Problema de resolução Strange BIND

1

Estou com um problema estranho de resolução nos meus servidores DNS. Tenho algumas décadas de experiência na administração de servidores DNS do Windows, mas tenho menos de um ano de experiência na administração de servidores Ubuntu / BIND 9. Um pouco de fundo sobre o meu ambiente:

Eu trabalho para um pequeno provedor de serviços e administro três servidores Ubuntu / Bind 9. Eles são configurados como um mestre e dois escravos. Todos os três servidores são configurados com endereços IP privados em uma VLAN reservada para servidores, com NATs estáticos em nosso firewall para os escravos. Os escravos são acessíveis a partir de nossa rede interna e da Internet pública, mas a recursão pública é limitada às sub-redes IP que hospedamos. O mestre só permite o acesso dos dois escravos e da nossa VLAN de gerenciamento interno. O Master e o Slave2 são o Ubuntu 12.04 executando o BIND 9.8.1-P1. Slave1 é um sistema antigo, programado para substituição, rodando Ubuntu 9.04 e BIND 9.8.1-P1. Estou vendo o mesmo problema em ambos os escravos. Eu construí o Master e o Slave2 e herdei o Slave1 de um administrador anterior.

Aqui está o problema: Se eu fizer um NSLOOKUP de um sistema em uma de nossas sub-redes IP hospedadas para office365.com., obtenho uma resolução bem-sucedida. Se eu tentar resolver outlook.office365.com., Recebo o seguinte erro:

*** Desconhecido não pode encontrar outlook.office365.com .: Erro não especificado

Eu posso resolver com sucesso, através do NSLOOKUP, ambos os URLs de um sistema na VLAN do servidor e do console de ambos os servidores escravos. Este problema foi relatado a mim por um cliente que afirmou que ele viu esse problema em um punhado de URLs, mas outlook.office365.com é o único que ele poderia lembrar especificamente. Já experimentei vários outros URLs e todos foram resolvidos com sucesso. Só posso replicar o problema com esse URL. (Espero que o cliente se lembre de mais alguns.)

Eu configuro um query.log, com base em um artigo que encontrei neste site, e vejo a solicitação entrar independentemente de onde ele se origina.

Exemplo:
cliente MYIPADDRESS # 1067: consulta: outlook.office365.com EM A + (BINDSERVERIPADDRESS)

Se eu mudar meu servidor DNS para 8.8.8.8 ou 4.2.2.2, ele será resolvido corretamente; adicionar os dois como encaminhadores em meus servidores Bind não corrige o problema. Eu verifiquei meu syslog, mas não vejo entradas em relação a essa consulta que poderia oferecer pistas. Eu também tentei permitir a recursão de "qualquer", mas o mesmo problema. Também revi nosso conjunto de regras de firewall e não vejo nada que possa explicar isso. Parece que, se uma lista de acesso fosse o problema, nenhuma consulta DNS funcionaria. Alguém tem alguma ideia? Existe uma maneira de registrar um motivo para uma falha na consulta?

    
por Johann 06.01.2014 / 20:41

0 respostas