mehrere meiner Domains werden nicht mehr aufgelöst

  • Guten Abend,


    seit heute Mittag werden zwei meiner Domains (ormanns.net & row-records.de) auf verschiedenen Systemen (bspw. Dig (DNS lookup) resp. Dig (DNS lookup)) nicht mehr gefunden bzw. aufgelöst. dig liefert in dem Fall ein SERVFAIL, ping meldet "unknown host". Bei mir zuhause hingegen können die Adressen aufgelöst werden.


    Ich habe seit dem 15.3. nichts an der BIND-Config geändert, ebenso loggte BIND keine Fehler. Mir fiel nur vorhin bei einem named-checkzone auf ormanns.net auf, dass die (vorhandenen) Keyfiles nicht gefunden werden konnten. Ein paar Minuten später versuchte ich es nochmal, und jetzt lief der Check ohne Fehler durch. Ebenso lieferte der Nameserver Predelegation Check der DENIC keine Fehler.


    Die Zonefiles sehen wie folgt aus:



    Wie gesagt - die Config lief jetzt wochenlang ohne Probleme, zudem treten die Probleme nur bei 2 von 3 Domains auf. Ich bin gerade etwas ratlos, was ich noch checken könnte und wäre froh, falls jemand eine Idee hat.


    MfG Aleph

  • gunnarh,


    vielen Dank für deine Antwort.


    Vorab: ich habe jetzt eben die beiden betroffenen Zonefiles neu signiert und named neu geladen, jetzt läuft alles wieder wie gehabt.


    Zum Testen habe ich auf mehreren Systemen dig verwendet, dort, wo dig ein SERVFAIL aufgab, konnte die Domain auch nicht aufgelöst werden. Woanders gab es ein NOERROR, dort wurden die Domains dann natürlich auch aufgelöst.


    Einerseits ist es jetzt gut, dass alles wieder läuft, andererseits wüsste ich natürlich schon gern, warum aus heiterem Himmel dieses Problem entstand. Mangels Fehlermeldungen kann ich es aber derzeit nicht wirklich nachvollziehen...


    MfG Aleph

  • ...danke dir. Doch, die Fehlermeldungen hatte ich angesehen, blöderweise hatte ich dann nur diesen einen Tab offen und den aktualisiert, woraufhin die Fehlermeldungen natürlich verschwanden...


    MfG Aleph

  • chrko,


    vielen Dank für den Hinweis. Tatsächlich zeigt ormanns.net | DNSViz den Fehler an, DNSSEC Analyzer - ormanns.net hingegen vermeldet keine Fehler.
    Ich vermute den Fehler darin, dass BIND nicht die Serial erhöht, denn die Logs enthalten zwar für jede Stunde die folgenden Einträge, jedoch scheinen die Slaves kein Update zu erkennen und Aktualisieren daher auch die Zonefiles nicht.

    Quote

    Apr 4 17:58:02 ormanns.net named[17704]: zone ormanns.net/IN (signed): reconfiguring zone keys
    Apr 4 17:58:02 ormanns.net named[17704]: zone ormanns.net/IN (signed): next key event: 04-Apr-2017 18:58:02.553

    Trotz dem gut geschriebenen Howto von gunnarh und diversen Googlesuchen bin ich hier noch nicht wirklich vorangekommen.


    Zudem hat sich ein zweites Problem aufgetan - AFAIK muss ich update-policy auf "local" setzen, wenn ich automatische Key-Rollover haben will. Dann muss ich aber die Policy für meine Dyndns-Einträge deaktivieren...wie kann ich beides unter einen Hut bringen?


    Besten Dank vorab,
    Aleph

  • Code
    1. file "/var/cache/bind/123.de.zone.signed";


    Das ist falsch, du musst in der Zone das unsignierte, menschenlesbare Textfile konfigurieren, nicht das signierte!
    Das .signed File sowie die Journale .jnl werden dann aufgrund der Konfiguration mit "auto-dnssec maintain; inline-signing yes;" völlig automatisch von Bind verwaltet.


    Wenn Bind die zone neu signiert, dann ändert sich auch automatisch die Serial um ein paar Ticks nach oben.


    Du kannst die signierte Zone (die ja nicht menschenlesbar ist, also ein Binärfile, kein Textfile) folgendermaßen prüfen:

    Code
    1. named-checkzone -D -i full -f raw $domain $ZONEDIR/$domain.signed >/tmp/$domain.txt
    2. ldns-verify-zone /tmp/$domain.txt -S -V 4 -k $KSK -k $ZSK