Re: dhcpd liefert mir 1 DNS-Server zuviel
On 22.09.05 21:49:26, Thomas Antepoth wrote:
> On Wed, 21 Sep 2005, Andreas Pakulat wrote:
>
> > > andreas@neo:~>dnswalk .apaku.dnsalias.org.
> > > Checking .apaku.dnsalias.org.
> > > BAD: .apaku.dnsalias.org. has only one authoritative nameserver
> > > Getting zone transfer of .apaku.dnsalias.org. from neo.apaku.dnsalias.org...done.
> > > SOA=neo.apaku.dnsalias.org contact=root.neo.apaku.dnsalias.org
> > > WARN: mathias.apaku.dnsalias.org A 192.168.1.2: no PTR record
> > > 0 failures, 1 warnings, 1 errors.
> > > Hmm, das Warning ist merkwürdig. [...]
> > Ich hab den mathias-Host erstmal komplett entfernt, kein Warning mehr.
> > Aber auch noch kein DDNS-Update.
>
> Wenn ich es richtig gesehen habe, war das der Copy'n Paste aus dem
> Zonefile. Das kann man mit bind9 getrost vergessen, solange er läuft.
>
> Das einzige, was Dir wirklich die Zone ausgibt, die auch die Clients
> sehen, ist ein:
>
> dig @dns yourzone axfr
Ok, also nachdem ich rausgekriegt hab das ich fuer "@dns" "@meindns"
schreiben muss lief der Befehlt soweit durch. Fuer apaku.dnsalias.org
listet er mir quasi das von mir definierte zone-File auf (wenn ich das
richtig sehe). Fuer dnsalias.org natuerlich nur dann wenn ich meinen
bind9 als Master fuer die Domain einrichte...
Soweit sehe ich keine Fehler in meinem DNS-Setup, wenn du dich
vergewissern willst ob die Ausgaben der 2 Befehle wirklich korrekt sind,
bitte off-list (bins langsam leid das immer alles zu C'n'P...)
> Bind9 speichert sich die dynamischen Änderunen in den .jnl-Dateien ab und
> speichert erst dann das Zonefile, wenn man mit dem rndc Utility den Server
> davon überzeugt es zu tun oder den Bind9 durchstartet. Frag' mich bitte
> nicht nach dem "rndc" Tool. Ich hab' schon den Vorläufer "ndc" nicht
> wirklich verstanden. ;-)
Ich mach wenn sowas noetig wird immer ein /etc/init.d/bind9 restart. Hab
nicht die Zeit _noch_ ein Tool kennen zu lernen - jedenfalls nicht wenns
so auch geht...
> > > > Selbst dann sollte eigentlich erst mal von org nach dnsalias nach apaku
> > > > resolved werden. Aber einen Versuch wär's vielleicht wert!
> > > >
> > > > Mach' doch mal den Morpheus bei Dir lokal zum SOA für dnsalias.org indem
> > > > Du eine Master-Zone dort deklarierst und dort dann eine Delegation an
> > > > apaku einbaust. Ist zwar nicht ganz fair und nicht ganz fein - aber für
> > > > einen Quickie ganz brauchbar. Wenn's danach funktioniert, wissen wir, daß
> > > > die fehlende Delegation schuld war.
> > > Da muss ich erst nochmal in die DNS-Doku schauen, damit ich verstehe ob
> > > du morpheus oder neo/trinity meinst (letztere ist naemlich der mit dem
> > > Bind) und was genau ich da in der Config aendern muss. Dauert also ein
> > > bisschen...
>
> > Also wenn ich das richtig verstanden habe sollte mein DNS-Server jetzt
> > behaupten er wäre für dnsalias.org zuständig:
> >
> > andreas@neo:~>dig dnsalias.org afxr
> >
> > ; <<>> DiG 9.2.4 <<>> dnsalias.org afxr
> > ;; global options: printcmd
> > ;; Got answer:
> > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19506
> > ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
> >
> > ;; QUESTION SECTION:
> > ;dnsalias.org. IN A
> >
> > ;; AUTHORITY SECTION:
> > dnsalias.org. 86400 IN SOA neo.apaku.dnsalias.org. root.neo.apaku.dnsalias.org. 16 28800 7200 2419200 86400
> >
> > ;; Query time: 6 msec
> > ;; SERVER: 127.0.0.1#53(127.0.0.1)
> > ;; WHEN: Wed Sep 21 23:14:47 2005
> > ;; MSG SIZE rcvd: 81
>
> Da fehlt noch mindestens ein NS Eintrag und die Delegation für .apaku.
Hmm, wenn ich das richtig sehe fehlt mir da nur sowas:
apaku.dnsalias.org NS neo.apaku.dnsalias.org.
im Zone-File?
> > Hat aber noch keinerlei Veränderung gebracht.
>
> Ja. Denn woher soll der DNS mit der "künstlichen" Zone dnsalias.org denn
> wissen, wie er die .apaku delegieren soll?
:-)
> Mir fielen auch die 3 Sekunden
> auf, die für die Antwort nötig waren. Die hat der Bind auf dem "neo."
> gebraucht, um die ganzen root-NS zu fragen, wer hier dnsalias.org kennen
> könnte. Die 7..8 msec hier zeigen auch, daß hier keine Anfragen nach außen
> geroutet werden.
Was du nicht alles siehst... Ach ja, jetzt sehe ich da auch ne Query
time ;-)
Also ich denke jetzt funktioniert die Delegation:
root@neo:~>dig dnsalias.org axfr
; <<>> DiG 9.2.4 <<>> dnsalias.org axfr
;; global options: printcmd
dnsalias.org. 259200 IN SOA neo.apaku.dnsalias.org. root.neo.apaku.dnsalias.org. 16 28800 7200 2419200 86400
dnsalias.org. 259200 IN NS neo.apaku.dnsalias.org.
apaku.dnsalias.org. 259200 IN NS neo.apaku.dnsalias.org.
dnsalias.org. 259200 IN SOA neo.apaku.dnsalias.org. root.neo.apaku.dnsalias.org. 16 28800 7200 2419200 86400
;; Query time: 6 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Sep 22 23:03:21 2005
;; XFR size: 4 records
Nur der DHCPd mag immernoch nicht mit dem Bind9 quatschen. Hat der nicht
irgendeine Debug-Option oder so, ist ja schlimm wie wenig
gesprächsfreudig der ist...
> > Ich hatte sicherheitshalbe nochmal den hosts-Teil aus der dhcpd-Config
> > entfernt und ebenso den DHCP-Client seinen Host-Namen übertragen lassen.
> > Der DHCPD will einfach kein DNS-Update anstossen.
>
> Jetzt wäre mal langsam ein
>
> tcpdump -s0 -n -w blubb.dmp -i DEINBINDINTERFACE port 53
Stell dir vor, das musste ich aufm Server erst noch installieren. Was
im Moment - apt-proxy sei dank - bedeutet ich darf das DNS-Update per
Hand machen und dem Bind hinterher den Namen wieder abgewoehnen :-(
> tcpdump -Xnr blubb.dmp
Ich lass das mal, denn der tcpdump hat auf allen 3 Interfaces _kein_
Paket mitgeloggt. Sprich der DHCPd versucht es erst gar nicht. Ich poste
jetzt (sicherheitshalber) nochmal meine DHCP-Config, vllt. faellt dir
was auf was ich falsch mache...
root@neo:~>grep -v "^#.*$" /etc/dhcp3/dhcpd.conf | grep -v "^$"
ddns-update-style interim;
ddns-domainname "apaku.dnsalias.org";
ddns-updates on;
deny client-updates;
option domain-name "apaku.dnsalias.org";
option domain-name-servers 192.168.2.1;
default-lease-time 600;
max-lease-time 7200;
authoritative;
log-facility local7;
subnet 192.168.2.0 netmask 255.255.255.0 {
option routers 192.168.2.1;
option broadcast-address 192.168.1.255;
range 192.168.2.20 192.168.2.30;
}
Andreas
--
You are farsighted, a good planner, an ardent lover, and a faithful friend.
Reply to: