Follow

@cstrotm @jpmens - mal ne DNS Frage: gibt es eine logische Erklaerung dafuer, dass bei Eintraegen in einer Datei per $include der eine Eintrag existiert, aber der andere nicht? Z.B. files.nerdwind.de vs. proxy.nerdwind.de
Ich raetsel herum...

@ij @cstrotm nein, stimmt nicht: strcasecmp(3)

Du hast noch nicht gesagt ob Du in den logs Fehlermeldungen siehst. Was macht checkzone() ?

@ij @jpmens sieht alles korrekt aus. Sie @jpmens schon anmerkt, die Ausgabe von named-checkzone waere interessant.

Speziell die Ausgabe von named-checkzone -D <zonenname> <zonendatei> (und dort nach den beiden Eintraegen schauen)

@cstrotm @jpmens - bitte schoen:

# named-checkzone nerdwind.de /etc/bind/de/nerdwind.de
zone nerdwind.de/IN: loaded serial 2020011207
OK

Jan 12 17:05:21 vserv named[28933]: zone nerdwind.de/IN (unsigned): loaded serial 2020011207
Jan 12 17:05:21 vserv named[28933]: zone nerdwind.de/IN (signed): loaded serial 2020011207 (DNSSEC signed)

@ij @jpmens Bei inline-signing muss die SOA serial (signed) > (unsigned) sein, sonst wurde keine Aenderung erkannt und auch nicht signiert.

@ij @jpmens DNSSEC inline-signing und ggf. SOA serial nicht hochgezaehlt? Waere auch ein moegliches Problem.

@cstrotm @jpmens - zum editieren nutze ich immer mein dnssec.sh Script... das zaehlt beim Speichern immer automatisch hoch:
Jan 12 12:31:42 vserv named[21914]: zone nerdwind.de/IN (signed): loaded serial 2020011203 (DNSSEC signed)
Jan 12 14:25:24 vserv named[6296]: zone nerdwind.de/IN (signed): loaded serial 2020011205 (DNSSEC signed)
Jan 12 17:05:21 vserv named[28933]: zone nerdwind.de/IN (signed): loaded serial 2020011207 (DNSSEC signed)

@cstrotm @jpmens - mein check-soa.sh Script reportet auch keine unterschiedlichen serials fuer die Domain (Allerdings fuer andere... hmmm)

@ij @jpmens Bei Inline-Signing muss die SOA serial der geladenene Zone groesser sein als in der Zonendatei.

Automatisch um 1 hochzaehlen funktioniert oft nicht, da schon beim laden die SOA serial um mehr als 1 hochgezaehlt wird.

Ich zahle dann um +10 hoch und mache einen reload, dann ist es oft gefixed.

@cstrotm - naja, easy to fix: NEWSERIAL=`echo $((${SERIAL} + 10))` - statt +1...

Trotzdem erklaert das ja nicht so recht, wieso files.nerdwind.de zwar im dump drin ist, aber nicht abgefragt werden kann, auch wenn das mit der serial dann passt.
// @jpmens

@ij @jpmens

Meine Vermutung war, das files.nerdwind.de. eine der letzten Aenderungen war und BIND wegen der SOA Serial die neuen RRs nicht geladen hat.

Naechste Schritte:

"rndc dumpdb -all" und schauen ob der RR dort im Speicher liegt

Gibt es Views?

Gibt es RPZ (Response Policy Zones)?

@cstrotm - Ja, files war die letzte Aenderung in SRV-xmmpserver, aber:

vserv:~# rndc dumpdb -all
vserv:~# host files.nerdwind.de
Host files.nerdwind.de not found: 3(NXDOMAIN)

Keine Views, keine RPZ...

@jpmens

@ij @jpmens Nach "rndc dumpdb -all" musst Du Dir die Dump-Datenbank "named_dump.db" anschauen und schauen ob "files" dort drin ist.

@cstrotm - ah! sag das doch gleich! ;)

Nein, files findet sich im dumb nicht...

@jpmens

@ij @jpmens Dann wurde die neuen Zonendatei auch nicht geladen.

Sind mehr als ein "named" prozess gestartet?

@ij @jpmens

BIND 9 Prozess stoppen und neu starten, dann in den BIND 9 Log-Dateien (oder Syslog, je nach konfiguratin) nach Fehlermeldungen suchen.

Darf der BIND 9 Prozess die Zonendatei lesen (Unix-Rechte)?

@cstrotm -

Jan 12 23:10:24 vserv named[27423]: zone nerdwind.de/IN (signed): sending notifies (serial 2020011217)
Jan 12 23:10:24 vserv named[27423]: zone nerdwind.de/IN (signed): reconfiguring zone keys
Jan 12 23:10:24 vserv named[27423]: zone nerdwind.de/IN (signed): next key event: 13-Jan-2020 00:10:24.728

Rechte sind auch richtig...

@jpmens

@ij @jpmens Dann haette ich nur noch die "Holzhammer" Loesung: BIND 9 stoppen, alle Dateien (bak, jbk, jnl etc) ausser "nerdwind.de" loeschen, BIND 9 neu starten

@cstrotm - in der Tat: Holzhammer hat geholfen:
# host files.nerdwind.de
files.nerdwind.de is an alias for jabber.windfluechter.net.

Wundert mich aber schon, wie sowas hartnaeckig kaputt sein kann, ohne eine Fehlermeldung zu liefern...

Aber immerhin habe ich auch vorhin max-journal-size entdeckt... ist vielleicht auch nicht ganz verkehrt...

@jpmens

@cstrotm - so, hoffentlich nun auch alles anderen Zonen gefixt, wo files drin vorkommt.
Besten Dank fuer den Holzhammer! :-)

@jpmens

@ij @jpmens

"inline signing" ist leider nicht immer zuverlaessig :(

Ich benutze daher lieber dynamische DNS Zonen mit DNSSEC und BIND, damit hatte ich noch keine Probleme

Sign in to participate in the conversation
Mastodon on NerdCulture

All friendly creatures are welcome. Be excellent to each other, live humanism, no nazis, no hate speech. Not only for nerds, but the domain is somewhat cool. ;) No bots in general! (only with prior permission)