Não é possível obter o funcionamento do servidor DNS autoritativo (BIND9)

1

Estou tentando fazer um servidor DNS BIND9 funcionar em um servidor Debian para uma tarefa na escola. O problema é que, quando tento testar meu servidor DNS com dig -t soa my.domain.com @ns.my.domain.com , acabei de receber dig: couldn't get address for 'ns.my.domain.com': failure . O professor tem verificações automáticas em execução, o que só me diz que "os registros SOA não correspondem". Estou totalmente no escuro.

Aqui está uma visão geral dos endereços IP e nomes (feitos para fins de privacidade):

My server: my.domain.com 123.123.123.100
Name server 1: ns1.school.com 123.123.123.101
Name server 2: ns2.school.com 123.123.123.102
Test server: 123.123.123.103

Esses endereços IP foram dados a mim pelo professor. O servidor de teste executa uma verificação automática a cada 2 horas para verificar se o módulo está funcionando.

Quando executo systemctl status bind9 , recebo a seguinte mensagem repetida algumas vezes:

client 123.123.123.103#51478 (my.domain.com): zone transfer 'my.domain.com/AXFR/IN' denied

Eu não tenho ideia do que poderia estar errado. Alguém poderia me orientar na direção certa?

CONFIGURAÇÃO

named.conf.options

options {
        directory "/var/cache/bind";
        recursion no;
        allow-transfer { none; };

        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

named.conf.local

zone my.domain.com {
        type master;
        file "/etc/bind/zones/db.my.domain.com";
        allow-transfer { 123.123.123.101; 123.123.123.102; };
};

zones / db.my.domain.com

@       IN      SOA     ns.my.domain.com. [email protected]. (
                     2018082501         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;

; Name servers
my.domain.com.   IN      NS      ns.my.domain.com.
my.domain.com.   IN      NS      ns1.school.com.
my.domain.com.   IN      NS      ns2.school.com.

; A records for name servers
ns      IN      A       123.123.123.100
ns1     IN      A       123.123.123.101
ns2     IN      A       123.123.123.102
www     IN      A       123.123.123.100
test    IN      A       123.123.123.103
    
por Wouter C 25.08.2018 / 12:22

1 resposta

1

A partir da configuração que você nos mostra, há vários pontos a mencionar que precisam ser corrigidos:

  • O arquivo de nome de domínio deve ser zones/db.mydomain,com e não zones/db.mydomaon.com ;
  • Quanto ao erro que você nos apresenta, está dizendo que uma transferência de domínio está sendo negada para a máquina de teste 123.123.123.103; como tal, permita-o, adicionando-o aos servidores permitindo transferências DNS como em:

    permitir transferência {123.123.123.101; 123.123.123.102; 123.123.123.103; };

Você precisará reiniciar o BIND após essa alteração.

É plausível acreditar que o servidor de teste está executando um script / teste no arquivo real que deveria ser transferido e, portanto, o erro.

  • se ns1 e ns2 já estiverem registrados no domínio school.com, não vejo necessidade de registrá-los novamente no domínio mydomain.com (e, na verdade, vi muitos profissionais cometerem o mesmo erro); / p>

  • Quanto ao teste de máquina, não está totalmente claro se ele captura a school.com ou mydomain.com.

Quanto ao seu comando dig falhar, eu enviaria diretamente o endereço IP como em:

Se dentro do seu servidor:

dig -t soa my.domain.com @127.0.0.1

ou melhor:

dig -t soa my.domain.com @123.123.123.100

Como último comentário, 1 semana para um cache negativo TTL é muito alto. Eu usaria 30 minutos ou 1 hora.

    
por 25.08.2018 / 12:46