    ns1.ts-domain.
43         IN  PTR    ns2.ts-domain.




20          IN   PTR mnode01.ts-domain.
30          IN   PTR esxi5.ts-domain.
145         IN   PTR ipam.ts-domain.


nslookup ts-domain.ru

И чему удивляешься? Где у тебя в зоне указан адрес? Например

 @ IN A 90.100.143.43
router ★★★★★ ()
Ответ на: комментарий от router

Указал, ошибка таже

$TTL 57600
$ORIGIN ts-domain.ru.
@ IN  SOA ns1.domain.ru. root.domain.ru. ( 20130801 10800 1200 3600000 3600 )


            IN      NS ns1.ts-domain.ru.
            IN      NS ns2.ts-domain.ru.


@           IN       A  90.100.143.43
ns1         IN       A  90.100.143.43
ns2         IN       A  90.100.143.43
www         IN       A  90.100.143.43
@                    TXT "FcccFFF"


mnode01              A 90.100.143.20
esxi5                A 90.100.143.30
ipam                 A 90.100.143.145
Dr0id ()

зашел поблагодарить за простыню в rss

leave ★★★★★ ()

на регистраторе-то днсы указал?

leave ★★★★★ ()
Ответ на: комментарий от Dr0id

После того, как изменили файл с данными зоны, bind его перечитывали? Вобще, DNS-сервер отвечает на другие запросы из этой зоны, SOA, допустим? Может там в файле какой непечатный символ и вся зона не прогружается.

mky ★★★★★ ()

А в логах у Бинда что? Особенно при старте?

alex_the_v ★★★ ()
Ответ на: комментарий от Dr0id
исправь в прямой зоне:

@          IN          TXT «FcccFFF»

mnode01    IN          A 90.100.143.20
esxi5      IN          A 90.100.143.30
ipam       IN          A 90.100.143.145
anonymous ()
Ответ на: комментарий от mky

На другие запросы не отвечает, UDP пакеты на 53 порт из вне приходят, по крайней мере на прямые запросы, обратные не вижу..

старт:

Aug 13 10:27:56 ns1 named[15757]: ----------------------------------------------------
Aug 13 10:27:56 ns1 named[15757]: BIND 9 is maintained by Internet Systems Consortium,
Aug 13 10:27:56 ns1 named[15757]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Aug 13 10:27:56 ns1 named[15757]: corporation.  Support and training for BIND 9 are
Aug 13 10:27:56 ns1 named[15757]: available at https://www.isc.org/support
Aug 13 10:27:56 ns1 named[15757]: ----------------------------------------------------
Aug 13 10:27:56 ns1 named[15757]: adjusted limit on open files from 4096 to 1048576
Aug 13 10:27:56 ns1 named[15757]: found 1 CPU, using 1 worker thread
Aug 13 10:27:56 ns1 named[15757]: using up to 4096 sockets
Aug 13 10:27:56 ns1 named[15757]: loading configuration from '/etc/named.conf'
Aug 13 10:27:56 ns1 named[15757]: using default UDP/IPv4 port range: [1024, 65535]
Aug 13 10:27:56 ns1 named[15757]: using default UDP/IPv6 port range: [1024, 65535]
Aug 13 10:27:56 ns1 named[15757]: listening on IPv4 interface lo, 127.0.0.1#53
Aug 13 10:27:56 ns1 named[15757]: listening on IPv4 interface eth0, 90.100.143.43#53
Aug 13 10:27:56 ns1 named[15757]: generating session key for dynamic DNS
Aug 13 10:27:56 ns1 named[15757]: sizing zone task pool based on 8 zones
Aug 13 10:27:56 ns1 named[15757]: zone 'ts-domain.ru' allows updates by IP address, which is insecure
Aug 13 10:27:56 ns1 named[15757]: zone '143.100.90.in-addr.arpa' allows updates by IP address, which is insecure
Aug 13 10:27:56 ns1 named[15757]: set up managed keys zone for view _default, file 'dynamic/managed-keys.bind'
Aug 13 10:27:56 ns1 named[15757]: Warning: 'empty-zones-enable/disable-empty-zone' not set: disabling RFC 1918 empty zones
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 127.IN-ADDR.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 254.169.IN-ADDR.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 100.51.198.IN-ADDR.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 113.0.203.IN-ADDR.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: D.F.IP6.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 8.E.F.IP6.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 9.E.F.IP6.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: A.E.F.IP6.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: B.E.F.IP6.ARPA
Aug 13 10:27:56 ns1 named[15757]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
Aug 13 10:27:56 ns1 named[15757]: command channel listening on 127.0.0.1#953

Прямой Запрос через http://centralops.net/co/NsLookup.aspx client.log

13-Aug-2013 10:44:44.871 client: debug 3: client 70.84.211.98#4842: UDP request
13-Aug-2013 10:44:44.871 client: debug 5: client 70.84.211.98#4842: using view '_default'
13-Aug-2013 10:44:44.871 client: debug 3: client 70.84.211.98#4842: query
13-Aug-2013 10:44:44.871 client: debug 10: client 70.84.211.98#4842: ns_client_attach: ref = 1
13-Aug-2013 10:44:44.871 client: debug 3: client 70.84.211.98#4842: error
13-Aug-2013 10:44:44.871 client: debug 3: client 70.84.211.98#4842: send
13-Aug-2013 10:44:44.872 client: debug 3: client 70.84.211.98#4842: sendto
13-Aug-2013 10:44:44.872 client: debug 3: client 70.84.211.98#4842: senddone
13-Aug-2013 10:44:44.872 client: debug 3: client 70.84.211.98#4842: next
13-Aug-2013 10:44:44.872 client: debug 10: client 70.84.211.98#4842: ns_client_detach: ref = 0
13-Aug-2013 10:44:44.872 client: debug 3: client 70.84.211.98#4842: endrequest
13-Aug-2013 10:44:44.872 client: debug 3: client @0x7f016c0b6bd0: udprecv
debug.log
13-Aug-2013 10:44:44.871 security: debug 3: client 70.84.211.98#4842: request is not signed
default.log
13-Aug-2013 10:44:44.871 security: debug 3: client 70.84.211.98#4842: recursion available

13-Aug-2013 10:44:44.871 query-errors: debug 1: client 70.84.211.98#4842: query failed (SERVFAIL) for ts-domain.ru/IN/ANY at query.c:5423

query.log

13-Aug-2013 10:44:44.871 queries: info: client 70.84.211.98#4842: query: ts-domain.ru IN ANY + (90.100.143.43)
13-Aug-2013 10:47:23.396 queries: info: client 188.120.247.28#45443: query: TS-DOMAIN.RU IN MX - (90.100.143.43)

Обратный даже не доходит судя по логам..

Dr0id ()
Ответ на: комментарий от Dr0id

Обратные (143.100.90.in-addr.arpa) запросы до вас и не должны доходить, у вас ведь только ts-domain.ru зарегестрирован. Автономную зону вы ведь не покупали, и NS-сервера для in-addr.arpa не регестрировали.

А по поводу ts-domain.ru не знаю, посмотрите логи на предмет записи

zone ts-domain.ru/IN: loaded serial 20130801

mky ★★★★★ ()
Ответ на: комментарий от mky

Да мы регистрировали только ts-domain.ru b и более ничего..

Ага, вот оно что... нашел таки, что зона не загружается..

13-Aug-2013 14:15:55.561 general: debug 1: zone ts-domain.ru/IN: starting load
13-Aug-2013 14:15:55.561 general: debug 2: zone ts-domain.ru/IN: number of nodes in database: 7
13-Aug-2013 14:15:55.561 general: error: zone ts-domain.ru/IN: journal rollforward failed: no more
13-Aug-2013 14:15:55.561 general: error: zone ts-domain.ru/IN: not loaded due to errors.
13-Aug-2013 14:15:55.562 general: debug 1: dns_zone_maintenance: zone ts-domain.ru/IN: enter
13-Aug-2013 14:15:55.562 general: debug 1: zone_settimer: zone ts-domain.ru/IN: enter
13-Aug-2013 14:15:55.562 general: debug 10: zone_settimer: zone ts-domain.ru/IN: settimer inactive
Dr0id ()
Ответ на: комментарий от Dr0id

Только теперь не совсем ясно что за journal он найти пытается?

Dr0id ()

А кто регистратор? nic.ru и наверняка многие другие такое вот не дадут сделать:

ns1         IN       A  90.100.143.43
ns2         IN       A  90.100.143.43

ns должны быть в разных подсетях, точно не помню уже дистанцию. Тебе регистратор вообще письма шлет? Там должны быть написаны ошибки.

20130801

Принято после каждого изменения это значение повышать. И вообще оно как правило записывается так: 2013081301 (это первая попытка за сегодня, 13.08.2013), следующее изменение файла за сегодня 2013081302 и т.п.

Про обратную зону уже сказали, этим должен заниматься провайдер-владелец твоей 90.100.143.0/24.

anonymous ()
Ответ на: комментарий от anonymous

Да, регистрировали в RU-CENTER. Писем не получаю, т.к доступа в доменную панель RU-CENTER-а у меня нету. Туда вписали два ns-а и все. Некоторое время все даже работало, я мог стучаться на поддомены. Не знаю может быть проблема связана с переводом сервера под chroot ... Или RU-CENTER, что-то спустя некоторое время пустил в реджект...

Dr0id ()
Ответ на: комментарий от Dr0id

В выдаче WHOIS по моему дломену он показывает два NS1и NS2 сервера, мои IP, выходит, что скушал одну подсеть ? Проблема была в том, что в каталоге master лежал пустой *.jrn файл,удалив его зона загрузилась.. Теперь DNS отрабатывает локально если его указать как дефолтовый DNS... Из вне увы ничего не резолвится...

Dr0id ()
Ответ на: комментарий от Dr0id

В журнал (*.jrn файл) пишутся все динамические изменения сожержимого зоны (allow-update). И, вроде как, его действительно нужно удалять, при изменении данных в файле зоны.

Запросы снаружи видны в tcpdump? В логах named? Ответы видны в tcpdump? Если запросы есть, а ответов нет, проверьте iptables и маршруты. В iptables может быть запрет в OUTPUT. В маршрутах может быть default-маршрут в никуда.

mky ★★★★★ ()
Ответ на: комментарий от Dr0id

доступа в доменную панель RU-CENTER-а у меня нету

С этим лучше что-нибудь сделать

вписали два ns-а и все

А какие туда вписали ns-ы? Вторичный DNS у них же (RU-CENTER) покупали? Эти ns-ы нужно указать в качестве ns в файле зоны.

Например:

   IN      A       90.100.143.43
   IN      NS      ns.ts-domain.ru.
   IN      NS      ns4.nic.ru.
   IN      NS      ns8.nic.ru.
anonymous ()
Ответ на: комментарий от anonymous

Вторичные DNS-ы у них не покупли, в полях указаны мои два DNS сервера поднятые в сети 90.100.143.* и все..

Dr0id ()
Ответ на: комментарий от Dr0id

Я давно у них покупал (и настраивал) домены, возможно что-то и изменилось, но раньше так не сработало бы. Для бесперебойной работы нужно как минимум 2 ns в разных подсетях. Можно держать свои первичный и вторичный (в разных, опять же, подсетях), можно купить у них вторичный, можно купить у них первичный, вторичный и управлять прямо ихним веб-интерфейсом.

В любом случае нужен доступ к аккаунту, хотя бы посмотреть на что он ругается, посмотреть какие ns-ы и исправить если что

anonymous ()
Ответ на: комментарий от anonymous

Хотя, если твои ns-ы достаточно далеко друг от друга (адресами), может и сработает. Тебе нужно второй ns настроить как slave (secondary) и все

anonymous ()
Ответ на: комментарий от anonymous

Спасибо Вам за ответ, буду просить доступ в панель.

Dr0id ()
Ответ на: комментарий от Dr0id

У меня сейчас физически пока работает один, второй хоть там и указан но фактические его нету. Между ними более 150 IP адресов.. Но подсеть все-равно одна..

Dr0id ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.