Hi,

habe mir auf meinem Server (steht in einem RZ) einen Bind9 für meine Domain (nennen wir sie hier mal domain.net) eingerichtet.

Soweit funktioniert er auch sehr gut und alles ist ok. Im log des bind ist mir jetzt aber was aufgefallen, was mir komisch vor kommt. Ich bin mir nicht sicher ob das ok ist, oder ein Fehler.

Ich habe von zuhause (unitymedia, mein rechner ist in der active directory domäne "domäne.de") einen nslookup auf meine Domain über meinen DNS gemacht.

---

nslookup mail.domain.net "ip_vom_dns"

Server: ns1.domain.net

Address: "ip_vom_dns"

Name: mail.domain.net

Address: "ip_vom_mailserver"

---

passt soweit also.

Im log des DNS finde ich bei der Anfrage jedoch folgenden "fehler":

---

Mar 1 15:05:02 ns1 named[13720]: client "meine_unity_ip"#54084: query (cache) 'mail.domain.net.domäne.de/A/IN' denied

Mar 1 15:05:02 ns1 named[13720]: client "meine_unity_ip"#54085: query (cache) 'mail.domain.net.domäne.de/AAAA/IN' denied

---

es wird also noch "meineDomain.net.meineLokaleDomäne.de" abgefragt.

Ist das ein normales verhalten, oder vielleicht ein config Fehler im DNS?

Gruß Sebastian

Sieht nach einem Fehler in der Konfig aus. Ich tippe darauf dass der origin-Ausdruck in der Forward-Zone falsch ist oder bei den Adresseinträgen hinter einem absoluten Namen ein Punkt fehlt. (Bei Korrektur auch direkt einmal die Reverse-Zone anschauen)

da ich mir nicht 100% sicher bin was du meinst, hier mal die config der zone und des named.

zone:

$TTL 1D

@               IN      SOA     ns1.domain.net. info@domain.net. (

                2010030102      ; serial

                3H              ; refresh

                1H              ; retry

                1W              ; expire

                11H )           ; minimum


                        IN NS           ns1.domain.net.

                        IN NS           ns2.domain.net.

ns1                     IN A            IP

ns2                     IN A            IP

domain.net.            IN MX 10        mail.domain.net.



mail                    IN A            IP

test                   IN CNAME        bluub.ath.cx.

named.conf:

options {

        directory "/var/named";

        pid-file "/var/run/named/named.pid";

        notify yes;

        allow-transfer { 127.0.0.1; IP; };

        also-notify { IP; };

        listen-on port 53 { 127.0.0.1; IP; };

        listen-on-v6 { none; };

        allow-query { any; };

        allow-recursion { none; };

        auth-nxdomain no;

        version "bla";

        statistics-file "/var/cache/bind/named.stats";

        dnssec-enable yes;

};


zone "." {

        type hint;

        file "named.ca";

};


zone "domain.net" {

        type master;

        file "domain.net";

        allow-query { any; };

};

danke für die Hilfe!

In Deiner named.conf fehlt allow-query-cache.

D.h. Deine Zones koennen zwar angefragt (allow-query), es darf dafuer aber nicht der Cache genutzt werden.

Du brauchst allow-query nicht nochmal bei der Zone angeben, wenn es bereits in options enthalten ist.

Dein Freund ist das zu Deiner (leider zu ungenau angegebenen) bind-Version passende Administrator's Reference Manual (ARM), gibt es als Download bei BIND Documentation | Internet Systems Consortium.

Bearbeitet 1. März 201015 j von hades

Versuch es auch mal ohne das Dranhaengen der AD-Domain als DNS-Suffix.

Denn Dein PC haengt den DNS-Namen Deiner AD-Domain ran, die es auf Deinem im RZ gehosteten DNS-Server gar nicht gibt.

nslookup

>set nosearch

>server ns1.domain.net

...

>mail.domain.net

Auch wenn Umlaute mittlerweile bei der DENIC fuer de-Domains erlaubt sind, bitte nutze diese in AD-Domain-Namen nicht.

Denn alte Exchange (2003 und aelter) und Outlook Versionen (2003 und aelter) koennen das nicht.

Wenn allow-query-cache nicht vorhanden ist, wird es automatisch mit den Werten von allow-query gefuellt, wenn diesen vorhanden ist.

Bearbeitet 1. März 201015 j von hades

Hi und danke,

die AD Domäne heisst nicht "domäne.de" ... das war nur ein Beispiel. Der richtige Name enthält keine Umlaute

Bzgl. der Version: Sorry. Es ist 9.3.6-4.P1.el5_4.2 (auf CentOS)

Ich hab "allow-query-cache" jetzt mal in der named.conf gesetzt:

allow-query-cache { any; };

und "allow-query" aus den zonen rausgenommen, die ich nicht expliziet einschränken möchte (ich hab noch zonen, die nur aus meinem netz erreichbar sein sollten, da hab ich "allow-query" in der zone selber noch mal auf netze und ips beschränkt)

Seh ich das richtig, dass ich "allow-query-cache" nicht einschränken kann/muss? Ich wollte es wie mit "allow-query" machen und das in manchen zonen auf ips / netz beschränken. das brachte aber einen Fehler beim starten(?!)

Das sieht besser aus. Wenn ich jetzt eine Anfrage mache, tauchen keine Fehler mehr im Log auf.

Nur bei domains für die ich es nicht zulasse, kommt jetzt folgende Ausgabe im nslookup:

"BAD ERROR VALUE" (zb. beim nslookup auf heise online - Home).

Das er das ableht ist ja richtig und ok, nur die Meldung sieht "komisch" aus. Vorher (vor dem allow-query-cache) sah die meiner Erinnerung nach anders aus.

EDIT: gerade geschaut: vorher kam als Rückmeldung "Query refused"

Gruß und danke

Sebastian

Bearbeitet 1. März 201015 j von ava2k3

Query refused ist die richtige Antwort auf DNS-Anfragen, die Du nicht erlaubst.

Z.B. auf die nicht gewuenschten rekursiven Anfragen.

Mangels ARM fuer die 9.3 kann man schlecht nachschauen ob query-allow-cache in bind 9.3 unterstuetzt wird. Koennte durchaus erst spaeter eingefuehrt worden sein.

Die 9.3 ist schon etwas aelter.

Kommentiere query-allow-cache mal aus, starte den bind neu und versuche die Aufloesung mal ohne das Dranhaengen der AD-Domain.

Poste auch mal die veraenderte named.conf

moin,

named.conf stand jetzt:

options {

        directory "/var/named";

        pid-file "/var/run/named/named.pid";

        notify yes;

        allow-transfer { 127.0.0.1; IP; };

        also-notify { IP; };

        listen-on port 53 { 127.0.0.1; IP; };

        listen-on-v6 { none; };

        allow-query { any; };

        allow-query-cache { any; };

        allow-recursion { none; };

        auth-nxdomain no;

        version "bla";

        statistics-file "/var/cache/bind/named.stats";

        dnssec-enable yes;

};


zone "." {

        type hint;

        file "named.ca";

};


zone "domain.net" {

        type master;

        file "domain.net";

};

mit der config tauchen keine Fehler alá "www.domain.net.domäne.de" mehr im log auf. nslookup unter windows sieht damit so aus (auf nicht erlaubte domains):

Server:  ns1.domain.net

Address:  IP


*** www.heise.de wurde von ns1.domain.net nicht gefunden: BAD ERROR VALUE

unter linux:

;; Got referral reply from ns1.domain.net, trying next server

Server:         IP_von_anderem_DNS

Address:        IP_von_anderem_DNS#53


Non-authoritative answer:

Name:   www.heise.de

Address: 193.99.144.85

ich finde unter linux nslookup sieht das richtig aus. Unter windows komisch wegen "bad error value" ----- nun mit "allow-query-cache" auf "none: named.conf

options {

        directory "/var/named";

        pid-file "/var/run/named/named.pid";

        notify yes;

        allow-transfer { 127.0.0.1; IP; };

        also-notify { IP; };

        listen-on port 53 { 127.0.0.1; IP; };

        listen-on-v6 { none; };

        allow-query { any; };

        allow-query-cache { none; };

        allow-recursion { none; };

        auth-nxdomain no;

        version "bla";

        statistics-file "/var/cache/bind/named.stats";

        dnssec-enable yes;

};


zone "." {

        type hint;

        file "named.ca";

};


zone "domain.net" {

        type master;

        file "domain.net";

};

nslookup unter windows sieht damit so aus (auf nicht erlaubte domains):

Server:  ns1.domain.net

Address:  IP


*** www.heise.de wurde von ns1.domain.net nicht gefunden: Query refused

unter linux:

Server:         IP

Address:        IP#53


** server can't find www.heise.de: REFUSED

im log tauchen dann aber wieder fehler auf (die ersten 4 fehler sind von windows aus, die anderen beiden von Linux):

Mar  2 12:18:38 ns1 named[7647]: client xxxx#50066: query (cache) 'www.heise.de.domäne.de/A/IN' denied

Mar  2 12:18:39 ns1 named[7647]: client xxxx#50067: query (cache) 'www.heise.de.domäne.de/AAAA/IN' denied

Mar  2 12:18:39 ns1 named[7647]: client xxxx#50068: query (cache) 'www.heise.de/A/IN' denied

Mar  2 12:18:39 ns1 named[7647]: client xxx#50069: query (cache) 'www.heise.de/AAAA/IN' denied

Mar  2 12:19:44 ns1 named[7647]: client xxx#34255: query (cache) 'www.heise.de/A/IN' denied

Mar  2 12:19:44 ns1 named[7647]: client xxx #40790: query (cache) 'www.heise.de/A/IN' denied

wenn ich es unter windows wie von dir erklärt mit "nosearch" mache, tauchen die .domäne.de fehler nicht mehr auf, sondern nur noch diese hier:

Mar  2 12:22:21 ns1 named[7647]: client xxx#53467: query (cache) 'www.heise.de/A/IN' denied

Mar  2 12:22:21 ns1 named[7647]: client xxx#53468: query (cache) 'www.heise.de/AAAA/IN' denied

Alles in allem sieht es mit "allow-query-cache" am besten aus, bis auf den Fehler im nslookup (der kommt übrigens auch mit "nosearch")

ist nur die Frage, ob der "fehler" mit bad error value nicht vielleicht normal ist unter windows?!

Gruß und danke für deine Hilfe.