ketanest112
Goto Top

Bind9 löst Adressen teilweise erst nach Neustart wieder auf

Hallöchen zusammen,

erstmal ein Frohes Neues!

Ich hätte da mal wieder ein Anliegen:
Folgender Sachverhalt:
Bei mir läuft auf 2 Root-Servern ein bind9, der externe Domains auflöst (was ein bind halt so macht). Für meine interne AD-Domäne ist ein Forward drin. IP-Adresse vom Forwarder stammt ausm 192.168.10.0/24er Netz, auf das Netz können beide Server via OpenVPN zugreifen (und auch auf den DC).
Ich habe den Zabbix-Agent installiert, welcher per DNS-Hostname den Zugriff erlaubt (Server=XXX-Zabbix1.FIRMA.local). Solange der Zabbix Agent den DNS-Namen auflösen kann, ist alles schick. Es kommt aber auch teilweise vor (EDIT: in der Regel zeitgleich auf beiden Servern), dass das nicht mehr funktioniert, dann mag natürlich auch der Zabbix Agent keine Daten mehr liefern (klar, es wird von einem "unerlaubten" Server zugegriffen). Mit dem Zabbix Agent ist das Ganze erst aufgefallen.
Versuche ich jetzt per nslookup XXX-Zabbix1 oder auch XXX-Zabbix1.FIRMA.local aufzulösen geht nix, er gibt mir NXDOMAIN zurück. Versuche ich die Auflösung direkt über den DC funktioniert es (dig @192.168.10.14 XXX-Zabbix1.FIRMA.local). Wenn ich bind nun neustarte funktioniert auch die Auflösung über den servereigenen bind wieder (@127.0.0.1).

Folgende Configs habe ich (sollten die relevantesten sein):
/etc/bind/named.conf.options:
options {
        directory "/var/cache/bind";  

        allow-recursion { 127.0.0.1; ::1; (Public IPv4 des Servers); (Public IPv6 des Servers); };
        allow-query { any; };
        notify yes;
        allow-transfer { none; };

        dnssec-validation no;
        listen-on { any; };
        listen-on-v6 { any; };

};

/etc/bind/named.conf.local:
//Sämtliche "öffentliche" Zonen  

zone "FIRMA.local" in{  
        type forward;
        forwarders { 192.168.10.14; };
};

/etc/resolv.conf:
search FIRMA.local
nameserver 127.0.0.1

Im Syslog spuckt er mir bei dem auftretenden Fehler aus:
Jan 10 07:18:11 named[5909]: timed out resolving 'XXX-Zabbix1.FIRMA.local/A/IN': 192.168.10.14#53  
Jan 10 07:18:11 named[5909]: timed out resolving 'XXX-Zabbix1.FIRMA.local/AAAA/IN': 192.168.10.14#53  
Jan 10 08:18:55 named[5909]: timed out resolving 'XXX-Zabbix1.FIRMA.local.FIRMA.local/A/IN': 192.168.10.14#53  

Hat da jemand zufälligerweise eine Idee, wie ich das beheben kann? Workaround mit Eintrag in die /etc/hosts hab ich mal gebaut, ist aber halt nicht sauber.
Die Struktur mit dem DNS-Namen für den Zabbix Server hab ich gebaut, falls mal weitere Server (Zabbix-Proxies) hinzukommen, damit ich nicht in zig Config-Dateien rumschrauben muss.
EDIT: An der VPN-Strecke liegts eigentlich nicht, die steht in diesem Fall seit 8.1., also länger als der Fehler auftritt.

Danke schonmal für etwaige Tipps.

Gruß
Ketanest

Content-ID: 1707687067

Url: https://administrator.de/contentid/1707687067

Ausgedruckt am: 19.11.2024 um 05:11 Uhr

ketanest112
Lösung ketanest112 10.01.2022 um 22:12:27 Uhr
Goto Top
forward only;
im Zone-Statement hilft enorm...