Hallo,
ich habe seit vorgestern das Problem, meine Server (beide Deb9) bleiben mit Ihren Diensten plötzlich stehen, nicht geht mehr außer Reboot via SCP, und mir ist aufgefallen im SCP wird ein sehr hoher Traffic angezeigt. Woran kann es liegen?
Posts by Georg
-
-
Nee, ich poste keine Namen von Mitarbeitern, mit welchen ich Kontakt hatte, im öffentlichen Forum. Aus Datenschutz und Respekt. Möchte niemanden bloßstellen.
-
Hey killerbees19,
danke für deine schnelle Antwort.
Ich habe ein ncLabs Produkt, aber scheinbar keine Rechte in dem von dir verlinkten Unterforum. Der Support hilft mir unter der Begründung, es sei keine Supportleistung, welche in den ncLabs Produkten enthalten ist, nicht weiter. Ich soll mich an den Admin des Forums hier wenden...
-
Gibt es für die ncLabs ein Unterforum oder einfach in dem regulären posten?
-
TCP/UDP auf Port 53 sind auf beiden Servern offen.
Folgende Log Ausschnitte sind eben noch aufgetaucht:
Display MoreCode- May 26 19:13:52 srv25 named[832]: transfer of 'domain.tld/IN' from XX.XX.XX.XX#53: Transfer completed: 1 messages, 4 records, 148 bytes, 0.001 secs (148000 bytes/sec)
- May 26 19:13:52 srv25 named[832]: zone domain.tld/IN: sending notifies (serial 2)
- May 26 19:13:52 srv25 named[832]: dumping master file: /etc/bind/tmp-6e7V7MQYLL: open: permission denied
- May 26 19:15:06 srv25 named[832]: received control channel command 'retransfer domain.tld'
- May 26 19:15:06 srv25 named[832]: zone domain.tld/IN: Transfer started.
- May 26 19:15:06 srv25 named[832]: transfer of 'domain.tld/IN' from XX.XX.XX.XX#53: connected using XX.XX.XX.XX#38001
- May 26 19:15:06 srv25 named[832]: unable to remove masterfile '/etc/bind/db.domain.tld': 'Permission denied'
- May 26 19:15:06 srv25 named[832]: zone domain.tld/IN: transferred serial 2
- May 26 19:15:06 srv25 named[832]: zone domain.tld/IN: transfer: could not set file modification time of '/etc/bind/db.domain.tld': permission denied
- May 26 19:15:06 srv25 named[832]: transfer of 'domain.tld/IN' from XX.XX.XX.XX#53: Transfer status: success
- May 26 19:15:06 srv25 named[832]: transfer of 'domain.tld/IN' from XX.XX.XX.XX#53: Transfer completed: 1 messages, 4 records, 148 bytes, 0.001 secs (148000 bytes/sec)
- May 26 19:15:06 srv25 named[832]: zone domain.tld/IN: sending notifies (serial 2)
- May 26 19:15:06 srv25 named[832]: dumping master file: /etc/bind/tmp-ewUMlWOYta: open: permission denied
Ich hatte auch probiert die Berechtigungen (für den Test) für die
auf 777 zu erweitern. Sowohl auf dem Master, als auch Slave. Bringt leider nichts. Kann es sonst noch an Berechtigungen im Verzeichnis liegen?
-
Die named.conf schaut so aus:
Display MoreCode- // This is the primary configuration file for the BIND DNS server named.
- //
- // Please read /usr/share/doc/bind9/README.Debian.gz for information on the
- // structure of BIND configuration files in Debian, *BEFORE* you customize
- // this configuration file.
- //
- // If you are just adding zones, please do that in /etc/bind/named.conf.local
- include "/etc/bind/named.conf.options";
- include "/etc/bind/named.conf.local";
- include "/etc/bind/named.conf.default-zones";
Die named.conf.options so:
Display MoreCode- options {
- directory "/var/cache/bind";
- // If there is a firewall between you and nameservers you want
- // to talk to, you may need to fix the firewall to allow multiple
- // ports to talk. See http://www.kb.cert.org/vuls/id/800113
- // If your ISP provided one or more IP addresses for stable
- // nameservers, you probably want to use them as forwarders.
- // Uncomment the following block, and insert the addresses replacing
- // the all-0's placeholder.
- // forwarders {
- // 0.0.0.0;
- // };
- //========================================================================
- // If BIND logs error messages about the root key being expired,
- // you will need to update your keys. See https://www.isc.org/bind-keys
- //========================================================================
- dnssec-validation auto;
- auth-nxdomain no; # conform to RFC1035
- listen-on-v6 { any; };
- };
Die named-conf.local hatte ich oben ja schon eingefügt im ersten Post.
Und die named.conf.default-zones so:
Display MoreCode- // prime the server with knowledge of the root servers
- zone "." {
- type hint;
- file "/etc/bind/db.root";
- };
- // be authoritative for the localhost forward and reverse zones, and for
- // broadcast zones as per RFC 1912
- zone "localhost" {
- type master;
- file "/etc/bind/db.local";
- };
- zone "127.in-addr.arpa" {
- type master;
- file "/etc/bind/db.127";
- };
- zone "0.in-addr.arpa" {
- type master;
- file "/etc/bind/db.0";
- };
- zone "255.in-addr.arpa" {
- type master;
- file "/etc/bind/db.255";
- };
Ist alles der Standard, habe bis auf das Einfügen der eigenen Zonen nichts geändert. Eine bestimmte control Richtlinie ist mir nicht bekannt.
-
Ich wollt noch folgenden Log Ausschnitt hinzufügen:
Leider hilft mir das überhaupt nicht weiter. Habe auch schon mit den forwarders probiert, auch ohne Erfolg. Wisst ihr sonst noch was?
-
Das ist des Rätsels Lösung. Problem ist scheinbar, dass bei mir die IPv6 config unter
/etc/network/interfaces.d/50-cloud-init.cfgaufstattsteht.Leider erhalte ich bei der Änderung der config einen Fehler beim Restart des Netzwerkes und die V6 Adresse wird gar nicht gebootet.
-
Der Server ist über Port 80 erreichbar. Ein Reverse Proxy existiert nicht. Die Ports gehen direkt zum Container.
Die Logs zeigen folgendes:
Code- 26.5.2019, 00:49:57 Use SKIP_LETS_ENCRYPT=y in mailcow.conf to skip it permanently.
- 26.5.2019, 00:49:57 Cannot validate hostnames, skipping Let's Encrypt for 1 hour.
- 26.5.2019, 00:49:57 Cannot match your IP NO_IPV6_LINK against hostname mail.domain.tld (IPv6)
- 26.5.2019, 00:49:57 Found AAAA record for mail.domain.tld: IPv6 - skipping A record check
- 26.5.2019, 00:49:57 Cannot match your IP NO_IPV6_LINK against hostname autodiscover.domain.tld (IPv6)
- 26.5.2019, 00:49:57 Found AAAA record for autodiscover.domain.tld: IPv6 - skipping A record check
- 26.5.2019, 00:49:53 OK
- 26.5.2019, 00:49:05 Detecting IP addresses...
- 26.5.2019, 00:49:05 Using existing Lets Encrypt account key /var/lib/acme/acme/account.pem
- 26.5.2019, 00:49:05 Using existing domain key /var/lib/acme/acme/key.pem
-
Danke für den Hinweis mit den Rechten. Ich habe mir diese noch mal angeschaut und geändert. Leider hier ohne Erfolg. SELinux ist bei Debian meines Wissens out of the box nicht drauf.
-
Hallo,
leider habe ich bei meiner Mail Kuh das Problem, dass keine Let's Encrypt Zertifikate erstellt werden. Es wird immer nur das Standard Zertifikat verwendet, welches selbst signiert ist. Hier https://mailcow.github.io/mail…ized-docs/firststeps-ssl/ habe ich auch schon alles durchprobiert. Leider ohne Erfolg. Muss ich sonst das vorhandene Zertifikat löschen, damit ein neues ausgestellt wird?
-
werden die Update gezogen, wenn du "rndc retransfer DOMAIN" eingibst?
hast du auch den SOA angepasst?
Nein, mittels rndc werden die Updates nicht gezogen. Es kommt aber auch keine Fehlermeldung. Ist es richtig, dass ich den Befehl auf dem Slave ausführe?
Was meinst du genau mit SOA anpassen? Ich habe nur den ns1 als primären dort stehen.
darf man fragen, welche Linux Distri hier zur Anwendung kommt?
sollte es am Slave nicht einen Folder bereits geben, in dem die vom Master empfangenen Zone-Files abgelegt werden?
SELinux?
"/etc/bind/..." f. die ZONE-Files kommt mir jetzt etwas seltsam vor ...
Verwendet wird Debian 9. Ich hatte nur BIND9 als Paket installiert. Fehlt vielleicht eine Erweiterung?
Das Verzeichnis zones auf dem Slave habe ich bereits manuell angelegt.
Wo sollten stattdessen die Zone-Files abgelegt werden?
-
Hallo,
ich habe zwei BIND Server. Die named.conf.local sieht so aus:
Die named.conf.local auf dem Slave Server so:
Wenn ich es richtig verstanden habe, sollte sich jetzt der Slave Server die Zone vom Master ziehen bzw. der Master den Slave über eine Änderung informieren. Leider scheint kein Abgleich stattzufinden.
Was mache ich falsch? Muss ich neben dem Ordner zones auch noch die Datei domain.tld anlegen?
-
Hallo,
wenn ich keine aktiven Verträge mehr mit netcup habe, folgt dann gleich im Anschluss die Löschnug meines Accounts oder darf ich später wiederkommen?
-
Hallo,
welchen Jabber Server könnt ihr empfehlen? Gerne einen der leicht zu konfigurieren ist, wenig Aufwand in der Wartung benötigt und möglichst keine Nachrichtenverlust entstehen.
-
Für de Domains: ja
Was stünde ansonsten noch zur Auswahl?
-
Ach so, danke für die Unterstützung. Ich habe mich gewundert, weshalb auch der ZSK (Type 256) bei der Vergabestelle hinterlegt werden kann. Den ZSK zu hinterlegen wäre also Quatsch, es reicht der KSK (Type 257)?
-
Hallo,
welcher Flag sollte für DNSSEC am besten genutzt werden? Häufig verwendet werden 257, wäre 256 und 257 in KOmbination sinnvoll?
-
Lässt sich das nicht über XLIST zentral festlegen?
-
Hallo,
wie sieht eure Mailorganisation aus? Ich hatte es mal mit den Ordnern Zu beantworten, bearbeiten, archiv, löschen probiert. Allerdings bin ich da ganz schön durcheinnander gekommen, auch mit den gesendeten Elementen und daraus einen einheitlichen Konservationsverlauf basteln. Gibt es noch andere Möglichkeiten, außer Ordner und Flags?
