1
Authoritativer Nameserver mit NSD, Primärer und Sekunderer Nameserver gleichen Daten nicht ab
Ersteinmal Grüße Ich alle. Ich bin im Begriff meine Masterarbeit über DNSSec zu schreiben. Zu Testzwecken möchte ich einen einen Primären und einen Sekundären Nameserver für meine Zone konfigurieren. Als Vorgabe habe ich die Server mit NSD auf einer Debian Platform umzusetzen. Hierbei ist folgendes Problem aufgetreten.
Grundsätzlich laufen beide Server. Die Einstellung sind eigendlich Standard. Die Zonenkonfiguration des Primären NS sieht wie folgt aus(nsd.conf):
key:
name: "sec_key"
algorithm: hmac-md5
secret: "6KM8qiKfwfEpamEq72HQdA=="
zone:
name: "dnssec-hilfe.de"
zonefile: "dnssec-hilfe.de.zone"
outgoing-interface: 212.78.99.72
notify: 212.78.101.57@53 sec_key
notify-retry: 5
provide-xfr: 212.78.101.57 sec_key
Die des Sekunderen NS wie folgt:
key:
name: "sec_key"
algorithm: hmac-md5
secret: "6KM8qiKfwfEpamEq72HQdA=="
zone:
name: "dnssec-hilfe.de"
zonefile: "dnssec-hilfe.de.zone"
outgoing-interface: 212.78.101.57
allow-notify: 212.78.99.72 sec_key
request-xfr: AXFR 212.78.99.72 sec_key
allow-axfr-fallback: yes
Im Ausgangszustand enthalten die Zonendateien den Selben Inhalt:
;dnssec-hilfe.de zone
;
$TTL 512
$ORIGIN dnssec-hilfe.de.
@ 512 IN SOA ms1.webmatic.de. (
mail.dnssec-hilfe.de.
2002050501
3600
1200
1209600
3600
)
NS ms1.webmatic.de.
NS ms2.webmatic.de.
ms1.webmatic.de A 212.78.99.72
ms2.webmatic.de A 212.78.101.57
Nun füge ich der Zonendatei auf dem Primären Server einen A Rekord hinzu:
;dnssec-hilfe.de zone
;
$TTL 512
$ORIGIN dnssec-hilfe.de.
@ 512 IN SOA ms1.webmatic.de. (
mail.dnssec-hilfe.de.
2002050501
3600
1200
1209600
3600
)
NS ms1.webmatic.de.
NS ms2.webmatic.de.
ms1.webmatic.de A 212.78.99.72
ms2.webmatic.de A 212.78.101.57
dnssec-hilfe.de A 212.78.99.72
Mein Ziel ist es nun ganz einfach das diese Änderung auf dem zweiten System übernommen wird. Ich weis das zunächst die Datenbank des ns1 neu erzeugt werden muss:
"nsdc rebuild"
Danach schicke ich die änderung an den ns2:
"nsdc notify"
Das System Antwortet mit:
Sending notify to slave servers...
Im Syslog findet sich trotz verbosity: 9 kein Eintrag über diesen Vorgang. Der Syslog des ns2 enthält nun die Zeilen:
Apr 19 10:53:56 ms2 nsd[15639]: Notify received and accepted, forward to xfrd
Apr 19 10:53:56 ms2 nsd[15637]: Handle incoming notify for zone dnssec-hilfe.de
Ich weiß das diese Änderung erst in die Zonendateien übernommen werden muss, also:
"nsdc patch"
Dennoch kommt die Änderung nicht an. Die Zonendatei bleibt unferändert. Weiß jemand was ich falsch mache?? Da ich die Zone als nächse über DNSSec signieren muss benötige ich den Abgleich. Wenn ich da an die Key's denke hab ich keine lust alles von Hand zu kopieren
Ich hoffe Jemand Sieht den Fehler, Danke schon mal.
key:
name: "sec_key"
algorithm: hmac-md5
secret: "6KM8qiKfwfEpamEq72HQdA=="
zone:
name: "dnssec-hilfe.de"
zonefile: "dnssec-hilfe.de.zone"
outgoing-interface: 212.78.99.72
notify: 212.78.101.57@53 sec_key
notify-retry: 5
provide-xfr: 212.78.101.57 sec_key
Die des Sekunderen NS wie folgt:
key:
name: "sec_key"
algorithm: hmac-md5
secret: "6KM8qiKfwfEpamEq72HQdA=="
zone:
name: "dnssec-hilfe.de"
zonefile: "dnssec-hilfe.de.zone"
outgoing-interface: 212.78.101.57
allow-notify: 212.78.99.72 sec_key
request-xfr: AXFR 212.78.99.72 sec_key
allow-axfr-fallback: yes
Im Ausgangszustand enthalten die Zonendateien den Selben Inhalt:
;dnssec-hilfe.de zone
;
$TTL 512
$ORIGIN dnssec-hilfe.de.
@ 512 IN SOA ms1.webmatic.de. (
mail.dnssec-hilfe.de.
2002050501
3600
1200
1209600
3600
)
NS ms1.webmatic.de.
NS ms2.webmatic.de.
ms1.webmatic.de A 212.78.99.72
ms2.webmatic.de A 212.78.101.57
Nun füge ich der Zonendatei auf dem Primären Server einen A Rekord hinzu:
;dnssec-hilfe.de zone
;
$TTL 512
$ORIGIN dnssec-hilfe.de.
@ 512 IN SOA ms1.webmatic.de. (
mail.dnssec-hilfe.de.
2002050501
3600
1200
1209600
3600
)
NS ms1.webmatic.de.
NS ms2.webmatic.de.
ms1.webmatic.de A 212.78.99.72
ms2.webmatic.de A 212.78.101.57
dnssec-hilfe.de A 212.78.99.72
Mein Ziel ist es nun ganz einfach das diese Änderung auf dem zweiten System übernommen wird. Ich weis das zunächst die Datenbank des ns1 neu erzeugt werden muss:
"nsdc rebuild"
Danach schicke ich die änderung an den ns2:
"nsdc notify"
Das System Antwortet mit:
Sending notify to slave servers...
Im Syslog findet sich trotz verbosity: 9 kein Eintrag über diesen Vorgang. Der Syslog des ns2 enthält nun die Zeilen:
Apr 19 10:53:56 ms2 nsd[15639]: Notify received and accepted, forward to xfrd
Apr 19 10:53:56 ms2 nsd[15637]: Handle incoming notify for zone dnssec-hilfe.de
Ich weiß das diese Änderung erst in die Zonendateien übernommen werden muss, also:
"nsdc patch"
Dennoch kommt die Änderung nicht an. Die Zonendatei bleibt unferändert. Weiß jemand was ich falsch mache?? Da ich die Zone als nächse über DNSSec signieren muss benötige ich den Abgleich. Wenn ich da an die Key's denke hab ich keine lust alles von Hand zu kopieren
Ich hoffe Jemand Sieht den Fehler, Danke schon mal.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 183791
Url: https://administrator.de/contentid/183791
Printed on: April 20, 2024 at 03:04 o'clock
1 Comment
Ach Mensch,ich hab den Fehler gefunden.
Nur fals das noch jemanden passiert. Es ist schlecht die Zonendatei zu ändern ohne die Seriennummer (im SOA) zu erhöhen.
Nachdem ich das gemacht hatte, wurden die Daten auch ordnungsgemäß übernommen.
Nur fals das noch jemanden passiert. Es ist schlecht die Zonendatei zu ändern ohne die Seriennummer (im SOA) zu erhöhen.
Nachdem ich das gemacht hatte, wurden die Daten auch ordnungsgemäß übernommen.
