BIND не обновляет зоны

[yurybx]

Стоит задача: настроить на FreeBSD slave DNS-сервер для работы с Active Directory.
Пользовался вот этой статьей: http://www.lissyara.su/articles/freebsd ... s/bind+ad/
, только вместо type master писал type slave, а также вместо allow-update писал allow-transfer.
На контроллере домена он был прописал в качестве slave-DNS-сервера.
BIND запускается нормально, в messages.log не ругается, имена в интернете резолвит. Однако зоны Active Directory не получает с контроллера домена. Все сервера перезагружались.
Странно ещё, что BIND не пишет логи в named.log и в query.log (файлы созаны). Также молчит контроллер домена: никаких ошибок в логах не появляется.
Вот конфиг BIND'а (часть, относящаяся к Active Directory):
...
zone "DomainName.local" {
type slave;
masters { 10.1.1.200; };
allow-transfer { 10.1.1.200; };
file "dynamic/DomainName.local";
};


zone "1.10.in-addr.arpa" {
type slave;
masters {10.1.1.200;};
allow-transfer { 10.1.1.200; };
file "dynamic/1.10.in-addr.arpa";
};

// Active Directory - _msdcs
zone "_msdcs.DomainName.local" {
type slave;
masters {10.1.1.200;};
allow-transfer { 10.1.1.200; };
check-names ignore;
file "dynamic/_msdcs.DomainName.local";
};

// Active Directory - _sites
zone "_sites.DomainName.local" {
type slave;
masters {10.1.1.200;};
allow-transfer { 10.1.1.200; };
check-names ignore;
file "dynamic/_sites.DomainName.local";
};

// Active Directory - _tcp
zone "_tcp.DomainName.local" {
type slave;
masters {10.1.1.200;};
allow-transfer { 10.1.1.200; };
check-names ignore;
file "dynamic/_tcp.DomainName.local";
};

// Active Directory - _udp
zone "_udp.DomainName.local" {
type slave;
masters {10.1.1.200;};
allow-transfer { 10.1.1.200; };
check-names ignore;
file "dynamic/_udp.DomainName.local";
};

// Active Directory - DomainDnsZones
zone "DomainDnsZones.DomainName.local" {
type slave;
masters {10.1.1.200;};
allow-transfer { 10.1.1.200; };
check-names ignore;
file "dynamic/DomainDnsZones.DomainName.local";
};

// Active Directory - ForestDnsZones
zone "ForestDnsZones.DomainName.local" {
type slave;
masters {10.1.1.200;};
allow-transfer { 10.1.1.200; };
check-names ignore;
file "master/ForestDnsZones.DomainName.local";
};

// Logging
logging {
channel default-log { file "/var/log/named.log" versions 2 size 5M; severity
category default { default-log; };
channel querylog { file "/var/log/query.log" versions 2 size 5M; print-time
category queries { querylog; };
};

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[skeletor]

Если не получает, значит: либо в AD запрещена передача зон, либо файервол

[yurybx]

Файерволов нету. Передачу зон не запрещал, может я чего не знаю. Буду курить гугл о запрете передачи зон.

[skeletor]

Передача зон может по дефолту быть запрещена!

[yurybx]

Так и есть! Вот, блин, оказывается прежде чем курить гугл нужно просмотреть доступные опции
Включил разрешение на передачу зон - и всё поехало с полпинка.

[lotushs]

нифига не поехало... примари ДНС (ФриБСД) в описаниях зон в аллоу-трансфер указаны ИП на которые можно трансферить. Убунта секондари ДНС в описаниях зон в аллоу-апдейт указаны ИП с которых можно апдейтить. И на одной и на второй системе в оптионс прописаны соответственно аллоу-трансфер и аллоу-апдейт, чтобы принималось по дефолту.
Убунта рестартует, но ничего не сообщает и при этом файлы зон не изменяются. Они у меня пустые файлы. Разрешения стоят рут/бинд 660. Сломал все копья...

[rayder]

нифига не поехало... примари ДНС (ФриБСД) в описаниях зон в аллоу-трансфер указаны ИП на которые можно трансферить. Убунта секондари ДНС в описаниях зон в аллоу-апдейт указаны ИП с которых можно апдейтить. И на одной и на второй системе в оптионс прописаны соответственно аллоу-трансфер и аллоу-апдейт, чтобы принималось по дефолту.
Убунта рестартует, но ничего не сообщает и при этом файлы зон не изменяются. Они у меня пустые файлы. Разрешения стоят рут/бинд 660. Сломал все копья...

1: логи смотрите в /var/named/var/log/
2:
запутался что кто у вас мастер, а кто слейв, и соот-но с опциями зон
дабы не мучать покажу свой рабочий конфиг, может найдете разницу

Код: Выделить всё

logging {
   channel log_file { file "/var/log/named.log" size 100M;
   severity  debug 7 ; };
   category queries { log_file; };
   category xfer-in { log_file; };
   category xfer-out { log_file; };
   category default { log_file; };
};

options {
   directory       "/etc/namedb";
   pid-file        "/var/run/named/pid";
   dump-file       "/var/named/var/tmp/named_dump.db";
   statistics-file "/var/named/var/tmp/named.stats";
   version         "fuck off niggers :)";
   listen-on   { <my IP>; };
   allow-query {0.0.0.0/0; };
   forwarders { 8.8.8.8; };
};


zone "master.zone" {
   type master;
   file "master/master.zone";
   allow-transfer { <secondary NS for master.zone>; };
};


zone "secondary.zone" {
      type slave;
      file "slave/secondary.zone";
      masters { <master NS for master.zone>; };
      allow-query { any;};
};

PS. Serial в зоне актуальный стоит?

[rayder]

поправка

Код: Выделить всё

zone "secondary.zone" {
      type slave;
      file "slave/secondary.zone";
      masters { <master NS fo rsecondary.zone>; };
      allow-query { any;};
};

[lotushs]

FreeBSD:

Код: Выделить всё

options {
   directory       "/etc/namedb";
   listen-on   { <my local IP>; };
   match-clients {127.0.0.1; <my local net/24>;};
   allow-recursion {127.0.0.1; <my local net/24>;};
   allow-transfer { <local IP secondary NS>; };
};

zone "master.zone" {
   type master;
   file "master/master.zone";
   allow-transfer { <local IP secondary NS>; };
};

в логах тишина


Ubuntu:

Код: Выделить всё

options {
   directory       "/var/cache/bind";
   listen-on   { <my local IP>; };
   match-clients {127.0.0.1; <my local net/24>;};
   allow-recursion {127.0.0.1; <my local net/24>;};
   allow-update { <local IP master DNS>; };
};

zone "secondary.zone" {
      type slave;
      file "slave/secondary.zone";
      masters { <local IP master DNS>; };
      allow-update { <local IP master DNS>;};
};

в syslog:

Код: Выделить всё

zone vresion.bind allows update by IP adress, which is insecure
zone hostname.bind allows update by IP adress, which is insecure
zone authors.bind allows update by IP adress, which is insecure
zone id.server allows update by IP adress, which is insecure

[lotushs]

allows update by IP adress, which is insecure => разрешено обновляться по IP адресу, который небезопасен...
что оно хочет мне сказать?
ключи в named.conf в секции key "rndc-key" и в файле rndc.key одни и те же на обоих серверах (все одинаково прописано).
как ему объяснить что все безопасно?

[Electronik]

зоны для обновления прямую и обратную в в FreeBSD нужно держать в каталоге dynamic.

[lotushs]

зоны для обновления прямую и обратную в в FreeBSD нужно держать в каталоге dynamic.

спасибо, попробовал - не работает, те же записи в syslog на секондари ДНС

[Electronik]

права на файлы зон проверяли?

[Electronik]

Права на каталоги

Код: Выделить всё

gateway#ls -l
total 16
drwxr-xr-x  2 bind  wheel   512 May  9 18:17 dynamic
drwxr-xr-x  2 root  wheel   512 Oct 18  2011 master
-rw-r-----  1 bind  wheel   952 Apr 12 13:07 named.conf
-rw-r-----  1 bind  wheel  3029 Mar 21  2010 named.root
-rw-r-----  1 bind  wheel   141 Oct 18  2011 rndc.key
drwxr-xr-x  2 bind  wheel   512 Oct 17  2011 slave
drwxr-xr-x  2 bind  wheel   512 Feb 17  2011 working

Код: Выделить всё

gateway#ls -l
total 10284
-rw-r--r--  1 bind  wheel     2478 May  9 18:16 100.168.192.in-addr.arpa
-rw-r--r--  1 bind  wheel  4544048 May  9 18:04 100.168.192.in-addr.arpa.jnl
-rw-r--r--  1 bind  wheel     6238 May  9 18:17 sv.local
-rw-r--r--  1 bind  wheel  5929595 May  9 18:04 sv.local.jnl

конфиг dns

Код: Выделить всё

gateway#cat named.conf
options {
        directory       "/etc/namedb/working";
        pid-file        "/var/run/named/pid";
        dump-file       "/var/dump/named_dump.db";
        statistics-file "/var/stats/named.stats";
        notify yes ;
        also-notify { 192.168.100.253; 192.168.100.200; };
        dnssec-enable yes;
        forwarders { 8.8.8.8; 8.8.4.4;};
};
include "/etc/namedb/rndc.key";

controls {
        inet 127.0.0.1 port 953
        allow { 127.0.0.1; } keys { "rndc-key"; };
};

zone "."        {type hint; file "/etc/namedb/named.root";};
zone "localhost"        {type master;file "/etc/namedb/master/localhost-forward.db";};
zone "127.in-addr.arpa" {type master;file "/etc/namedb/master/localhost-reverse.db";};
zone "sv.local" { allow-transfer { any; };file "/etc/namedb/dynamic/sv.local";type master;allow-update { key "rndc-key"; };};
zone "100.168.192.in-addr.arpa" { allow-transfer { any; }; file "/etc/namedb/dynamic/100.168.192.in-addr.arpa"; type master; allow-update { key "rndc-key"; };};

server 192.168.100.200 {keys {"rndc-key";};};

конфиг dhcp

Код: Выделить всё

option domain-name "sv.local";
option domain-name-servers 192.168.100.253, 192.168.100.200, 192.168.100.232;
option routers 192.168.100.253;
option ntp-servers 192.168.100.253;
option lpr-servers 192.168.100.200;
option netbios-name-servers 192.168.100.200;
max-lease-time 28800;
log-facility local7;
default-lease-time 604800;
ddns-update-style interim;
ddns-domainname "sv.local";
ddns-rev-domainname "100.168.192.in-addr.arpa";
update-static-leases on;
allow client-updates;
ddns-updates on;
key rndc-key{ algorithm hmac-md5; secret "тут ключ"}
zone sv.local. { primary 192.168.100.253; secondary 192.168.100.200; key rndc-key; }
zone 100.168.192.in-addr.arpa. { primary 192.168.100.253; secondary 192.168.100.200; key rndc-key; }

[lotushs]

соответствует кроме:
на секондари (Убунту) нет папок master|slave|dynamic
на примари ДНС файлы зон лежат в master

то же в логах... без изменений.

стоп, прямую и обратную зоны держать в каталоге Dynamic... из-за прав на каталог? Исправил. В dynamic. Результат тот же...

з.ы. я так понял что сервер может позволять обновляться с себя не только на определенные IP но и тем, кто правильно укажет rndc-key и IP не будет иметь ни какого значения?

[Electronik]

у меня зону обновляет DHCP.