บรรจวบ เข้าสู่ระบบ
Score:1
onee avatar Server

การมอบหมายโดเมนย่อย PowerDNS ไม่มีคำตอบ

ธง tm
onee

ฉันมีปัญหาในการเปลี่ยนเส้นทางโดเมนย่อยไปยัง DNS อื่น

ฉันมี:

โดเมนที่มีอยู่หลัก: d และโดเมนย่อยใหม่:

| 8412 | 42 | test1.d | NS | ns1.test.test1.d
| 8413 | 42 | test1.d | NS | ns2.test.test1.d
| 8414 | 42 | ns1.test.test1.d | ก | 10.64.91.100
| 8415 | 42 | ns2.test.test1.d | ก | 10.64.91.200

และการกลับมา:

 ขุด admin.test1.d

; <<>> DiG 9.10.6 <<>> admin.test1.d
; (พบ 1 เซิร์ฟเวอร์)
;; ตัวเลือกส่วนกลาง: +cmd
;; ได้รับคำตอบ:
;; ->>HEADER<<- opcode: QUERY, สถานะ: NOERROR, id: 23733
;; ธง: qr rd; คำถาม: 1, คำตอบ: 0, ผู้มีอำนาจ: 2, เพิ่มเติม: 3
;; คำเตือน: มีการร้องขอการเรียกซ้ำ แต่ไม่สามารถใช้ได้

;; เลือก PSEUDOSECTION:
; EDNS: เวอร์ชัน: 0, แฟล็ก:; UDP: 1232
;; ส่วนคำถาม:
;admin.test1.d. ใน

;; ส่วนผู้มีอำนาจ:
ทดสอบ 1.d. 60 IN NS ns1.test.test1.d.
ทดสอบ 1.d. 60 IN NS ns2.test.test1.d.

;; ส่วนเพิ่มเติม:
ns2.test.test1.d. 60 ใน 10.64.91.200
ns1.test.test1.d. 60 ใน 10.64.91.100

แต่ไม่ส่งคืนบันทึกอย่างถูกต้อง ตัวอย่างระเบียน A ว่างเปล่า

ถ้าฉันขอให้บันทึก 10.64.91.100 ถูกส่งคืนอย่างถูกต้อง

ขุด @ 10.64.91.100 admin.test1.d

; <<>> DiG 9.10.6 <<>> @ 10.64.91.100 admin.test1.d
; (พบ 1 เซิร์ฟเวอร์)
;; ตัวเลือกส่วนกลาง: +cmd
;; ได้รับคำตอบ:
;; ->>HEADER<<- opcode: QUERY, สถานะ: NOERROR, id: 27387
;; ธง: qr aa rd; คำถาม: 1, คำตอบ: 2, ผู้มีอำนาจ: 0, เพิ่มเติม: 1
;; คำเตือน: มีการร้องขอการเรียกซ้ำ แต่ไม่สามารถใช้ได้

;; เลือก PSEUDOSECTION:
; EDNS: เวอร์ชัน: 0, แฟล็ก:; UDP: 1232
;; ส่วนคำถาม:
;admin.test1.d. ใน

;; ส่วนคำตอบ:
admin.test1.d. 86400 ใน 10.64.91.50

pdns การกำหนดค่าของฉัน:

อนุญาต axfr-ips=10.64.91.112

ยังแจ้ง=10.64.91.112

only-notify=10.64.91.112

api=ใช่

api-key=XXXXXXXXX


ภูต=ใช่

default-soa-content=ns1.test.eu1.d. admin.domain.pl 0 10800 3600 604800 3600

ค่าเริ่มต้น-ttl=3600

ปิดการใช้งาน-axfr=no

ผู้พิทักษ์=ใช่

include-dir=/etc/powerdns/pdns.d

เปิดตัว=

ที่อยู่ในท้องถิ่น = 10.64.91.111

พอร์ตท้องถิ่น = 53

log-dns-details=เปิด

ล็อกเลเวล=4

มาสเตอร์=ใช่

รับ-เธรด=2

setgid=pdns

setuid=pdns

ทาส = ไม่

เว็บเซิร์ฟเวอร์=ใช่

ที่อยู่เว็บเซิร์ฟเวอร์ = 10.64.91.111


เว็บเซิร์ฟเวอร์อนุญาตจาก = 10.64.91.20

เว็บเซิร์ฟเวอร์พอร์ต = 8081

แบบสอบถามแคช ttl = 60

มายเอสคิวแอล:

#การกำหนดค่า MySQL
# เปิดแบ็กเอนด์ gmysql
เปิดตัว+=gmysql
# พารามิเตอร์ gmysql
gmysql-host=localhost
gmysql-พอร์ต=3306
gmysql-dbname=XXXX
gmysql-user=XXXXXX
gmysql-รหัสผ่าน=XXXXXX
gmysql-dnssec=ใช่
# gmysql-socket=

ความคิดใด ๆ ?

ฉันเห็น

Powerdns โดเมนย่อยและการมอบหมาย

และ https://nsrc.org/workshops/2010/sanog16/raw-attachment/wiki/DNS/dns4-presentation.pdf

มันควรจะทำงาน

ใน 10.64.91.100 และ 10.64.91.100 ฉันใช้ dnsdist

/etc/dnsdist/dnsdist.conf 
-- ไฟล์การกำหนดค่า dnsdist ตัวอย่างสามารถพบได้ใน /usr/share/doc/dnsdist/examples/

-- ปิดใช้งานการสำรวจสถานะความปลอดภัยผ่าน DNS

setLocal("0.0.0.0:53")
setACL({"0.0.0.0/0", "::/0"})

เซิร์ฟเวอร์ใหม่({address="10.64.91.111:54"})
เซิร์ฟเวอร์ใหม่({address="10.64.91.112:54"})
setServerPolicy (สุ่ม)

ใน 10.64.91.111 และ 10.64.91.112 ฉันใช้ PowerDNS Recursor

แมว /etc/powerdns/recursor.conf 
ที่อยู่ในท้องถิ่น = 10.64.91.111
พอร์ตท้องถิ่น = 54
อนุญาตจาก=10.0.0.0/8, 127.0.0.0/8, 10.12.0.0/16, 10.13.0.0/16, 195.88.50.0/26, 10.66.0.0/16, 10.64.0.0/16
โซนข้างหน้า=d=10.64.91.111:53
364
2 + 0
Score:1
avatar Server
ธง cn
Håkan Lindqvist

หากฉันเข้าใจคำถามถูกต้อง ดูเหมือนว่าจะเป็นกรณีของความคาดหวังที่ไม่ตรงกัน

ในครั้งแรก ขุด คำสั่งในคำถาม ดูเหมือนว่าคุณกำลังสอบถามเซิร์ฟเวอร์ที่มีสิทธิ์โดยตรง และเมื่อถูกถามเกี่ยวกับชื่อในโซนย่อยที่ได้รับมอบสิทธิ์ ระบบจะตอบกลับพร้อมข้อมูลการอ้างอิง
นี่คือทั้งหมดที่คาดหวังจากเซิร์ฟเวอร์ที่เชื่อถือได้เท่านั้น ไม่มีอะไรที่ไม่คาดคิดเกิดขึ้นที่นี่

สำหรับการทดสอบแบบสมบูรณ์จากมุมมองของเครื่องไคลเอ็นต์ (แทนที่จะเป็นเพียงขั้นตอนเดียวในชุดข้อความค้นหาที่จำเป็นเพื่อให้ได้คำตอบสุดท้าย) คุณจะต้องส่งคำถามไปยังเซิร์ฟเวอร์ตัวแก้ไขแทน หากนั่นคือส่วนที่ขาดหายไปในโครงสร้างพื้นฐาน นั่นอาจเป็นเช่นหนึ่งใน PowerDNS Recursor (ตรงข้ามกับ PowerDNS Authoritative), Unbound, BIND ที่เปิดใช้งานการเรียกซ้ำ, Knot Resolver เป็นต้น

นี่คือประเภทของเซิร์ฟเวอร์ที่จะกำหนดค่าบนเครื่องไคลเอนต์ (ใน resolv.conf หรือกลไกการกำหนดค่าใดก็ตามที่ระบบปฏิบัติการไคลเอนต์มี) และจะติดตามห่วงโซ่ของการมอบหมายเพื่อให้ได้คำตอบที่ไคลเอนต์ถามหา ตรงข้ามกับเซิร์ฟเวอร์ที่มีสิทธิ์ซึ่งมีบทบาทเพียงให้บริการข้อมูลที่มี (และใน กรณีมอบหมายก็แค่ส่งผู้อ้างอิงตามที่เห็นในคำถาม)

0 + 3
cn flag
Håkan Lindqvist
หากสิ่งเหล่านี้เป็นส่วนหนึ่งของแผนผังจริง ก็ไม่จำเป็นต้องมีโซนข้างหน้า มิฉะนั้น ใช่ (หรือโซนต้นขั้วบางรูปแบบขึ้นอยู่กับการใช้งานตัวแก้ไข) เนื่องจากคุณต้องแก้ไขมุมมองของแผนผัง DNS โดยรวม
0
ตอบกลับ
onee avatar
tm flag
onee
บันทึก NS เหล่านี้: 10.64.91.100 09.64.91.200 นี่คือ dnsdist เขาชี้ไปที่: เซิร์ฟเวอร์ใหม่ ({ที่อยู่ = "10.64.91.111:54"}) เซิร์ฟเวอร์ใหม่ ({ที่อยู่ = "10.64.91.112:54"}) (นี่คือการเรียกซ้ำ) ใน recursor conf: โซนข้างหน้า = d = 10.64.91.111: 53
0
ตอบกลับ
onee avatar
tm flag
onee
ขออภัย อัปเดตโพสต์ด้วยการกำหนดค่า DNS ของ dist และ recursor ความคิดเห็นนี้อ่านไม่ออก
0
ตอบกลับ
Score:0
onee avatar Server
ธง tm
onee

โอเค มันได้ผล

ฉันเพิ่มใน recursor.conf dont-query และลบ 10.0.0.0/8

เริ่มต้นคือ:

ค่าเริ่มต้น: 127.0.0.0/8, 10.0.0.0/8, 100.64.0.0/10, 169.254.0.0/16, 192.168.0.0/16, 172.16.0.0/12, ::1/128, fc00::/7, fe80::/10, 0.0.0.0/8, 192.0.0.0/24, 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24, 240.0.0.0/4, ::/96, ::ffff :0:0/96, 100::/64, 2001:db8::/32

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา