Готовится статья о DNS сервере NSD

[Гость]

Уффф, я тупанул..
terminus, все у меня норм на самом деле. Демон то стартовал, просто висел как starting.
man nsd.conf всю правду рассказал)))

Код: Выделить всё

debug-mode: <yes or no>
              Turns on debugging mode for nsd, does not fork a daemon process.
              Default is no. Same as commandline option -d.

У меня был YES...вот и вся заморока)
Спасибо за статейку, буду дальше ковырять.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Eradicator]

Здравствуйте коллеги! Со входа хочется поблагодарить авторов статей данного сайта... Очень помогают в тяжелые будни. Спасибо!
Господа, прошу помощи, столкнулся с очень неординарной проблемой связанной с темой данной статьи. В начале года поставил нсд для контроля за зоной. Позавчера провайдер "обрадовал" сменой адресов... После перенастройки NSD, зона ушла в никуда. По nslookup domain.tver.ru <%IP NSD Servera%> все видно, что свидетельствует о нормальной настройке NSD. Просто nslookup domain.tver.ru - тишина, ничего не найдено. Конфиги, логи, фаеры и т.д. проверены и высмотрены до дыр, все чисто, ошибок нет... Провайдер делает честные глаза и говорит, что кроме реверса ничего не трогал. Исходя из того, что nslookup domain.tver.ru <%IP NSD Servera%> работает - препятствий 53 порту со стороны провайдера - нет. В общем прошу помощи, куда посмотреть, что еще можно проверить? Буду благодарен за любые подсказки.
P.S. Конфиги и файлы зон публиковать не вижу смысле, т.к. они достоверно рабочие и проверенные и мной, и моими знакомыми специалистами, и конечно nsdc checkconf и rebuild. Еще раз повторюсь, что в логах все кристально чисто, ни единой ошибки с момента введения в строй в начале года....
Заранее спасибо!

[Eradicator]

Вычитал вчера, что для регистрации и поддержки домена в зоне .ru необходимо два днс сервера, причем в разных подсетях. Относится ли это к региональным доменам третьего уровня (типа domain.tver.ru)? У меня сервер только один, хоть и откликаться он настроен на два имени, но адрес то один. Не в этом ли моя проблема?

[терминус_]

Может в кешах остались старые адреса NSов для вашей зоны, и пока не истекут TTL ничего не заработает? При переезде NS или MX надо сначала ттл снижать.

Попробуйте для вашей зоны выполнить dig - он показывает более детальную информацию нежели nslookup.

[Eradicator]

Если бы был кеш, я бы хоть что то в ответ получил, а так вообще тишина...

Код: Выделить всё

Proxy# dig MyDomain.tver.ru

; <<>> DiG 9.6.2-P2 <<>> MyDomain.tver.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 34214
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;MyDomain.tver.ru.			IN	A

;; Query time: 2489 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Apr 19 10:37:29 2011
;; MSG SIZE  rcvd: 31

Proxy# 

[Eradicator]

TTL во всех конфигах стоит 1800, по умолчанию.

[терминус_]

пишет же что "status: SERVFAIL"

попробуйте

Код: Выделить всё

dig MyDomain.tver.ru +trace

будет виден полные путь разрешения начиная с корня. В этом выводе и ишите ошибку.

[Eradicator]

Собственно вывод:

Код: Выделить всё

Proxy# dig MyDomain.tver.ru +trace

; <<>> DiG 9.6.2-P2 <<>> MyDomain.tver.ru +trace
;; global options: +cmd
.			33124	IN	NS	l.root-servers.net.
.			33124	IN	NS	f.root-servers.net.
.			33124	IN	NS	k.root-servers.net.
.			33124	IN	NS	m.root-servers.net.
.			33124	IN	NS	b.root-servers.net.
.			33124	IN	NS	h.root-servers.net.
.			33124	IN	NS	j.root-servers.net.
.			33124	IN	NS	g.root-servers.net.
.			33124	IN	NS	a.root-servers.net.
.			33124	IN	NS	e.root-servers.net.
.			33124	IN	NS	i.root-servers.net.
.			33124	IN	NS	c.root-servers.net.
.			33124	IN	NS	d.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 77 ms

ru.			172800	IN	NS	ns9.ripn.net.
ru.			172800	IN	NS	e.dns.ripn.net.
ru.			172800	IN	NS	ns5.msk-ix.net.
ru.			172800	IN	NS	f.dns.ripn.net.
ru.			172800	IN	NS	ns.ripn.net.
ru.			172800	IN	NS	ns2.nic.fr.
;; Received 423 bytes from 192.58.128.30#53(j.root-servers.net) in 54 ms

tver.ru.		345600	IN	NS	ns.sftcomp.ru.
tver.ru.		345600	IN	NS	ns.tver.ru.
;; Received 112 bytes from 192.93.0.4#53(ns2.nic.fr) in 66 ms

MyDomain.tver.ru.		3600	IN	NS	ns.consaudio.ru.
MyDomain.tver.ru.		3600	IN	NS	ns.MyDomain.tver.ru.
;; Received 91 bytes from 62.113.48.5#53(ns.tver.ru) in 15 ms

;; connection timed out; no servers could be reached
;; connection timed out; no servers could be reached
Proxy# 

[терминус_]

Код: Выделить всё

MyDomain.tver.ru.      3600   IN   NS   ns.consaudio.ru.
MyDomain.tver.ru.      3600   IN   NS   ns.MyDomain.tver.ru.

таким образом у вашего домена 2 NS сервера:
ns.consaudio.ru.
ns.MyDomain.tver.ru.

Правильно? Так отвечает авторитарный за зону tver.ru - на эти два делегирована ваша зона.

Вопросы:
- выполнение nslookup MyDomain.tver.ru ns.consaudio.ru дает результат?
- выполнение nslookup MyDomain.tver.ru ns.MyDomain.tver.ru дает результат?
- в записях tver.ru есть правильная glue record для имени ns.MyDomain.tver.ru? ( что показывает nslookup ns.MyDomain.tver.ru ns.tver.ru )?
- провобали перестроить базу данный у NSD и перезапустить его? (nsdc rebuild && nsdc reload && /usr/local/etc/rc.d/nsdc restart )?
- SOA запись на вашем сервере изменена - подредактировали там новые адреса для NS и увеличили серийный помер зорны?

[Eradicator]

ns.consaudio.ru - вижу впервые, nslookup на него не проходит. nslookup MyDomain.tver.ru ns.MyDomain.tver.ru тоже не проходит, но nslookup MyDomain.tver.ru <%my_Domain_IP%> - прекрасно проходит и дает верный ответ.
nslookup ns.MyDomain.tver.ru ns.tver.ru:

Код: Выделить всё

Proxy# nslookup ns.MyDomain.tver.ru ns.tver.ru
Server:		ns.tver.ru
Address:	62.113.48.5#53

Non-authoritative answer:
*** Can't find ns.MyDomain.tver.ru: No answer

Proxy#

Действия по последним двум пунктам проводил неоднократно.

[Eradicator]

Лог nsd пополнился:

Код: Выделить всё

[1303197659] nsd[5468]: info: memory recyclebin holds 0 bytes
[1303197659] nsd[2638]: info: NSTATS 1303197659 1303133655 A=1 PTR=1
[1303197659] nsd[2638]: info: XSTATS 1303197659 1303133655 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=2 SFwdQ=0 SDupQ=0 SErr=0 RQ=2 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=1 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1303197659] nsd[2637]: info: NSTATS 1303197659 1303133655 A=2
[1303197659] nsd[2637]: info: XSTATS 1303197659 1303133655 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=2 SFwdQ=0 SDupQ=0 SErr=0 RQ=2 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=1 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1303197659] nsd[2636]: info: NSTATS 1303197659 1303133655 A=2
[1303197659] nsd[2636]: info: XSTATS 1303197659 1303133655 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=2 SFwdQ=0 SDupQ=0 SErr=0 RQ=2 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=1 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
[1303197659] nsd[2635]: info: NSTATS 1303197659 1303133655 A=5 PTR=1 AAAA=1
[1303197659] nsd[2635]: info: XSTATS 1303197659 1303133655 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=7 SFwdQ=0 SDupQ=0 SErr=0 RQ=7 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=0 SFwdR=0 SFail=2 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0

[те]

У ns.MyDomain.tver.ru адрес 62.113.48.5 - это то что отдает ns.tver.ru.
Это правильный пдрес? Вы делаете:

Код: Выделить всё

nslookup MyDomain.tver.ru <%my_Domain_IP%>

на этот же? (62.113.48.5 = <%my_Domain_IP%>)?

короче надо понять:
- что делает ns.consaudio.ru в качестве NS для вашего длмена
- соответствует ли 62.113.48.5 вашему новому IP

[терминус_]

я ошибся.

Код: Выделить всё

Proxy# nslookup ns.MyDomain.tver.ru ns.tver.ru
Server:      ns.tver.ru
Address:   62.113.48.5#53

Non-authoritative answer:
*** Can't find ns.MyDomain.tver.ru: No answer

Proxy#

это значит, что tver.ru не имеет А записи для ns.MyDomain.tver.ru.
Это суть проблемы - пинайте провайдера чтобы он сделал А запись для имени ns.MyDomain.tver.ru чтобы она указывала на ваш новый IP адрес на котором живет NSD.

[Eradicator]

Ларчик открылся... Не просто, но открылся. Огромное спасибо за подсказку! В общем по сути проблемы: бесплатных региональных доменов больше нет. Компания SFT Corp теперь правообладатель домена и владыка всея ns.tver.ru, а именно на нем, как выясняется, висит glue record моего домена. Когда я позвонил туда, меня обрадовали необходимостью заключения договора и перехода на платную основу, после чего "клей" обновят под новые адреса.

терминус_, еще раз огромное спасибо за помощь! Будешь в Твери - с меня пиво!

[терминус_]

только вряд ли я из Риги когда-нить в Тверь приеду...
Лучше киньте капеецку в кошелек Лисяре на отсылку в фонд FreeBSD foundation

[Eradicator]

Номер кошелька записал, седня по дороге домой кину "капеецку" Предложение про пиво действительно бессрочно.. Еще раз спасибо!

[Eradicator]

Здравствуйте коллеги! Подскажите пожалуйста, начальство хочет кириллический домен... Есть ли какие либо "подводные камни" в вопросе регистрации и эксплуатации кириллического домена на NSD?

[терминус_]

А в чем проблема?
http://www.lissyara.su/articles/freebsd/programms/dns/

Еще заметка про новый домен РФ и punycode.

Как известно недавно создали новые "национальные" домены верхнего уровня. Вот список всех TLD доменов ( http://data.iana.org/TLD/tlds-alpha-by-domain.txt ). России достался свой домен под именем "РФ.". Возникает вопрос - как это работает и как его использовать. Работает это следующим образом: юзер вписывает в адресной строке броузера "россия.рф", броузер юзера перекодирует этот адрес в формат punycode и получается "xn--h1alffa9f.xn--p1ai", далее идет стандартное обращение к DNS на разрешения А записи для имени xn--h1alffa9f.xn--p1ai. Таким образом поддержка национальных языков в DNS именах - проблема клиентского програмного обеспечения. Захотел юзер посмотреть страничку - броузер должен уметь punycode. Захотел послать письмо электропочтой - почтовый клиент должен уметь punycode. И так далее.

Администратуру DNS сервера для создания зоны надо воспользоваться punycode конвертором ( например http://mct.verisign-grs.com/ ) и переконвертировать имя своего нового, модного домена из "иванломов.рф" в "xn--80adbvrgfjb.xn--p1ai". Далее все как обычно:

Код: Выделить всё

$TTL 300
xn--80adbvrgfjb.xn--p1ai.   IN   SOA   ns.xn--80adbvrgfjb.xn--p1ai. ad.m.ru. (
         2012082600   ;serial
         7200      ;refresh
         900      ;retry
         2592000      ;expire
         3600      ;neg. ttl
         )
      NS   ns.xn--80adbvrgfjb.xn--p1ai.
      NS   ns2.dnshosting.ru.

      A   56.78.90.12

ns.xn--80adbvrgfjb.xn--p1ai.   A   98.76.54.32
www      CNAME   xn--80adbvrgfjb.xn--p1ai.

Пока что, насколько я в курсе, перекодирование в punycode - задача администратора DNS сервера. Но скорее всего в будущем это будет автоматизировано или в самих DNS серверах, или в каких-нибудь внешних конверторах. В гламурный бинд это скорее всего встроют в первую очередь (если уже не встроили).

[Eradicator]

Терминус, большое спасибо за комментарий. Проблем пока никаких и очень надеюсь не возникнет. Просто, так сказать, перестраховываюсь...

[corochoone]

В статье серьёзная ошибка.
nsdc reload после добавления зоны не работает. Необходим рестарт сервера.
Известный баг, который разработчики называют фичей:
https://www.nlnetlabs.nl/bugs-script/sh ... cgi?id=193