Подключение нового сервера

Windows 95, 98, ME и 3,11; WinNT, Win2000, WinXP, Win2003, Vista, 7
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-03 9:27:44

В принципе все провильно, т.е
1. Убрать на фре dns, прописав на ней в качестве dns кд, можно прописать в ней только кд, а вот на самом кд, можно задействовать форвард на dns'ы провайдера, гугла и т.д., или ничего не прописывать, тогда он сам будет ходить к корневым серверам dns за разрешением имен, раньше ходили к провайдерам поскольку канал был узкий...
Если очень хочется, то можно оставить на фре dns, но тогда лучше поступить след.образом, этот dns обьявить вторичником для вашей локальной зоны domen.local ну и обратной тоже, т.е. пусть фря их забирает с кд, при этом надо будет прописать в /etc/resolv.conf саму фрю ниже кд, в этом случае при невозможности ответа от кд, локальные имена и имена в инете будет разрешать сама фря, т.е. в случае вылета кд выход в инет для локалки сохранит работоспособность... Задействование вторичника позволит вам редактировать ваши локальные зоны только в одной точке, меньше ошибок...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-03 10:31:55

Попробую наверное вовсе выключить DNS на FreeBSD
В настройках DNS КД укажу только адреса провайдеров, FreeBSD уберу из списка
На FreeBSD в resolv напишу только один КД, больше ничего. Ну и после уберу named с FreeBSD

Если КД "сломается", то похоже FreeBSD нет смысла делать вторичным dns. Когда КД не работает, пользователи не смогут войти в домен для работы... Если только "локально" запускать каждый комп...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-03 14:05:33

Если у вас не выключен кеш паролей на станциях, то войти можно будет, только вход будет долгий, к тому локальных пользователей, тех же админов, никто не отменял, а инет иногда бывает в помощь...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-07 9:00:05

На КД в настройках DNS, в качестве серверов для пересылки, указал два адреса выданные провайдером, а адрес FreeBSD убрал оттуда вообще...
После на FreeBSD в resolv.conf добавил в качестве первого адреса, адрес КД, так же оставил адреса провайдера...

Остановил named на FreeBSD, убрал упоминания о нем в etc.rc...
После перезагрузил FreeBSD, и выскочила ошибка следующего вида:

Код: Выделить всё

time coorrection of 2700 seconds excecteds sanity limit (1000); set clock manually to the correct UTC time
После этого я через команду date выставил время на FreeBSD как и на КД. В результате опять получил ошибку, на этот раз от dovecot:

Код: Выделить всё

dovecot: Fatal: Time just moved backwards by 260 seconds. This might cause alot of problems, so I'll just kill myself now: ttp://wiki.dovecot.org/TimeMovedBackwards
Dovecot у меня вырубился... Попробовал перезапустить его, кажется получилось... Теперь статус dovecota пишет что запущен...

Как Вы думаете, все эти ошибки что были, это нормально? Как мне теперь показалось, интернет странички стали дольше загружаться, но может это просто провайдер тормозит....

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-07 9:46:37

Проверьте правильность таймзоны на фришке, включая наличие зимнего/летного перехода, в крайнем случае обновите. Также настройте фришку на получение времени от кд, а сам кд от источников в инете, либо наоборот...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-07 14:43:25

Интересно, то что у меня гугл загружается около минуты, это провайдер тормозит, или то что я немного конфигурацию сети поменял, как думаете? Провайдер утверждает, что с их стороны проблем нет, хотя особой веры им нет...

Отправлено спустя 40 минут 3 секунды:
У меня ещё и со временем беда на КД...
На КД время спешит минут на 10... А синхронизация не выполняется, КД не может синхронизироваться с серверами времени. На форумах microsoft говорят, что это из-за использования прокси сервера... Хотя я выводил КД из под прокси, и всё равно синхронизация не проходила:
Ранее была такая ошибка:

Код: Выделить всё

C:\Users\Администратор.DOMEN>w32tm /stripchart /computer:time.windows.com /sa
mples:5 /dataonly
Отслеживание time.windows.com [13.79.154.18:123].
Сбор образцов 5.
Текущее время - 09.02.2017 10:31:47.
10:31:47, ошибка: 0x800705B4
10:31:50, ошибка: 0x800705B4
10:31:53, ошибка: 0x800705B4
10:31:56, ошибка: 0x800705B4
10:31:59, ошибка: 0x800705B4

C:\Users\Администратор.DOMEN>
Сегодня уже другая ошибка:

Код: Выделить всё

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Users\Администратор.DOMEN>w32tm /stripchart /computer:time.windows.com /sa
mples:5 /dataonly
Обнаружена следующая ошибка: Обычно - это временная ошибка, возникающая во время
 разрешения имени узла, и означающая, что локальный сервер не получил ответа от
полномочного сервера. (0x80072AFA)

C:\Users\Администратор.DOMEN>
P.S. С ИНЕТОМ досихпор непонятно, то быстро работает, то медленно, наверное все таки из-за провайдера...

Отправлено спустя 1 час 51 минуту 5 секунд:
Мне кажется, что то неправильно в локальной сети...
Я посмотрел файл /var/log/squid/cache.log И вот что увидел:

Код: Выделить всё

root@freebsd:~ # tail /var/log/squid/cache.log
2017/03/07 10:06:39 kid1| ipcacheParse: No Address records in response to 'apis.google.com'
2017/03/07 10:06:39 kid1| ipcacheParse: No Address records in response to 'apis.google.com'
2017/03/07 10:42:49 kid1| ipcacheParse: No Address records in response to 'ipv6.msftncsi.com'
2017/03/07 10:42:49 kid1| ipcacheParse: No Address records in response to 'ipv6.msftncsi.com'
2017/03/07 10:44:50 kid1| ipcacheParse: No Address records in response to 'apis.google.com'
2017/03/07 10:44:50 kid1| ipcacheParse: No Address records in response to 'apis.google.com'
2017/03/07 10:49:42 kid1| ipcacheParse: No Address records in response to 'safebrowsing.google.com'
2017/03/07 10:49:42 kid1| ipcacheParse: No Address records in response to 'safebrowsing.google.com'
2017/03/07 12:07:52 kid1| ipcacheParse: No Address records in response to 'safebrowsing-cache.google.com'
2017/03/07 12:07:52 kid1| ipcacheParse: No Address records in response to 'safebrowsing-cache.google.com'
root@freebsd:~ #
Раньше такого не было. Может из-за этого гугл так долго грузится?

P.S. У меня и с тестовым FreeBSD теперь что то неладное... Ранее в качестве "экспериментальной" машины, я запустил FreeBSD на другом компе... Подключил его к своей рабочей сетке... На "тестовом" серваке указал вышестоящий прокси ("боевой" FreeBSD). После чего, к тестовому FreeBSD подключил виндовый комп... То есть схема такая ИНЕТ->Боевой FreeBSD->Тестовый FreeBSD->Виндовый комп... Это я всё к тому, что на виндовом компе ИНЕТ теперь вообще пропал... И пинг не проходит до гугла...Да и в squid на тестовом серваке не всё впорядке в логах... Ну это всё ладно, потом разберусь... Мне бы разобраться сейчас с ЛВС и в чем там ошибка...

Отправлено спустя 39 минут 32 секунды:
Не могу понять, где в цепочке DNS допущена ошибка...
Раньше было так) Компы в сети -> DNS КД -перенаправление на FreeBSD
Теперь так) Компы в сети -> DNS КД -перенаправление на провайдера

Почему начались такие тормоза при открытие интернет страниц...

Отправлено спустя 1 час 42 минуты 40 секунд:
Ещё определил, что на компах в сети перестал ping преобразовывать имена в адреса...
Раньше когда я делал ping http://www.google.ru пинг не проходил, но google преобразовывался в ip адрес при попытках ping
А теперь вот так вот:

Код: Выделить всё

При проверке связи не удалось обнаружить узел www.google.ru.
Проверьте имя узла и повторите попытку.
Скорее всего, все это как то связанно... Как будто бы DNS не отрабатывает... Или что то ещё...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-07 19:28:37

Если локальные машинки нормально разрешаются, а разрешения в инетовской зоне нет, то либо неправильно настроил пересылку запросов на dns провайдера или файер не пускает dns кд в инет... Нужно вообще убрать пересылку на dns провайдера и посмотреть заработает или же нет... Если не заработает, то смотреть файер...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-08 12:55:12

Спасибо за помощь. Попробую убрать адреса провайдера в пересылке на КД. Но наверное проблема в firewall... Из за него же наверное и синхронизация времени не проходит на КД...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-09 8:03:39

Я убрал на КД в DNS, адреса серверов для пересылки... Ничего не поменялось, ИНЕТ загружается долго на всех компах в сети, и пинг не преобразовывается с локальных компов, вот что показывает:

Код: Выделить всё

C:\Users\PC>ping www.google.ru
При проверке связи не удалось обнаружить узел www.google.ru.
Проверьте имя узла и повторите попытку.
Наверное это firewall что то делает неправильно на FreeBSD. Помогите мне пожалуйста разобраться. Я просматриваю конфиги моего firewall, но не могу понять, что мешает КД синхронизировать время, и что мешает преобразовывать пинг... Я так понимаю, если пинг преобразуется то и ИНЕТ будет нормально загружаться...
Подскажите пожалуйста, вот конфиг firewall:

Код: Выделить всё

###FIREWALL###
/sbin/ipfw -q -f flush #SBROS VSEH PRAVIL
fwcmd="/sbin/ipfw -q" #OBOZNACHENIE KOMANDI
LIF="rl0" #LOKALNI INTERFEIS
LIP="`ifconfig $LIF|awk '/inet /{print \$2}'`" #LOKALNI IP
LAN="$LIP/24" #LOKALNAYA SET
WIF="bfe0" #VNESNI INTERFEIS
WIP="`ifconfig $WIF|awk '/inet /{print \$2}'`" #VNESHNI IP
WAN="$WIP/24" #VNESHNAYA SET

##################################################

#${fwcmd} add 1000 allow all from 192.168.99.0/24 to 192.168.0.0/24
#${fwcmd} add 1010 allow all from 192.168.0.0/24 to 192.168.99.0/24
#${fwcmd} add 1020 deny from any to 192.168.0.0/16 via $WIF

${fwcmd} add 1100 allow ip from any to any via lo0 #RAZRESHAEM VSE CHEREZ PETLY
${fwcmd} add 1110 deny ip from any to 127.0.0.0/8 #ZAPRETIT VSE IZ 127.0.0.0/8
${fwcmd} add 1120 deny ip from 127.0.0.0/8 to any #ZAPRETIT 127.0.0.0/8 DLYA VSE
GO

${fwcmd} add 1150 allow ip from me to me #RAZRESHAEM IP ETGO KOMPA DLYA ETOGO KO
MPA

${fwcmd} add 1200 deny ip from $LAN to any in via $WIF #ZAPRETIT LOKALKE VIHODIT
 CHEREZ VNESHNI INTERFEIS
${fwcmd} add 1210 deny ip from $WAN to any in via $LIF #ZAPRETIT INETY VHODIT V
LOKALKY


${fwcmd} add 2005 deny ip from any to 172.16.0.0/12 in via $WIF #ZAPRETIT PROHOD
 CETI 172.16.0.0/12 CHEREZ VNESNI INTERFEIS
${fwcmd} add 2050 deny ip from any to 0.0.0.0/8 in via $WIF #ZAPRET
${fwcmd} add 2055 deny ip from any to 169.254.0.0/16 in via $WIF #ZAPRET
${fwcmd} add 2060 deny ip from any to 244.0.0.0/4 in via $WIF #ZAPRET
${fwcmd} add 2065 deny ip from any to 240.0.0.0/4 in via $WIF #ZAPRET

${fwcmd} add 2105 deny ip from 172.16.0.0/12 to any out via $WIF #ZAPRET
${fwcmd} add 2175 deny ip from 0.0.0.0/8 to any out via $WIF #ZAPRET
${fwcmd} add 2180 deny ip from 169.254.0.0/16 to any out via $WIF #ZAPRET
${fwcmd} add 2185 deny ip from 224.0.0.0/4 to any out via $WIF #ZAPRET
${fwcmd} add 2190 deny ip from 240.0.0.0/4 to any out via $WIF #ZAPRET

${fwcmd} add 3000 allow ip from any to $LAN in via $LIF #RAZRESHIT HOZDENIE PAKE
TOV PO LOKALKE FREEBSD
${fwcmd} add 3005 allow ip from $LAN to any out via $LIF #RAZRESHIT HOZDENIE PAK
ETOV PO LOKALKE FREEBSD

${fwcmd} add 3010 allow icmp from any to $WIP icmptypes 0,3,4,11,12 in via $WIF
#RAZRESHIT ICMP PROTOKOL IZ FREEBSD PO TIPY 0-3-4-11-12
${fwcmd} add 3011 allow icmp from $WIP to any icmptypes 3,8,12 out via $WIF #RAZ
RESHIT PROTOKOL ICMP IZ FREEBSD DLY 3-8-12 ISHOD
${fwcmd} add 3012 allow icmp from $WIP to any frag out via $WIF #RAZRESHIT OPOZD
AVSHI PROTOCOL IZ FREEBSD
${fwcmd} add 3014 deny icmp from any to any in via $WIF #ZAPRETIT PROTOKOL ICMP

${fwcmd} add 3100 allow udp from any to $WIP 53 in via $WIF #RAZRESHIT UDP TRAFI
K
${fwcmd} add 3110 allow udp from $WIP 53 to any out via $WIF
${fwcmd} add 3120 allow udp from any 53 to $WIP in via $WIF
${fwcmd} add 3130 allow udp from $WIP to any 53 out via $WIF
${fwcmd} add 3200 allow log udp from any to any 123 via $WIF #RAZRESHAEM NTP TRA
FIK
${fwcmd} add 3300 allow tcp from any to $WIP 53 in via $WIF setup

###############################################################

#URM
${fwcmd} add 4000 allow tcp from 192.168.0.17 1723 to any in via $LIF
${fwcmd} add 4010 allow gre from 192.168.0.17 to any in via $LIF


###############################################################


${fwcmd} add 9400 allow all from 192.168.0.37 to any in via $LIF #Razreshit test
ovomu FreeBSD vihod v INET bez proxy
${fwcmd} add 9500 deny all from any to any in via $LIF #ZAPRETIT VIHOD V INET BE
Z PROXY

${fwcmd} nat 1 config log if $WIF reset same_ports deny_in redirect_port tcp 192
.168.0.17:1723 1723 redirect_proto gre 192.168.0.17
${fwcmd} add 10000 nat 1 all from any to any via $WIF
${fwcmd} add 65533 allow all from any to any
${fwcmd} add 65534 deny all from any to any

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-09 10:20:51

Я обычно не даю советы по файеру, считаю очень щекотливая и очень ответственная тема, но замечу, что у вас есть строчки

Код: Выделить всё

${fwcmd} add 65533 allow all from any to any
${fwcmd} add 65534 deny all from any to any
Вдобавок, очень много не нужного... наберите

Код: Выделить всё

ipfw show 
и посмотрите статистику срабатывания правил..., это не говорит о том, что с нулевой статистикой правила не нужны, надо просто шевельнуть извилиной...
Временно возьмите стандартный скрипт rc.firewall в работу с указанием типа OPEN, т.е. в rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_nat_enable="YES"
firewall_type="OPEN"
firewall_nat_interface="bfe0"
Поищите на этом сайте описание работы ipfw, и книжечку по tcp/ip почитайте

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-09 10:59:32

Книжечки по ipfw и tcp/ip конечно читаю...
Но пока что не могу понять, что мешает выполнить resolv с компов, допустим до гугла...
Лишнего в ipfw действительно много... Из всех deny срабатывают только:
02060 8 2897 deny ip from any to 240.0.0.0/4 in via bfe0 #Это точно не запрет resolv
03014 2 120 deny icmp from any to any in via bfe0
03450 8 416 deny tcp from any to me dst-port 22 #Это точно не запрет resolv
09500 2362 192986 deny ip from any to any in via rl0 #Это точно не запрет resolv
65535 2 194 deny ip from any to any


Остается только 2 запрещающих правила, которые могут мешать выполнить resolv с компов...
03014 2 120 deny icmp from any to any in via bfe0
65535 2 194 deny ip from any to any

Но когда я выполняю resolv с компов, счетчик на эти правила не увеличивается... Замкнутый круг. В добавок ко всему, у меня есть правило, которое всё разрешает, что не попало под прежние правила:
65533 14077 6569019 allow ip from any to any

Вариант с "открытым" ipfw подходит не очень... Это получается защита от ipfw будет равна 0...
Очень хочется разобраться с действующим скриптом и понять, что все таки мешает выполнять resolv.

P.S. Когда на FreeBSD была роль named запущена, resolv с компов выполнялся, получается named на FreeBSD всё таки не в пустую работал...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-09 12:31:34

Я думаю нат на dns не срабатывает, а просто прокидывается, а в инете приватные сети, точнее пакеты приватных сетей грохаются...Когда же стоял named на фре, то пакет шел от внешнего интерфейса и соответственно он спокойно ходил в инет... Понятие "открытый" для ipfw на самом деле не совсем открытый, на нем по существу с инета открыт доступ только к портам внешнего интерфейса и работает нат для локалки без ограничений, ну а дальше можно поограничивать, например доступ к ssh извне и снаружи только с определеннных ip, ну и т.д.

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-09 12:37:47

Вот что ещё я заметил:
Ранее в IPFW было правило, и нормально работало:
${fwcmd} add 9405 allow all from 192.168.0.0/24 to 95.173.131.101 in via $LIF

95.173.131.101 это сайт счетной палаты РФ...
Когда на FreeBSD работал named сайт работал. Когда я на FreeBSD убрал named. Сайт перестал открываться... Следовательно DNS не может преобразовать audit.gov.ru в 95.173.131.101

Получается DNS КД не может преобразовывать имена в адреса. А раньше это делал FreeBSD когда на нем был запущен named...

Что то я делаю не так, а вот что понять не могу...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-09 13:02:43

Reken писал(а):Вот что ещё я заметил:
Ранее в IPFW было правило, и нормально работало:
${fwcmd} add 9405 allow all from 192.168.0.0/24 to 95.173.131.101 in via $LIF
95.173.131.101 это сайт счетной палаты РФ...
Когда на FreeBSD работал named сайт работал. Когда я на FreeBSD убрал named. Сайт перестал открываться... Следовательно DNS не может преобразовать audit.gov.ru в 95.173.131.101
Получается DNS КД не может преобразовывать имена в адреса. А раньше это делал FreeBSD когда на нем был запущен named...
DNS преобразовывает имена в ip, броузеры получают от пользователей имена, dns сервер не может преобразовать имена в ip, если он не знает у кого имеется соответствующая зона, либо в этой зоне нет нужного имени, как идет поиск владельца зоны: если стоит пересылка, то идем к серверу, который указан в пересылке, если ее нет, то запускается рекурсия на поиск сервера нужной зоны, сначала идем к корневому серверу dns, от которого получаем dns сервер отвечающий за нижележащую зону и так продолжается до получения нужного ip сервера dns нужной нам зоны...При прохождении рекурсии ну и запросов заполняется кеш самого dns, поэтому он сначала проверяет свой кеш на наличии записи и не истекло ли время жизни, если все ок то обычно выдается из кеша...
Если доступа к пересылке либо к корневикам в инете нет, то и суда нет... Другими словами доступа через нат по порту 53 нет...
Надеюсь как работает нат вам рассказывать не надо, сами прочитаете...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-09 15:16:31

Snorlov спасибо за помощь
Да, как работает НАТ знаю... В кратце это когда куча компов с внутренними IP, выходят в ИНЕТ под внешним IP... (в кратце я так это понимаю)
Слушая советы на других форумах, да и вообще, пришел к выводу, что лучше вернуть на FreeBSD named. Только "правильно" на этот раз сделаю, например так:
1) В resolv.conf добавлю IP FreeBSD ниже IP контроллера...
2) Запущу named на FreeBSD
Я так понимаю, строки лучше оставить?

Код: Выделить всё

zone "domen.local" {
type master;
file "/etc/namedb/master/domen.local";
};
3) На КД в DNS в адресах для пересылки, сделаю как и раньше (уберу IP провайдеров, оставлю только IP шлюза)

Вроде бы всё правильно?

Отправлено спустя 6 минут 46 секунд:
P.S. содержание /etc/namedb/master/domen.local

Код: Выделить всё

$TTL    3600
@       IN     SOA     ns.domen.local. XXXXX.yandex.ru (
                                    2010021701;     Serial
                                    3600;           Refresh
                                    900;            Retry
                                    360000;         Expire
                                    3600;           Minimum
                                    )
               IN      NS           ns.domen.local.

localhost      IN      A            127.0.0.1
domen.local IN      A            192.168.0.4
ns             IN      A            192.168.0.33  #Контроллер домена
ns             IN      A            XX.XX.XX.XX   # DNS провайдера
ns             IN      A            XX.XX.XX.XX   # DNS провайдера
ns             IN      A            8.8.8.8
freebsd        IN      A            192.168.0.4  # Внутренний адрес FreeBSD
jabber         IN      A            192.168.0.4
Отправлено спустя 45 минут 52 секунды:
Не могу понять...
В /etc/namedb/master/domen.local в строках как правильнее написать?

1) ТАК:
localhost IN A 127.0.0.1
domen.local IN A 192.168.0.4
ns IN A 192.168.0.33 #Контроллер домена
ns IN A XX.XX.XX.XX # DNS провайдера
ns IN A XX.XX.XX.XX # DNS провайдера
ns IN A 8.8.8.8
freebsd IN A 192.168.0.4 # Внутренний адрес FreeBSD
jabber IN A 192.168.0.4

2) Или так:
localhost IN A 127.0.0.1
domen.local. IN A 192.168.0.4
ns IN A 192.168.0.4
freebsd IN A 192.168.0.4 # Внутренний адрес FreeBSD
jabber IN A 192.168.0.4

Отправлено спустя 16 минут 15 секунд:
И наверное нужно в named.conf указать так:
zone "domen.local" {
type slave; # Это же будет вторичный DNS, значит не master а slave
file "/etc/namedb/master/domen.local";
};

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-09 16:05:19

Reken писал(а): И наверное нужно в named.conf указать так:
zone "domen.local" {
type slave; # Это же будет вторичный DNS, значит не master а slave
file "/etc/namedb/master/domen.local";
};
В принципе все правильно, пусть named слушает локалхост и внутренний интерфейс, ну а зоны

Код: Выделить всё

zone "doman.local" {
        type slave;
        check-names ignore;
        masters { <ip кд>; };
        file "/etc/namedb/slave/domen.local";
};

zone "0.168.192.in-addr.arpa" {
        type slave;
        file "/etc/namedb/slave/0.168.192.in-addr.arpa";
         masters { <ip кд>; };
};
И в dns'е на кд разрешить фришке забирать зону в свойствах зоны->передача зон

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-09 16:53:43

Странно, КД пишет что передал зону для FreeBSD успешно

А FreeBSD ошибки сыпет:

Код: Выделить всё

root@freebsd:~ # tail /var/log/named.log
Mar  9 16:57:56 freebsd named[14492]: zone domen.local/IN: transfer: could no
t set file modification time of '/etc/namedb/master/domen.local': permission denied
Mar  9 16:57:56 freebsd named[14492]: transfer of 'domen.local/IN' from 192.168.0.33#53: Transfer completed: 1 messages, 46 records, 1919 bytes, 0.001 secs (1919000 bytes/sec)
Mar  9 16:57:57 freebsd named[14492]: zone 0.168.192.in-addr.arpa/IN: Transfer started.
Mar  9 16:57:57 freebsd named[14492]: transfer of '0.168.192.in-addr.arpa/IN' from 192.168.0.33#53: connected using 192.168.0.4#26240
Mar  9 16:57:57 freebsd named[14492]: transfer of '0.168.192.in-addr.arpa/IN' from 192.168.0.33#53: failed while receiving responses: REFUSED
Mar  9 16:57:57 freebsd named[14492]: transfer of '0.168.192.in-addr.arpa/IN' from 192.168.0.33#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)
Mar  9 16:58:45 freebsd named[14492]: zone 0.168.192.in-addr.arpa/IN: Transfer started.
Mar  9 16:58:45 freebsd named[14492]: transfer of '0.168.192.in-addr.arpa/IN' from 192.168.0.33#53: connected using 192.168.0.4#22341
Mar  9 16:58:45 freebsd named[14492]: transfer of '0.168.192.in-addr.arpa/IN' from 192.168.0.33#53: failed while receiving responses: REFUSED
Mar  9 16:58:45 freebsd named[14492]: transfer of '0.168.192.in-addr.arpa/IN' from 192.168.0.33#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)
root@freebsd:~ #
Как думаете, где я допустил ошибку?

Теперь ИНЕТ шустро открывается, и ping преобразовывается...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-09 17:08:38

Прав наверно не хватает, я имею в виду файлики зон там надо кажется bind:bind, обратная зона у вас на кд есть? если нет , то создайте ручками...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-10 8:57:01

Я по ошибке, вначале файл domen.local разместил не в slave а в master. Но теперь сделал как нужно...
На файл domen.local задал права bind bind.
При рестарте named вижу следующее:

Код: Выделить всё

root@freebsd:~ # tail /var/log/named.log
Mar 10 08:10:58 freebsd named[16847]: zone domen.local/IN: loaded serial 1059
Mar 10 08:10:58 freebsd named[16847]: zone example/IN: loaded serial 42
Mar 10 08:10:58 freebsd named[16847]: zone invalid/IN: loaded serial 42
Mar 10 08:10:58 freebsd named[16847]: zone localhost/IN: loaded serial 42
Mar 10 08:10:58 freebsd named[16847]: all zones loaded
Mar 10 08:10:58 freebsd named[16847]: running
Mar 10 08:10:58 freebsd named[16847]: zone 0.168.192.in-addr.arpa/IN: Transfer started.
Mar 10 08:10:58 freebsd named[16847]: transfer of '0.168.192.in-addr.arpa/IN' from 192.168.0.33#53: connected using 192.168.0.4#53108
Mar 10 08:10:58 freebsd named[16847]: transfer of '0.168.192.in-addr.arpa/IN' from 192.168.0.33#53: failed while receiving responses: REFUSED
Mar 10 08:10:58 freebsd named[16847]: transfer of '0.168.192.in-addr.arpa/IN' from 192.168.0.33#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.001 secs (0 bytes/sec)
root@freebsd:~ #
У меня в /etc/namedb/slave/ нет файла обратной зоны...(0.168.192.in-addr.arpa). Тоесть namedb ссылается на несуществующий файл... Его нужно ручками создать? Или он должен сам создаваться?

На КД есть обратная зона. Но на ней невозможно поставить галочку "передать зону", там нет такой.

Отправлено спустя 19 минут 47 секунд:
Сейчас посмотрел фйлик domen.local в каталоге slave. Там вообще какая то абра-кодабра...
Наверное потому что зона передалась?

Отправлено спустя 5 минут 26 секунд:
Начинаю думать что для вторичной зоны (slave), файлы "domen.local" и файл обратной зоны "0.168.192.in-addr.arpa" нужно создавать пустыми, просто что бы были. А вся инфа туда с КД перейдет....
Я правильно понимаю?

Отправлено спустя 22 минуты 50 секунд:
Похоже я правильно понял...
Файл прямой и обратной зоны на FreeBSD заполняется вручную, если это masters (первичный DNS)
В моем случае похоже, эти два файла (прямая и обратная), должны были создаться сами, по пути /namedb/slave а после в них должна была автоматически перейти инфа с КД...
Файл domen.local я создал сам, заполнил его ненужной инфой, поставил на него права bind bind, и после этого КД записал туда всё что нужно было...
А вот файл обратной зоны я не создавал, и КД некуда передавать инфу, вот наверное и сыпятся ошибки. Но мне не понятно почему FreeBSD сама не создаст этот файл. Права на каталог slave поставил bind bind

Подскажите я правильно понял всю эту "процедуру"?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-10 9:19:03

На самом кд обратная зона есть? Если на кд ее нет, то создай ее на кд ручками, в дальнейшем она там заполнится сама клиентами...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-10 9:30:40

snorlov писал(а):На самом кд обратная зона есть? Если на кд ее нет, то создай ее на кд ручками, в дальнейшем она там заполнится сама клиентами...
Да, на КД есть обратная зона, в ней полный список всех клиентов...
А на FreeBSD нет файла обратной зоны... Может мне его ручками создать? пустой...

Мне кажется все эти ошибки сыпятся из-за отсутствия на FreeBSD файла обратной зоны...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-10 9:51:49

Ну так создайте и права раздайте, только почему вы написали, что закладки "Передачи зон" нет у обратной зоны, должна быть...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-10 10:22:01

Ну кажется теперь всё работает...
Создал файл обратной зоны на freebsd задал права. Прошу прощения, вчера в спешке не заметил, что на КД на обратной зоне есть галочка "передать". Поставил её...
Теперь при запуске named ошибок нет, всё отлично. Спасибо Вам за помощь.

Наверное в файле /etc/namedb/named.conf есть кое что лишнее, а именно в строке:
forwarders {127.0.0.1; IPПРОВАЙДЕРА; 8.8.8.8;};
Я думаю 127.0.0.1 нужно убрать... Я правильно понимаю?

Когда обновлю FreeBSD с 9.3 yf 10.3 нужно будет из портов сразу накатать BIND99 , что бы вторичный DNS снова заработал...

P.S. Я так понимаю на клиентах теперь можно указать в качестве второго DNS, адрес FreeBSD?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Подключение нового сервера

Непрочитанное сообщение snorlov » 2017-03-10 10:41:04

Да локалхост надо убрать, на клиентах можно и поставить, только после этого будьте готовы к тому, что если dns кд будет не доступен, то они попытаются обновить свои записи в зонах на фришке, а это невозможно, в принципе плевать, поскольку ip у вас статические, только ошибки на эту тему будут сыпаться от dns. Да, в 10-ке bind убран из системы...

Отправлено спустя 3 минуты 28 секунд:
Книжечки почитайте... :good:

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Подключение нового сервера

Непрочитанное сообщение Reken » 2017-03-10 10:42:37

А вот почему КД не может синхронизацию времени сделать с источниками в ИНЕТЕ...Пока что не совсем понимаю
Может из-за NAT ?

Похоже нижнего правила недостаточно, что бы КД смог выйти на нужный сервер времени по 123 порту...

Код: Выделить всё

${fwcmd} add 3200 allow log udp from any to any 123 via $WIF     #WIF это внешний интерфейс