O servidor CentOS bind9 continua recebendo mensagens de erro do ADDNS mestre

0

Nos últimos dias, tenho tentado conectar meu servidor Bind9 ao DNS do meu AD como uma zona secundária, sem sucesso. Isso tudo é feito no VMware, com o pfSense conectando os dois (sim, a porta 53 tcp / udp também está aberta lá)

O problema parece ser que, ao tentar obter uma zona transferida do mestre, os pacotes serão descartados, embora não haja firewalls que devam rejeitá-los.

Posso executar ping em todos eles sem problemas e também posso transferir a zona via nslookup a partir de um cliente normal do Windows.

Observando o Wireshark e o tcpdump -i qualquer porta 53 ao conectar o servidor Bind ao servidor ADDNS, é apresentado o seguinte:

https://i.imgur.com/soToiCM.png

Sim, parece que um firewall está bloqueando as consultas, mas confie em mim, não pode ser. Tentei desativar todos os firewalls e também adicionei os serviços e os números de porta para passar.

Você também pode ver que o servidor Windows me deu um erro de tempo limite, embora tenha começado a me dar "O servidor com este IP não é autoritário para a zona" Esse erro não importa onde eu tente aplicá-lo (para transferência de zona, Registro NS, conectar ao servidor, etc.)

E, olhando para o status nomeado, isso me oferece vários problemas, principalmente em relação a respostas não autoritativas:

managed-keys-zone: loaded serial 97
zone 0.in-addr.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone localhost.localdomain/IN: loaded serial 0
all zones loaded
running
zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: non-authoritative answer from master 192.168.64.64#53 (source 0.0.0.0#0)

-

managed-keys-zone: loaded serial 97
zone 0.in-addr.arpa/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone localhost.localdomain/IN: loaded serial 0
all zones loaded
running
zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: CNAME at top of zone in master 192.168.64.64#53 (source 0.0.0.0#0)
error (host unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 192.5.5.241#53
error (host unreachable) resolving './DNSKEY/IN': 192.5.5.241#53
error (host unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 198.97.190.53#53
error (host unreachable) resolving './NS/IN': 192.5.5.241#53

- Isso ocorre depois de definir um registro CNAME no ADDNS para o servidor. Embora eu não tenha o DNSSEC configurado.

-

managed-keys-zone: journal file is out of date: removing journal file
managed-keys-zone: loaded serial 101
zone 0.in-addr.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone localhost.localdomain/IN: loaded serial 0
all zones loaded
running
zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: unexpected rcode (NXDOMAIN) from master 192.168.64.64#53 (source 0.0.0.0#0)
received control channel command 'stop'
shutting down: flushing changes
stopping command channel on 127.0.0.1#953
stopping command channel on ::1#953
no longer listening on 127.0.0.1#53
no longer listening on 192.168.64.128#53
exiting
managed-keys-zone: loaded serial 101
zone 0.in-addr.arpa/IN: loaded serial 0
zone localhost.localdomain/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone localhost/IN: loaded serial 0
all zones loaded
running
zone centns.bliss.lan/IN: refresh: NODATA response from master 192.168.64.64#53 (source 0.0.0.0#0)
zone centns.bliss.lan/IN: refresh: NODATA response from master 192.168.64.64#53 (source 0.0.0.0#0)

- Então os problemas parecem simples, é visto como um servidor autoritário, mesmo que eu o declare como escravo?

Aqui está o meu named.conf

[root@centns ~]# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
        listen-on port 53       { 192.168.64.128; 127.0.0.1; };
        filter-aaaa-on-v4       yes;
        directory               "/var/named/";
        dump-file               "/var/named/data/cache_dump.db";
        statistics-file         "/var/named/data/named_stats.txt";
        memstatistics-file      "/var/named/data/named_mem_stats.txt";
//      auth-nxdomain           no;
//      allow-query             { 192.168.64.0/24; };
//      allow-transfer          { 127.0.0.1; 192.168.64.64; };
//      allow-notify            { 127.0.0.1; 192.168.64.64; };
//      allow-recursion         { 127.0.0.1; 192.168.64.64; };
        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
        recursion no;


        dnssec-enable no;
        dnssec-validation auto;
        dnssec-lookaside auto;
        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };


};
zone "centns.bliss.lan" IN
        {
        type            slave;
        file            "centNS.bliss.lan";
        masters         { 192.168.64.64; };
        allow-query     { 192.168.64.0/24; };
        allow-transfer  { 192.168.64.0/24; };
//      allow-recursion { 192.168.64.0/24; };
        };
                /*
zone "64.168.192.in-addr.arpa" IN
        {
        type slave;
        file "rev.centNS.bliss.lan";
        masters { 192.168.64.64; };
        notify yes;
        };
                */
zone "." IN {
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Como você pode ver em todas as linhas comentadas, tentei algumas coisas agora.

Eu tentei:

* Desativando o firewall no Windows e no CentOS

* Configurando um registro A e CNAME no DNS do AD para meu servidor CentNS

* Certifique-se de que o Windows tenha o BIND ativado

Se você precisar de mais informações, pergunte, eu realmente quero que isso funcione.

DamnPeggy
fonte
Justo. Eu apenas pensei que poderia ter algo a ver com o conf de ligação, razão pela qual eu postei aqui. Eu também tentei sem firewalls (como disse), mas ainda não há dados.

Respostas:

0

Para criar um escravo do DNS do Windows, no lado do Windows, você precisa autorizar transferências de zona.

Aproximadamente, dependendo da versão do Windows, esse caminho é "Gerenciador do Servidor-> DNS-> Gerenciador DNS-> Propriedades-> Transferências de Zona". Selecione "permitir transferências de zona" e "apenas para os seguintes servidores" e adicione seus endereços IP BIND.

Quanto à sua configuração BIND, você também precisa permitir nomes começando com _, pois o DNS do Windows os utiliza. Portanto, na seção de opções, você adiciona:

check-names master ignore;

Cuidado também com a configuração do DLV DNSSEC, você está recebendo o erro (host unreachable)porque o DLV está obsoleto há anos e o projeto foi encerrado desde 2015.

Então, comente ou exclua a linha bindkeys-file "/etc/named.iscdlv.key";

Rui F Ribeiro
fonte
Eu permiti a transferência para o servidor, o Windows apenas me fornece "O servidor com este endereço IP não é autoritário para a zona" Eu também antes o mestre de verificação de nomes ignorava; Embora essa linha ainda não fizesse diferença. Mesmo com comentar a bindkeys-file
0

Sua imagem mostra "Host administrativamente proibido", portanto, deve haver um firewall em algum lugar.

é visto como um servidor autoritário, mesmo que eu o declare como escravo?

Um servidor escravo também é autoritário.

RalfFriedl
fonte
De onde você acha que poderia estar vindo então? Causa Adicionei serviço dns aa, bem como as portas 53 / tcp e 53 / udp à minha zona no firewalld. Também configurado as mesmas regras no firewall do Windows e pfSense
DamnPeggy
Também há algo no named.conf que o tornaria não oficial ou estou perdendo alguma coisa?
precisa saber é o seguinte
O endereço de origem dos pacotes ICMP é exibido na imagem. Encontre o host com esse endereço e descubra por que ele rejeita os pacotes.
RalfFriedl