บรรจวบ เข้าสู่ระบบ
Score:0
Fabio avatar Server

บอกให้ผูกละเว้นการตรวจสอบโดเมน SOA ในโซนผู้ส่งต่อ

ธง in
Fabio

ฉันมีปัญหาแปลกๆ กับการผูกมัด

สถานที่ตั้ง: ฉันกำลังใช้การผูก (เวอร์ชัน 9.16_11) ที่ติดตั้งบน pfSense แต่อย่างไรก็ตาม ฉันสามารถเปลี่ยนเกือบทุกอย่างในการกำหนดค่าการผูก

ฉันได้กำหนดค่าโซนส่งต่ออย่างง่าย การกำหนดค่าเป็นดังนี้:

โซน "dom001.my-domain.com" {
        พิมพ์ไปข้างหน้า
        ไปข้างหน้าเท่านั้น
        ผู้ส่งต่อ { 192.168.29.10; };
};

ตอนนี้ ถ้าฉันพยายาม nslookup กับโฮสต์ในโดเมนนี้ ฉันเห็นข้อผิดพลาด ตัวอย่าง:

คำตอบที่ไม่ได้รับอนุญาต:
ชื่อ: mail2.dom001.my-domain.com
ที่อยู่: 192.168.210.126
** เซิร์ฟเวอร์ไม่พบ mail2.dom001.my-domain.com: SERVFAIL

สิ่งที่แปลกคือได้รับคำตอบแล้ว (คุณสามารถเห็นที่อยู่ในการตอบกลับ) แต่อย่างไรก็ตามสิ่งนี้ฉันเห็นข้อผิดพลาด SERVFAIL

สิ่งที่แปลกอื่น ๆ การขุดไม่รายงานข้อผิดพลาด:

; <<>> DiG 9.16.6 <<>> mail2.dom001.my-domain.com
;; ตัวเลือกส่วนกลาง: +cmd
;; ได้รับคำตอบ:
;; ->>HEADER<<- opcode: QUERY, สถานะ: NOERROR, id: 53129
;; ธง: qr rd ra; คำถาม: 1, คำตอบ: 1, ผู้มีอำนาจ: 0, เพิ่มเติม: 1

;; เลือก PSEUDOSECTION:
; EDNS: เวอร์ชัน: 0, แฟล็ก:; UDP: 4096
; คุกกี้: 3218b8a1b8f64565eb9bd6636124bf73640809a4347f3bcf (ดี)
;; ส่วนคำถาม:
;mail2.dom001.my-domain.com ใน

;; ส่วนคำตอบ:
mail2.dom001.my-domain.com. 30 ใน A 192.168.210.126

;; เวลาสืบค้น: 30 มิลลิวินาที
;; เซิร์ฟเวอร์: 172.16.0.2#53(172.16.0.2)
;; เมื่อ: อังคาร 24 ส.ค. 11:44:19 CEST 2021
;; ขนาดผงชูรส rcvd: 110

ระหว่างการสอบถามเหล่านี้ ฉันเห็น 'คำเตือน' บางอย่างในบันทึกของ bind:

24 ส.ค. 10:42:58 ชื่อ 19540 เซิร์ฟเวอร์ง่อย: ข้อมูล: FORMERR กำลังแก้ไข 'mail2.dom001.my-domain.com/AAAA/IN': 192.168.29.10#53
24 ส.ค. 10:42:58 ชื่อตัวแก้ไข 19540: ประกาศ: ข้อผิดพลาดของรูปแบบ DNS จาก 192.168.29.10#53 การแก้ไข mail2.dom001.my-domain.com/AAAA สำหรับไคลเอนต์ 10.16.16.41#38299: ชื่อ cluster.local (SOA) ไม่ใช่ โดเมนย่อยของโซน dom001.my-domain.com -- การตอบสนองไม่ถูกต้อง

ฉันได้ตรวจสอบเพิ่มเติมแล้ว และดูเหมือนว่าปัญหาเกี่ยวข้องกับบันทึก SOA บนเซิร์ฟเวอร์ส่งต่อ:

;; ส่วนคำถาม:
;mail2.dom001.my-domain.com ใน SOA

;; ส่วนคำตอบ:
คลัสเตอร์.local. 30 ใน SOA ns.dns.cluster.local hostmaster.cluster.local. 1629766398 7200 1800 86400 30

ในความเป็นจริงคำตอบคือ คลัสเตอร์.local แทน dom001.my-domain.com.

ปัญหานี้ทำให้เกิดพฤติกรรมแปลก ๆ ขึ้นอยู่กับระบบปฏิบัติการที่ใช้ตัวอย่างเช่น ฉันเห็นว่าเซิร์ฟเวอร์ Linux ส่วนใหญ่ทำงานได้ดี ในขณะที่ Alpine Linux บางเวอร์ชันไม่สามารถแก้ไขชื่อโฮสต์บนโดเมนนั้นได้

และแม้กระทั่งกับเซิร์ฟเวอร์ที่ทำงานได้ดี ฉันก็มีบันทึกของ bind ที่เต็มไปด้วยข้อผิดพลาดเนื่องจากปัญหานี้

โชคไม่ดีที่ฉันไม่สามารถควบคุมเซิร์ฟเวอร์ส่งต่อและเปลี่ยนบันทึก SOA ได้

คำถามของฉันคือ ฉันจะกำหนดค่าการผูกเพื่อละเว้นบันทึก SOA ของผู้ส่งต่อนั้นและยอมรับคำตอบแม้ว่า SOA จะไม่สอดคล้องกันได้อย่างไร

ฉันรู้ว่านั่นไม่ใช่วิธีแก้ปัญหาที่ดีที่สุด แต่ฉันต้องแก้ปัญหาตัวส่งต่อที่กำหนดค่าผิดพลาด

ขอบคุณล่วงหน้าสำหรับความช่วยเหลือของ!

451
1 + 1
Patrick Mevzek avatar
cn flag
Patrick Mevzek
ฉันจะแปลกใจมากที่ปัญหาเกิดขึ้นกับ SOA เนื่องจากไม่มีการร้องขอเหล่านั้น ยกเว้นว่าอาจพบการตัดโซน คุณทำให้ทุกอย่างยุ่งเหยิง ดังนั้นมันจึงยากที่จะช่วยคุณได้จริงๆด้านหนึ่งคุณดูเหมือนจะมีโดเมนจริง อีกด้านคุณมี `.local` ซึ่งควรใช้กับ MDNS เท่านั้นและไม่มีอะไรอื่นอีก คำถามของคุณจะดีกว่าด้วยรายละเอียดที่แท้จริง ...
0
ตอบกลับ
Score:1
avatar Server
ธง cn
Håkan Lindqvist

ฉันไม่เชื่อว่ามีตัวเลือกใดๆ ใน BIND ที่จะทำให้ยอมรับคำตอบนั้น เนื่องจากดูเหมือนว่าจะไม่เกี่ยวข้องกับข้อความค้นหา
ไม่คาดว่าจะเห็นคำตอบที่ไม่สอดคล้องกันประเภทนั้นอย่างแน่นอน และฉันคิดว่าหากคุณต้องการ (ชั่วคราว?) ยอมรับและส่งต่อคำตอบเหล่านี้อย่างแท้จริง (ลูกค้าอาจไม่ชอบพวกเขาเช่นกัน) คุณอาจต้องดูซอฟต์แวร์อื่นที่ ไม่สนใจเนื้อหาตอบกลับในลักษณะเดียวกัน
(ฉันสงสัยว่า dnsdist ซึ่งเป็นพร็อกซีแทนที่จะเป็นรีเคอร์เซอร์สามารถทำสิ่งนี้ให้คุณได้)

ที่กล่าวว่าฉันคิดว่าฉันสามารถคลายความสับสนได้บ้าง ...

เดอะ nslookup สถานการณ์ขึ้นอยู่กับวิธีการ nslookup ส่งข้อความค้นหาแยกกันสองรายการโดยค่าเริ่มต้น หนึ่งรายการสำหรับ และอีกอันสำหรับ AAAA.
เดอะ แบบสอบถามประสบความสำเร็จและมีความเกี่ยวข้องอย่างชัดเจน บันทึกเป็นคำตอบที่ AAAA การค้นหาไม่สำเร็จ สันนิษฐานว่าไม่มี AAAA บันทึกและเป็นคำตอบเชิงลบมาพร้อมกับ (ควรจะ) เกี่ยวข้องเสมอ สพธอ บันทึกที่อาจก่อให้เกิดปัญหาที่คุณอธิบาย

ฉันหวังว่าคุณจะสามารถสร้างปัญหาด้วย ขุด ไม่เป็นไรถ้าคุณทำให้มันส่งคำค้นหาเดียวกันกับที่ล้มเหลว ดังนั้นคุณจะต้องส่งคำค้นหาสำหรับ AAAA ที่จะได้รับความล้มเหลวเช่นเดียวกับที่ nslookup ได้รับหนึ่งในสองข้อความค้นหา

สำหรับพฤติกรรมของเนมเซิร์ฟเวอร์อื่นนั้น ไม่ใช่กรณีของ "การแก้ไขไฟล์ สพธอ" มันเป็นข้อผิดพลาดทางตรรกะบางอย่างในซอฟต์แวร์เนมเซิร์ฟเวอร์ อันที่จริงแล้ว ไม่น่าจะเป็นไปได้ที่จะค้นหา คลัสเตอร์.local บันทึกเมื่อมองขึ้น mail2.dom001.my-domain.comซึ่งอยู่ในกิ่งก้านที่แตกต่างกันโดยสิ้นเชิงของต้นไม้

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา