AW: DNS Reverse Zone repliziert nicht zum ISP

Hi Webm20000

Probier mal ob du von hand einen Zonnen tarsfer machen kannst mit nslookup.

LG Koni

AW: DNS Reverse Zone repliziert nicht zum ISP

Hallo Koni,

besten Dank für deinen Hinweis mit dem Zonentransfer.
Kannst du mir noch erklären,wie so ein Nslookup Zonentransfer funktioniert und wie die Befehlsfolge aussieht.

Ich müsste einen Zonentransfer von meinen pirmären DNS (in der DMZ) zum den sekundären DNS bei unseren ISP machen, oder nicht.

Danke dir im voraus

LG
webm20000

AW: DNS Reverse Zone repliziert nicht zum ISP

Hallo webm20000

Im Windows-DNS gibt es eine Zonenoption die in etwa "Zone BIND-kompatibel machen" lautet. Aktivier diese Option und probier es erneut.
Ist der Zonentransfer erlaubt?

Grundsätzlich wundert es mich aber, dass Du die Reversezone für eure IP-Adressen selber hosten darfst. Seit ihr eine so grosse Firma mit eigenem IP-Range? Normalerweise werden die IPs von RIPE dem Provider zugeteilt, und dieser muss dann, wenn Du selber Reverse-DNS betreiben möchtest, Deinen IP-Bereich Dir übergeben resp. delegieren. Das habt ihr so?

AW: DNS Reverse Zone repliziert nicht zum ISP

Hallo Herr Moderator,

danke für deine Anwort, werde morgen gleich deinen Tipp nachgehen und berichten. Auch dass mit nslookup muss ich noch testen, hatte heute nur noch keine Zeit.
Ich bin erst seit kurzen in dieser Firma beschäftigt. Den DNS hat noch mein Ex-Kollege aufgesetzt und hat dann den Abgang gemacht. Ob ihm dieser Fehler bekannt war kann ich nicht sagen, den Ärger habe ich jetzt auf jeden Fall an der Backe. Dokumentieren war auch keine Stärke meines Vorgängeres.
Es ist eben so, dass unser DNS den Replik auf unsere Zone beim ISP macht.

Werde mich melden

LG
Webm20000

AW: DNS Reverse Zone repliziert nicht zum ISP

Hallo zusammen,

habe auf meinen DNS ein nslookup gemacht funktioniert, der Resvers wurde aufgelöst..Auch nach dem Tipp mit der Bindeinstellung hatte ich geschaut. Leider weis ich nicht wo ich da suchen soll. Auswahlmöglichkeiten siehe anhängende Bilder.

Habe heute nochmals mit meinen ISP gesprochen, da ich einen Zonentransfer händisch machen musste. Forwardzone wird repliziert, die Reverszone bringt immer noch einen Fehler. Mein ISP meinte es muss an den Einstellungen liegen. Irgendwo fehlt noch ein Haken bei der Reverszoneneinstellung.

Habe alles überprüft und kann nichts finden was man noch angehaken werden kann.

Was kann ich noch tun?
LD
webm20000

AW: DNS Reverse Zone repliziert nicht zum ISP

Also, BIND-Sekundärzonen ist aktiviert.
Aktivier doch mal das Debug-Logging, dann kannst Du im Logfile (das kannst Du angeben, wo das erstellt werden soll) nachschauen, woran dass es liegen könnte.

AW: DNS Reverse Zone repliziert nicht zum ISP

Hallo swizz,

danke für deinen Tipp.
Muss morgen sowieso nochmals zwei Zoneneinträge machen, dann kann ich mal das Logging einschalten.
Vielleicht kann ich ja was erkennen.

Was mir aber nicht in die Birne will ist, warum die ForwardZone funktioniert und die ReversZone nicht.

Macht es Sinn die Revers Zone neu zu erstellen?
LD
webm20000

AW: DNS Reverse Zone repliziert nicht zum ISP

Eher nicht. Was Du höchstens machen kannst, ist die Tabs von der Zonenkonfiguration zu posten, wenn Du möchtest. Dann können wirs mal anschauen.

AW: DNS Reverse Zone repliziert nicht zum ISP

Hallo Webem2000

Zuerst mal einen Zonentarfpher beim ISP Simuliern über NSLOOKUP.

Auf deinem DNS Server Anmelden.
CMD Starten
NSLOOKUP eingeben ENTER Drücken
"set debug=on" eingeben und ENTER Drücken
"ls -d meineReverseDom.in-arpa" machen.

Eigentlich ist es Ja keinen zohnentraspher welchen du auslöst. Aber du barchts genau die Gleichen rechte für den Zonen Transpher :-)

Noch zur erganzung hast du den ISP DNS bei deinen Vertrauten NS eingetragen ?

LG koni

AW: DNS Reverse Zone repliziert nicht zum ISP

Hallo,

bitte entschuldige ,hatte in den letzten Wochen alle Hände voll zu tun.

Hier jetzt das Ergebnis der Abfrage:
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

> set debug=on
> ls -d meineReverseDom.in-arpa
[UnKnown]
*** Domäne meineReverseDom.in-arpa kann nicht aufgeführt werden: Non-existent domain
Der DNS-Server hat die Übertragung der Zone meineReverseDom.in-arpa auf Ihren Computer abgelehnt. Wenn dies nicht korrekt ist, überprüfen Sie die Sicherheitseinstellungen der Zonenübertragung für meineReverseDom.in-arpa auf dem
DNS-Server der IP-Adresse xxx.xxx.xxx.xxx.

Die sekundären DNS unseres ISP sind sowohl in der Forward Zone als auch in der Revers Zone als NS Eintrag enthalten.

Was kann ich noch tun?

Hätte noch eine andere Frage diesbezüglich.

Wird der Zonenübertrag vom primären DNS zum sekundären DNS (ISP) angestoßen? Mein ISP meint dass dies so ist aber im Internet habe ich gelesen, das dies der sekundäre DNS machen muss.


Und noch eine Frage bezüglich DNS Server in der DMZ.

Muss ich unseren primären DNS Server mit einer private IP Adresse (193.xxx.xxx.xxx), auch in der Forward Zone eintragen?
Mein ISP meinte ja, ich müsste dann die öffentliche Adresse der Firewall, in der Forward Zone dem Namen des Servers zuweisen. Unsere Firewall macht Nat, und da wäre es kein Problem, dass dann ein Doppeleintrag(Firewall / DNS ServerName) mit gleicher IP-Adresse in der Forward Zone hätte.

Der Name unseres DNS Servers kann zur Zeit im Internet nicht aufgelöst werden. Macht es Sinn den Namen des DNS Servers in der Forward Zone einzutragen?

Vielen Danke für euere Hilfe.

AW: DNS Reverse Zone repliziert nicht zum ISP

"ls" ist in der Regel ein heikler Befehl sprich damit würdest Du eine direkte Auslesung der DNS Daten beim jeweiligen Nameserver "holen" und aus diesem Grund wird dies bei den meisten Providern gesperrt was die erwähnte Fehlermeldung erzeugt.

Beispiel:

nslookup
set debug=on
server ns1.elvisaltherr.ch
ls elvisaltherr.ch

Antwort von meinem Primary DNS : Query refused


Was den Transfer angeht so wird dieser in der Regel immer vom Primary zum Secondary DNS (oftmals auch Slave DNS genannt) gemacht und selten umgekehrt.. und zwar durch Erhöhung der Seriennummer auf dem Primary DNS um 1.. dadurch lädt der Primary DNS die Zonenfiles neu und schickt ne Notify an die Slaves, die dann Ihrerseits den Transfer starten. dadurch wird verhindert, dass nicht versentlich falsche Informationen vom Secondary zum Primary DNS gelangen..

denn wie wir alle wissen ist der Primary der Hauptserver (Master) und wenn der "verreckt" hat man ja die Slaves dumm ist dann nur wenn sowohl auf dem Primary als auch auf allen Secondary DNS Servern falsche Einträge vorhanden sind, die werden dann frischfröhlich repliziert und dann hat man dann ein Ghetto was bis zu einem Komplettausfall der Domain führen kann

was Deine Frage bezüglich Firewall betrifft:

das ist richtig, denn da die FW NAT = Adressübersetzung macht, fungiert diese quasi als "primärer DNS" gegenüber dem ISP und leitet somit die Anfragen vom internen Netz die der interne Server nicht beantworten kann (also alle Anfragen die das Internet betreffen) über die öffentliche IP an Deinen Provider und somit muss logischerweise die IP der FW als Fordwarder auf dem internen DNS Server eingetragen sein.. und natürlich darf die den Verkehr nach aussen über den Port 53(TCP und UDP) an den DNS Server (Regeln checken) nicht blockieren sonst gehts dann nicht

AW: DNS Reverse Zone repliziert nicht zum ISP

Hallo alias12,

vielen Dank für deine Antwort.
Leider habe ich bei unseren Primary DNS (steht in der DMZ) das Problem, dass der Zonentransfer zu unseren ISP (Secondary DNS) leider mit einer Fehlermeldung abbricht.

Mein ISP bekommen folgende Fehlermeldung, wenn er ein Reverse Zonen Update zu unseren DNS(manuell) startet.

Nov 5 08:38:32 ns1 named[1048]: zone xxx-xxx.xx.xx.xx.in-addr.arpa/IN: refresh: unexpected rcode (NXDOMAIN) from master xx.xxx.xx.xxx#53 (source xxx.xx.x.xx#0)
Nov 5 08:40:11 ns1 named[1048]: zone xxx-xxx.xx.xxx.xx.in-addr.arpa/IN: refresh: unexpected rcode (NXDOMAIN) from master xx.xxx.xx.xxx#53 (source x.x.x.x#0)

Habe leider noch nicht heraus finden können, woran das liegen kann.
Zurzeit meldet ich unseren ISP(telefonisch), wenn ich neue Zoneneinträge vornehme.

Hast du einen Rat, was die Fehlermeldung zu bedeuten hat

Ansonsten funktioniert alles wie es soll.

AW: DNS Reverse Zone repliziert nicht zum ISP

OT:
Hm, ist doch mühsam wenn Du bei jeder Zonenänderung den ISP anrufen musst, das wurde übrigens früher als das Internet noch schön nett und klein war genau so gemacht ** grins ** da gab es eine Handvoll vernetzte Rechner die mit Hilfe der Hosts Datei gearbeitet haben.. tja das waren noch Zeiten *** in Erinnerungen schwelg ***
aber als dann das Internet explosionsartig wuchs, wurde der Austausch der hosts Datei zu mühsam und das war dann die Geburtststunde vom DNS System. das nur so nebenbei :-)

Bezüglich der Fehlermeldung findest Du hier genauere Informationen:

auth-nxdomain yes; in named.conf von BIND 9 - WinBoard - Die Windows Community

die übrigens davon herrührt, dass ja der Primäre DNS (der sich ja hinter der Firewall in der DMZ befindet) die Authorität über die interne Zone (Forward und Reverse) hat also z.B. "internesnetzwerk.local und z.B. 0.168.192.in-addr.arpa)

will sagen, dass die DNS Server beim ISP das Gefühl haben, sie seien die Chefs (SOA) über die interne Zone (hinter der Firewall denn eine DMZ ist ja bekanntermassen zwischen dem Internet und der Firewall angesiedelt) was natürlich Käse ist..

Somit soll mal dein ISP den Parameter "nx-authdomain yes" in der named.conf zu setzen, dann sollte die Fehlermeldung auch nicht mehr erscheinen.. bzw. der Transfer dann klappen.. Wichtig dabei ist einfach, dass sowohl der einkommende als auch ausgehende Verkehr über die Firewall auf den Port 53(TCP/UDP) nicht von derselbigen blockiert wird.. sonst geht es sowieso nicht..

aber dann würde ja die Meldung "Query refused" oder so
erscheinen.. probier doch mal vom Internet aus Folgendes:

telnet "öffentliche IP der FW" 53 damit kannst Du recht einfach testen ob diese den erwähnten Port blockiert und damit nicht korrekt an den Server in der DMZ weiterleitet..
den NAT funktioniert immer in beide Richtungen.. sprich die öffentliche IP der Firewall ist gleichzeitig auch der Single Point of Contact bei Anfragen vom Internet die die Firewall passieren sollen oder nicht

Viel Glück bei der Fehlersuche

AW: DNS Reverse Zone repliziert nicht zum ISP

Hallo alias12,

danke für deine Ausführungen.
Der Port 53 ist auf der FW in beiden Richtungen freigeschaltet.

Mein Problem ist viel mehr, dass mein Primary DNS keinen Zonentransfer zu unseren ISP machen,obwohl ich die Seriennummer um 1 erhöht habe und dies mehrmals. Mit dem ISP haben wir die Vereinbarung, das unser Primary DNS die Zonenfiles an unseren Secondary DNS (beim ISP) verschickt.

Kennst du vielleicht eine gute Seite im Internet, die mir erklärt, wie ein primary DNS unter Windows 2003 Server eingerichtet werden muss.
Mein ISP meinte, es würde eine Einstellung in der Konfiguration unseres DNS fehlen, was ich weniger glaube aber man weis ja nie.

Melde mich wieder