Mestre de DNS oculto enviando apenas notificação a um escravo

Navegue suas respostas
5

Meu mestre de DNS oculto está enviando apenas notificações para um dos servidores de nomes de uma zona Eu tenho 3 servidores nomeados ns0, ns1 & ns2 todos executando ligação 9.7.3.dfsg-1ubuntu4.1.

Quando uma atualização é processada, o mestre (ns0) parece se comportar normalmente.

ns0 (192.168.2.50) 

zone domain.org/IN: sending notifies (serial 2012060703)
client 192.168.2.52#42892: transfer of 'domain.org/IN': AXFR-style IXFR started: TSIG rndc-key
client 192.168.2.52#42892: transfer of 'domain.org/IN': AXFR-style IXFR ended

ns2 (192.168.2.52) 

client 192.168.2.50#3762: received notify for zone 'domain.org': TSIG 'rndc-key'
zone domain.org/IN: Transfer started.
transfer of 'domain.org/IN' from 192.168.2.50#53: connected using 192.168.2.52#55747
zone domain.org/IN: transferred serial 2012060704: TSIG 'rndc-key'
transfer of 'domain.org/IN' from 192.168.2.50#53: Transfer completed: 1 messages, 34 records, 1028 bytes, 0.001 secs (1028000 bytes/sec)

Nada acontece no ns1. Eu aumentei o nível de registro, mas não há nenhuma informação no syslog sobre o servidor de nomes real que o bind enviou notificações, então acho que isso é algo que ele não registra.

Eu também tentei ver o tcpdump, ele nunca faz qualquer tentativa de notificar o ns1 apenas ns2 

192.168.2.50.56278 > 192.168.2.52.53: [udp sum ok] 56418 notify [b2&3=0x2400] [1a] [1au]
↵ SOA? domain.org. domain.org. [0s] SOA ns1.domain.net. dnsmaster.domain.net. 
↵ 2012060801 10800 3600 604800 3600 ar: rndc-key. ANY [0s] TSIG hmac-md5.sig-alg.reg.int. fudge=300 maclen=16 origid=56418 error=0 otherlen=0 (174)

a zona autoritária tem registros ns1 e ns2 

$ORIGIN domain.org.
$TTL 3h
@   IN  SOA ns1.domain.net. dnsmaster.domain.net. (
        2012060801  ; Serial yyyymmddnn
        3h  ; Refresh After 3 hours
        1h  ; Retry Retry after 1 hour
        1w  ; Expire after 1 week
        1h )    ; Minimum negative caching of 1 hour

@   3600    IN  NS  ns1.domain.net.
@   3600    IN  NS  ns2.domain.net.

// Editar

Eu adicionei also-notify {192.168.2.51;192.168.2.52;}; explicitamente ao arquivo de zona e tudo funciona bem, tanto o ns1 quanto o ns2 recebem as mensagens de notificação e as transferências são bem-sucedidas.

Eu estava sob a impressão de que o bind enviaria automaticamente notificações para todos os registros do NS em uma zona, talvez esteja com um bug?

    
por Rob 08.06.2012 / 11:51

2 respostas

6

Você já tentou definir isso?

notify-to-soa yes;

A partir da referência de configuração do BIND 9:

notify-to-soa

If yes do not check the nameservers in the NS RRset against the SOA MNAME. Normally a NOTIFY message is not sent to the SOA MNAME (SOA ORIGIN) as it is supposed to contain the name of the ultimate master. Sometimes, however, a slave is listed as the SOA MNAME in hidden master configurations and in that case you would want the ultimate master to still send NOTIFY messages to all the nameservers listed in the NS RRset.

    
por 06.07.2012 / 15:17
2

Sem saber muito sobre isso, configurar o SOA para ns1 confunde ns0 o suficiente para impedir que ele envie atualizações? 

@   IN  SOA ns1.domain.net.

i.e. configura para, 

@   IN  SOA ns0.domain.net.

corrija este problema (embora eu aprecie que isso possa causar outras pessoas)

    
por 08.06.2012 / 13:09

Tags

ssh error - a ligação à porta 22 falhou: Endereço já em uso Desabilitar o IPv4: o que exatamente o 'ifconfig eth0 0' faz?