delegando / 24 e / 64 zonas inversas

1

Tenho certeza de que estou ignorando algo tão simples, mas simplesmente não estou vendo ... Estou tentando delegar as zonas reversas / 24 e / 64 para nossa rede de teste para hosts dentro da rede de teste . Estou vendo o mesmo problema com a delegação IPv4 / 24 e IPv6 / 64, por isso vou me concentrar no IPv4 no momento.

Usamos 172.31.0.0/16 internamente, com 172.31.99.0/24 sendo a rede de teste.

Desejo delegar 99.31.172.in-addr.arpa. aos dois novos controladores de domínio na rede de teste em 172.31.99.11 e .12

$ORIGIN 99.31.172.in-addr.arpa.
@       NS      svr-addc1.ad.example.com.au.
@       NS      svr-addc2.ad.example.com.au.

Obviamente, substituímos nosso domínio real por "exemplo".

Após um reload completo de named, recebo NXDOMAIN do resolvedor local:

# dig -x 172.31.99.11 @localhost

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> -x 172.31.99.11 @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 50720
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;11.99.31.172.in-addr.arpa. IN  PTR

;; Query time: 29 msec
;; SERVER: ::1#53(::1)
;; WHEN: Tue Jul  9 16:38:33 2013
;; MSG SIZE  rcvd: 43

Enquanto isso, uma pesquisa direcionada ao IP que eu deleguei funciona bem:

# dig -x 172.31.99.11 @172.31.99.11

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> -x 172.31.99.11 @172.31.99.11
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44598
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;11.99.31.172.in-addr.arpa. IN  PTR

;; ANSWER SECTION:
11.99.31.172.in-addr.arpa. 1200 IN  PTR svr-addc1.ad.example.com.au.

;; Query time: 2 msec
;; SERVER: 172.31.99.11#53(172.31.99.11)
;; WHEN: Tue Jul  9 15:49:51 2013
;; MSG SIZE  rcvd: 81

Esta é a delegação para a pesquisa direta, que funciona como esperado:

$ORIGIN ad.example.com.au.
@             NS    svr-addc1
@             NS    svr-addc2
; glue records:
svr-addc1 A     172.31.99.11
          AAAA  2001:xxxx:xxxx:c699::addc:21
svr-addc2 A     172.31.99.12
          AAAA  2001:xxxx:xxxx:c699::addc:22

Pesquisas inversas para outras redes / 24 ainda funcionam bem:

# dig -x 172.31.42.101 @localhost +short
sw-sana.example.com.au.

EDITAR

Se eu adicionar a zona a named.conf como type forward zone, tudo funcionará corretamente:

### TEST network delegated to the new AD controllers
zone "99.31.172.in-addr.arpa" IN {
    type forward;
    forwarders { 172.31.99.11; 172.31.99.12; };
};
zone "9.9.6.c.x.x.x.x.x.x.x.x.1.0.0.2.ip6.arpa" IN {
    type forward;
    forwarders { 2001:xxxx:xxxx:c699::addc:21; 2001:xxxx:xxxx:c699::addc:22; };
};

E uma escavação usando o resolvedor local funciona:

# dig -x 172.31.99.11 +short
svr-addc1.ad.example.com.au.

Eu realmente não entendo o que estou fazendo de errado: - /

    
por fukawi2 09.07.2013 / 07:55

2 respostas

1

Quando um domínio é delegado em seu servidor de DNS principal, ele não responderá às consultas de DNS para esses domínios, a menos que a recursão esteja ATIVADA. O motivo pelo qual o encaminhamento está funcionando é que um encaminhador faz recursão por padrão. Você pode tentar ativar a recursão primeiro.

    
por 11.07.2013 / 00:47
1

I want to delegate 99.31.172.in-addr.arpa. to the 2 new Domain Controllers in the Test network at 172.31.99.11 and .12

$ORIGIN 99.31.172.in-addr.arpa.
@       NS      svr-addc1.ad.example.com.au.
@       NS      svr-addc2.ad.example.com.au.

Em qual arquivo você está colocando as linhas acima? As delegações devem estar na zona de contenção (ou seja, os registros de delegação para 99.31.172.in-addr.arpa devem existir dentro da zona para 31.172.in-addr.arpa). Além disso, como uma questão estilística, o que você ganha mudando o $ ORIGIN? Ele torna os registros menos explicitamente claros e pode causar efeitos colaterais se você tiver outros conteúdos de zona definidos posteriormente no arquivo.

Finalmente, o seu arquivo named.conf no servidor de nomes principal (não aquele na rede de teste) ainda contém uma declaração de zona para 99.31.172.in-addr.arpa. em seus pontos de vista?

    
por 17.07.2013 / 07:31