DNS, Zonen - Probleme ?!?! - Neuling

[Nimez54]

Hallo
Habe mich gerade mal hier angemeldet, weil ich ein Problem habe, bei dem ihr mir bestimmt weiterhelfen könnt.. Ich soll auf einem Testrechner mit Debian DNS einrichten. Habe zuvor noch nie mit Linux gearbeitet
Forwarding soll auf einen bestehenden DNS-Server hier im Netz gehen.. Das habe ich dann in die /etc/bind/named.conf.options reingepackt.
Nun soll ich eine Zone errichten.. test.firma.de.. Und da gehts schon los.. habe unendlich viele Seiten im Netz durchgelesen und überall steht was anders - vermutlich auch richtiges - aber ich blicke da nicht durch.

Habe eine Zonendatei angelegt und einen Code aus dem Netz übernommen/angepasst und halt meine IP-Daten und Namen ergänzt. Wenn ich dann über /var/log tail syslog überprüfe, sagt er mir: "zone xyz: loading master file failed: file not found..
So weiß ich ja nichtmal ob die Zonendatei überhaupt richtig ist.. er findet sie überhaupt nicht.

Da ich auch erst vor kurzem mit Linux angefangen habe, wäre es echt nett wenn mir jemand helfen kann.. und wenn es auch nur ein Link zu einem idiotensicheren Tutorial ist
Wenn ihr irgendwelchen Code oder sowas braucht bitte melden.. Ein bisschen hilfe, gerne auch per PN, wäre echt sau nice!

[syssi]

Du hast schon alles richtig gemacht und den richtigen Stellen geguckt. Deine Zonen-Datei hast du in der named.conf bzw. named.conf.local bekannt gemacht. Scheinbar hast du an dieser Stelle keinen richtigen Pfad oder den falschen Dateinamen angegeben. Jedenfalls kann BIND beim Start die Zone (= die Datei!) nicht finden. Vielleicht postest du einfach mal die entsprechenden Abschnitte deiner Konfiguration.

[Nimez54]

Das sind die Bereiche in denen ich mich bewege.. Ist bestimmt ne Menge falsch.. Muss da erstmal reinfinden, vor allem wann ein ";" kommt oder nicht Und ob und wann ein Punkt nach der Domain.. "test.firma.de. <-"
Aber warum mir angezeigt wird, dass er das File nicht findet

Achja und was genau kommt in die Resolv.conf? Da habe ich die eigene IP drinne, weil der ja als Nameserver dienen soll.. ist das richtig? Fragen über Fragen eines Noobs


/etc/bind/named.conf.options

Code: Alles auswählen

directory "/var/cache/bind";

forwaders {
172.x.x.x;
};

dnssec-validation auto;
auth-nxdomain no; 
listen-on-v6 {any;};

/etc/bind/named.conf.local

Code: Alles auswählen

zone "test.firma.de." {
type master;
file "/etc/bind/test.firma.de.";
};

/etc/bind/named.conf

Code: Alles auswählen

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

/etc/bind/test.firma.de.

Code: Alles auswählen

$TTL 86400
$ORIGIN firma.de.

@  IN  SOA  test.firma.de. (
    1
    604800
    86400
    2419200
    86400 )

@  IN NS test.firma.de.
@  1800 IN A 172.x.x.x
test.firma.de.    1800 IN A 172.x.x.x
www     1800 IN A 172.x.y.z

[syssi]

Dein Betriebssystem bzw. eine nahezu immer verfuegbare Bibliothek stellt den darauf laufenden Anwendungen Funktionen bereit. Darunter auch die Funktion fuer die Frage "Wie lautet die IP zu einer Domain?". Die resolv.conf ist der zentrale Punkt, an welchem definiert werden kann, *wer* diese Frage beantworten soll. Irgendein DNS-Server deines Providers oder ein OpenDNS irgendwo im Netz und/oder vielleicht sogar dein eigener DNS-Server. Der Eintrag "nameserver 127.0.0.1" ist also sinnvoll, wenn das lokale System vom eigenen DNS profitieren soll.

[syssi]

In der /etc/bind/named.conf.local scheint eine schliessende Klammera zu fehlen. Den Dateinamen der Zone wuerde ich ohne dem Punkt am Ende schreiben. Es sollte sich aber nicht negativ auf die Konfiguration auswirken, wenn die Datei genauso heisst, wie angegeben.

Die Zone, welche du eingebunden hast heisst "test.firma.de.". In ihr kannst du Antworten fuer "test.firma.de" und "irgendwas.test.firma.de" hinterlegen. Der Origin sollte deshalb test.firma.de. lauten. Dein www-Eintrag erzeugt die Subdomain www.test.firma.de und nicht www.firma.de.

Der Eintrag test.firma.de. ist nicht notwendig. Er entspricht dem Eintrag "@ 1800 IN A 172.x.x.x.", sofern der ORIGIN ebenfalls test.firma.de. lautet. Deinen Serial musst du pro Aenderung der Zone inkrementieren ansonsten bemerkt BIND die Aenderung nicht.

[Nimez54]

In der /etc/bind/named.conf.local scheint eine schliessende Klammera zu fehlen.

Die Klammer ist da, hatte ich hier falsch eingefügt. Habs auch mal oben editiert. Habe jetzt diese Überflüssige Zeile aus der Zonendatei entfernt und den Seriel auf 2 gestellt (Wusste gar nicht, dass man den erhöhen muss )

Jetzt habe ich nochmal getestet und er findet wohl auch die Datei.
Nun bekomme ich aber trotzdem noch einen zone test.firma.de/IN: not loaded due to errors.

Ansonsten steht da nur was von "Running, Successfully und Activating"


Könnte ich den Linux Rechner bereits als DNS auf einem anderen PC im Netzwerk angeben? Oder fehlt da noch sehr viel dann, die Aufgabe soll wohl nicht so schwer sein, hat man mir gesagt

[syssi]

Naja, du solltest noch deine Zone zum laufen bekommen. Die Fehlermeldung besagt, dass er die Zone ignoriert, weil sie Fehler enthaelt.

Mit Hilfe von

Code: Alles auswählen

host test.firma.de 127.0.0.1

Koenntest du lokal testen und pruefen, ob der DNS-Server sauber auf die Anfrage reagiert. Das gleiche kannst du mal auf einer anderen Maschine im Netzwerk versuchen:

Code: Alles auswählen

host test.firma.de <lan-ip-des-dns>

Vermutlich fehlt dir aber noch ein Schnippsel in der Konfiguration, welcher den LAN-Clients Zugriff auf den DNS-Server gewaehrt. Wenn der Test positiv verlaeuft, dann kannst du deinen DNS als Nameserver in der IP-Konfiguration hinterlegen.

[syssi]

Hier mal eine saubere Standard-Zone:

Code: Alles auswählen

$TTL 86400
@       IN      SOA     test.firma.de. hostmaster.firma.de. (
                2013112701      ; serial
                3600            ; refresh
                600             ; retry
                86400           ; expires
                600 )           ; minimum

@       86400   IN      NS      test.firma.de.

        86400   IN      A       172.x.x.x
www     86400   IN      A       172.x.x.x

[Nimez54]

Mir geht gleich einer ab, ich bekomme keine Fehlermeldung mehr

Habe mit Hilfe deiner Zonendatei mal ein bisschen angepasst und siehe da, keine Meldung mehr.
Nach "tail syslog" steht nun folgendes:

Code: Alles auswählen

command channel listening on 127.0.0.1#953
command channel listening on ::1#953
zone 0.in-addr.arpa/IN: loaded serial 1
[..]
zone test.firma.de/IN: loaded serial 6
managed-keys-zone ./IN: loaded serial 6
running

Dann habe ich deinen Test gemacht mit dem "host" und dieses mal gab es keinen Fehler, sondern hat er mir die IP zurück geschickt.

Freue mich total, danke schonmal bis dahin für diese nette Hilfe!!!

[syssi]

Viel Erfolg noch.

[Nimez54]

Wollte gerade von dem Linux Rechner dann mal die Seite www.heise.de anpingen, sollte mit "dig" gehen oder? Aufjedenfall rattert dann etwas und am Ende steht

Code: Alles auswählen

Query Time: 9msec
SERVER: 127.0.0.1#53(127.0.0.1)
[..]

Dann habe ich das nochmal gemacht mit "dig www.heise.de +trace"
Dann kommen zunächst die Zeilen ohne +trace, dann kommt eine kurze Zeit lang nichts und dann:

Code: Alles auswählen

connection timed out; no servers could be reached

Irgendwas stimmt da glaub ich doch noch nicht, kann leider im Moment von keinem anderen PC testen, ob ich an den DNS rankomme und verwenden kann

Ich setz auf euch schlauen Linux Benutzer, dass ihr mir nochmal helfen könnt

[syssi]

Du hast dein Bind so eingerichtet, dass er die Zone test.firma.de aufloesen kann. Wieso sollte er dir also eine Antwort auf heise.de geben? Das hast du nicht eingestellt. Poste mal den Inhalt deines "/etc/bind/named.conf.default-zones". Dort wird die Root-Zone definiert. Anschliessend musst du den Clients noch das Recht einraeumen solche Anfragen stellen zu duerfen.

Code: Alles auswählen

options {
  // Closed DNS - permits only local IPs to issue recursive queries 
  // remove if an Open DNS required to support all users 
  // or add additional ranges 
  allow-recursion {192.168.3.0/24;};
};

[Nimez54]

Du hast dein Bind so eingerichtet, dass er die Zone test.firma.de aufloesen kann. Wieso sollte er dir also eine Antwort auf heise.de geben?

Stimmt, Denkfehler.

Das steht in meiner Default-Zone:

Code: Alles auswählen

zone "." {
type hint;
file "/etc/bind/db.root";

zone "localhost" {
type master;
file "/etc/bind/db.local.";
}

[Dann das selbe nochmal mit "127.in-addr.arpa", "0.in-addr.arpa", "255.in-addr.arpa"

Dachte, dass wenn Adressen außerhalb der "internen" Zone der höherstehende DNS hier im Netzwerk gefragt wird. Oder sorgt das Forwarding nicht dafür?

[syssi]

Ah, keine Recursion, sondern Forwarding. Gut, dann gehoert folgendes in deine Options:

Code: Alles auswählen

	forward only;
	forwarders {
		ip-des-allwissenden-dns;
	};

[Nimez54]

Genau, den allwissenden DNS habe ich drinne.. Wenn ich per dig abfrage kommt auch als Antwort auf heise.de die richtige IP zurück.
Nämlich 193.99.144.85

Nur bei +trace will er dann nicht mehr, aber darüber kann ich wohl erstmal hinweg sehen.

[Nimez54]

Hat bis jetzt alles super geklappt

Knüpfe einfach mal hier weiter an, damit ich keinen neuen Thread erstellen muss. Ich soll jetzt zu meinem DNS einen Slave erstellen. Wie verknüpfe ich die beiden? Das wenn ich bei dem Main was änder, der Slave die Einstellung automatisch übernimmt?

Edit: Habe den Slave erstellt und die Zone von der Testfirma verknüpft.. Klappt anscheinend soweit.. Nur die Aktualisierung hackt etwas.. das dauert ewig bis die neu bearbeitete Zonendatei auch bei dem Slave ankommt.. Habe was von "Notify" gelesen.. Nur wo trage ich das wie ein??

Edit 2: Jetzt klappt es, "also-notify" war es!

Wenn es sowas gibt: Thread kann geschlossen werden. Danke! Problem ist gelöst!

[syssi]

Hier ein wenig zum Verfahren: Einen Slave setzt man äquivalent zu einem Master auf. In der Zonen-Deklaration sagt man jedoch, dass sich der Server fuer diese Zone als Slave verhalten soll. Zusaetzlich gibt man die IP-Adresse(n) des Masters an. Nach dem Start des Slaves wird ein Download (XFER) der Zonen-Datei beim Master eingeleitet. Diesen Versuch findet man in der Regel auch im Log. Anschliessend richtet sich der Slave nach den TTLs im SOA-Rekord. Dort steht dann sowas, wie: "Frag den Master alle 48h nach einem Update". Geprueft wird der Serial. Hat er sich erhoeht, dann hat sich die Zone veraendert und ein erneuter XFER wird eingeleitet. Um das Verfahren zu beschleunigen gibt seit einigen Jahren das Feature "notify". Dabei ueberredet man den Master die Slaves zu kontaktieren, wenn er eine aktualisierte Zone geladen hat. Diese starten im Anschluss den XFER fruehzeitig, auch wenn die TTL noch nicht abgelaufen ist.

[Schnittholz]

Der Thread hier war sehr hilfreich, danke für die Schreiber!