BIND9 Synct nicht

  • Hallo Zusammen,


    ich habe mein Cluster mit BIND9 Ausgestattet und wollte es eig. Produktiv nutzen. Aber ich habe z.B. ein Zusätzlichen DMARC Eintrag gemacht, welcher per DIG auf dem ersten NS Abgefragt werden kann, aber nicht aus den anderen NS. Syncronisation hab ich sogar schon auf 15 Minuten runter gesetzt um zu gucken ob es einfach an der Zeit lag. Aber auch hier: Pustekuchen.


    Jemand eine Idee? Viel mehr Konfigurieren als IP Hinzufügen kann man ja nicht.

  • Steht die Verbindung zwischen dem LiveConfig Server und dem Client?
    Erkennbar im LiveConfig im Menüpunkt Serververwaltung.


    Ja, danke schonmal für die Mühe.


    Mittlerweile habe ich das Problem gefunden. Meine Einstellungen das er alle 15 Minuten Syncen soll wird schlicht Ignoriert. Um 0 Uhr wurde Syncronisiert. Aber das ist auch nicht befriedigend das die Einstellung Ignoriert wird! Aber auch erstmal kein Weltuntergang! =)


    Was aber noch auffällt: Wir haben 2 jetzt mal nur 2 NS in LC Eingetragen und verunden. Mach ich nun ein "dig domain.tld ns" bekomme ich nur ein NS zurückgegeben. Was bei .de Domains für echte Probleme sorgt. Es sind nicht für beide Nameserver auch NS Einträge vorhanden. DENIC meldet immer "Inconsistent set of NS RRs".


    Jemand eine Idee warum Liveconfig das tut? Hab ich eine Einstellung übersehen? Hidden Primary ist deaktiviert!

  • Ist das Template korrekt angelegt bzw. wurde was am Template geändert?


    Bei uns ist es am Anfang immer mal wieder zu Problemen gekommen, wenn wir mit den Templates und der Konfiguration "gespielt" haben. Dann wurden Domains nicht richtig aktualisiert.


    Also Lösung haben wir 2 NS aufgesetzt, die zwar existieren, die aber nur als Dummy-Nameserver dienen und nach außen via Fiewall geblockt sind.
    Wenn es zu Problemen kommt, transferieren wir die Zone auf dieses Dummy-Nameserver Set und danach wieder zurück auf die Produktiven.

  • Es ist korrekt angelegt, ja! Ich habe auch schon am Template was geändert, aber ich habe ebenfalls 2 Dummy Nameserver, ein Transfer hin und zurück hat mir leider nicht geholfen. Mir fällt auch auf das angelegte Subdomains kein Record bekommen, vor 3 Stunden habe ich eine Subdomain Angelegt, bis jetzt kein A Record obwohl ich direkt mit "dig @ns1.nsdomain.tld domain.tld a" am Nameserver abfrage. Wasn das fürn Ka** :(


    Update: Es wird Interessanter! Nun 24h später hat ns1 nur einen NS Eintrag von sich selbst, und ns2 hat korrekt beide.

  • Für's Verständnis:
    LiveConfig führt alle Zonenänderungen per dynamischen NS-Updates ausschließlich auf dem Primary DNS durch (dafür gibt es ja schließlich einen "Primary").
    Die Übertragung der Änderungen an die Secondaries erfolgt ausschließlich durch BIND über vollständige oder inkrementelle Zonentransfers (AXFR/IXFR).


    Wird eine Änderung an einer Zone vorgenommen (z.B. ein Eintrag angelegt/geändert), dann sollte auf dem Primary im Syslog so was wie "sending notifies" zu finden sein (er informiert damit seine Secondaries, dass es da 'ne Änderung gab).
    Über den Befehl "rndc" kann man die Synchronisation einzelner Zonen gezielt anstoßen (z.B. "rndc reload <Zone>").
    BIND ist auf Hochlast-Betrieb optimiert - er synchronisiert daher nicht jede einzelne kleine Änderung sofort an die Secondaries. Die genauen Intervalle hierfür lassen sich konfigurieren (-> BIND-Doku). In der Praxis sollten alle Änderungen aber nach spätestens 5 Minuten bei den Secondaries angekommen sein.


    Häufig entstehen Probleme dann, wenn am SOA-Record gedreht wurde (Änderung des Primary-DNS) und/oder NS-Records geändert werden (z.B. wenn ein neuer Secondary festgelegt wird. der selbst aber noch nicht im DNS angelegt ist). In den Fällen gibt es aber immer Meldungen im Syslog.
    Um zu sehen was vielleicht falsch ist, hilft es oft einen Blick in die Zonendateien zu werfen. Da diese ebenfalls aus Performancegründen "journaled" sind, muss die gewünschte Zone erst auf die Platte synchronisiert werden:

    Code
    rndc sync [zone]


    Dann kann man in /var/lib/bind/<Zone>.db die Daten einsehen.


    Alternativ kann man in LiveConfig die Domain mal auf "eigene DNS" zurückstellen, eine Minute warten und dann wieder auf den gewünschten DNS-Server schalten.
    Damit wird die Zone mitsamt aller Daten von allen DNS-Servern gelöscht bzw. danach wieder neu angelegt.


    Viele Grüße


    -Klaus Keppler

  • Hallo Herr Keppler, vielen dank für die erklärung. Ich bin dennoch weiterhin verwirrt. Ich habe mit die zone.db angesehen, dort steht alles korrekt. Bei NS Einträge sind vorhanden. Auch nach Aktivieren und Deaktivieren der Integrierten Nameserver weiterhin das Problem das der Secondary nur einen NS Eintrag hat. In den Logs sind keine Fehler zu finden. Was mich aber noch etwas unsicher macht ist das rndc sync nicht auf dem Secondarie ausgeführt werden kann. Also der Befehl bringt keine Fehlermeldung, das File ist aber nicht da. Nur im cache die nicht lesbare .db.


    Ich bin nun noch mehr verwirrt. Was ist hier los, was läuft falsch? Ist es normal das der Secondarie das File nicht auf die Platte Syncronisieren kann?

  • Auf dem Secondary sind die Zonendaten nur binär in /var/cache/bind/ gespeichert - diese Dateien kann man nicht direkt auslesen.
    Auf dem Secondary können Sie aber z.B. "rndc retransfer <zone>" ausführen, dann sollte die Zone komplett neu vom Primary geladen werden. Anhand des Zeitstempels der .db-Datei kann man das prüfen - eventuelle Fehler sollten im Log auftauchen (/var/log/bind/* oder syslog bzw. messages oder journalctl)

  • Danke! Der Retransfer hat für Erfolg gesorgt!


    Wie kann es sein das die Zone einfach nicht neu Transferiert wurde obwohl in den Logs keine Fehler dazu zu finden sind? Nunja solang es nur bei der einen Domain war ist es okay. Warten wir es mal ab wenn ich die anderen Domains umschalte.

  • Der Secondary kennt die Seriennummer der Zone (aus dem SOA). In den Notifies wird die "neue" Seriennummer kommuniziert. Sofern (aus welchem Grund auch immer) die Seriennummer auf dem Secondary größer ist als auf dem Primary, wird kein Transfer durchgeführt.
    "It's not a bug, it's a feature" - in dem Fall vom DNS.

  • Okay, ich habe ein neues Problem. Nachdem ich in den letzten Tagen vermehrt Probleme von Kunden berichtet bekommen habe, habe ich mal wieder in den Log geschaut, und folgendes gefunden:


    transfer of 'zone.de/IN' from XX.XX.XX.XX#53: Transfer status: REFUSED


    Kann mir jemand verraten warum? Ich bin nun etwas verwirrt.


    Update:
    Mir ist noch aufgefallen das die keys.liveconfig leer ist. Das sollte eig. nicht der fall sein, oder? ;)

  • Ist die "liveconfig.keys" auf dem Master (LiveConfig-Hauptserver) oder auf einem der DNS-Slaves leer?
    Und ist die komplett leer (also 0 Bytes groß) oder ist zumindest der LiveConfig-typische Header/Footer enthalten?
    Selbst bei einem "purge" wird diese Datei nicht gelöscht...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!