» Кеширующий DNS сервер для локальной сети на основе BIND 9

vlary
а хм... я так ответа на то что не понимал и не получил)
что будет если ответ будет на 111.122.133.144 не domain.org а пачка имен типа domain.org, host.domain.org, mail.domian.org?

и еще до кучи вопрос - с другими зонами которыми я настраивал ни когда такой проблемы не возникало, а тут смотрю и впритык не понимаю что ему не нравится. вот суть косяка
Код: ;@ IN CNAME host
@ IN A 111.122.133.144
host IN A 111.122.133.144

Alukardd

Цитата:

что будет если ответ будет на 111.122.133.144 не domain.org а пачка имен типа domain.org, host.domain.org, mail.domian.org?

В принципе ничего, но и хорошего мало. У меня было 1 раз когда пров отдавал 2 PTR на мой IP, почту я не мог доставлять это точно. Пришлось позвонить, правда быстро убрали.


Цитата:

штука в том, что я хочу использовать 1-ю, а не вторую строку.

А как ты представляешь себе @ CNAME host?

По идее должно быть:
@ IN A host.domain.com.
www IN CNAME host.domain.com.

Псевдоним обычно указывает на реальное имя, не?

Alukardd
Цитата:

что будет если ответ будет на 111.122.133.144 не domain.org а пачка имен

Зачем пачка? Так обычно не делают. В прямом ДНС для одного айпи делают одну запись А, а остальные CNAME.
Несколько А записей используют только в том случае, если они соответствуют разным айпи.
Например, NSLOOKUP www.ya.ru
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
Name: ya.ru
Addresses: 87.250.250.3, 87.250.251.3, 93.158.134.3, 213.180.204.3
77.88.21.3
Aliases: www.ya.ru
У www.ya.ru пять записей А.
А если айпишник единственный, то и запись А должна быть одна.
Нужно выбрать, что будет А, пусть, например, host.domain.org, или mail.domian.org, если больше нравится, а остальные будут просто CNAME. И вот то имя, что А, и прописать в PTR. Остальные не надо. Еще неплохо, если почтовик в HELO использует то имя, что у него в PTR. Хотя и некритично.

Ruza
всё норм я себе представляю... ну мб не все но это более-менее)
если не ставить на конце имени точку, то он будет автоматом туда дописывать имя домена (@) - так что все норм.
для успокоения души я пробовал писать и host.domain.com. - результат всё таже ошибка.

Цитата:

для успокоения души я пробовал писать и host.domain.com. - результат всё таже ошибка.

Что за ошибка? Где писал?

vlary

Цитата:

Еще неплохо, если почтовик в HELO использует то имя, что у него в PTR. Хотя и не критично.

ну это в скупе с тем что на 1ip 1A запись вообще без шансов. домен mail используется для доступа к вебморде почты, и имя нужно лишь для apache.
а остальное взаимодействие с хостом идет через domain.com. который очень хотелось бы что бы был просто CNAME на host.domain.com. Что и было до этого при использовании другого DNS.
И в таком случае PTR должен указывать на host.domain.com. или можно на его CNAME - domain.com.?

Добавлено:

Цитата:

Что за ошибка? Где писал?

Цитата:

на что получаю плевок - CNAME and other data ну и not loaded due to errors - что он там нашел я хз...

Alukardd Ну вот где-то так должна быть зона:

Код: @ IN SOA host.domain.org. alukardd.domain.org. (
2010110100 7200 3600 604800 86400 )
IN NS host.domain.org.
IN NS ns.provider.net.
IN A 111.122.133.144
IN MX 0 host.domain.org.
IN TXT "v=spf1 ip4:111.122.133.144 -all"
$TTL 86400
host IN A 111.122.133.144
mail IN CNAME host

Alukardd
Что я совсем потерял ход твоих мыслей...
Вот пример зоны:

@ IN NS ns.domain.com.
@ MX 10 mail.domain.com.
@ IN A 111.122.133.144
gw IN A 111.122.133.144
mail IN CNAME gw.domain.com.
ns IN CNAME gw.domain.com.
www IN CNAME gw.domain.com.
ftp IN CNAME gw.domain.com.
@ IN TXT "v=spf1 +a +mx -all"

У прова записано в обратной зоне:
PTR = domain.com

EHLO почтовика = domain.com

vlary
всё-таки вы прописали 2 A записи) и при этом так и не сделали что бы сам домен domain.com был CNAME, а не A записью к host.
И что вы подразумевали под ns.provider.net.? регистратора в смысле? я забил боль на них всех и оставил по сути 1 NS себя, а 2-ой фикция - ссылается на тот же мой единственный ip.

Ruza
Цитата:

@ IN NS ns.domain.com.
........................................
ns IN CNAME gw.domain.com.

Использовать для NS и MX записи CNAME, строго говоря, не рекомендуется

vlary
в общем вот [more=мой вердикт]$ORIGIN domain.com.
$TTL 86400 ; 1 day
@ IN SOA ns.domain.com. admin.domain.com. (
    2010110108 ; serial
    14400 ; refresh (4 h)
    3600 ; retry (1 h)
    2592000 ; expire (4w2d)
    600 ; minimum (10 minute)
)
@ IN NS ns
ns IN A x.y.z.w
@ IN NS ns2
ns2 IN A x.y.z.w
;
@ IN A x.y.z.w
@ IN MX 400 @
host IN A x.y.z.w
www IN CNAME host
mail IN CNAME host
; others try
* IN CNAME @
IN TXT "v=spf1 ip4:x.y.z.w -all"
[/more] - поправьте пожалуйста если что не так. про 2-ой NS я уже сказал что просто фикция. а про CNAME на host - так и не понял почему так...

Alukardd

Цитата:

всё-таки вы прописали 2 A записи) и при этом так и не сделали что бы сам домен domain.com был CNAME, а не A записью к host.

Первая А запись относится к самому домену и представляет адрес домена, в результате чего domain.org будет резольвиться как 111.122.133.144 (иметь адрес)
А вторая А запись относится к host.domain.org.

Цитата:

И что вы подразумевали под ns.provider.net.?

Я имел в виду секондари ДНС, провайдера ли, регистратора, хорошего друга - не важно. По правилам домен должен иметь хотя бы один секондари в другом сегменте сети. Ruza не даст соврать

vlary

Цитата:

/Использовать для NS и MX записи CNAME, строго говоря, не рекомендуется

Да? Не знал... Ну тк пример из работающей зоны то трогать лень.

Цитата:

Да? Не знал... Ну тк пример из работающей зоны то трогать лень.

да мне вот 2-ой нафиг не сдался и надежность тут совершенно ни к чему. поэтому 2-ой NS у меня фиктивный. мб как-нить на досуге перенастрою провайдерский и тогда назначу его 2-м... а пока так поживем.

Alukardd
Ты это брось... NS он как мёд либо есть либо нет.
По идее bind будет и так работать но КРАЙНЕ желателен второй... Можно что то типа фришных secondary.
Да и назначить без согласия прова ты ничего не сможешь.

Ruza
Цитата:

Да? Не знал...

Если касаемо второго ДНС, то Ссылка

Цитата:

1.12. Достаточно ли одного DNS-сервера для делегирования домена в зоне RU?

Делегирование домена в зоне RU может быть произведено только при наличии как минимум двух серверов доменных имен (Primary и Secondary DNS), поддерживающих делегируемый домен.

А если по поводу CNAME - то
Цитата:

RFC 1123 explicitly states that SMTP mail should be addressed to canonical name hosts. To be canonical, the DNS entry must be an A record or an MX record. CNAME records are not canonical and should not be mixed with MX records.

vlary

Цитата:

Если касаемо второго ДНС, то Ссылка

Не в коем случае! это я цитату пропустил.

Цитата:

А если по поводу CNAME - то

ага именно про них родимых...


Цитата:

Делегирование домена в зоне RU может быть произведено только при наличии как минимум двух серверов

Это везде так... не только в зоне РУ.

Ruza
извентиляюсь, вы мой конфиг оценили?
а что касается DNS, то у регистратора я скинул все его ns'ы и назначил 2 дочерних причем оба на свой ip, а реально у меня только 1. И того имеем 1 ns. Когда время будет верну 1 из ns'ов регистратора и у него же есть бесплатный DNS который и настрою аналогично своему BIND'у.

p.s. в предыдущем посте описался: провайдер -> регистратор

Ну я бы написал где то так:
$ORIGIN domain.com.
$TTL 86400 ; 1 day
@ IN SOA ns.domain.com. admin.domain.com. (
2010110108 ; serial
14400 ; refresh (4 h)
3600 ; retry (1 h)
2592000 ; expire (4w2d)
600 ; minimum (10 minute)
)
@ IN NS ns
ns IN A x.y.z.w
@ IN NS ns2
ns2 IN A x.y.z.w
@ IN MX 10 host
;
@ IN A x.y.z.w
* IN A x.y.z.w
host IN A x.y.z.w
www IN CNAME host
mail IN CNAME host
; others try
@ IN TXT "v=spf1 +mx -all"

И как дополнение... Второй DNS ОБЯЗАТЕЛЕН (будь то филиальный сервер или free secondary).

Ruza Ну, коль скоро есть запись * IN A x.y.z.w, то без записей для www и mail в данном случае можно спокойно обойтись.
Alukardd
Ну и соответственно, в файле /etc/named.conf
zone "domain.org" IN {
type master;
file "db.domain.org"; файл с конфигом зоны
allow-transfer { 1.2.3.4; }; секондари ДНС
allow-update { none; };
};
Еще рекомендую подумать над разделением внутренней и внешней сетки, если речь идет о ДНС предприятия. В этом случае полезно создать две вьюшки, из внешней будет выдаваться белый айпи при запросах из инета, а из внутренней - серые айпи при запросах из локалки.

Ruza
Цитата:

Второй DNS ОБЯЗАТЕЛЕН

ну обязателен о только с точки зрения стандарта и в принципе, но ни кто собственно не мешает сделать как я - указать на 1 и тот же хост и при этом на нем не заводить 2-ой dns в принципе.
Вот вы мне лучше скажите что реально даёт 2-ой dns ОСОБЕННО В МОЁМ СЛУЧАЕ, когда NS и хост это одно и тоже.
Предположим упал сервак и тогда на кой хер 2-ой dns? Тогда 2-ой dns спасет только если отвалился bind.

vlary
записи mail и остальные так для приличия.

Цитата:

создать две вьюшки

а вот этим ни когда не занимался - не наведете на путь истинный?

кстати конфиг плевался если TXT запись стояла последней или после CNAME, точно не понял и не вникал - поднял её перед CNAME и все проканало.

p.s. пров прописал обратную зону, так что хотя бы проблемы с mail.ru решились.

p.p.s.и еще уже давно искал в инете как настроить bind для замены им DNS встроенного в AD. Но везде либо корявенько описано, либо чего-то не хватает. По сколько чего точно требуется прописать для функционирования домена я не знаю, то хотелось бы почитать об этом или хотя бы увидеть набор записей достаточных для функционирования домена через bind9.

Alukardd
Цитата:

а вот этим ни когда не занимался - не наведете на путь истинный?

Достаточно полно и в то же время доступно описано здесь: Split DNS: заставим BIND работать на два фронта!

Цитата:

уже давно искал в инете как настроить bind для замены им DNS встроенного в AD.

Встроеного в AD в природе не существует, имеется просто родной виндузовый, который АД использует. Я у себя никаких настроек не делал, просто при установке контроллера домена в качестве ДНС подсунул свой стоящий на Юниксе bind, и все нормально заработало.
АД понаделала в зоне mycompany.ru кучу своих записей, типа
_ldap._tcp.Default-First-Site-Name._sites
_ldap._tcp.9de2dfcb-3d5a-48b7-bbc1-6c4d6609cf4b.domains
_tcp.mycompany.ru
_udp.mycompany.ru и так далее...
Какие-то шероховатости были, но поскольку на нормальную работу они не влияли, я не стал заморачиваться

vlary
Цитата:

просто при установке контроллера домена в качестве ДНС подсунул свой стоящий на Юниксе bind

а если bind появился в сетке после КД, как заставить кд обновить записи в bind?

был у меня давнишний акк на xname.org - вроде создал secondary dns там, правда пока данные не обновились видимо. И dig domain.com @ns0.xname.org axfr говорит что transfer faild. У себя allow-transfer прописал. А вот список ns'ов для зоны пока не обновился.

спасибо за ссылку - прочитал - сделаемс наверное.

Цитата:

а если bind появился в сетке после КД, как заставить кд обновить записи в bind?

Силами самой АД - не знаю, с помощью настроек ДНС - довольно просто. Прописываем байнд как слэйв, мастером ставим ДНС винды, там его тоже пишем как слэйв, убиваем старый файл и разрешаем трансфер зоны. После рестарта он должен обновить свой файл зоны данными полученными с виндового ДНС. А потом можем ставить его как мастер и прописывать в качестве ДНС в АД, все нужные записи зоны у него есть.

Что за хм...
Вчера столько раз NS'ы менял и они за считанные минуты обновлялись...
А щас уже пол дня не меняются. Прописал у регистратора ns'ы и у себя зону переписал. И... host -v t NS domain.com 8.8.8.8 - показывает старые ns'ы. Какого? Запрос через мой dns отдает корректные данные.
Создал secondary dns на xname.org.
И к тому же еще вот:

Код: $ dig domain.org @ns.domain.org axfr

; <<>> DiG 9.7.0-P1 <<>> domain.org @ns.domain.org axfr
;; global options: +cmd
;; connection timed out; no servers could be reached

Alukardd
Цитата:

показывает старые ns'ы. Какого?

Видимо, тест новых неймсерверов не прошел, и регистратор оставил старые данные.
Сам же написал, что Transfer failed. Кстати, на фаерволе ничего не рубится?

Цитата:

Пров мог вообще не прописывать NS'ы для обратной зоны?

Обратная зона ничем не хуже прямой, должны быть и NS, и SOA
Вот например:

Код: nslookup -type=ns 8.8.8.in-addr.arpa
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
8.8.8.in-addr.arpa nameserver = ns3.google.com
8.8.8.in-addr.arpa nameserver = ns1.google.com
8.8.8.in-addr.arpa nameserver = ns2.google.com
8.8.8.in-addr.arpa nameserver = ns4.google.com

nslookup -type=ns 8.8.8.in-addr.arpa ns1.google.com
Server: ns1.google.com
Address: 216.239.32.10

8.8.8.in-addr.arpa nameserver = ns3.google.com
8.8.8.in-addr.arpa nameserver = ns2.google.com
8.8.8.in-addr.arpa nameserver = ns4.google.com
8.8.8.in-addr.arpa nameserver = ns1.google.com
ns3.google.com internet address = 216.239.36.10
ns2.google.com internet address = 216.239.34.10
ns4.google.com internet address = 216.239.38.10
ns1.google.com internet address = 216.239.32.10

nslookup -type=soa 8.8.8.in-addr.arpa ns1.google.com
Server: ns1.google.com
Address: 216.239.32.10

8.8.8.in-addr.arpa
primary name server = ns1.google.com
responsible mail addr = dns-admin.google.com
serial = 1431924
refresh = 21600 (6 hours)
retry = 3600 (1 hour)
expire = 1209600 (14 days)
default TTL = 10800 (3 hours)
8.8.8.in-addr.arpa nameserver = ns3.google.com
8.8.8.in-addr.arpa nameserver = ns4.google.com
8.8.8.in-addr.arpa nameserver = ns1.google.com
8.8.8.in-addr.arpa nameserver = ns2.google.com
ns3.google.com internet address = 216.239.36.10
ns4.google.com internet address = 216.239.38.10
ns1.google.com internet address = 216.239.32.10
ns2.google.com internet address = 216.239.34.10

vlary
до этого менял у себя и регистратора и все ок было.

у прова кстати когда он прописовал обратную зону щас светятся его NS, а не мои... Это вообще нормально? PTR на меня, а ns'ы его.

нет на фаере ни чего не рубится, тем более что я там ни чего не менял с тех пор как начал ковырять DNS.

ВСЁ NS'ы ОБНОВИЛИСЬ.
Нет я знаю что там окло суток могут обновлятся, но за день до этого они каждый час а то и чаще обновлялись.
А вот команда dig axfr по прежнему меня не радует

На фаере открыт только 53UDP порт для цепочки INPUT. Когда-то и tcp был открыт, но он вроде совсем не использовался(netfilter вещал что нема пакетов) и я его закрыл. Мб какие-то icmp пакеты доп нужны?

Alukardd

Цитата:

Это вообще нормально? PTR на меня, а ns'ы его.

Да это правильно. Зона его и его сервера.

Цитата:

но он вроде совсем не использовался(netfilter вещал что нема пакетов) и я его закрыл

53 tcp используется как раз для передачи зон.

Ruza
Цитата:

53 tcp используется как раз для передачи зон.

спс) у меня как раз до этого трансфер не нужен был вот и не было трафика)
открыл 53tcp порт, как быстро зоны обновятся и команда dig axfr пройдет?

Цитата:

как быстро зоны обновятся и команда dig axfr пройдет?

Это как карта ляжет. Параметр notify для секондари стоит? Полезно сделать инкремент сериала зоны и рестартануть ДНС