PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : BIND 9 - Slave ist nicht authorisiert, Transfer findet nicht statt



Imagine
06.11.06, 15:25
Hallo,

ich setze gerade einen DNS-Server (BIND9) auf Debian Sarge auf und habe Probleme mit dem Slave des Providers. Fakt ist mein Server soll der Primäre DNS-Server und der des Providers der Slave werden.

Ein Neustart des Servers

/etc/init.d/bind9 restart

liefert mir in der syslog unter anderem die Fehlermeldung:


Nov 6 15:09:34 swallow named[1625]: client 213.30.246.166#53367: bad zone transfer request: 'neurocafe.net/IN': non-authoritative zone (NOTAUTH)
Ähnlich sieht es beim Slave aus, den ich aber nicht administrieren kann:

Nov 6 15:09:34 data named[2970]: transfer of 'neurocafe.net/IN' from 213.30.246.176#53: failed while receiving responses: NOTAUTH
Nov 6 15:09:34 data named[2970]: transfer of 'neurocafe.net/IN' from 213.30.246.176#53: end of transfer

Und hier weiss ich jetzt nicht weiter. Warum lässt mein Master den Zonentransfer nicht zu?

named.conf:

// Access control list

acl transfer {
213.30.246.0/24;
213.30.247.0/24;
127.0.0.1/32;
};

acl trusted {
213.30.246.0/24;
213.30.247.0/24;
localhost;
};

acl bogon {
0.0.0.0/8;
1.0.0.0/8;
2.0.0.0/8;
5.0.0.0/8;
7.0.0.0/8;
10.0.0.0/8;
23.0.0.0/8;
27.0.0.0/8;
31.0.0.0/8;
36.0.0.0/8;
37.0.0.0/8;
39.0.0.0/8;
42.0.0.0/8;
49.0.0.0/8;
50.0.0.0/8;
92.0.0.0/8;
93.0.0.0/8;
175.0.0.0/8;
176.0.0.0/8;
177.0.0.0/8;
178.0.0.0/8;
179.0.0.0/8;
180.0.0.0/8;
181.0.0.0/8;
182.0.0.0/8;
183.0.0.0/8;
184.0.0.0/8;
185.0.0.0/8;
186.0.0.0/8;
187.0.0.0/8;
192.0.2.0/24;
192.168.0.0/16;
197.0.0.0/8;
223.0.0.0/8;
224.0.0.0/3;
};

options {
directory "/var/cache/bind";

version "[Secured]";

// query-source address * port 53;

// forwarders {
// 0.0.0.0;
// };

// allow-query { none;
// };

auth-nxdomain no; # conform to RFC1035

allow-transfer {
transfer;
213.30.247.3;
213.30.246.166;
};

allow-recursion {
trusted;
};

listen-on {
213.30.246.176;
};

blackhole {
// Deny anything from the bogon networks as
// detailed in the "bogon" ACL.
bogon;
};
};

// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
type master;
file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};

// zone "com" { type delegation-only; };
// zone "net" { type delegation-only; };

server 213.30.247.3 {
transfers 500;
};

server 213.30.246.166 {
transfers 500;
};

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "neurocafe.net" {
type master;
file "/etc/bind/neurocafe.net.hosts";
allow-transfer {
213.30.247.3;
213.30.246.166;
};
};



Die Zonendatei:

$ttl 38400
neurocafe.net. IN SOA swallow.neurocafe.net. mail.neurocafe.net (
2006110603 ; Serial (Seriennummer)
10800 ; Refresh (Aktualisierung) 3 Stunden
3600 ; Retry (neuer Versuch)
604800 ; Expire (ungültig nach 7 Tagen)
38400 ) ; min. TTL (Mindestgültigkeit) 0,5 Tag

neurocafe.net. IN NS swallow.neurocafe.net.
neurocafe.net. IN NS ns2.wonder.de.

swallow IN A 213.30.246.176
www IN CNAME swallow.neurocafe.net.
neurocafe IN CNAME swallow.neurocafe.net.
mail IN MX 1 swallow.neurocafe.net.


Weiss jemand warum der Slave bei mir nicht zugreifen darf? Ich meine, alles Mögliche erlaubt zu haben.

Grüsse und vielen Dank

Imagine

Imagine
08.11.06, 10:15
Also Freunde,

es ist ja super, wie sehr Ihr diesen Thread nachschlagt. Aber wie wenig Problemlösungsvorschläge rüberkommen frustiert richtig.

Zumindest das Feedback, dass die Dateien okay sind, wäre hilfreich gewesen.

Nun dank meiner Neugierde kann ich Euch die Lösung präsentieren.

Ein

ps aux | grep named

zeigte mir, dass ein ganz alter NameD-Prozess von 2005 noch am Laufen war, trotz mehrmaligen Stoppen und Neustarten des BIND9.

Das war die Ursache für die Weigerung den Transfer zu erlauben.

Ich hoffe das nächste Mal gibt's mehr Beteiligung. Wir wollen doch die proprietären Anbieter beim Support von OSS überbieten.

Grüsse

Imagine

heatwalker
08.11.06, 11:00
Ich hoffe das nächste Mal gibt's mehr Beteiligung. Wir wollen doch die proprietären Anbieter beim Support von OSS überbieten.
e

Na klar doch, mit 4 Stunden Wiederherstellungsgarantie. :ugly:

Das hier ist ein Forum und kein Supporter. :rolleyes: