Problèmes de dns !

Le
Yannick
Bonjour tous.
Voil je dbute dans le dns ;-) et c'est le dbut de mes premi=
res
galres
J'ai 2 OSX serveurs, 1 Maitre OD et un Master, le maitre est aussi DNS
pimaire et le master est DNS secondaire.
Tout fonctionnait correctement rcemment mais depuis que j'ai
conjointement upgrader en 10.4.9 et desactiv la rcursion sur le DNS
secondaire la recherche DNS ne fonctionne plus
Je l'ai bien evidemment ractiv, mais ca ne repart pas J'avais un
clone rcent datant d'avant ma "bidouille" (en 10.4.8) mais ca ne
refonctionne pas comme il faut
Pourtant Kerberos est toujours en service dans mon OD.
Je prcise que ce dns n'est qu'interne (en phase de test pour le
moment mais le dploiement commence urger).

voil ce me donne un lookup sur le nom dns :
Lookup a dmarr
; <<>> DiG 9.3.2 <<>> osiris.gutenberg.intra
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 52346
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;osiris.gutenberg.intra. IN A

;; Query time: 0 msec
;; SERVER: 192.168.88.42#53(192.168.88.42)
;; WHEN: Wed Mar 21 10:50:45 2007
;; MSG SIZE rcvd: 40

et sur l'ip
Lookup a dmarr
; <<>> DiG 9.3.2 <<>> -x 192.168.88.144
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55753
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL:
0

;; QUESTION SECTION:
;144.88.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
144.88.168.192.in-addr.arpa. 86400 IN PTR osiris.gutenberg.intra.

;; AUTHORITY SECTION:
88.168.192.in-addr.arpa. 86400 IN NS isis.gutenberg.intra.

;; Query time: 0 msec
;; SERVER: 192.168.88.42#53(192.168.88.42)
;; WHEN: Wed Mar 21 10:51:33 2007
;; MSG SIZE rcvd: 100

Donc apparemment la recherche inverse fonctionne

Mes questions seront donc : comment determiner d'o vient le
problme ?
Quelle sont les pistes explorer ?
Faut t'il renseigner le DNS secondaire dans le primaire ou juste sur
le secondaire (je ne sait pas si je suis bien clair l) ?

Enfin merci d'avance pour pistes !

Cordialement

--
Yannick
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Yannick
Le #438678
An temps pour moi... il ne fallait pas lire :
"J'ai 2 OSX serveurs, 1 Maitre OD et un Master, le maitre est aussi
DNS
pimaire et le master est DNS secondaire. "

Mais bien :

"J'ai 2 OSX serveurs, 1 Maitre OD et une réplique, le maitre est aussi
DNS
pimaire et la réplique est DNS secondaire. "

:-)
laurent.pertois
Le #438677
Yannick
Mes questions seront donc : comment determiner d'où vient le
problème ?


Donne-nous le contenu de /etc/named.conf, déjà.

Quelle sont les pistes à explorer ?


Euh, pourquoi avoir désactivé la récursion ?

Faut t'il renseigner le DNS secondaire dans le primaire ou juste sur
le secondaire (je ne sait pas si je suis bien clair là) ?


Non.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Yannick
Le #438676
On 21 mar, 11:29, (Laurent Pertois)
wrote:

Mes questions seront donc : comment determiner d'où vient le
problème ?


Donne-nous le contenu de /etc/named.conf, déjà.
Voici celui du primaire :

//
// Include keys file
//
include "/etc/rndc.key";
// Declares control channels to be used by the rndc utility.
//
// It is recommended that 127.0.0.1 be the only address used.
// This also allows non-privileged users on the local host to manage
// your name server.

//
// Default controls
//
controls {
inet 127.0.0.1 port 54 allow {any;} keys {
"rndc-key";
};


};
options {
directory "/var/named";
recursion true;
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
};

//
// a caching only nameserver config
//
zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};

zone "gutenberg.intra." in {
file "gutenberg.intra.zone";
type master;
};

zone "88.168.192.in-addr.arpa" IN {
file "db.192.168.88";
type master;
};

logging {
category default {
_default_log;
};

channel _default_log {
file "/Library/Logs/named.log";
severity debug;
print-time yes;
};
};


Et du secondaire :
//
// Include keys file
//
include "/etc/rndc.key";
// Declares control channels to be used by the rndc utility.
//
// It is recommended that 127.0.0.1 be the only address used.
// This also allows non-privileged users on the local host to manage
// your name server.

//
// Default controls
//
controls {
inet 127.0.0.1 port 54 allow {any;} keys {
"rndc-key";
};


};
options {
directory "/var/named";
recursion true;
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
};

//
// a caching only nameserver config
//
zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};

zone "gutenberg.intra" IN {
file "gutenberg.intra.bak";
masters {
192.168.88.42;
};
type slave;
};

logging {
category default {
_default_log;
};

channel _default_log {
file "/Library/Logs/named.log";
severity debug;
print-time yes;
};
};

Quelle sont les pistes à explorer ?


Euh, pourquoi avoir désactivé la récursion ?


Euh... pour essayer ;-)
Non, en fait j'ai un conflit entre mon dns et celui du réseau externe
géré par une autre boite dont nous sommes une filiale, si je renseigne
les deux DNS (en fait, les 4 avec les secondaires) je ne peut plus
acceder aux bases depuis Lotus.

Faut t'il renseigner le DNS secondaire dans le primaire ou juste sur
le secondaire (je ne sait pas si je suis bien clair là) ?


Non.
Bon, c'est déja ça :-)

Et pour bien le configuer, dans DNS secondaire, il faut juste mettre
le nom de la zone (gutenberg.intra) et l'adresse ip du Primaire ou le
nom complet ?

Merci

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.



laurent.pertois
Le #438675
Yannick
Je ne vois rien de choquant dans la config. Quand tu lances le services
DNS, est-ce que dans les logs tu as des traces d'erreur venant de BIND ?

Euh, pourquoi avoir désactivé la récursion ?


Euh... pour essayer ;-)


Aaaahhhhh :-)

Non, en fait j'ai un conflit entre mon dns et celui du réseau externe
géré par une autre boite dont nous sommes une filiale, si je renseigne
les deux DNS (en fait, les 4 avec les secondaires) je ne peut plus
acceder aux bases depuis Lotus.


Bon, ce que tu fais, dans les named.conf de tes deux DNS tu ajoutes une
ligne forwarders, comme ça :

options {
directory "/var/named";
recursion true;
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
forwarders { ip.du.dns.externe1; ip.du.dns.externe2; };
};

(attention à la syntaxe)

Ainsi, tout ce que ton DNS ne connait pas, il le demandera à ces DNS et
il attendra leur réponse.

Faut t'il renseigner le DNS secondaire dans le primaire ou juste sur
le secondaire (je ne sait pas si je suis bien clair là) ?


Non.
Bon, c'est déja ça :-)

Et pour bien le configuer, dans DNS secondaire, il faut juste mettre
le nom de la zone (gutenberg.intra) et l'adresse ip du Primaire ou le
nom complet ?


Juste "gutenberg.intra". Mais attention, tu n'as copié que le forward
(nom vers IP) et pas la zone reverse (IP vers nom), dans ton DNS
secondaire, fais une nouvelle zone :

88.168.192.in-addr.arpa

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.



Yannick
Le #438674
On 21 mar, 14:25, (Laurent Pertois)
wrote:
Yannick
Je ne vois rien de choquant dans la config. Quand tu lances le services
DNS, est-ce que dans les logs tu as des traces d'erreur venant de BIND ?

A part ca sur le secondaire ( le SERVFAIL revient toute les minutes)

il ne me dit apparement rien d'alarmant :

21-Mar-2007 16:12:09.250 refresh_callback: zone gutenberg.intra/IN:
enter
21-Mar-2007 16:12:09.250 zone gutenberg.intra/IN: refresh: rcode
(SERVFAIL) retrying without EDNS master 192.168.88.42#53 (source
0.0.0.0#0)
21-Mar-2007 16:12:09.250 queue_soa_query: zone gutenberg.intra/IN:
enter
21-Mar-2007 16:12:09.750 soa_query: zone gutenberg.intra/IN: enter
21-Mar-2007 16:12:09.750 refresh_callback: zone gutenberg.intra/IN:
enter
21-Mar-2007 16:12:09.750 zone gutenberg.intra/IN: refresh: unexpected
rcode (SERVFAIL) from master 192.168.88.42#53 (source 0.0.0.0#0)
21-Mar-2007 16:12:09.750 queue_soa_query: zone gutenberg.intra/IN:
enter
21-Mar-2007 16:12:09.750 soa_query: zone gutenberg.intra/IN: enter
21-Mar-2007 16:12:09.750 cancel_refresh: zone gutenberg.intra/IN:
enter
21-Mar-2007 16:12:10.195 received control channel command 'null'
21-Mar-2007 16:12:10.195 received control channel command 'status'
21-Mar-2007 16:12:14.905 received control channel command 'null'
21-Mar-2007 16:12:14.905 received control channel command 'status'

Non, en fait j'ai un conflit entre mon dns et celui du réseau externe
géré par une autre boite dont nous sommes une filiale, si je rensei gne
les deux DNS (en fait, les 4 avec les secondaires) je ne peut plus
acceder aux bases depuis Lotus.


Bon, ce que tu fais, dans les named.conf de tes deux DNS tu ajoutes une
ligne forwarders, comme ça :

options {
directory "/var/named";
recursion true;
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
forwarders { ip.du.dns.externe1; ip.du.dns.externe2; };

};

(attention à la syntaxe)
Ok, je vais essayer de coller ca dedans, mais j'ai renseigné les dns

de notre fournisseur dans les prefs réseau des 2 serveurs (je ne sait
pas si ca pas faire doublons ? non?).

Ainsi, tout ce que ton DNS ne connait pas, il le demandera à ces DNS et
il attendra leur réponse.

Faut t'il renseigner le DNS secondaire dans le primaire ou juste sur
le secondaire (je ne sait pas si je suis bien clair là) ?





Juste "gutenberg.intra". Mais attention, tu n'as copié que le forward
(nom vers IP) et pas la zone reverse (IP vers nom), dans ton DNS
secondaire, fais une nouvelle zone :

88.168.192.in-addr.arpa


C'est à dire ?


Merci encore de ta patience...


--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.





laurent.pertois
Le #438673
Yannick
On 21 mar, 14:25, (Laurent Pertois)
wrote:
Je ne vois rien de choquant dans la config. Quand tu lances le services
DNS, est-ce que dans les logs tu as des traces d'erreur venant de BIND ?

A part ca sur le secondaire ( le SERVFAIL revient toute les minutes)

il ne me dit apparement rien d'alarmant :


Euh, on dirait qu'il n'arrive plus à parler au primaire. Quand tu
arrêtes et démarres le DNS sur le primaire, rien dans ses logs ?

Bon, ce que tu fais, dans les named.conf de tes deux DNS tu ajoutes une
ligne forwarders, comme ça :

options {
directory "/var/named";
recursion true;
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
forwarders { ip.du.dns.externe1; ip.du.dns.externe2; };

};

(attention à la syntaxe)
Ok, je vais essayer de coller ca dedans, mais j'ai renseigné les dns

de notre fournisseur dans les prefs réseau des 2 serveurs (je ne sait
pas si ca pas faire doublons ? non?).


C'est-à-dire que BIND ne va pas les lire ces réglages, il ne s'occupe
que des siens...

Juste "gutenberg.intra". Mais attention, tu n'as copié que le forward
(nom vers IP) et pas la zone reverse (IP vers nom), dans ton DNS
secondaire, fais une nouvelle zone :

88.168.192.in-addr.arpa


C'est à dire ?


Fais une nouvelle zone secondaire de ce nom afin de synchroniser
également la zone reverse de ton réseau.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.


Yannick
Le #438671
A part ca sur le secondaire ( le SERVFAIL revient toute les minutes)
il ne me dit apparement rien d'alarmant :



Bon, j'avait bien la même erreur dans les logs du primaire...
J'avait sauvegarder la config au début de mes test, et en le
rechargeant, le primaire et reparti. Les réglages avait pourtant l'air
identique... Je n'ai pas tout compris...

Bon, ce que tu fais, dans les named.conf de tes deux DNS tu ajoutes u ne
ligne forwarders, comme ça :

options {
directory "/var/named";
recursion true;
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
forwarders { ip.du.dns.externe1; ip.du.dns.externe2; };

};
Impec, je peut acceder et aux bases Lotus et à l'exterieur avec mes



seuls DNS.
Par contre, je suis toujours obligé de mettre le domaine de recherche
du FAI en dur sur les machines. Peut être que ca se forward aussi ?
Mais bon, je vais me plonger dans BIND.

Fais une nouvelle zone secondaire de ce nom afin de synchroniser
également la zone reverse de ton réseau.


Sur le secondaire j'ai donc 2 entrées dans "Zones secondaires" :
gutenberg.intra ("192.168.88.42")
88.168.192.in-addr.arpa ("192.168.88.42")

J'ai bon ?

Par contre un truc que je trouve louche :
- un lookup ne me trouve l'ip d'osiris (dns secondaire) que si je le
met dans les "machines" du dns primaire...
alors que je peut toujours pinger son nom dns qu'il y soit présent ou
pas...
- si je coupe le dns primaire, tout fonctionne correctement (service
de mise à jour, dns, lookup, ping, authentification ldap...)

Ca fonctionne, mais je trouve bizarre qu'il faille renseigner le dns
secondaire dans "machine" alors que si le primaire est coupé il résout
bien le nom, non ?

Je m'aperçoit que je suis "limite" dans ce domaine et je te remercie
de ta patience :-)
Faut que je me trouve un petite formation.

Cordialement

--
Yannick



Nina Popravka
Le #443301
On Wed, 21 Mar 2007 14:25:34 +0100,
(Laurent Pertois) wrote:

(attention à la syntaxe)


'tain... et dire que dans le temps, bind, c'était si simple :-)
--
Nina

laurent.pertois
Le #443300
Nina Popravka wrote:

On Wed, 21 Mar 2007 14:25:34 +0100,
(Laurent Pertois) wrote:

(attention à la syntaxe)


'tain... et dire que dans le temps, bind, c'était si simple :-)


C'est simple, faut juste être attentif :-)

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.


Publicité
Poster une réponse
Anonyme