الداخلية تكوين DNS مشاكل [مغلقة]
سؤال
حسنا, أنا ذاهب إلى الدولة مقدما أن هذا السؤال قد يكون متورطا أيضا (كمية التفاصيل لا تعقيد) لهذه الوسيلة.ولكن أعتقد بأن هذا هو أفضل مكان للبدء.
أنا أحاول إعداد دليل على مفهوم المشروع و ربط التكوين هو أول عقبة كبيرة.أريد أن الإعداد 3 ملقمات DNS على 3 المادية مربعات. لا شيء من هذه الصناديق يحتاج إلى حل العناوين العامة ، وهذا هو الداخلية فقط.لقد قرأت من خلال كيفية إعداد الداخلية جذور في (الغالب) ممتازة DNS & ربط 5th ed الكتاب.لكن الترجمة على سبيل المثال ليست وظيفية.كل الملكية الفكرية هي RFC 1918 غير قابل للتوجيه.
مربع 1 سوف تكون موثوقة بالنسبة عناوين على box1.وهمية المجال مربع 2 سوف تكون موثوقة بالنسبة عناوين على box2.وهمية المجال.مربع 3 سيكون بمثابة سواء داخلية الجذر TLD خادم المجال وهمية.
الحالي دون حل المسائل:
لدي تلميحات الملف في مربع 1 و 2 الذي يحتوي على واحد NS سجل NS تعريف منطقة الجذر.بالإضافة إلى ذلك هناك A سجل أن يترجم NS ip من جذورها.إذا كنت
dig .
من مربع 1 يمكنني الحصول على السلطة قسم مع NS اسم لا الجواب و إضافية سجل القسم.لذلك أنا غير قادر على حل في الواقع IP من خادم الجذر من مربع 1.أنا وجهة نظري
/etc/resolv.conf
من مربع 1 مباشرة على خادم الجذر والقيامdig box1.bogus
أحصل على ns.box1.وهمية الجواب سجل و الترجمة في إضافية القسم.ومع ذلك على التكرار التالي (متى يجب الحصول على سجل) أحصل علىdig: couldn't get address for ns.box1.bogus
من الواضح ان التكوينات هي لا الصحيح.أنا لا أرى وسيلة إلى ضمها إلى هذا المنصب ، حتى إذا كان الناس يريدون أن المشي من خلال هذه الخطوة خطوة سوف تقطع'n'paste لهم في التعليق على هذا السؤال.وإلا أنا فتح إلى اتخاذ هذا حاليا مع "DNS الرجل" لمعرفة أين أنا في عداد المفقودين '.' أو كثيرة!
أنا شخصيا أعتقد أن الإنترنت يمكن أن تفعله مع آخر الداخلية الجذر سبيل المثال لا الاستفادة من فيلم-U سبيل المثال.
حسنا, إذا نحن ذاهبون للقيام بذلك ، ثم علينا أن نستخدم مثال ملموس ؟ لدي 3 آلات الإعداد على VLAN خاصة لاختبار هذا.كما التعقل تحقق ط يقترن أسفل كل التكوينات ذات الصلة ، مكثف عند قادرة ، و نقل 2 من namesevers.أنا تركت مشخبط الآن.نفس النتائج على النحو الوارد أعلاه.هنا هي التكوينات الأولية حفر النواتج.
وهمية
Machine Name: Bogus (I just realized I should change this...)
Role: Internal Root and TLD Nameserver
IP: 10.0.0.1
BIND: 9.5.0-16.a6.fc8
/etc/named.conf
// Controls who can make queries of this DNS server. Currently only the
// local test bed. When there is a standardized IP addr scheme, we can have
// those addr ranges enabled so that even if firewall rules get broken, the
// public internet can't query the internal DNS.
//
acl "authorized" {
localhost; // localhost
10.0.0.0/24; // Local Test
};
options {
listen-on port 53 {
127.0.0.1;
10.0.0.1;
};
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
pid-file "/var/run/named/named.pid";
allow-query { any; };
recursion no;
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
//
// The fake root.
//
zone "." {
type master;
file "master/root";
allow-query { authorized; };
};
//
// The TLD for testing
//
zone "bogus" {
type master;
file "master/bogus";
allow-query { authorized; };
allow-transfer { authorized; };
};
/var/named/ماجستير/الجذر
$TTL 3600
. SOA ns.bogustld. hostmaster.internal.bogus. (
2008101601 ; serial
1H ; refresh
2H ; retry
14D ; expire
5M ) ; minimum
;
; Fake root zone servers defined.
;
. NS ns.bogustld.
ns.bogustld. A 10.0.0.1
;
; Testing TLD
;
bogus NS ns1.bogus.
ns1.bogus. A 10.0.0.1
/var/named/ماجستير/وهمية
$TTL 3600
@ SOA ns1.internal.bogus. hostmaster.internal.bogus. (
2008102201 ; serial date +seq
1H ; refresh
2H ; retry
14D ; expire
5M) ; min TTL
;
NS ns1.internal.bogus.
;
; Auth servers
;
ns1.internal.bogus. A 10.0.0.1
;
; Customer delegations each customer 2nd level domain has it's
; own zone file.
;
;Modified to be unique nameservers in the bogus domain
itchy NS ns1-itchy.bogus.
ns1-itchy.bogus. A 10.0.0.2
;
scratchy NS ns1-scratchy.bogus.
ns1-scratchy.bogus. A 10.0.0.3
الناتج من الحفر .
; <<>> DiG 9.5.0-P2 <<>> .
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57175
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;. IN A
;; AUTHORITY SECTION:
. 300 IN SOA ns.bogustld. hostmaster.internal
.bogus. 2008101601 3600 7200 1209600 300
;; Query time: 1 msec
;; SERVER: 10.0.0.1#53(10.0.0.1)
;; WHEN: Tue Oct 21 12:23:59 2008
;; MSG SIZE rcvd: 88
الناتج من حفر +أثر حكة.وهمية
; <<>> DiG 9.5.0-P2 <<>> +trace itchy.bogus
;; global options: printcmd
. 3600 IN NS ns.bogustld.
;; Received 57 bytes from 10.0.0.1#53(10.0.0.1) in 1 ms
itchy.bogus. 3600 IN NS ns1-itchy.bogus.
;; Received 69 bytes from 10.0.0.1#53(ns.bogustld) in 0 ms
itchy.bogus. 3600 IN A 10.0.0.2
itchy.bogus. 3600 IN NS ns1.itchy.bogus.
;; Received 79 bytes from 10.0.0.2#53(ns1-itchy.bogus) in 0 ms
حكة
Machine Name: Itchy
Role: SLD Nameserver (supposed to be owner of itchy.bogus)
IP: 10.0.0.2
BIND: 9.5.0-16.a6.fc8
/etc/named.conf
// Controls who can make queries of this DNS server. Currently only the
// local test bed. When there is a standardized IP addr scheme, we can have
// those addr ranges enabled so that even if firewall rules get broken, the
// public internet can't query the internal DNS.
//
acl "authorized" {
localhost; // localhost
10.0.0.0/24; // LAN Test
};
options {
listen-on port 53 {
127.0.0.1;
10.0.0.2;
};
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
pid-file "/var/run/named/named.pid";
allow-query { any; };
recursion no;
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "master/root.hint";
};
zone "itchy.bogus" {
type master;
file "master/itchy.bogus";
allow-query { authorized; };
allow-transfer { authorized; };
};
/var/named/ماجستير/حكة.وهمية
$TTL 3600
@ SOA ns1.itchy.bogus. hostmaster.itchy.bogus. (
2008102202 ; serial
1H ; refresh
2H ; retry
14D ; expire
5M ) ; minimum
;
A 10.0.0.2
NS ns1.itchy.bogus.
ns1 A 10.0.0.2
/var/named/ماجستير/الجذر.تلميح
. 3600000 NS ns.bogustld.
ns.bogustld. 3600000 A 10.0.0.1
; End of File
/etc/resolv.conf
nameserver 10.0.0.2
الناتج من الحفر .
; <<>> DiG 9.5.0-P2 <<>> .
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31291
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;. IN A
;; AUTHORITY SECTION:
. 3600000 IN NS ns.bogustld.
;; Query time: 0 msec
;; SERVER: 10.0.0.2#53(10.0.0.2)
;; WHEN: Tue Oct 21 17:09:53 2008
;; MSG SIZE rcvd: 41
الناتج من حفر + أثر حكة.وهمية
; <<>> DiG 9.5.0-P2 <<>> +trace itchy.bogus
;; global options: printcmd
. 3600000 IN NS ns.bogustld.
;; Received 41 bytes from 10.0.0.2#53(10.0.0.2) in 0 ms
dig: couldn't get address for 'ns.bogustld': failure
المحلول
باستخدام @ أنت تحديد حكة.وهمية.لا يمكنك ثم إعادة تعريف كما في المنطقة مع حكة.وهمية خط.
جرب هذا:
@ SOA ns1.itchy.bogus. hostmaster.itchy.bogus. (
2008102201 ; serial
1H ; refresh
2H ; retry
14D ; expire
5M ) ; minimum
;
NS ns1
A 10.0.0.2
ns1 A 10.0.0.2
لأن هذا هو ملف المنطقة حكة.وهمية, التي ينبغي أن تفعل الشيء الصحيح.
نصائح أخرى
على افتراض أن كنت قد دققت جميع الأمور واضحة ، مثل ضمان أن ربط ملف التكوين هو ما كنت أعتقد أنه هو.أولا التحقق من أن كنت تعتقد أن اسمه هو باستخدام هم الحق - في بعض الأحيان أنه من السهل تعديل ملف في الدليل خاطئ و أتساءل لماذا التغيرات ليست لاحظت.
كما يمكنك استخدام اسمه-checkconf واسمه-checkzone
فمن الصعب بما فيه الكفاية إلى تصحيح ربط ، ولكن دون رؤية ملفات التكوين يكاد يكون من المستحيل ، لذا يرجى إضافتها إلى منصبه الأصلي.
(لقد تم إضافة هذا التعليق على السؤال - لقد نشرت كإجابة لأن المرجع هو جديد هنا).
كل من 3 خوادم يحتاج إلى نفس تلميحات الملف.يجب أن يكون لديك سجل NS ل "." مع اسم خادم الجذر و سجل هذا الاسم.
خادم الجذر يجب أن يكون "." منطقة اقامة.ال "." المنطقة تحتاج إلى أن يكون "وهمية" مع سجل ns عن نفسه.ومن ثم يجب أن يكون لديك سجلات box1.وهمية سوف box1 و box2.وهمية الخروج إلى box2.
لاحظ أنه يجب عدم استخدام box1 و box2 سواء أسماء المضيفين وأسماء 2 نطاقات المستوى.دعنا نقول أن المجالات zone1.وهمية zone2.وهمية بدلا من ذلك.
حتى box1 و box2 يجب أن تكون وهمية في المنطقة ، مع استكمال الوثائق.zone1 و zone2 يجب أن تكون سجلات NS لافتا إلى box1 و box2.
واضح الطين ؟ :)
موافق.أرى أنك الدائرة الخاصة بك التكوينات.ممتاز.
وأود أن تغيير منطقة الجذر هكذا:
;Should this be ns1.itchy.bogus or ns1.itchy.internal.bogus??
itchy NS ns1-itchy.bogus.
ns1-itchy.bogus. A 10.0.0.2
;
scratchy NS ns1-scratchy.bogus.
ns1-scratchy.bogus. A 10.0.0.3
أعتقد أن المسألة هي أنك تفويض حكة.وهمية, لذلك لا يمكنك وضع أسماء الداخل.
"Com" ملقمات اسم وأعتقد أن استخدام تلميحات بحيث يمكن أن تخدم مجموعة سجلات خوادم الأسماء على تفويض المناطق ، ولكن في حالتك الأمر أنظف لضمان أن أي المنطقة التي تقدم لها فقط الوفود الفرعي مناطق المضيفين داخل المنطقة الحالية.
الآن وفدي قضايا تبدو حلها, ولكن أنا لا تزال تواجه مشكلة مع الجذر البحث (الذي أعتقد أنه سيكون سووو سهلة.)
أعتقد أن المشكلة تنبع من حقيقة أنني عندما dig
من حكة آلة يمكنني الحصول على السلطة سجل بدلا من إجابة سجل.أنا فقط لم تكن متأكدا من ما فعلته (أو لم يكن) إلى سبب ذلك.
إذا كنت "حفر [أي وسائط]" من الجهاز باستخدام نموذجي تلميح الملف على الإنترنت يمكنك الحصول على كتلة من إجابات عن جذور الأسماء و الترجمة في القسم إضافي.
إذا كنت تفعل ذلك من آلة وهمية (الجذر TLD الأسماء) أحصل على
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 3600 IN NS ns.bogustld.
;; ADDITIONAL SECTION:
ns.bogustld. 3600 IN A 10.0.0.1
إذا كنت تفعل ذلك من حكة آلة أحصل على
;; QUESTION SECTION:
;. IN NS
;; AUTHORITY SECTION:
. 3600000 IN NS ns.bogustld.
;; Query time: 0 msec
الأمر أكثر إثارة للاهتمام إذا كنت في محاولة dig +trace .
مربع الإنترنت
; <<>> DiG 9.5.0a6 <<>> +trace .
;; global options: printcmd
. 3005 IN NS C.ROOT-SERVERS.NET.
. 3005 IN NS D.ROOT-SERVERS.NET.
. 3005 IN NS E.ROOT-SERVERS.NET.
. 3005 IN NS F.ROOT-SERVERS.NET.
. 3005 IN NS G.ROOT-SERVERS.NET.
. 3005 IN NS H.ROOT-SERVERS.NET.
. 3005 IN NS I.ROOT-SERVERS.NET.
. 3005 IN NS J.ROOT-SERVERS.NET.
. 3005 IN NS K.ROOT-SERVERS.NET.
. 3005 IN NS L.ROOT-SERVERS.NET.
. 3005 IN NS M.ROOT-SERVERS.NET.
. 3005 IN NS A.ROOT-SERVERS.NET.
. 3005 IN NS B.ROOT-SERVERS.NET.
;; Received 500 bytes from 64.105.172.26#53(64.105.172.26) in 19 ms
. 86400 IN SOA a.root-servers.net. nstld.verisi
gn-grs.com. 2008102201 1800 900 604800 86400
;; Received 92 bytes from 128.63.2.53#53(H.ROOT-SERVERS.NET) in 84 ms
بلدي الداخلية الجذر مربع (وهمية)
; <<>> DiG 9.5.0-P2 <<>> +trace .
;; global options: printcmd
. 3600 IN NS ns.bogustld.
;; Received 57 bytes from 10.0.0.1#53(10.0.0.1) in 1 ms
. 3600 IN NS ns.bogustld.
;; Received 72 bytes from 10.0.0.1#53(ns.bogustld) in 0 ms
حكة
; <<>> DiG 9.5.0-P2 <<>> +trace .
;; global options: printcmd
. 3600000 IN NS ns.bogustld.
;; Received 41 bytes from 10.0.0.2#53(10.0.0.2) in 0 ms
dig: couldn't get address for 'ns.bogustld': failure
لماذا الإنترنت التي تواجه آلة تجد SOA, لكن لا أحد من الداخلية الآلات ؟
مثل هايلاندر ، يمكن أن يكون هناك واحد فقط.
باستخدام الإنترنت العادي تلميحات الجذر, كنت أكثر أو أقل ما يمنع من استخدام الداخلية الخاصة بك الجذر ، لأن أيا من الإنترنت الحقيقي ملقمات الجذر تعرف عن "وهمية".
خيارك الوحيد سيكون مرآة الجذر "." المنطقة من ".", ولكن بعد ذلك إضافة "وهمية" على ذلك.كنت تفعل هذا من قبل دورية الإغراق منطقة الجذر وتشغيله من خلال بعض المعالجة إضافة إلى منطقة مخصصة لذلك.
بعض alternate DNS الجذر مقدمي هذه العرض تلميحات الجذر ل "العملاء" إلى استخدام هذا لا مرجعية "الحقيقي" ملقمات الجذر على الإطلاق.
...هل أفهم السؤال بشكل صحيح ؟ غير متأكد.
حفر .@10.0.0.1 (وهمية) يجب أن تعود حجية السجلات '.', لأنه هو في الواقع مخول لهذه المنطقة.
حفر .@10.0.0.2 (حكة) يجب أن لا عودة حجية السجلات '.', لأنه ليس كذلك.ذلك قد عودة موثوقا المرة الأولى يمكنك الاستعلام عن اسم في منطقة الجذر ، لأنه يجب أن recurse وجلب موثوقا من الخادم الموثوق.ولكن إذا كنت تفعل ذلك 2 ، المخبأة النتيجة و 'aa' العلم سوف يكون واضحا.
الخاص بك اسم الخادم لن تستخدم التلميح إلى إعطاء إجابات حفر.أي أنه لن تعطي تلميح إلى حفر كإجابة.وسوف يصر على الواقع الاستعلام عن 10.0.0.1 على bogustld.أنا لا أعتقد أن لديك bogustld اقامة منطقة فقط وهمية.
ربما يجب عليك تغيير ns.bogustld إلى ns.وهمية.تعطي 10.0.0.1 اسم ns.وهمية.
بدلا من ذلك, يمكنك إضافة NS و سجل SOA في .بالنسبة bogustld.
إذا كنت حفر ns1.وهمية.@10.0.0.2, ذلك يعمل على حق (على افتراض التكوين أعلاه لا يزال في المكان) ؟