Tham gia Đăng nhập
Điểm:0
Fabio avatar Server

Yêu cầu liên kết bỏ qua kiểm tra tên miền SOA trên các vùng chuyển tiếp

lá cờ in
Fabio

Tôi có một vấn đề kỳ lạ với liên kết.

Tiền đề: Tôi đang sử dụng liên kết (phiên bản 9.16_11) được cài đặt trên pfSense, nhưng bất chấp điều này, tôi có thể thay đổi hầu hết mọi thứ trên cấu hình liên kết.

Tôi đã định cấu hình một vùng chuyển tiếp đơn giản, cấu hình giống như sau:

vùng "dom001.my-domain.com" {
        gõ về phía trước;
        chuyển tiếp chỉ;
        giao nhận { 192.168.29.10; };
};

Bây giờ, nếu tôi cố gắng thực hiện nslookup đối với máy chủ lưu trữ trong miền này, tôi sẽ thấy lỗi. Ví dụ:

Câu trả lời không có thẩm quyền:
Tên: mail2.dom001.my-domain.com
Địa chỉ: 192.168.210.126
** máy chủ không thể tìm thấy mail2.dom001.my-domain.com: SERVFAIL

Điều kỳ lạ là đã nhận được câu trả lời (bạn có thể thấy địa chỉ trong câu trả lời) nhưng mặc dù vậy, tôi vẫn thấy lỗi SERVFAIL.

Một điều kỳ lạ khác, Dig không báo cáo bất kỳ lỗi nào:

; <<>> DiG 9.16.6 <<>> mail2.dom001.my-domain.com
;; tùy chọn chung: + cmd
;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53129
;; cờ: qr rd ra; CÂU HỎI: 1, TRẢ LỜI: 1, AUTHORITY: 0, BỔ SUNG: 1

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 4096
; COOKIE: 3218b8a1b8f64565eb9bd6636124bf73640809a4347f3bcf (tốt)
;; PHẦN CÂU HỎI:
;mail2.dom001.my-domain.com. TRONG MỘT

;; PHẦN TRẢ LỜI:
mail2.dom001.my-domain.com. 30 TRONG 192.168.210.126

;; Thời gian truy vấn: 30 mili giây
;; MÁY CHỦ: 172.16.0.2#53(172.16.0.2)
;; THỜI GIAN: Thứ Ba ngày 24 tháng 8 11:44:19 CEST 2021
;; KÍCH THƯỚC MSG rcvd: 110

Trong các truy vấn này, tôi thấy một số 'cảnh báo' trên nhật ký của liên kết:

Ngày 24 tháng 8 10:42:58 có tên 19540 lame-servers: thông tin: FORMERR giải quyết 'mail2.dom001.my-domain.com/AAAA/IN': 192.168.29.10#53
Ngày 24 tháng 8 10:42:58 có tên là 19540 trình phân giải: thông báo: Lỗi định dạng DNS từ 192.168.29.10#53 khi giải quyết mail2.dom001.my-domain.com/AAAA cho máy khách 10.16.16.41#38299: Không đặt tên cluster.local (SOA) tên miền phụ của vùng dom001.my-domain.com -- phản hồi không hợp lệ

Tôi đã kiểm tra thêm và có vẻ như sự cố có liên quan đến bản ghi SOA trên máy chủ chuyển tiếp:

;; PHẦN CÂU HỎI:
;mail2.dom001.my-domain.com. TRONG SOA

;; PHẦN TRẢ LỜI:
cụm.local. 30 TRONG SOA ns.dns.cluster.local. máy chủ lưu trữ.cluster.local. 1629766398 7200 1800 86400 30

Trong thực tế, câu trả lời là cụm.local thay vì dom001.my-domain.com.

Sự cố này gây ra hành vi lạ tùy thuộc vào hệ điều hành được sử dụng.Ví dụ: tôi thấy rằng hầu hết máy chủ Linux đều hoạt động tốt, trong khi một số phiên bản của Alpine Linux không thể giải quyết tên máy chủ trên miền đó.

Và ngay cả với máy chủ đang hoạt động tốt, tôi có nhật ký liên kết đầy lỗi do sự cố này.

Thật không may, tôi không thể kiểm soát máy chủ chuyển tiếp và thay đổi bản ghi SOA.

Câu hỏi của tôi là: làm cách nào tôi có thể định cấu hình liên kết để bỏ qua bản ghi SOA của người chuyển tiếp đó và chấp nhận câu trả lời ngay cả khi SOA không đồng nhất?

Tôi biết đó không phải là giải pháp tốt nhất nhưng tôi cần khắc phục trình chuyển tiếp bị định cấu hình sai.

Cảm ơn trước sự giúp đỡ của bạn!

451
1 + 1
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Tôi sẽ khá ngạc nhiên khi vấn đề xảy ra với SOA vì những yêu cầu đó không được thực hiện, ngoại trừ có thể để tìm các vùng cắt. Bạn làm mọi thứ rối tung lên nên thật khó để giúp bạn.Một mặt, bạn dường như có một miền thực, mặt khác, bạn có `.local` chỉ nên được sử dụng cho MDNS và không có gì khác. Câu hỏi của bạn sẽ tốt hơn với các chi tiết đầy đủ thực sự ...
0
Hồi đáp
Điểm:1
avatar Server
lá cờ cn
Håkan Lindqvist

Tôi không tin rằng có bất kỳ tùy chọn nào trong BIND sẽ khiến nó chấp nhận câu trả lời đó vì nó có vẻ không liên quan đến truy vấn.
Việc nhìn thấy kiểu câu trả lời không nhất quán đó chắc chắn là điều không mong đợi và tôi nghĩ rằng nếu bạn thực sự muốn (tạm thời?) chấp nhận và chuyển những câu trả lời này (tất nhiên, khách hàng cũng có thể không thích chúng), bạn có thể phải xem xét phần mềm khác không quan tâm đến nội dung phản hồi theo cùng một cách.
(Tôi nghi ngờ rằng dnsdist, là một proxy chứ không phải là một đệ quy, có thể làm điều này cho bạn.)

Điều đó nói rằng, tôi nghĩ rằng tôi có thể phần nào làm sáng tỏ một số nhầm lẫn ...

Các nslookup tình hình dựa trên cách nslookup gửi hai truy vấn riêng biệt theo mặc định, một cho Một và một cho AAAA.
Các Một truy vấn thành công và rõ ràng có liên quan Một ghi lại như là câu trả lời, các AAAA truy vấn không thành công, có lẽ không có AAAA ghi lại và vì các phản hồi tiêu cực luôn đi kèm với (được cho là) ​​có liên quan SOA bản ghi có thể gây ra sự cố chính xác mà bạn đã mô tả.

Tôi hy vọng rằng bạn cũng có thể tạo lại sự cố với đào tốt thôi nếu bạn làm cho nó gửi cùng một truy vấn không thành công, vì vậy bạn sẽ cần gửi một truy vấn cho AAAA để có được cùng một thất bại mà nslookup got cho một trong hai truy vấn của nó.

Đối với hành vi của máy chủ tên khác, đây không thực sự là trường hợp "chỉnh sửa SOA", đúng hơn là một loại lỗi logic nào đó trong phần mềm máy chủ định danh. Thực tế không thể tìm thấy một cụm.local ghi lại khi nhìn lên mail2.dom001.my-domain.com, đó là trong một nhánh hoàn toàn khác của cây.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.