Zdravím, u nás na firmě se naskytl problém, kde máme jeden starší server SLES 9.3 a běží na něm DNS, ale HW už není moc spolehlivý.
Je to pouze slave a forward. Pokusím se trošku nastínit situaci.
ROOT-DNS-6 a ROOT-DNS-5
IP 10.8.192.6 a 10.8.192.5
Tady jsou záznamy - masters.
Pak je he-ns1 s IP 10.72.31.6 má nastaveny masters servery (10.8.192.6,5)
Na tohle DNS jsou pověšeny také DNS servery "z lokalit".
Nainstaloval jsem si SLES11 a dal mu IP adresu 10.72.31.5 a posadil ho vedle 10.72.31.6.
Zkopíroval jsem etc/named.cfg z 10.72.31.6 na 10.72.31.5.
Když si ale na stanici nastavím toto DNS, tak mi nefunguje, takže zkopírování /etc/named.cfg nebude stačit.
Mohl by mě prosím někdo nakopnout?
Přes SSH mám přístup na všechny tyto servery a nevím jak moc všema tunelama to funguje. Přišel jsem sem do firmy asi před rokem a chtějí po mě postavit záložní DNS...tak zkouším.
Děkuji moc za rady.
Krome /etc/named.conf te bude zajimat i vse v /etc/named.d/, /etc/sysconfig/named a /var/lib/named.
Osobne bych si jako prvni pokus vsechny vyse uvedene na novem serveru zazalohoval a zkusil sem prenes obsah z puvodniho serveru (treba rsyncem)
Michal Strnad
zkopíroval jsem
/etc/named.d/ - to bylo stejné
/etc/sysconfig/named/ - to bylo taky stejné
a
/var/lib/named - tam nějaký změny byly, ale dělal jsem to přes WinSCP a celý adresář smazal a nahrál tam celý znova z původního serveru.
Kdyby něco bylo špatně, tak je to virtuální stroj a udělal jsem si snapshot,takže to můžu vrátit.
Napsalo mi to tohle:
DNS2:/ # /etc/init.d/named restart /etc/named.conf:21: change directory to '/var/lib/named' failed: file not found /etc/named.conf:21: parsing failed skippedWinSCP nebude ten nejlpsi nastroj. Neumi napriklad koppirovat spravnelinky a navic ti vse na novem serveru ulozi s pravy uzivatele, ktery to tam dava.
Vidi ty dva servery na sebe pres ssh? Resp. muzes pristoupit pres ssh z jednoho na druhy server jako uzivatel root?
Michal Strnad
Za hodinku vyzkouším, ale myslím že mezi sebou SSH funguje. A vše dělám jako root i přes WinSCP jsem byl jako root.
Co navrhuješ?
Vtip je v tom, ze kdyz pripojis WinSCP jako roota, ulozi ti vsechny soubory a adresare s rootem coby vlastnikem a defaultnimi pravy podle umasky.
bind ale bezi pod uzivatelem named a proto nejspis ty chyby s pristupem do /var/lib/named
Navrhuji teda:
1) odstranit /etc/named.conf, /etc/sysconfig/named /etc/named.d a /var/lib/named z noveho serveru nebo se vratit ke snapshotu pred experimenty (nechat si zase nejakej snapshot, ke kteremu se pujde vratit)
2) zkontrolovat, ze mas na obou serverech rsync (postaci which rsync, ktere ma vratit cestu k binarce rsyncu), pripadne doinstalovat, kde bude chybet
3) overit ssh pristup roota ze stareho serveru na novy, pripadne prechodne povolit
4) pod rootem na starem serveru pustit postupne:
5) zkusit otocit bind na novem serveru (nebo treba cely server)
Michal Strnad
Rsync tam byl, ale nějaký starší
neuměl parametr
-X, --xattrs preserve extended attributes. Snad to nebude tolik vadit.
Když jsem to tam nahrál, tak jsem celý server otočil.
Chtěl jsem zkontrolovat jak se načetl named, zadal jsem:
/etc/init.d/named reloadTak mi to napsalo nějakou kravinu...
DNS2:~ # /etc/init.d/named reload Reloading name server BIND rm: cannot remove `/var/lib/named/': Is a directory cp: missing destination file operand after `/var/lib/named/' Try `cp --help' for more information. server reload successful done-X nejspis vubec nevadi. Pravdepodobnost, ze na nekterem souboru byly extended atributy je minimalni.
Evidentne bude mezi bindem na starem serveru a na novem podstatnejsi rozdil.
Mohl bys prosim zjistit, jaka verze na starem serveru je?
Zkusil bych se ted vratit na zacatek a jit krok po kroku.
Nejdrive teda asi zkusit prenest na novy server jen /etc/named.conf zkusit to nahodit a koumat v lozich, jestli si na neco stezuje (v konzoli, ve /var/log/messages a ve /var/lib/named/log), pripadne, jestli se neco udeje ve /var/lib/named, kde si Bind ma vytvorit spravne struktury podle jednotlivych zon atd.
Michal Strnad
Verze starého bindu je 9.2.3-76
Verze nového bindu je 9.5.0P2-20.7.1
Když jsem tam nahrál pouze /etc/named.conf
tak mi to hlásilo že nezná řádek 168:
category disspatch { deleg_log_file; };tak jsem ho zakomentoval.
v /var/log/messages jsem našel tohle:
v /var/lib/named/log/xfer.log bylo:
v /var/lib/named/log/named.log:
Mimochodem to datum už jsem si opravil, 28-Jun-2012 18:13 jsem ty logy stahoval.
No tak to jsme se pohli radny kus dopredu!!!
Quote:10.8.192.6#53: failed to connect: connection refused
Tohle je opravdu zajimavy. Master server mu evidentne nedovoli se pripojit.
Muzes overit, jestli je na masterech zapnuty firewall? Pokud ano, bude nejspis treba povolit pristup z IP adresy noveho serveru.
Podivam se jeste, zda ty dotazy nemuze filtrovat primo Bind. Tusim, ze tam takova moznost taky byla.
Michal Strnad
na master serveru 10.8.192.6 je firewall uplne vypnuty.
v /etc/named.conf na 10.8.192.6 jsem našel sekci.
# access listy pro dnska acl hermes-ns-root { 10.72.31.6; }; 'atd. ostatni dns'pak radek:
acl ns-root { hermes-ns-root; '+dalsi dns' }tak jsem k obou temto zaznamum pridal ten novej, s IP adresou 10.72.31.5, ale asi to nepomohlo, do xfer.log to pořád píše že se nemohl připojit.
Bind na masteru jsi po uprave otacel?
Rikaji neco logy na masteru? Mohlo/melo by tam byt videt proc nepovoli pripojeni.
Jeste me napada, ze to vypada, ze master a slave jsou v ruznych subnetech. Neni firewall nekde cestou?
Michal Strnad
Bind na masteru jsem otočil, logy na masteru jsem prošel:
/var/log/messages - ani zmínka po 10.72.31.5
/var/lib/named/log/xfer.log - taky nic
/var/lib/named/log/named.log - taky nic
asi bych se měl podívat ještě někam... ale nevím kam
Je taky možné že je to blokované nějakým HW firewallem, protože třeba přes SSH se tam dostanu pouze z jedné svojí stanice - 10.72.35.5
Mám to vyzkoušet tak, že si nastavím master jako primární dns server této stanice?
A potom i na jiné stanici?
Podle vseho to opravdu blokuje nejaky firewall nekde na trase.
Kudy to jde muzes zkusit zjistit pomoci treceroute, ale v zavislosti na konfiguraci firewallu z toho nemusi nic poradneho vypadnout. Pokud ti ukaze nekolik IP adres a pak uz jen tecky a timeout, tak ta posledni IP adresa bude nejspis bud firewallu nebo posledniho routeru pred nim.
Kadopadne to ted bude asi chvili ukol pro vase sitare, kteri maji FW ve sprave, aby ti prislusny prostup udelali.
Michal Strnad
Ano máte pravdu, schválně jsem na oba servery doinstaloval "nmap".
Na novém serveru mi po příkazu nmap 10.8.192.6 nebo .5 napsal:
All 1000 scanned ports on 10.8.192.6 (.5) are closed.:-DNa starém serveru > nmap 10.8.192.6 (.5) napsal:
Tak jsem to hodil na ty síťaře a snad brzy uvidíme.
Tak pánové mi otevřeli na firewallu port 53/tcp.
V souboru /var/lib/named/log/xfer.log se začal objevovat krásný řádek:
Klientovi (WinXP) jsem nastavil jedinný DNS server 10.72.31.5 a funguje jak má.
Takže ve finále jsem jenom zkopíroval /etc/named.conf a povolil mezi tímto a master serverem port 53/tcp?
Teď to zní docela jednoduše, ale přijít na to bylo složitější.
Moc děkuji za pomoc, určitě mi řešení tohoto problému přidalo hodně zkušeností.
Ano. /etc/named.conf je v Bindu skutecne zaklad vseho.
Koukam jeste na ten radek, ktery jsi z nej odstranoval a pokud tam stal presne jak jsi ho vlozil zde do prispevku, pak jde nejspis jen o preklep a funkcni radek by mel znit:
category dispatch { deleg_log_file; };(v originale mas "disspatch")/etc/sysconfig/named ridi jen parametry spusteni named demona (napr. kvuli vykonnostnimu ladeni, spousteni pod jinym uzivatelem apod.).
Samotna konfigurace DNS je v /etc/named.conf na jehoz zaklade Bind vytvori veskere potrebne struktury ve /var/lib/named.
Dodam jeste, ze bylo rovnez potreba na masteru povolit pripojeni z nove IP adresy (= upravit ACL master serveru).
Silnou strankou linuxu je fakt, ze pricinu vetsiny problemu lze dohledat v lozich. Tot podle meho nazoru asi nejdulezitejsi poselstvi tohohle vlakna :)
Michal Strnad
na starem serveru bylo opravdu disspath a nevadilo mu to.
category disspatch { deleg_log_file; };na novém mu to vadilo, tak jsem myslel že má třeba tento parametr jiný tvar nebo zanikl.
Tak jsem ho odkomentoval a opravil na dispatch a už je to v pohodě.
Ano Access list na masteru jsem zapoměl:
Quote:Dodam jeste, ze bylo rovnez potreba na masteru povolit pripojeni z nove IP adresy (= upravit ACL master serveru).
Tak se zdá že to funguje tak na půl :(
když je to:
zone "priklad1.cz" in {type slave;
masters { 10.8.192.6; 10.8.192.5;};
};
Tak to funguje.
Ale když to je forward, např.
zone "priklad2.cz" in {type forward;
forwarders { 10.85.32.25; };
};
Tak mi to nepřeloží, přitom nmap mi napíše, že má otevřeno hodně portů, včetně DNS.
PORT STATE SERVICE
25/tcp open smtp
53/tcp open domain
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
593/tcp open http-rpc-epmap
636/tcp open ldapssl
1033/tcp open netinfo
5800/tcp open vnc-http
5900/tcp open vnc
Predpokladam, ze ten nmap poustis proti IPcku forwardera (= 10.85.32.25).
ACL na forwarderu jsi kontroloval?
Michal Strnad
Acl na forwardu by nemělo být aktivní vůbec, je to nějakej Windows dns, není tam ani ssh, pouze vnc, ale nedostanu se tam.
Těchto serverů je tu víc, protože je na našem intranetu používá víc organizací.
Ještě než jsem začal psát na toto fórum a dělal hokus pokus s tím DNS, tak se mi povedlo, že mi nový DNS z forward serverů překládal, proto ta doměnka že tam Access list není.
Co rikaji pri dotazu na "nefungujici" domenu logy bindu?
Michal Strnad
ve /var/lib/named/log/named.log jsem našel toto:
11-Jul-2012 07:32:23.218 security: info: client 10.72.35.81#64492: query (cache) '******.cz/A/IN' denied
je to právě ta doména, která je v zoně forward.
Stejný záznam 'denied' to píše ikdyž se pokouší např stanice, přes tento DNS server o windows update nebo symantec update. Tyto záznamy nezná, pro přístup do internetu se používáme proxy server.
11-Jul-2012 08:00:44.015 security: info: client 10.72.32.6#3490: query (cache) 'liveupdate.symantecliveupdate.com/A/IN' denied
11-Jul-2012 08:00:59.076 security: info: client 10.72.32.6#3490: query (cache) 'liveupdate.symantec.com/A/IN' denied
Pozor.
Jestli mas v named.conf sekci
zone "priklad2.cz" in {
type forward;
forwarders { 10.85.32.25; };
};
tak se ten forward tyka pouze domeny priklad2.cz a tvuj test se symantecliveupdate.com dopada zcela spravne s odmitnutim pozadavku od klienta.
Pokud chces forwardovat vsechno, krome vyjmenovanych zon, tak musis mit primo v sekci options (= mimo vsechny zony) definovane parametry:
forward only;
forwarders { ip-adresa-kam-forwardovat; };
Michal Strnad
Ano mám v named.conf
zone "priklad2.cz" in {
type forward;
forwarders { 10.85.32.25; };
};
a právě když se ptám na priklad2.cz tak mi to taky odpoví 'denied'.
symantecliveupdate.com jsem uváděl jako příklad, že se to takto chová správně.
a ještě tam je:
forward first;to bude taky správně.
Ještě dodám, že jsem teď zkusil, změnit na klientovi (WinXP) DNS server na 10.85.32.25 a pro priklad2.cz mi to odpovědělo správně, takže potvrzení, že access listy na tomto serveru nejsou.
Pouze mi teda nefunguje to forwardování na 10.72.31.5 (nový DNS).
OK.
Co ACL na samotnem novem serveru?
Zkousis to ze site, ktere muze tvuj novy server odpovedet?
Michal Strnad
ACL na novém serveru není žádný, je zkopírovaný /etc/named.conf ze starého serveru a ten používají už přímo klientské stanice jako druhý DNS server.
Zarazilo mě ale, že na novém serveru je ve složce /var/lib/named/etc/named.d/ soubor forwarders.conf, ale na starém neni.
Obsah tohoto souboru, na konci je právě napsáno, že nemá žádný forwarders.
File: forwarders.conf Line 1 Col 0 823 bytes 100%
### /etc/named.d/forwarders.conf file autogenerated by netconfig!
#
# Before you change this file manually, consider to define the
# static DNS configuration using the following variables in the
# /etc/sysconfig/network/config file:
# NETCONFIG_DNS_STATIC_SEARCHLIST
# NETCONFIG_DNS_STATIC_SERVERS
# NETCONFIG_DNS_FORWARDER
# or disable DNS configuration updates via netconfig by setting:
# NETCONFIG_DNS_POLICY=''
#
# See also the netconfig(8) manual page and other documentation.
#
# Note: Manual change of this file disables netconfig too, but
# may get lost when this file contains comments or empty lines
# only, the netconfig settings are same with settings in this
# file and in case of a "netconfig update -f" call.
#
### Please remove (at least) this line when you modify the file!
forwarders {
};
Zkus sem prosim dat vystup nasledujiciho prikazu ze stareho i noveho serveru:
[code]grep NETCONFIG_DNS /etc/sysconfig/network/config[/code]
Michal Strnad
Na starem serveru mi to nenapsalo vůbec nic. Takže v tom /etc/sysconfig/network/config není ani zmínka po NETCONFIG_DNS.
Na novém:
he-ns2:~ # grep NETCONFIG_DNS /etc/sysconfig/network/config
NETCONFIG_DNS_POLICY="auto"
NETCONFIG_DNS_FORWARDER="resolver"
NETCONFIG_DNS_STATIC_SEARCHLIST="****.cz"
# When the NETCONFIG_DNS_FORWARDER variable is set to "resolver",
NETCONFIG_DNS_STATIC_SERVERS=""
NETCONFIG_DNS_RANKING="auto"
Takže by to NETCONFIG chtělo asi nějak zakázat ne?
Ano. Zda se, ze nam v tom netconfig dela krapet paseku.
Jako prvni bych zkusil:
1) odstranit uplne soubor /var/lib/named/etc/named.d/forwarders.conf a /etc/named.d/forwarders.conf
2) v souboru /etc/sysconfig/network/config vyjmout z promenne NETCONFIG_MODULES_ORDER polozku dns-bind.
3) restart sitovani (service network restart) a restart bindu (service named restart)
Soubor forwarders.conf by se na vyse zminenych mistech uz nemel objevit.
Michal Strnad
forwarders.conf se sice objevil, ale už je prázdný.
v souboru /etc/sysconfig/network/config bylo:
NETCONFIG_MODULES_ORDER="dns-resolver dns-bind dns-dnsmasq nis ntp-runtime"tak jsem ten dns-bind vyjmul.
Na starém serveru vůbec není ani NETCONFIG_MODULES...
A nastala nejaka zmena v resolvingu nefunkcni domeny?
Michal Strnad
zdá se že ne, stále to píše do /var/lib/named/log/named.log
12-Jul-2012 12:19:59.060 security: info: client 10.72.35.81#50865: query (cache) 'priklad2.cz/A/IN' deniedA taky mi to po restartu named píše:
Jul 10 15:00:15 he-ns2 named[4808]: the working directory is not writable
To bude asi ten problém, protože si to nemůže jakoby zapsat k sobě do cache.
Když se ale podívám na starý server na práva:
he-ns1:/var/log # ls -l /var/lib/named
total 13
drwxr-xr-x 8 root root 288 Oct 1 2009 .
drwxr-xr-x 19 root root 528 Apr 12 2006 ..
-rw-r--r-- 1 root root 192 Apr 6 2004 127.0.0.zone
drwxr-xr-x 2 root root 120 Mar 6 17:40 dev
drwxr-xr-x 2 named named 48 Apr 6 2004 dyn
drwxr-xr-x 3 root root 200 May 3 2006 etc
-rw-r--r-- 1 root root 158 Apr 6 2004 localhost.zone
drwxr-xr-x 3 named named 920 Jul 10 11:58 log
-rw-r--r-- 1 root root 808 Aug 3 2006 root.hint.old
drwxr-xr-x 2 named named 48 Apr 6 2004 slave
drwxr-xr-x 4 root root 120 Dec 6 2005 var
A na nový:
he-ns2:~ # ls -l /var/lib/named
total 40
-rw-r--r-- 1 root root 192 Jul 4 2001 127.0.0.zone
drwxr-xr-x 2 root root 4096 Jul 10 11:22 dev
drwxr-xr-x 2 named named 4096 Jan 21 2010 dyn
drwxr-xr-x 3 root root 4096 Jul 10 15:00 etc
-rw-r--r-- 1 root root 158 Jul 4 2001 localhost.zone
drwxr-xr-x 2 named named 4096 Jul 9 09:30 log
drwxr-xr-x 2 root root 4096 Jan 21 2010 master
dr-xr-xr-x 93 root root 0 Jul 10 11:22 proc
-rw-r--r-- 1 root root 2878 Jan 21 2010 root.hint
drwxr-xr-x 2 named named 4096 Jan 21 2010 slave
drwxr-xr-x 4 root root 4096 Jun 28 16:47 var
Tak tam vidím rozdíl pouze v tom total 13:40 a to nevím co je.
Mám tohle celé smazat a přejet to tím rsyncem? Nebo co se s tím dá dělat?
Podle nekterych informaci z webu by tahle hlaska nemusela nicemu vadit.
Prava na starem i novem serveur jsou shodna, takze rsync by nic neresil.
Mas na novem serveru nainstalovany ev. i aktivni AppArmor?
Michal Strnad
Nějaký AppArmor tady je, ale nevím co s ním.
he-ns2:~ # apparmor_statusapparmor module is loaded.
11 profiles are loaded.
11 profiles are in enforce mode.
/usr/sbin/ntpd
/usr/sbin/identd
/sbin/klogd
/sbin/syslogd
/sbin/syslog-ng
/usr/sbin/traceroute
/usr/sbin/nscd
/bin/ping
/usr/sbin/mdnsd
/usr/sbin/named
/usr/sbin/avahi-daemon
0 profiles are in complain mode.
4 processes have profiles defined.
4 processes are in enforce mode :
/sbin/syslog-ng (2283)
/usr/sbin/named (4808)
/sbin/klogd (2286)
/usr/sbin/nscd (3276)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
Při přechodu na nové fórum již nejsem jako autor tohoto tématu, ale téma stále není vyřešeno, mohli by jste ho prosím přejmenovat? Děkuji
Zmeneno, pridal jsem Vas zpatky jako autora.
Close the world, open the next.