B Hausmann <b_hausmann@gmx.net> (Sa 08 Jul 2017 14:05:47 CEST):
> Hallo Alle
>
> Ich habe auf einer neuen Debian instalation Bind 9 installiert und die einstellungen noch unangetastete gelassen.
>
> wenn ich die abfragen mit +trace aufrufe bekomme ich eine rückmeldung
Weil Dig da nicht mit Deinem DNS Server redet.
> wenn ich normale dns abfragen starte bekomme ich immer status: serverfail. und in der
> syslog steht dann zb.: (broken trust chain) resolving 'google.de/A/IN'
Was heißt z.B.? Ja, broken Trustchain sieht nach DNSSec aus.
Wird das Ergebnis besser, wenn Du
dig +cdflag google.de
verwendest? Google selbst verwendet kein DNSSec, wohl aber .de und .
Und wenn Du eine Weile abwartest, wird das Ergebnis dann auch gut?
> laut google kann das wohl durch eine fehlerhafte zeit einstellung entstehen da aber ntp bei mir läuft sollte die zeit doch syncron sein. selbst die Bind.keys habe ich mir neu runter geladen und er ersetzt mit gleichem Ergebnis.
*Sollte* die korrekte Zeit sein, oder *ist* die korrekte Zeit. Wobei ich das
mal als Ursache ausschließen würde, es sei denn, du liegst Jahre
daneben. (Bei TSIG sind i.r.R. 5 Minuten Zeitdifferenz zwischen beiden
Partnern erlaubt, aber das wird hier nicht verwendet.)
> ; <<>> DiG 9.9.5-9+deb8u11-Debian <<>> google.de
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 55340
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
>
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 4096
> ;; QUESTION SECTION:
> ;google.de. IN A
>
> ;; Query time: 0 msec
> ;; SERVER: 192.168.0.1#53(192.168.0.1)
> ;; WHEN: Sat Jul 08 13:36:53 CEST 2017
> ;; MSG SIZE rcvd: 38
Wieso 192.168.0.1, ich hätte hier 127.0.0.1 erwartet? Dig hat das sicher
aus Deiner resolv.conf, aber wenn der DNS auf Deinem eigenen Rechner
läuft, warum dann nicht 127.0.0.1 als nameserver dort eintragen?
Ich hatte letztens so einen ähnlichen(?) Effekt, weil das IPv6 nicht gut
ging, aber Bind der Meinung war, es müsste gehen. Da hat es eine Weile
gedauert, nach dem Start, bis er betriebsfähig war, und ich glaube(!),
das mit der Broken Trustchian fand ich auch in den Logs. Was passiert,
wenn Du die IPv6-Transport ausschaltest? (Option -4 in
/etc/default/bind9)
Eben hatte ich auch nach einer neuen frischen Bind-Installation ein
SERVFAIL, aber jetzt kann ich das nicht reproduzieren, selbst wenn ich
mein IPv6 nachhaltig schädige (einen nicht vorhandenen GW als GW
eintrage).
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: F69376CE -
! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -
Attachment:
signature.asc
Description: PGP signature