1 votes

fukawi2 avatar

délégation des zones inverses /24 et /64

Demandé el 9 de Juillet, 2013
Quand la question a-t-elle été
2468 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis sûr que je néglige quelque chose de si simple, mais je ne le vois pas... J'essaie de déléguer les zones inverses /24 et /64 de notre réseau de test aux hôtes du réseau de test. Je rencontre le même problème avec la délégation IPv4 /24 et IPv6 /64, je vais donc me concentrer sur l'IPv4 pour le moment.

Nous utilisons 172.31.0.0/16 en interne, avec 172.31.99.0/24 étant le réseau de test.

Je veux déléguer 99.31.172.in-addr.arpa. vers les 2 nouveaux contrôleurs de domaine dans le réseau de test à 172.31.99.11 et .12

$ORIGIN 99.31.172.in-addr.arpa.
@       NS      svr-addc1.ad.example.com.au.
@       NS      svr-addc2.ad.example.com.au.

J'ai évidemment remplacé notre domaine actuel par "exemple".

Après un rechargement complet de named, j'obtiens NXDOMAIN du résolveur local :

# dig -x 172.31.99.11 @localhost

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> -x 172.31.99.11 @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 50720
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;11.99.31.172.in-addr.arpa. IN  PTR

;; Query time: 29 msec
;; SERVER: ::1#53(::1)
;; WHEN: Tue Jul  9 16:38:33 2013
;; MSG SIZE  rcvd: 43

Entre-temps, une recherche dirigée vers l'IP que j'ai déléguée fonctionne bien :

# dig -x 172.31.99.11 @172.31.99.11

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.4 <<>> -x 172.31.99.11 @172.31.99.11
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44598
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;11.99.31.172.in-addr.arpa. IN  PTR

;; ANSWER SECTION:
11.99.31.172.in-addr.arpa. 1200 IN  PTR svr-addc1.ad.example.com.au.

;; Query time: 2 msec
;; SERVER: 172.31.99.11#53(172.31.99.11)
;; WHEN: Tue Jul  9 15:49:51 2013
;; MSG SIZE  rcvd: 81

C'est la délégation pour le forward lookup, qui fonctionne comme prévu :

$ORIGIN ad.example.com.au.
@             NS    svr-addc1
@             NS    svr-addc2
; glue records:
svr-addc1 A     172.31.99.11
          AAAA  2001:xxxx:xxxx:c699::addc:21
svr-addc2 A     172.31.99.12
          AAAA  2001:xxxx:xxxx:c699::addc:22

Les recherches inversées pour d'autres réseaux /24 fonctionnent toujours bien :

# dig -x 172.31.42.101 @localhost +short
sw-sana.example.com.au.

EDIT

Si j'ajoute la zone à named.conf en tant que type forward zone, alors tout fonctionne correctement :

### TEST network delegated to the new AD controllers
zone "99.31.172.in-addr.arpa" IN {
    type forward;
    forwarders { 172.31.99.11; 172.31.99.12; };
};
zone "9.9.6.c.x.x.x.x.x.x.x.x.1.0.0.2.ip6.arpa" IN {
    type forward;
    forwarders { 2001:xxxx:xxxx:c699::addc:21; 2001:xxxx:xxxx:c699::addc:22; };
};

Et une recherche utilisant le résolveur local fonctionne :

# dig -x 172.31.99.11 +short
svr-addc1.ad.example.com.au.

Je ne comprends vraiment pas ce que je fais de mal :-/

Demandé el 9 de Juillet, 2013 par fukawi2

0 votes

Avatar de Matteo Pagliazzi

Ainsi, les journaux indiquent qu'il charge 2013070301 mais le numéro de série qu'il sert dans l'enregistrement SOA est 2013070904.

Commenté el 9 de Juillet, 2013 par Matteo Pagliazzi

0 votes

Avatar de fukawi2

Désolé, mauvaise zone. Vous avez raison, il y avait des erreurs avec les "données hors zone", mais j'ai corrigé cela et ça se charge correctement maintenant, mais ça ne fonctionne toujours pas, et je n'ai même pas de section d'autorité dans la réponse maintenant. Je vais mettre à jour la question avec le nouveau résultat.

Commenté el 9 de Juillet, 2013 par fukawi2

0 votes

Avatar de fukawi2

Un tcpdump sur l'interface réseau de test montre que named n'envoie pas un seul paquet au DC, alors que je peux voir le trafic en faisant un forward lookup.

Commenté el 9 de Juillet, 2013 par fukawi2
Afficher 2 autres commentaires

Réponses

Trop de publicités?

1voto

ggustafsson avatar
ggustafsson Points 1908

Une fois qu'un domaine est délégué sur votre serveur DNS principal, celui-ci ne répondra pas aux requêtes DNS pour ces domaines, sauf si la récursion est activée. La raison pour laquelle la redirection fonctionne est qu'un forwarder effectue une récursion par défaut. Vous pouvez essayer d'activer la récursion en premier.

Répondu el 11 de Juillet, 2013 par ggustafsson (1908 Points )

0 votes

Avatar de fukawi2

La récursion est activée dans la vue "interne", dont les journaux confirment qu'il s'agit de la vue sur laquelle porte la demande : client 127.0.0.1#37492: view internal: query: 11.99.31.172.in-addr.arpa IN PTR + (127.0.0.1)

Commenté el 11 de Juillet, 2013 par fukawi2

0 votes

Avatar de ggustafsson

Lorsque vous définissez les enregistrements NS pour la délégation, avez-vous spécifié les "glue records", c'est-à-dire les enregistrements A pour les deux nouveaux contrôleurs de domaine dans votre fichier de zone ?

Commenté el 11 de Juillet, 2013 par ggustafsson

0 votes

Avatar de fukawi2

Oui, j'ai délégué la responsabilité de ad.example.com.au sous-domaine de ' example.com.au dans la zone de transfert vers les mêmes serveurs. Cela fonctionne parfaitement.

Commenté el 11 de Juillet, 2013 par fukawi2

1voto

John DaCosta avatar
John DaCosta Points 1718

Je veux déléguer 99.31.172.in-addr.arpa. aux 2 nouveaux contrôleurs de domaine du réseau de test à 172.31.99.11 et .12.

$ORIGIN 99.31.172.in-addr.arpa.
@       NS      svr-addc1.ad.example.com.au.
@       NS      svr-addc2.ad.example.com.au.

Dans quel fichier mettez-vous les lignes ci-dessus ? Les délégations doivent se trouver dans la zone qui les contient (c'est-à-dire que les enregistrements de délégation pour 99.31.172.in-addr.arpa. doivent exister dans la zone pour 31.172.in-addr.arpa.). Par ailleurs, à titre de question stylistique, que gagnez-vous à changer le $ORIGIN ? Cela rend les enregistrements moins explicitement clairs et peut éventuellement provoquer des effets secondaires si vous avez d'autres contenus de zone définis plus loin dans le fichier.

Enfin, votre fichier named.conf sur le serveur de noms principal (pas celui du réseau de test) contient-il toujours une déclaration de zone pour 99.31.172.in-addr.arpa. dans ses vues ?

Répondu el 17 de Juillet, 2013 par John DaCosta (1718 Points )

0 votes

Avatar de fukawi2

Merci pour votre contribution, Michael. Ces lignes vont dans le fichier de zone pour 31.172.in-addr.arpa . L'utilisation de $ORIGIN est une préférence personnelle je suppose ; je trouve plus facile à lire en séparant le fichier en blocs. Pour info, j'ai essayé sans $ORIGIN et en rendant chaque ligne entièrement qualifiée. Il n'y a pas de named sur le réseau TEST (contrôleurs de domaine AD), et non, il n'y avait pas de zone explicite pour 99.31.172 dans aucune vue du named.conf quand j'ai fait ça (il y en a une maintenant, selon la dernière modification de mon OP).

Commenté el 17 de Juillet, 2013 par fukawi2

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X