[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: dhcpd liefert mir 1 DNS-Server zuviel

On Wed, 21 Sep 2005, Andreas Pakulat wrote:

> > andreas@neo:~>dnswalk .apaku.dnsalias.org.
> > Checking .apaku.dnsalias.org.
> > BAD: .apaku.dnsalias.org. has only one authoritative nameserver
> > Getting zone transfer of .apaku.dnsalias.org. from neo.apaku.dnsalias.org...done.
> > SOA=neo.apaku.dnsalias.org      contact=root.neo.apaku.dnsalias.org
> > WARN: mathias.apaku.dnsalias.org A 192.168.1.2: no PTR record
> > 0 failures, 1 warnings, 1 errors.
> > Hmm, das Warning ist merkwürdig. [...]
> Ich hab den mathias-Host erstmal komplett entfernt, kein Warning mehr.
> Aber auch noch kein DDNS-Update.

Wenn ich es richtig gesehen habe, war das der Copy'n Paste aus dem 
Zonefile. Das kann man mit bind9 getrost vergessen, solange er läuft.

Das einzige, was Dir wirklich die Zone ausgibt, die auch die Clients 
sehen, ist ein:

dig @dns yourzone axfr

Bind9 speichert sich die dynamischen Änderunen in den .jnl-Dateien ab und 
speichert erst dann das Zonefile, wenn man mit dem rndc Utility den Server 
davon überzeugt es zu tun oder den Bind9 durchstartet. Frag' mich bitte 
nicht nach dem "rndc" Tool. Ich hab' schon den Vorläufer "ndc" nicht 
wirklich verstanden. ;-)

Da der dnswalk auch nur einen Zonetransfer macht, kann das Ergebnis aus 
dem Zonefile im Zweifel auch nur falsch sein.


> > > Selbst dann sollte eigentlich erst mal von org nach dnsalias nach apaku 
> > > resolved werden. Aber einen Versuch wär's vielleicht wert!
> > > 
> > > Mach' doch mal den Morpheus bei Dir lokal zum SOA für dnsalias.org indem 
> > > Du eine Master-Zone dort deklarierst und dort dann eine Delegation an 
> > > apaku einbaust. Ist zwar nicht ganz fair und nicht ganz fein - aber für 
> > > einen Quickie ganz brauchbar. Wenn's danach funktioniert, wissen wir, daß 
> > > die fehlende Delegation schuld war.
> > Da muss ich erst nochmal in die DNS-Doku schauen, damit ich verstehe ob
> > du morpheus oder neo/trinity meinst (letztere ist naemlich der mit dem
> > Bind) und was genau ich da in der Config aendern muss. Dauert also ein
> > bisschen...

Ich bring die ganzen Namen immer durcheinander. Bin ja auch schon alt. ;-)
Ich meine natürlich den "neo/trinity" - wie komme ich da auf Morpheus?


> Also wenn ich das richtig verstanden habe sollte mein DNS-Server jetzt
> behaupten er wäre für dnsalias.org zuständig:
> 
> andreas@neo:~>dig dnsalias.org afxr
> 
> ; <<>> DiG 9.2.4 <<>> dnsalias.org afxr
> ;; global options:  printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19506
> ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
> 
> ;; QUESTION SECTION:
> ;dnsalias.org.                  IN      A
> 
> ;; AUTHORITY SECTION:
> dnsalias.org.           86400   IN      SOA     neo.apaku.dnsalias.org. root.neo.apaku.dnsalias.org. 16 28800 7200 2419200 86400
> 
> ;; Query time: 6 msec
> ;; SERVER: 127.0.0.1#53(127.0.0.1)
> ;; WHEN: Wed Sep 21 23:14:47 2005
> ;; MSG SIZE  rcvd: 81

Da fehlt noch mindestens ein NS Eintrag und die Delegation für .apaku.

Bei der lokalen Zone antepoth.de sieht die so aus:

dfw1:~# dig antepoth.de axfr

; <<>> DiG 9.2.4 <<>> antepoth.de axfr
;; global options:  printcmd
antepoth.de.            172800  IN      SOA     fw1.antepoth.de. root.antepoth.de. 1999092901 86400 7200 604800 172800
antepoth.de.            172800  IN      NS      fw1.antepoth.de.
antepoth.de.            172800  IN      MX      10 mail.antepoth.de.
extern.antepoth.de.     172800  IN      A       192.168.101.254
fw1.antepoth.de.        172800  IN      A       192.168.186.254
mail.antepoth.de.       172800  IN      A       212.227.20.60
so.antepoth.de.         172800  IN      NS      fw1.antepoth.de.
www.antepoth.de.        172800  IN      A       212.227.20.60
antepoth.de.            172800  IN      SOA     fw1.antepoth.de. 
root.antepoth.de. 1999092901 86400 7200 604800 172800
;; Query time: 7 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Sep 22 21:43:57 2005
;; XFR size: 10 records

Sehr schön sieht man auch den so.antepoth.de Eintrag. Der besteht nur aus 
einem NS-Record. Die Zone .so hat dann den "fw1.so.antepoth.de" als NS - 
mit der gleichen IP wie der fw1.antepoth.de.


> Hat aber noch keinerlei Veränderung gebracht. 

Ja. Denn woher soll der DNS mit der "künstlichen" Zone dnsalias.org denn 
wissen, wie er die .apaku delegieren soll? Mir fielen auch die 3 Sekunden 
auf, die für die Antwort nötig waren. Die hat der Bind auf dem "neo." 
gebraucht, um die ganzen root-NS zu fragen, wer hier dnsalias.org kennen 
könnte. Die 7..8 msec hier zeigen auch, daß hier keine Anfragen nach außen 
geroutet werden.


> Ich hatte sicherheitshalbe nochmal den hosts-Teil aus der dhcpd-Config 
> entfernt und ebenso den DHCP-Client seinen Host-Namen übertragen lassen. 
> Der DHCPD will einfach kein DNS-Update anstossen.

Jetzt wäre mal langsam ein 

tcpdump -s0 -n -w blubb.dmp -i DEINBINDINTERFACE port 53

und davon der hexdump 

durch:

tcpdump -Xnr blubb.dmp

während einem Update interessant. 

Keys hast Du ja hoffentlich keine, und das Update der Zones wird 
vermutlich - wie hier - aus persönlicher Faulheit - auch - per IP 
gesteuert. ;-)

Bei den Windei-Kisten kannst Du den Update ganz gelöst über

ipconfig /release
ipconfig /renew

auslösen.


	t++
Reply to: