DNS Replikation bei BIND funktioniert nicht

  • Hallo,


    ich habe zwei BIND Server. Die named.conf.local sieht so aus:

    Code
    1. zone "domain.tld" IN {
    2. type master;
    3. allow-transfer { X.X.X.X; };
    4. notify yes;
    5. also-notify { X.X.X.X; };
    6. file "/etc/bind/zones/domain.tld";
    7. };

    Die named.conf.local auf dem Slave Server so:

    Code
    1. zone "domain.tld" IN {
    2. type slave;
    3. masters { XX.XX.XX.XX; };
    4. file "/etc/bind/zones/domain.tld";
    5. };

    Wenn ich es richtig verstanden habe, sollte sich jetzt der Slave Server die Zone vom Master ziehen bzw. der Master den Slave über eine Änderung informieren. Leider scheint kein Abgleich stattzufinden.

    Was mache ich falsch? Muss ich neben dem Ordner zones auch noch die Datei domain.tld anlegen?

  • darf man fragen, welche Linux Distri hier zur Anwendung kommt?

    sollte es am Slave nicht einen Folder bereits geben, in dem die vom Master empfangenen Zone-Files abgelegt werden?

    SELinux?


    "/etc/bind/..." f. die ZONE-Files kommt mir jetzt etwas seltsam vor ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • werden die Update gezogen, wenn du "rndc retransfer DOMAIN" eingibst?

    hast du auch den SOA angepasst?

    Nein, mittels rndc werden die Updates nicht gezogen. Es kommt aber auch keine Fehlermeldung. Ist es richtig, dass ich den Befehl auf dem Slave ausführe?

    Was meinst du genau mit SOA anpassen? Ich habe nur den ns1 als primären dort stehen.


    darf man fragen, welche Linux Distri hier zur Anwendung kommt?

    sollte es am Slave nicht einen Folder bereits geben, in dem die vom Master empfangenen Zone-Files abgelegt werden?

    SELinux?


    "/etc/bind/..." f. die ZONE-Files kommt mir jetzt etwas seltsam vor ...

    Verwendet wird Debian 9. Ich hatte nur BIND9 als Paket installiert. Fehlt vielleicht eine Erweiterung?

    Das Verzeichnis zones auf dem Slave habe ich bereits manuell angelegt.

    Wo sollten stattdessen die Zone-Files abgelegt werden?

  • Wo sollten stattdessen die Zone-Files abgelegt werden?

    das ist eine spezifische Frage zur Distribution und ob als chroot oder nicht denk ich mal;


    bei mir (CentOS 6) sind diese alle unter

    /var/named/

    und auch spielt eine Rolle, wie das mit owner:group aussieht, auch mit den Rechten und gegebenenfalls mit dem SELinux Context

    (schau Dir dazu chown, chcon, chmod an)


    ls -alZ ergibt bei mir das da ...

    (die Einträge mit meinen eigenen ZONE-Files entfernt)

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Ich wollt noch folgenden Log Ausschnitt hinzufügen:

    Code
    1. May 26 14:09:49 srv25 named[6212]: zone domain.tld/IN: refresh: unexpected rcode (SERVFAIL) from master XX.XX.XX.XX#53 (source 0.0.0.0#0)
    2. May 26 14:10:18 srv25 named[6212]: received control channel command 'retransfer domain.tld'

    Leider hilft mir das überhaupt nicht weiter. Habe auch schon mit den forwarders probiert, auch ohne Erfolg. Wisst ihr sonst noch was?

  • befindet sich in der named.conf sowas wie

    Code
    1. controls {
    2.     inet 127.0.0.1 port 953
    3.     allow { localhost; } keys { "rndc-key"; };
    4.     inet ::1 port 953
    5.     allow { localhost; } keys { "rndc-key"; };
    6. };

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Die named.conf schaut so aus:

    Die named.conf.options so:

    Die named-conf.local hatte ich oben ja schon eingefügt im ersten Post.

    Und die named.conf.default-zones so:

    Ist alles der Standard, habe bis auf das Einfügen der eigenen Zonen nichts geändert. Eine bestimmte control Richtlinie ist mir nicht bekannt.

  • TCP/UDP auf Port 53 sind auf beiden Servern offen.


    Folgende Log Ausschnitte sind eben noch aufgetaucht:

    Ich hatte auch probiert die Berechtigungen (für den Test) für die

    Code
    1. /etc/bind/db.domain.tld

    auf 777 zu erweitern. Sowohl auf dem Master, als auch Slave. Bringt leider nichts. Kann es sonst noch an Berechtigungen im Verzeichnis liegen?

  • Code
    1. May 26 19:13:52 srv25 named[832]: dumping master file: /etc/bind/tmp-6e7V7MQYLL: open: permission denied
    2. May 26 19:15:06 srv25 named[832]: unable to remove masterfile '/etc/bind/db.domain.tld': 'Permission denied'
    3. May 26 19:15:06 srv25 named[832]: zone domain.tld/IN: transfer: could not set file modification time of '/etc/bind/db.domain.tld': permission denied
    4. May 26 19:15:06 srv25 named[832]: dumping master file: /etc/bind/tmp-ewUMlWOYta: open: permission denied

    Ich hab deinen Post mal eben aufs wesentliche Problem reduziert, eventuell kann Google dir hierbei nun besser helfen in dem du einfach mal nach "permissions for bind" suchst. Den die scheinen Bind momentan nicht so zu gefallen.

  • Wenn Du in der Zonendeklaration den Pfad relativ angibst, sollte es mE passen:


    file "/etc/bind/zones/domain.tld";

    file "zones/domain.tld";


    Detto beim Slave - der legt seine Zonen relativ in /var/cache/bind ab.

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Gutscheine: https://netcup-groupie.de/▓▒░