1 příspěvek / 0 new
Poslední
Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
Server: DNS slave a forward

Zdravím, u nás na firmě se naskytl problém, kde máme jeden starší server SLES 9.3 a běží na něm DNS, ale HW už není moc spolehlivý.
Je to pouze slave a forward. Pokusím se trošku nastínit situaci.

ROOT-DNS-6 a ROOT-DNS-5
IP 10.8.192.6 a 10.8.192.5
Tady jsou záznamy - masters.

Pak je he-ns1 s IP 10.72.31.6 má nastaveny masters servery (10.8.192.6,5)
Na tohle DNS jsou pověšeny také DNS servery "z lokalit".

Nainstaloval jsem si SLES11 a dal mu IP adresu 10.72.31.5 a posadil ho vedle 10.72.31.6.
Zkopíroval jsem etc/named.cfg z 10.72.31.6 na 10.72.31.5.
Když si ale na stanici nastavím toto DNS, tak mi nefunguje, takže zkopírování /etc/named.cfg nebude stačit.
Mohl by mě prosím někdo nakopnout?
Přes SSH mám přístup na všechny tyto servery a nevím jak moc všema tunelama to funguje. Přišel jsem sem do firmy asi před rokem a chtějí po mě postavit záložní DNS...tak zkouším.
Děkuji moc za rady.

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
Acl na forwardu by nemělo být

Acl na forwardu by nemělo být aktivní vůbec, je to nějakej Windows dns, není tam ani ssh, pouze vnc, ale nedostanu se tam.
Těchto serverů je tu víc, protože je na našem intranetu používá víc organizací.
Ještě než jsem začal psát na toto fórum a dělal hokus pokus s tím DNS, tak se mi povedlo, že mi nový DNS z forward serverů překládal, proto ta doměnka že tam Access list není.

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
ve

ve /var/lib/named/log/named.log jsem našel toto:

11-Jul-2012 07:32:23.218 security: info: client 10.72.35.81#64492: query (cache) '******.cz/A/IN' denied

je to právě ta doména, která je v zoně forward.
Stejný záznam 'denied' to píše ikdyž se pokouší např stanice, přes tento DNS server o windows update nebo symantec update. Tyto záznamy nezná, pro přístup do internetu se používáme proxy server.

11-Jul-2012 08:00:44.015 security: info: client 10.72.32.6#3490: query (cache) 'liveupdate.symantecliveupdate.com/A/IN' denied
11-Jul-2012 08:00:59.076 security: info: client 10.72.32.6#3490: query (cache) 'liveupdate.symantec.com/A/IN' denied

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
Ano mám v named.confzone

Ano mám v named.conf
zone "priklad2.cz" in {
type forward;
forwarders { 10.85.32.25; };
};

a právě když se ptám na priklad2.cz tak mi to taky odpoví 'denied'.
symantecliveupdate.com jsem uváděl jako příklad, že se to takto chová správně.

a ještě tam je:
forward first;
to bude taky správně.

Ještě dodám, že jsem teď zkusil, změnit na klientovi (WinXP) DNS server na 10.85.32.25 a pro priklad2.cz mi to odpovědělo správně, takže potvrzení, že access listy na tomto serveru nejsou.
Pouze mi teda nefunguje to forwardování na 10.72.31.5 (nový DNS).

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
ACL na novém serveru není

ACL na novém serveru není žádný, je zkopírovaný /etc/named.conf ze starého serveru a ten používají už přímo klientské stanice jako druhý DNS server.
Zarazilo mě ale, že na novém serveru je ve složce /var/lib/named/etc/named.d/ soubor forwarders.conf, ale na starém neni.
Obsah tohoto souboru, na konci je právě napsáno, že nemá žádný forwarders.

File: forwarders.conf Line 1 Col 0 823 bytes 100%
### /etc/named.d/forwarders.conf file autogenerated by netconfig!
#
# Before you change this file manually, consider to define the
# static DNS configuration using the following variables in the
# /etc/sysconfig/network/config file:
# NETCONFIG_DNS_STATIC_SEARCHLIST
# NETCONFIG_DNS_STATIC_SERVERS
# NETCONFIG_DNS_FORWARDER
# or disable DNS configuration updates via netconfig by setting:
# NETCONFIG_DNS_POLICY=''
#
# See also the netconfig(8) manual page and other documentation.
#
# Note: Manual change of this file disables netconfig too, but
# may get lost when this file contains comments or empty lines
# only, the netconfig settings are same with settings in this
# file and in case of a "netconfig update -f" call.
#
### Please remove (at least) this line when you modify the file!
forwarders {
};

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
Na starem serveru mi to

Na starem serveru mi to nenapsalo vůbec nic. Takže v tom /etc/sysconfig/network/config není ani zmínka po NETCONFIG_DNS.
Na novém:

he-ns2:~ # grep NETCONFIG_DNS /etc/sysconfig/network/config
NETCONFIG_DNS_POLICY="auto"
NETCONFIG_DNS_FORWARDER="resolver"
NETCONFIG_DNS_STATIC_SEARCHLIST="****.cz"
# When the NETCONFIG_DNS_FORWARDER variable is set to "resolver",
NETCONFIG_DNS_STATIC_SERVERS=""
NETCONFIG_DNS_RANKING="auto"

Takže by to NETCONFIG chtělo asi nějak zakázat ne?

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
forwarders.conf se sice

forwarders.conf se sice objevil, ale už je prázdný.
v souboru /etc/sysconfig/network/config bylo:
NETCONFIG_MODULES_ORDER="dns-resolver dns-bind dns-dnsmasq nis ntp-runtime"
tak jsem ten dns-bind vyjmul.
Na starém serveru vůbec není ani NETCONFIG_MODULES...

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
zdá se že ne, stále to píše

zdá se že ne, stále to píše do /var/lib/named/log/named.log
12-Jul-2012 12:19:59.060 security: info: client 10.72.35.81#50865: query (cache) 'priklad2.cz/A/IN' denied

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
A taky mi to po restartu

A taky mi to po restartu named píše:
Jul 10 15:00:15 he-ns2 named[4808]: the working directory is not writable

To bude asi ten problém, protože si to nemůže jakoby zapsat k sobě do cache.

Když se ale podívám na starý server na práva:

he-ns1:/var/log # ls -l /var/lib/named
total 13
drwxr-xr-x 8 root root 288 Oct 1 2009 .
drwxr-xr-x 19 root root 528 Apr 12 2006 ..
-rw-r--r-- 1 root root 192 Apr 6 2004 127.0.0.zone
drwxr-xr-x 2 root root 120 Mar 6 17:40 dev
drwxr-xr-x 2 named named 48 Apr 6 2004 dyn
drwxr-xr-x 3 root root 200 May 3 2006 etc
-rw-r--r-- 1 root root 158 Apr 6 2004 localhost.zone
drwxr-xr-x 3 named named 920 Jul 10 11:58 log
-rw-r--r-- 1 root root 808 Aug 3 2006 root.hint.old
drwxr-xr-x 2 named named 48 Apr 6 2004 slave
drwxr-xr-x 4 root root 120 Dec 6 2005 var

A na nový:

he-ns2:~ # ls -l /var/lib/named
total 40
-rw-r--r-- 1 root root 192 Jul 4 2001 127.0.0.zone
drwxr-xr-x 2 root root 4096 Jul 10 11:22 dev
drwxr-xr-x 2 named named 4096 Jan 21 2010 dyn
drwxr-xr-x 3 root root 4096 Jul 10 15:00 etc
-rw-r--r-- 1 root root 158 Jul 4 2001 localhost.zone
drwxr-xr-x 2 named named 4096 Jul 9 09:30 log
drwxr-xr-x 2 root root 4096 Jan 21 2010 master
dr-xr-xr-x 93 root root 0 Jul 10 11:22 proc
-rw-r--r-- 1 root root 2878 Jan 21 2010 root.hint
drwxr-xr-x 2 named named 4096 Jan 21 2010 slave
drwxr-xr-x 4 root root 4096 Jun 28 16:47 var

Tak tam vidím rozdíl pouze v tom total 13:40 a to nevím co je.
Mám tohle celé smazat a přejet to tím rsyncem? Nebo co se s tím dá dělat?

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
Nějaký AppArmor tady je, ale

Nějaký AppArmor tady je, ale nevím co s ním.
he-ns2:~ # apparmor_status
apparmor module is loaded.
11 profiles are loaded.
11 profiles are in enforce mode.
/usr/sbin/ntpd
/usr/sbin/identd
/sbin/klogd
/sbin/syslogd
/sbin/syslog-ng
/usr/sbin/traceroute
/usr/sbin/nscd
/bin/ping
/usr/sbin/mdnsd
/usr/sbin/named
/usr/sbin/avahi-daemon
0 profiles are in complain mode.
4 processes have profiles defined.
4 processes are in enforce mode :
/sbin/syslog-ng (2283)
/usr/sbin/named (4808)
/sbin/klogd (2286)
/usr/sbin/nscd (3276)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Obrázek uživatele ston3
Offline
Naposledy viděn: 7 let 2 týdny zpět
Připojen: 10.07.2012 - 14:30
není vyřešeno

Při přechodu na nové fórum již nejsem jako autor tohoto tématu, ale téma stále není vyřešeno, mohli by jste ho prosím přejmenovat? Děkuji

Obrázek uživatele jiri.vetvicka
Offline
Naposledy viděn: 3 roky 4 měsíce zpět
Připojen: 21.03.2005 - 15:38
Re: neni vyreseno

Zmeneno, pridal jsem Vas zpatky jako autora.

Close the world, open the next.