Сервер CentOS bind9 продолжает получать сообщения об ошибках от главного ADDNS
387
DamnPeggy
Последние пару дней я пытался подключить сервер Bind9 к DNS моей AD в качестве вторичной зоны, но безрезультатно. Это все сделано на VMware, с pfSense, соединяющим два (да, порт 53 tcp / udp также открыт там)
Кажется, проблема в том, что при попытке передать зону от мастера пакеты будут отброшены, хотя нет никаких брандмауэров, которые должны их отклонять.
Я могу пинговать их все без проблем, и я также могу перенести зону через nslookup из обычного клиента Windows.
Глядя на Wireshark и tcpdump -i на любой порт 53 при подключении сервера Bind к серверу ADDNS, я получаю следующее:
Да, похоже, что брандмауэр блокирует запросы, но поверьте мне, этого не может быть. Я попытался отключить все брандмауэры, а также добавил номера служб и портов для пропуска.
Вы также можете видеть, что сервер Windows выдал мне ошибку тайм-аута, хотя он начал давать мне сообщение «Сервер с этим IP-адресом не является полномочным для зоны». Эта ошибка возникает независимо от того, где я пытаюсь ее применить (Для передачи зоны: Запись NS, подключение к серверу и т. Д.)
И, глядя на названный статус, он дает мне массу проблем, в основном касающихся неавторизованных ответов:
managed-keys-zone: loaded serial 97 zone 0.in-addr.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone localhost.localdomain/IN: loaded serial 0 all zones loaded running zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)
-
managed-keys-zone: loaded serial 97 zone 0.in-addr.arpa/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone localhost.localdomain/IN: loaded serial 0 all zones loaded running zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0) error (host unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 192.5.5.241#53 error (host unreachable) resolving './DNSKEY/IN': 192.5.5.241#53 error (host unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 198.97.190.53#53 error (host unreachable) resolving './NS/IN': 192.5.5.241#53
- Это после установки записи CNAME в ADDNS для сервера. Хотя я не настроил DNSSEC.
-
managed-keys-zone: journal file is out of date: removing journal file managed-keys-zone: loaded serial 101 zone 0.in-addr.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone localhost/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone localhost.localdomain/IN: loaded serial 0 all zones loaded running zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0) received control channel command 'stop' shutting down: flushing changes stopping command channel on 127.0.0.1#953 stopping command channel on ::1#953 no longer listening on 127.0.0.1#53 no longer listening on 192.168.64.128#53 exiting managed-keys-zone: loaded serial 101 zone 0.in-addr.arpa/IN: loaded serial 0 zone localhost.localdomain/IN: loaded serial 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0 zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0 zone localhost/IN: loaded serial 0 all zones loaded running zone centns.bliss.lan/IN: refresh: NODATA response from master 192.168.64.64#53 (source 0.0.0.0#0) zone centns.bliss.lan/IN: refresh: NODATA response from master 192.168.64.64#53 (source 0.0.0.0#0)
- Значит, проблемы кажутся простыми, это рассматривается как авторитетный сервер, хотя я заявляю, что это раб?
Вот мой named.conf
[root@centns ~]# cat /etc/named.conf // // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // // See the BIND Administrator's Reference Manual (ARM) for details about the // configuration located in /usr/share/doc/bind-/Bv9ARM.html options { listen-on port 53 { 192.168.64.128; 127.0.0.1; }; filter-aaaa-on-v4 yes; directory "/var/named/"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; // auth-nxdomain no; // allow-query { 192.168.64.0/24; }; // allow-transfer { 127.0.0.1; 192.168.64.64; }; // allow-notify { 127.0.0.1; 192.168.64.64; }; // allow-recursion { 127.0.0.1; 192.168.64.64; }; /* - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion. - If you are building a RECURSIVE (caching) DNS server, you need to enable recursion. - If your recursive DNS server has a public IP address, you MUST enable access control to limit queries to your legitimate users. Failing to do so will cause your server to become part of large scale DNS amplification attacks. Implementing BCP38 within your network would greatly reduce such attack surface */ recursion no; dnssec-enable no; dnssec-validation auto; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; pid-file "/run/named/named.pid"; session-keyfile "/run/named/session.key"; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "centns.bliss.lan" IN { type slave; file "centNS.bliss.lan"; masters { 192.168.64.64; }; allow-query { 192.168.64.0/24; }; allow-transfer { 192.168.64.0/24; }; // allow-recursion { 192.168.64.0/24; }; }; /* zone "64.168.192.in-addr.arpa" IN { type slave; file "rev.centNS.bliss.lan"; masters { 192.168.64.64; }; notify yes; }; */ zone "." IN { type hint; file "named.ca"; }; include "/etc/named.rfc1912.zones"; include "/etc/named.root.key";
Как видно из всех закомментированных строк, я попробовал пару вещей сейчас.
Я пытался:
* Отключение брандмауэра на Windows и CentOS
* Установка записей A и CNAME в AD DNS для моего сервера CentNS
* Убедитесь, что в Windows включена BIND
Если вам нужна дополнительная информация, пожалуйста, спросите, я действительно хочу, чтобы это сработало.
Справедливый. Я просто подумал, что это может иметь какое-то отношение к bind conf, вот почему я разместил здесь вместо этого. Я также пытался без брандмауэров (как сказано), но все еще без игры в кости.
5 лет назад
0
2 ответа на вопрос
0
Rui F Ribeiro
Для создания подчиненного DNS DNS на стороне Windows вам необходимо авторизовать передачу зон.
Грубо говоря, в зависимости от версии Windows этот путь называется «Диспетчер серверов-> DNS-> Диспетчер DNS-> Свойства-> Передачи зон». Выберите «разрешить передачу зон» и «только на следующие серверы» и добавьте свои IP-адреса BIND.
Что касается вашей конфигурации BIND, вам также необходимо разрешить имена, начинающиеся с _, так как Windows DNS использует их. Итак, в разделе опций вы добавляете:
check-names master ignore;
Также остерегайтесь конфигурации DLV DNSSEC, вы получаете сообщение об ошибке, (host unreachable)поскольку DLV устарел в течение многих лет, а проект был закрыт с 2015 года.
Так прокомментируйте или удалите строку bindkeys-file "/etc/named.iscdlv.key";
Я разрешил пересылку на сервер, Windows просто выдает «Сервер с этим IP-адресом не является полномочным для зоны», я также раньше игнорировал мастер проверки имен; Хотя эта линия все еще не имела никакого значения. То же самое с комментированием файла bindkeys
5 лет назад
0
0
RalfFriedl
На вашем изображении указано «Хост административно запрещен», поэтому где-то должен быть брандмауэр.
он рассматривается как авторитетный сервер, хотя я заявляю, что он является рабом?
Подчиненный сервер также является авторитетным.
Как вы думаете, откуда это может прийти? Потому что я добавил службу DNS, а также порты 53 / tcp и 53 / udp в мою зону в firewalld. Также настроены те же правила для брандмауэра Windows и pfSense
DamnPeggy 5 лет назад
0
Также есть что-то в named.conf, что сделало бы его не авторитетным, или я что-то упустил?
DamnPeggy 5 лет назад
0
Адрес источника ICMP-пакетов отображается на изображении. Найдите хост с этим адресом и выясните, почему он отклоняет пакеты.
RalfFriedl 5 лет назад
0