Primary-DNS antwortet, Domain-Reg liefert aber DNS-Fehler

[pedä]

hallo zusammen...

ich habe ein kleines problem.
einen neuen server beantragt, nameserver aufgesetzt und möchte nun eine domain als nameserver-domain anmelden.

alles entsprechend eingerichtet, sodaß ein dig @localhost domain die korrekte antwort ergibt.
bei schlund habe ich dann die domain geupdatet, habe als nameserver den selben domainnamen angegeben, und bei glue-record die ip-adresse des neuen servers.

folgende rückmeldung:

Code: Select all

The domain slow6.de has NOT been updated. The following errors were detected: == SERVER slow6.de. == Server: 217.160.207.236 Query about slow6.de for record types ANY Trying slow6.de ... Query failed, 0 answers, status: query refused slow6.de ANY record query refused by 217.160.207.236 slow6.de.: NOT AUTHORITATIVE for the zone slow6.de == END == Server slow6.de. is not authoritative! Server ns.vondreaming.de. not in NS set! Server slow6.de. not known by server ns.schlund.de.!

slow6.de ist die neue domain, die auch die nameserverdomain auf dem neuen server werden soll, vondreaming.de ist der alte nameserver.

irgendjemand ne ahnung, was da falsch läuft?

lg
pedä

[chris76]

Code: Select all

obelix:/home/login # dig slow6.de @217.160.207.236

; <<>> DiG 9.1.3 <<>> slow6.de @217.160.207.236
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 29367
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;slow6.de.                      IN      A

;; Query time: 18 msec
;; SERVER: 217.160.207.236#53(217.160.207.236)
;; WHEN: Mon Mar 29 17:04:26 2004
;; MSG SIZE  rcvd: 26

hast du dem Nameserver eine Zonentransfer erlaubt. also von aussen (allow query?)

Gruß Christian

[pedä]

hier der link zur kompletten named.conf: http://a15151825.alturo-server.de/named.conf

sollte ich beim allow-query lieber any anstatt den ip-adressen angeben?

[oxygen]

wenn du willst das man deinen Nameserver benutzen kann, wäre das nicht schlecht. Außerdem wäre aktiviertes notify empfehlenswert.

[pedä]

wenn du willst das man deinen Nameserver benutzen kann, wäre das nicht schlecht. Außerdem wäre aktiviertes notify empfehlenswert.

okay, hab nun die änderungen vorgenommen, kopie liegt wieder am selben platz.
folgender fehler (?) wird in /var/log/messages ausgegeben, aber der server trotzdem gestartet.

Code: Select all

Mar 29 17:33:54 a15151825 named[24020]: zone 0.0.127.in-addr.arpa/IN: loaded serial 42
Mar 29 17:33:54 a15151825 named[24020]: dns_master_load: 217.160.207.zone:2: ignoring out-of-zone data (217.160.207.in-addr.arpa)
Mar 29 17:33:54 a15151825 named[24020]: zone 207.160.217.in-addr.arpa/IN: could not find NS and/or SOA records
Mar 29 17:33:54 a15151825 named[24020]: zone 207.160.217.in-addr.arpa/IN: has 0 SOA records
Mar 29 17:33:54 a15151825 named[24020]: zone 207.160.217.in-addr.arpa/IN: has no NS records
Mar 29 17:33:54 a15151825 named[24020]: zone slow6.de/IN: loaded serial 2004032701
Mar 29 17:33:54 a15151825 named[24020]: zone localhost/IN: loaded serial 42
Mar 29 17:33:54 a15151825 named[24020]: running

hab dann erstmal nen update für slow6.de gestartet, mal schauen was geht. :)
thx erstmal.

[pedä]

so, das update ist jetzt gelaufen:

Code: Select all

The domain slow6.de has NOT been updated. The following errors were detected: The servers don''t have all the same primary! Server ns.vondreaming.de. not in NS set! Server ns.slow6.de. not known by server ns.schlund.de.!

wieso "same primary"? ich hab doch als primary slow6.de angegeben, wo saugt der sich denn jezze den vondreaming.de aus den fingern?

lg
pedä

[pedä]

so, ich hab das problem jetzt erstmal. das ist ja schonmal nen fortschritt.. *grins*

nameserver nochmal aufgesetzt, alle dateien nochmal erstellt. selbes problem wie gehabt.

der zonentransfer funktioniert nicht. obwohl die direktive allow-transfer { any; }; in der named.conf eingetragen ist.

auch in den zonenfiles wird der transfer nicht unterbunden, falls jemand diesen einwand haben sollte :)

woran könnte es noch liegen, daß der named keinen zonentransfer durchführt?

bin für jede hilfe dankbar..
greets
pedä

[wgot]

Hallo,

Firewall? Port 53 UDP und TCP muß offen sein.

Gruß, Wolfgang

[Anonymous]

was ´hast du denn bei schlund angegeben bei nameserver?

vieleicht hast du das ns. vorne dran vergessen

[pedä]

was ´hast du denn bei schlund angegeben bei nameserver?

vieleicht hast du das ns. vorne dran vergessen

nee, ist alles korrekt angegeben, und 10000mal geprüft...

[majortermi]

Bitte das nächste mal gleich ein aussagekräftiges Thema wählen. Siehe auch http://www.lugbz.org/documents/smart-questions_de.html

[pedä]

Hallo,

Firewall? Port 53 UDP und TCP muß offen sein.

Gruß, Wolfgang

die ports sind auch offen. :(

[wgot]

Hallo,

hast Du allow-transfer noch auf any? Wenn nicht, bitte nochmal auf any setzen damit man's ausprobieren kann.

die ports sind auch offen.

Du hast also eine Firewall laufen - schalt die mal ganz ab (da passiert nix).

Bind stoppen und neu starten. Gibt es Fehlermeldungen? Diese beseitigen, auch wenn sie sich nicht auf slow6.de beziehen.

Gruß, Wolfgang

[pedä]

Hallo,

hast Du allow-transfer noch auf any? Wenn nicht, bitte nochmal auf any setzen damit man's ausprobieren kann.

die ports sind auch offen.

Du hast also eine Firewall laufen - schalt die mal ganz ab (da passiert nix).

Bind stoppen und neu starten. Gibt es Fehlermeldungen? Diese beseitigen, auch wenn sie sich nicht auf slow6.de beziehen.

Gruß, Wolfgang

keine firewall am rennen
keine fehler in /var/log/messages
allow-transfer steht auf any

zonentransfer funktioniert einfach nicht, weiß der henker, warum
der support von alturo hat mir nun geraten, den a-record der slow6.zone auf die ip des neuen servers zu stellen, den ns eintrag auf ns.slow6.de. was das für einen sinn haben soll, ist mir zwar schleierhaft, aber sie haben mir versichert, daß es dann laufen wird. ihr wort in gottes ohr. *grins*

der support von schlundtec sagt da was ganz anderes: solange der zonentransfer vom neuen server nicht funktioniert, kann auch keine domain umgeschrieben werden.

ich lasse mich überraschen, habe jetzt mal die anweisungen vom alturo-team befolgt, alles brav angegeben, wie dies wollten, und das update gestartet.

ich werde berichten. :)

[wgot]

Hallo,

Du hast momentan zwei Server. Soll das dabei bleiben, oder ist das ein Wechsel und der alte soll demnächst gekündigt wrden?

Wenn Du den alten aufgeben willst: warum nimmst Du Ã?nderungen in der Nameserverkonfiguration auf dem alten Server vor?

Wenn Du beide behalten willst:

Welcher soll der Primary NS sein / werden?

Der neue: warum nimmst Du Ã?nderungen der NS-Konfiguration auf dem alten vor?

Der alte: dann sind die Zonefiles falsch.

host -l slow6.de 217.160.207.236
der neue antwortet NONAUTH

host -l slow6.de 217.160.129.51
der alte ist zum Transfer bereit
Falls er als Nameserver genutzt werden soll, zeigt allerdings ns.slow6.de auf den falschen Server.

Gruß, Wolfgang

[pedä]

Hallo,

Du hast momentan zwei Server. Soll das dabei bleiben, oder ist das ein Wechsel und der alte soll demnächst gekündigt wrden?

Wenn Du den alten aufgeben willst: warum nimmst Du Ã?nderungen in der Nameserverkonfiguration auf dem alten Server vor?

Wenn Du beide behalten willst:

Welcher soll der Primary NS sein / werden?

Der neue: warum nimmst Du Ã?nderungen der NS-Konfiguration auf dem alten vor?

Der alte: dann sind die Zonefiles falsch.

host -l slow6.de 217.160.207.236
der neue antwortet NONAUTH

host -l slow6.de 217.160.129.51
der alte ist zum Transfer bereit
Falls er als Nameserver genutzt werden soll, zeigt allerdings ns.slow6.de auf den falschen Server.

Gruß, Wolfgang

hallo wolfgang,

ich habe nun zwei server, bei beide sollen primary ns sein. jeder für sich eben.

keiner der server soll gekündigt werden. jeder soll nur für sich einen eigenen primary ns nutzen, jeweils soll schlund als secondary eingesetzt werden.

slow6 ist auf dem alten server eine normale domain gewesen. sie soll nun als glue record auf den neuen server gezogen werden.

ja, daß der neue server mit nonauth antwortet weiß ich. daß der alte antwortet, aber nun auf die falsche ip zeigt, weiß ich auch.

das war ja die kernaussage des alturo-supports:

daß der neue server keinen zonentransfer durchführen kann, spielt momentan gar keine geige. denn der zoneneintrag auf dem alten server zeigt auf die falsche ip. also ändern sie den a record der zone auf dem alten server auf die ip des neuen servers, und alles wird gut

nix wird gut.. rotfl... ich wusste es eigentlich schon gestern bevor ich das update durchgeführt habe, aber ich wollte sie ja vom gegenteil überzeugen, also muß ich ja auch erstmal testen.

der transfer wurde natürlich nicht durchgeführt:

The domain slow6.de has NOT been updated. The following errors were detected: The servers don''t have all the same primary! Server ns.vondreaming.de. not in NS set! Server ns.slow6.de. not known by server ns.schlund.de.!

ich weiß nun nicht mehr, was ich machen soll.
irgendjemand ne idee?

lg
pedä

[wgot]

Hallo,

ich habe nun zwei server, bei beide sollen primary ns sein. jeder für sich eben.

das muß man natürlich wissen, um z.B. die Aussage des Alturo-Supports zu verstehen. Die Supportaussage ist korrekt wenn man davon ausgeht, daß nur der ältere Server NS für beide Server werden soll. Allerdings fehlt der wichtige Hinweis, daß zusätzlich

Code: Select all

ns IN A <alte-IP>

erforderlich ist, ohne diese Zeile geht es nicht.

Ok, zurück zum neuen Server.

Wenn der NONAUTH meldet, dann ist er NONAUTH, also Konfigurationsfehler suchen.

Zeig mal (die größeren bitte über einen Link):
named.conf
localhost.zone
127.0.0.zone
217.160.207.zone
slow6.zone
/etc/hosts
/etc/host.conf

Gruß, Wolfgang

[pedä]

Zeig mal (die größeren bitte über einen Link):
named.conf
localhost.zone
127.0.0.zone
217.160.207.zone
slow6.zone
/etc/hosts
/etc/host.conf

hi wolfgang, ich fang unten an:

#
# /etc/host.conf - resolver configuration file
#
# Please read the manual page host.conf(5) for more information.
#
#
# The following option is only used by binaries linked against
# libc4 or libc5. This line should be in sync with the "hosts"
# option in /etc/nsswitch.conf.
#
order hosts, bind
#
# The following options are used by the resolver library:
#
multi on

127.0.0.1 localhost.localdomain localhost

127.0.0.2 a15151825.alturo-server.de a15151825

$TTL 1W
@ IN SOA ns.slow6.de. webmaster.slow6.de. (
2004033101 ;serial
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ; minimum
)

@ IN NS ns.slow6.de.
@ IN NS ns.schlund.de.

@ IN A 217.160.207.236
* IN A 217.160.207.236

@ IN MX 10 mx
* IN MX 10 mx

$TTL 2D
@ IN SOA ns.slow6.de. root.slow6.de. (
2004040101 ; serial
1D ; refresh
2H ; retry
1W ; expire
2D ) ; minimum

IN NS ns
IN NS ns.schlund.de.
001 IN PTR slow6.de.

$TTL 1W
@ IN SOA localhost. root.localhost. (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS localhost.
1 IN PTR localhost.

$TTL 1W
@ IN SOA @ root (
42 ; serial (d. adams)
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum

IN NS @
IN A 127.0.0.1

und last but not least die

options {

directory "/var/named";

#forwarders { 10.11.12.13; 10.11.12.14; };

#forward first;

#listen-on port 53 { 127.0.0.1; };

#listen-on-v6 { any; };

#query-source address * port 53;
#transfer-source * port 53;
#notify-source * port 53;

allow-query { any; };

notify no;

auth-nxdomain no;
allow-transfer { any; };
};

zone "localhost" in {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};

zone "207.160.217.in-addr.arpa" in {
type master;
file "217.160.207.zone";
};

zone "." in {
type hint;
file "root.hint";
};

# You can insert further zone records for your own domains below.
zone "slow6.de" in {
type master;
file "slow6.zone";
};

grüße
pedä

[wgot]

Hallo,

001 IN PTR slow6.de.

ist falsch. Richtig:

Code: Select all

236 IN PTR slow6.de. 

die Zahl ist die letzte Gruppe Deiner IP. Löst aber das Problem nicht. Ansonsten alles identisch wie bei mir.

Bind stoppen, mit top oder ps -A nachsehen, ob auch wirklich kein Bind=named mehr läuft. Falls doch, mit kill abschießen.

Ansonsten fällt mir auch nichts mehr ein außer Bind nochmal komplett neu zu installieren.

Gruß, Wolfgang

[pedä]

Hallo,

001 IN PTR slow6.de.

ist falsch. Richtig:

Code: Select all

236 IN PTR slow6.de. 

die Zahl ist die letzte Gruppe Deiner IP. Löst aber das Problem nicht. Ansonsten alles identisch wie bei mir.

Bind stoppen, mit top oder ps -A nachsehen, ob auch wirklich kein Bind=named mehr läuft. Falls doch, mit kill abschießen.

Ansonsten fällt mir auch nichts mehr ein außer Bind nochmal komplett neu zu installieren.

Gruß, Wolfgang

COOL! danke für deine hilfe!
ich nutze immer nur top, deswegen war nicht allzuviel zu sehen.

durch das ps -A sind sage und schreibe 129 named prozesse zum vorschein gekommen.
alles gekillt, und bind neu gestartet, nun funktioniert auch ein zonentransfer.. dann kanns ja losgehen *grins*

thx nochmal und schönes we wünscht
pedä

[wgot]

Hallo,

129 named prozesse zum vorschein gekommen

schick! :roll: Wie hast Du das geschafft? /etc/init.d/named start bzw rcnamed start warnt doch wenn Bind schon läuft und startet keine weiteren Prozesse.

Die alten Prozesse sind natürlich mit den alten Konfigurationsdaten gelaufen, haben ja keinen Grund, die Konfiguration neu einzulesen.

allow-transfer von any auf deine eigenen Server und ns.schlund.de zurücksetzen nicht vergessen.

Viel Erfolg, Wolfgang

[pedä]

Hallo,

schick! :roll: Wie hast Du das geschafft? /etc/init.d/named start bzw rcnamed start warnt doch wenn Bind schon läuft und startet keine weiteren Prozesse.

keine ahnung wie ich das zustandegebracht habe..
hab bind9 nach einem howto installiert, war aber nicht so schick. konnte named nicht über rcnamed start starten, sondern mußte named -c /etc/named.conf eingeben.
daraufhin hab ich den kompletten server nochmal deinstalliert und neu aufgesetzt.

vielleicht durch diese rumstarterei?

Die alten Prozesse sind natürlich mit den alten Konfigurationsdaten gelaufen, haben ja keinen Grund, die Konfiguration neu einzulesen.

das ist klar.

allow-transfer von any auf deine eigenen Server und ns.schlund.de zurücksetzen nicht vergessen.

das allerdings nicht so ganz. warum kann ich das allow-transfer nicht auf any stehen lassen?

Viel Erfolg, Wolfgang

thx

[wgot]

Hallo,

... sondern mußte named -c /etc/named.conf eingeben.
daraufhin hab ich den kompletten server nochmal deinstalliert und neu aufgesetzt.

und die alten Prozesse sind weitergelaufen, alles klar.

warum kann ich das allow-transfer nicht auf any stehen lassen?

Du kannst natürlich. Allerdings bringt es keinerlei Vorteil (außer wenn man im Forum um Hilfe gebeten hat).

Andererseits könnte es Nachteile bringen, z.B. wenn ein Sicherheitsloch auftaucht das auf der Transferabfrage basiert.

Sofern Subdomains explizit eingetragen sind (einzeln aufgeführt statt Wildcard) kann ein Spammer nachsehen welche Subdomains eingetragen sind und gezielt diese bespammen.

Gruß, Wolfgang