Сервер CentOS bind9 продолжает получать сообщения об ошибках от master ADDNS

в течение последних нескольких дней я пытался подключить свой сервер Bind9 к DNS моего объявления в качестве вторичной зоны, безрезультатно.
Это все сделано на VMware, с pfSense, соединяющим два (да порт 53 tcp / udp также открыт там)

проблема, кажется, в том, что при попытке получить зону, переданную от мастера, пакеты будут отброшены, хотя нет никаких брандмауэров, которые должны отклонять их.

Я могу пинговать все из них без проблем, и я могу также перенесите зону через nslookup из обычного клиента windows.

глядя на Wireshark и tcpdump-i любой порт 53 при подключении сервера Bind к серверу ADDNS, дает мне это:

https://i.imgur.com/soToiCM.png

да, похоже, что брандмауэр блокирует запросы, но поверьте мне, это не может быть. Я попытался отключить все брандмауэры, а также добавил Как службы, так и номера портов для передачи.

вы можете также увидеть что Windows server дал мне ошибку тайм-аута, хотя он начал давать мне
"Сервер с этим IP не является полномочным для зоны"
Эта ошибка возникает независимо от того, где я пытаюсь ее применить (для передачи зоны, записи NS, подключения к серверу и т. д.)

и глядя на названный статус, это дает мне это мне тонну вопросов, в основном в отношении не авторитетных ответов:

managed-keys-zone: loaded serial 97
zone 0.in-addr.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone localhost.localdomain/IN: loaded serial 0
all zones loaded
running
zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)

-

managed-keys-zone: loaded serial 97
zone 0.in-addr.arpa/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone localhost.localdomain/IN: loaded serial 0
all zones loaded
running
zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0)
error (host unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 192.5.5.241#53
error (host unreachable) resolving './DNSKEY/IN': 192.5.5.241#53
error (host unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 198.97.190.53#53
error (host unreachable) resolving './NS/IN': 192.5.5.241#53

-
Это после установки записи CNAME в ADDNS для сервера. Хотя у меня нет DNSSEC настроить.

-

managed-keys-zone: journal file is out of date: removing journal file
managed-keys-zone: loaded serial 101
zone 0.in-addr.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone localhost.localdomain/IN: loaded serial 0
all zones loaded
running
zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0)
received control channel command 'stop'
shutting down: flushing changes
stopping command channel on 127.0.0.1#953
stopping command channel on ::1#953
no longer listening on 127.0.0.1#53
no longer listening on 192.168.64.128#53
exiting
managed-keys-zone: loaded serial 101
zone 0.in-addr.arpa/IN: loaded serial 0
zone localhost.localdomain/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone localhost/IN: loaded serial 0
all zones loaded
running
zone centns.bliss.lan/IN: refresh: NODATA response from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: NODATA response from master 192.168.64.64#53 (source 0.0.0.0#0)

-
Так что проблемы кажутся простыми, он рассматривается как авторитетный сервер, хотя я заявляю, что это как раб?

вот мое имя.conf

[root@centns ~]# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
        listen-on port 53       { 192.168.64.128; 127.0.0.1; };
        filter-aaaa-on-v4       yes;
        directory               "/var/named/";
        dump-file               "/var/named/data/cache_dump.db";
        statistics-file         "/var/named/data/named_stats.txt";
        memstatistics-file      "/var/named/data/named_mem_stats.txt";
//      auth-nxdomain           no;
//      allow-query             { 192.168.64.0/24; };
//      allow-transfer          { 127.0.0.1; 192.168.64.64; };
//      allow-notify            { 127.0.0.1; 192.168.64.64; };
//      allow-recursion         { 127.0.0.1; 192.168.64.64; };
        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
        recursion no;


        dnssec-enable no;
        dnssec-validation auto;
        dnssec-lookaside auto;
        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };


};
zone "centns.bliss.lan" IN
        {
        type            slave;
        file            "centNS.bliss.lan";
        masters         { 192.168.64.64; };
        allow-query     { 192.168.64.0/24; };
        allow-transfer  { 192.168.64.0/24; };
//      allow-recursion { 192.168.64.0/24; };
        };
                /*
zone "64.168.192.in-addr.arpa" IN
        {
        type slave;
        file "rev.centNS.bliss.lan";
        masters { 192.168.64.64; };
        notify yes;
        };
                */
zone "." IN {
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

как вы можете видеть из всех комментируемых строк, что я попробовал пару вещей сейчас.

Я пробовал:

*Отключение брандмауэра в Windows и CentOS

*установка записи A и CNAME в AD DNS для мой CentNS сервер

*убедитесь, что в Windows включена привязка

Если вам нужна больше информации, то пожалуйста спросите, я действительно хочу это работать.

11
задан DamnPeggy
30.12.2022 14:22 Количество просмотров материала 3476
Распечатать страницу

2 ответа

для создания ведомого сервера Windows DNS на стороне Windows необходимо авторизовать передачу зон.

примерно, в зависимости от версии Windows, этот путь "диспетчер серверов - > DNS - >диспетчер DNS - >свойства - >передачи зон". Выберите "разрешить передачу зоны" и "только на следующие серверы" и добавьте IP-адреса привязки.

Что касается конфигурации привязки, необходимо также разрешить имена, начинающиеся с_, так как Windows DNS использует их. Таким образом, в разделе Параметры вы add:

check-names master ignore;

остерегайтесь также вас конфигурации DLV DNSSEC, вы получаете ошибку (host unreachable) потому что ДЛВ устарело и убил с 2015 года.

Так, комментарий или удалите строку bindkeys-file "/etc/named.iscdlv.key";

0
отвечен Rui F Ribeiro 2022-12-31 22:10

ваш образ показывает "хост административно запрещен", поэтому где-то должен быть брандмауэр.

Он видел как авторитетный сервер, хотя я его в качестве раба?

ведомый сервер также является полномочным.

0
отвечен RalfFriedl 2023-01-01 00:27

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх