Ergebnis 1 bis 16 von 16

Thema: DNS Reverse Zone repliziert nicht zum ISP

  1. #1
    Registriert seit
    24.11.2008
    Beiträge
    30

    Standard DNS Reverse Zone repliziert nicht zum ISP

    Hallo zusammen,

    Weis mir keinen Rat mehr.
    Habe in der DMZ einen Server 2003 stehen auf dem ein pirmärer DNS
    (kein AD) installiert ist. Seine Zonen werden mit einen sekundären DNS bei unseren ISP repliziert. Sekundärer DNS beim ISP läuft auf einen Linux-Betriebssystem.
    Leider habe ich das Problem, dass unser DNS seine Reverse Zone nicht auf den sekundären DNS unseres ISP replizieren will. Mit den Forward Zonen habe ich keine Probleme, die replizieren sich mit entsprechenden Zonen beim ISP.
    Mein ISP bekommen folgende Fehlermeldung, wenn er ein Reverse Zonen Update zu unseren DNS startet.

    Nov 5 08:38:32 ns1 named[1048]: zone xxx-xxx.xx.xx.xx.in-addr.arpa/IN: refresh: unexpected rcode (NXDOMAIN) from master xx.xxx.xx.xxx#53 (source xxx.xx.x.xx#0)
    Nov 5 08:40:11 ns1 named[1048]: zone xxx-xxx.xx.xxx.xx.in-addr.arpa/IN: refresh: unexpected rcode (NXDOMAIN) from master xx.xxx.xx.xxx#53 (source x.x.x.x#0)

    Habe dass Problem seit ich den DNS von server 2000 auf server 2003 umgestellt habe und dabei die Zonendateien eben von alten server 2000 DNS benutzt habe.

    hat jemand ein Tipp für mich wo ich mit der Fehlersuche beginnen kann.

    danke
    webm20000

  2. #2
    Registriert seit
    05.08.2003
    Ort
    Im Schoenen Luzern
    Alter
    39
    Beiträge
    1.546

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Hi Webm20000

    Probier mal ob du von hand einen Zonnen tarsfer machen kannst mit nslookup.

    LG Koni

  3. #3
    Registriert seit
    24.11.2008
    Beiträge
    30

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Hallo Koni,

    besten Dank für deinen Hinweis mit dem Zonentransfer.
    Kannst du mir noch erklären,wie so ein Nslookup Zonentransfer funktioniert und wie die Befehlsfolge aussieht.

    Ich müsste einen Zonentransfer von meinen pirmären DNS (in der DMZ) zum den sekundären DNS bei unseren ISP machen, oder nicht.

    Danke dir im voraus

    LG
    webm20000

  4. #4
    Registriert seit
    13.01.2004
    Ort
    Swizzerland
    Alter
    41
    Beiträge
    4.736

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Hallo webm20000

    Im Windows-DNS gibt es eine Zonenoption die in etwa "Zone BIND-kompatibel machen" lautet. Aktivier diese Option und probier es erneut.
    Ist der Zonentransfer erlaubt?

    Grundsätzlich wundert es mich aber, dass Du die Reversezone für eure IP-Adressen selber hosten darfst. Seit ihr eine so grosse Firma mit eigenem IP-Range? Normalerweise werden die IPs von RIPE dem Provider zugeteilt, und dieser muss dann, wenn Du selber Reverse-DNS betreiben möchtest, Deinen IP-Bereich Dir übergeben resp. delegieren. Das habt ihr so?

  5. #5
    Registriert seit
    24.11.2008
    Beiträge
    30

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Hallo Herr Moderator,

    danke für deine Anwort, werde morgen gleich deinen Tipp nachgehen und berichten. Auch dass mit nslookup muss ich noch testen, hatte heute nur noch keine Zeit.
    Ich bin erst seit kurzen in dieser Firma beschäftigt. Den DNS hat noch mein Ex-Kollege aufgesetzt und hat dann den Abgang gemacht. Ob ihm dieser Fehler bekannt war kann ich nicht sagen, den Ärger habe ich jetzt auf jeden Fall an der Backe. Dokumentieren war auch keine Stärke meines Vorgängeres.
    Es ist eben so, dass unser DNS den Replik auf unsere Zone beim ISP macht.

    Werde mich melden

    LG
    Webm20000

  6. #6
    Registriert seit
    24.11.2008
    Beiträge
    30

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Hallo zusammen,

    habe auf meinen DNS ein nslookup gemacht funktioniert, der Resvers wurde aufgelöst..Auch nach dem Tipp mit der Bindeinstellung hatte ich geschaut. Leider weis ich nicht wo ich da suchen soll. Auswahlmöglichkeiten siehe anhängende Bilder.

    Habe heute nochmals mit meinen ISP gesprochen, da ich einen Zonentransfer händisch machen musste. Forwardzone wird repliziert, die Reverszone bringt immer noch einen Fehler. Mein ISP meinte es muss an den Einstellungen liegen. Irgendwo fehlt noch ein Haken bei der Reverszoneneinstellung.

    Habe alles überprüft und kann nichts finden was man noch angehaken werden kann.

    Was kann ich noch tun?
    LD
    webm20000
    Geändert von webm20000 (27.11.2008 um 18:42 Uhr)

  7. #7
    Registriert seit
    13.01.2004
    Ort
    Swizzerland
    Alter
    41
    Beiträge
    4.736

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Also, BIND-Sekundärzonen ist aktiviert.
    Aktivier doch mal das Debug-Logging, dann kannst Du im Logfile (das kannst Du angeben, wo das erstellt werden soll) nachschauen, woran dass es liegen könnte.

  8. #8
    Registriert seit
    24.11.2008
    Beiträge
    30

    Frage AW: DNS Reverse Zone repliziert nicht zum ISP

    Hallo swizz,

    danke für deinen Tipp.
    Muss morgen sowieso nochmals zwei Zoneneinträge machen, dann kann ich mal das Logging einschalten.
    Vielleicht kann ich ja was erkennen.

    Was mir aber nicht in die Birne will ist, warum die ForwardZone funktioniert und die ReversZone nicht.

    Macht es Sinn die Revers Zone neu zu erstellen?
    LD
    webm20000

  9. #9
    Registriert seit
    13.01.2004
    Ort
    Swizzerland
    Alter
    41
    Beiträge
    4.736

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Zitat Zitat von webm20000 Beitrag anzeigen
    Macht es Sinn die Revers Zone neu zu erstellen?
    LD
    webm20000
    Eher nicht. Was Du höchstens machen kannst, ist die Tabs von der Zonenkonfiguration zu posten, wenn Du möchtest. Dann können wirs mal anschauen.

  10. #10
    Registriert seit
    05.08.2003
    Ort
    Im Schoenen Luzern
    Alter
    39
    Beiträge
    1.546

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Hallo Webem2000

    Zuerst mal einen Zonentarfpher beim ISP Simuliern über NSLOOKUP.

    Auf deinem DNS Server Anmelden.
    CMD Starten
    NSLOOKUP eingeben ENTER Drücken
    "set debug=on" eingeben und ENTER Drücken
    "ls -d meineReverseDom.in-arpa" machen.

    Eigentlich ist es Ja keinen zohnentraspher welchen du auslöst. Aber du barchts genau die Gleichen rechte für den Zonen Transpher :-)

    Noch zur erganzung hast du den ISP DNS bei deinen Vertrauten NS eingetragen ?

    LG koni

  11. #11
    Registriert seit
    24.11.2008
    Beiträge
    30

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Hallo,

    bitte entschuldige ,hatte in den letzten Wochen alle Hände voll zu tun.

    Hier jetzt das Ergebnis der Abfrage:
    Microsoft Windows [Version 5.2.3790]
    (C) Copyright 1985-2003 Microsoft Corp.

    > set debug=on
    > ls -d meineReverseDom.in-arpa
    [UnKnown]
    *** Domäne meineReverseDom.in-arpa kann nicht aufgeführt werden: Non-existent domain
    Der DNS-Server hat die Übertragung der Zone meineReverseDom.in-arpa auf Ihren Computer abgelehnt. Wenn dies nicht korrekt ist, überprüfen Sie die Sicherheitseinstellungen der Zonenübertragung für meineReverseDom.in-arpa auf dem
    DNS-Server der IP-Adresse xxx.xxx.xxx.xxx.

    Die sekundären DNS unseres ISP sind sowohl in der Forward Zone als auch in der Revers Zone als NS Eintrag enthalten.

    Was kann ich noch tun?

    Hätte noch eine andere Frage diesbezüglich.

    Wird der Zonenübertrag vom primären DNS zum sekundären DNS (ISP) angestoßen? Mein ISP meint dass dies so ist aber im Internet habe ich gelesen, das dies der sekundäre DNS machen muss.


    Und noch eine Frage bezüglich DNS Server in der DMZ.

    Muss ich unseren primären DNS Server mit einer private IP Adresse (193.xxx.xxx.xxx), auch in der Forward Zone eintragen?
    Mein ISP meinte ja, ich müsste dann die öffentliche Adresse der Firewall, in der Forward Zone dem Namen des Servers zuweisen. Unsere Firewall macht Nat, und da wäre es kein Problem, dass dann ein Doppeleintrag(Firewall / DNS ServerName) mit gleicher IP-Adresse in der Forward Zone hätte.

    Der Name unseres DNS Servers kann zur Zeit im Internet nicht aufgelöst werden. Macht es Sinn den Namen des DNS Servers in der Forward Zone einzutragen?

    Vielen Danke für euere Hilfe.

  12. #12
    Avatar von alias12
    alias12 ist offline Fortgeschrittener Benutzer
    Registriert seit
    12.11.2005
    Ort
    St. Gallen
    Alter
    48
    Beiträge
    103

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Zitat Zitat von webm20000 Beitrag anzeigen
    Hallo,

    bitte entschuldige ,hatte in den letzten Wochen alle Hände voll zu tun.

    Hier jetzt das Ergebnis der Abfrage:
    Microsoft Windows [Version 5.2.3790]
    (C) Copyright 1985-2003 Microsoft Corp.

    > set debug=on
    > ls -d meineReverseDom.in-arpa
    [UnKnown]
    *** Domäne meineReverseDom.in-arpa kann nicht aufgeführt werden: Non-existent domain
    Der DNS-Server hat die Übertragung der Zone meineReverseDom.in-arpa auf Ihren Computer abgelehnt. Wenn dies nicht korrekt ist, überprüfen Sie die Sicherheitseinstellungen der Zonenübertragung für meineReverseDom.in-arpa auf dem
    DNS-Server der IP-Adresse xxx.xxx.xxx.xxx.

    Die sekundären DNS unseres ISP sind sowohl in der Forward Zone als auch in der Revers Zone als NS Eintrag enthalten.

    Was kann ich noch tun?

    Hätte noch eine andere Frage diesbezüglich.

    Wird der Zonenübertrag vom primären DNS zum sekundären DNS (ISP) angestoßen? Mein ISP meint dass dies so ist aber im Internet habe ich gelesen, das dies der sekundäre DNS machen muss.


    Und noch eine Frage bezüglich DNS Server in der DMZ.

    Muss ich unseren primären DNS Server mit einer private IP Adresse (193.xxx.xxx.xxx), auch in der Forward Zone eintragen?
    Mein ISP meinte ja, ich müsste dann die öffentliche Adresse der Firewall, in der Forward Zone dem Namen des Servers zuweisen. Unsere Firewall macht Nat, und da wäre es kein Problem, dass dann ein Doppeleintrag(Firewall / DNS ServerName) mit gleicher IP-Adresse in der Forward Zone hätte.

    Der Name unseres DNS Servers kann zur Zeit im Internet nicht aufgelöst werden. Macht es Sinn den Namen des DNS Servers in der Forward Zone einzutragen?

    Vielen Danke für euere Hilfe.
    "ls" ist in der Regel ein heikler Befehl sprich damit würdest Du eine direkte Auslesung der DNS Daten beim jeweiligen Nameserver "holen" und aus diesem Grund wird dies bei den meisten Providern gesperrt was die erwähnte Fehlermeldung erzeugt.

    Beispiel:

    nslookup
    set debug=on
    server ns1.elvisaltherr.ch
    ls elvisaltherr.ch

    Antwort von meinem Primary DNS : Query refused



    Was den Transfer angeht so wird dieser in der Regel immer vom Primary zum Secondary DNS (oftmals auch Slave DNS genannt) gemacht und selten umgekehrt.. und zwar durch Erhöhung der Seriennummer auf dem Primary DNS um 1.. dadurch lädt der Primary DNS die Zonenfiles neu und schickt ne Notify an die Slaves, die dann Ihrerseits den Transfer starten. dadurch wird verhindert, dass nicht versentlich falsche Informationen vom Secondary zum Primary DNS gelangen..

    denn wie wir alle wissen ist der Primary der Hauptserver (Master) und wenn der "verreckt" hat man ja die Slaves dumm ist dann nur wenn sowohl auf dem Primary als auch auf allen Secondary DNS Servern falsche Einträge vorhanden sind, die werden dann frischfröhlich repliziert und dann hat man dann ein Ghetto was bis zu einem Komplettausfall der Domain führen kann

    was Deine Frage bezüglich Firewall betrifft:

    das ist richtig, denn da die FW NAT = Adressübersetzung macht, fungiert diese quasi als "primärer DNS" gegenüber dem ISP und leitet somit die Anfragen vom internen Netz die der interne Server nicht beantworten kann (also alle Anfragen die das Internet betreffen) über die öffentliche IP an Deinen Provider und somit muss logischerweise die IP der FW als Fordwarder auf dem internen DNS Server eingetragen sein.. und natürlich darf die den Verkehr nach aussen über den Port 53(TCP und UDP) an den DNS Server (Regeln checken) nicht blockieren sonst gehts dann nicht
    Geändert von alias12 (02.04.2009 um 17:29 Uhr)

  13. #13
    Registriert seit
    24.11.2008
    Beiträge
    30

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Hallo alias12,

    vielen Dank für deine Antwort.
    Leider habe ich bei unseren Primary DNS (steht in der DMZ) das Problem, dass der Zonentransfer zu unseren ISP (Secondary DNS) leider mit einer Fehlermeldung abbricht.

    Mein ISP bekommen folgende Fehlermeldung, wenn er ein Reverse Zonen Update zu unseren DNS(manuell) startet.

    Nov 5 08:38:32 ns1 named[1048]: zone xxx-xxx.xx.xx.xx.in-addr.arpa/IN: refresh: unexpected rcode (NXDOMAIN) from master xx.xxx.xx.xxx#53 (source xxx.xx.x.xx#0)
    Nov 5 08:40:11 ns1 named[1048]: zone xxx-xxx.xx.xxx.xx.in-addr.arpa/IN: refresh: unexpected rcode (NXDOMAIN) from master xx.xxx.xx.xxx#53 (source x.x.x.x#0)

    Habe leider noch nicht heraus finden können, woran das liegen kann.
    Zurzeit meldet ich unseren ISP(telefonisch), wenn ich neue Zoneneinträge vornehme.

    Hast du einen Rat, was die Fehlermeldung zu bedeuten hat

    Ansonsten funktioniert alles wie es soll.

  14. #14
    Avatar von alias12
    alias12 ist offline Fortgeschrittener Benutzer
    Registriert seit
    12.11.2005
    Ort
    St. Gallen
    Alter
    48
    Beiträge
    103

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Zitat Zitat von webm20000 Beitrag anzeigen
    Hallo alias12,

    vielen Dank für deine Antwort.
    Leider habe ich bei unseren Primary DNS (steht in der DMZ) das Problem, dass der Zonentransfer zu unseren ISP (Secondary DNS) leider mit einer Fehlermeldung abbricht.

    Mein ISP bekommen folgende Fehlermeldung, wenn er ein Reverse Zonen Update zu unseren DNS(manuell) startet.

    Nov 5 08:38:32 ns1 named[1048]: zone xxx-xxx.xx.xx.xx.in-addr.arpa/IN: refresh: unexpected rcode (NXDOMAIN) from master xx.xxx.xx.xxx#53 (source xxx.xx.x.xx#0)
    Nov 5 08:40:11 ns1 named[1048]: zone xxx-xxx.xx.xxx.xx.in-addr.arpa/IN: refresh: unexpected rcode (NXDOMAIN) from master xx.xxx.xx.xxx#53 (source x.x.x.x#0)

    Habe leider noch nicht heraus finden können, woran das liegen kann.
    Zurzeit meldet ich unseren ISP(telefonisch), wenn ich neue Zoneneinträge vornehme.

    Hast du einen Rat, was die Fehlermeldung zu bedeuten hat

    Ansonsten funktioniert alles wie es soll.
    OT:
    Hm, ist doch mühsam wenn Du bei jeder Zonenänderung den ISP anrufen musst, das wurde übrigens früher als das Internet noch schön nett und klein war genau so gemacht ** grins ** da gab es eine Handvoll vernetzte Rechner die mit Hilfe der Hosts Datei gearbeitet haben.. tja das waren noch Zeiten *** in Erinnerungen schwelg ***
    aber als dann das Internet explosionsartig wuchs, wurde der Austausch der hosts Datei zu mühsam und das war dann die Geburtststunde vom DNS System. das nur so nebenbei :-)

    Bezüglich der Fehlermeldung findest Du hier genauere Informationen:

    auth-nxdomain yes; in named.conf von BIND 9 - WinBoard - Die Windows Community

    die übrigens davon herrührt, dass ja der Primäre DNS (der sich ja hinter der Firewall in der DMZ befindet) die Authorität über die interne Zone (Forward und Reverse) hat also z.B. "internesnetzwerk.local und z.B. 0.168.192.in-addr.arpa)

    will sagen, dass die DNS Server beim ISP das Gefühl haben, sie seien die Chefs (SOA) über die interne Zone (hinter der Firewall denn eine DMZ ist ja bekanntermassen zwischen dem Internet und der Firewall angesiedelt) was natürlich Käse ist..

    Somit soll mal dein ISP den Parameter "nx-authdomain yes" in der named.conf zu setzen, dann sollte die Fehlermeldung auch nicht mehr erscheinen.. bzw. der Transfer dann klappen.. Wichtig dabei ist einfach, dass sowohl der einkommende als auch ausgehende Verkehr über die Firewall auf den Port 53(TCP/UDP) nicht von derselbigen blockiert wird.. sonst geht es sowieso nicht..

    aber dann würde ja die Meldung "Query refused" oder so
    erscheinen.. probier doch mal vom Internet aus Folgendes:

    telnet "öffentliche IP der FW" 53 damit kannst Du recht einfach testen ob diese den erwähnten Port blockiert und damit nicht korrekt an den Server in der DMZ weiterleitet..
    den NAT funktioniert immer in beide Richtungen.. sprich die öffentliche IP der Firewall ist gleichzeitig auch der Single Point of Contact bei Anfragen vom Internet die die Firewall passieren sollen oder nicht

    Viel Glück bei der Fehlersuche
    Geändert von alias12 (02.04.2009 um 23:15 Uhr)

  15. #15
    Registriert seit
    24.11.2008
    Beiträge
    30

    Standard AW: DNS Reverse Zone repliziert nicht zum ISP

    Hallo alias12,

    danke für deine Ausführungen.
    Der Port 53 ist auf der FW in beiden Richtungen freigeschaltet.

    Mein Problem ist viel mehr, dass mein Primary DNS keinen Zonentransfer zu unseren ISP machen,obwohl ich die Seriennummer um 1 erhöht habe und dies mehrmals. Mit dem ISP haben wir die Vereinbarung, das unser Primary DNS die Zonenfiles an unseren Secondary DNS (beim ISP) verschickt.

    Kennst du vielleicht eine gute Seite im Internet, die mir erklärt, wie ein primary DNS unter Windows 2003 Server eingerichtet werden muss.
    Mein ISP meinte, es würde eine Einstellung in der Konfiguration unseres DNS fehlen, was ich weniger glaube aber man weis ja nie.

    Melde mich wieder

  16. #16
    Avatar von alias12
    alias12 ist offline Fortgeschrittener Benutzer
    Registriert seit
    12.11.2005
    Ort
    St. Gallen
    Alter
    48
    Beiträge
    103

    Reden AW: DNS Reverse Zone repliziert nicht zum ISP

    Zitat Zitat von webm20000 Beitrag anzeigen
    Hallo alias12,

    danke für deine Ausführungen.
    Der Port 53 ist auf der FW in beiden Richtungen freigeschaltet.

    Mein Problem ist viel mehr, dass mein Primary DNS keinen Zonentransfer zu unseren ISP machen,obwohl ich die Seriennummer um 1 erhöht habe und dies mehrmals. Mit dem ISP haben wir die Vereinbarung, das unser Primary DNS die Zonenfiles an unseren Secondary DNS (beim ISP) verschickt.

    Kennst du vielleicht eine gute Seite im Internet, die mir erklärt, wie ein primary DNS unter Windows 2003 Server eingerichtet werden muss.
    Mein ISP meinte, es würde eine Einstellung in der Konfiguration unseres DNS fehlen, was ich weniger glaube aber man weis ja nie.

    Melde mich wieder
    Kannst Du mir per PN deine Mail geben, dann kann ich Dir ne Doku senden, die vielleicht hilft, bins gerade am Live Testen auf unseren Systemen (hat auch seine Vorteile, wenn der Chef nicht da ist

    Dank Dir
    Geändert von alias12 (03.04.2009 um 18:13 Uhr)

Ähnliche Themen

  1. DNS Reverse Lookup Zone löschen
    Von madmax im Forum Software: Windows, Apple, Linux...
    Antworten: 2
    Letzter Beitrag: 18.09.2007, 14:16
  2. DNS Reverse Lookup Aktualisierung
    Von Grausi im Forum Software: Windows, Apple, Linux...
    Antworten: 1
    Letzter Beitrag: 31.10.2006, 19:06
  3. 2ter DC - Problem mit DNS Zonen
    Von André im Forum Software: Windows, Apple, Linux...
    Antworten: 1
    Letzter Beitrag: 26.05.2006, 17:09
  4. dns frage zu 70-292: in englisch
    Von tim ludwig im Forum SIZ, Microsoft und Cisco Zertifizierung
    Antworten: 0
    Letzter Beitrag: 22.05.2006, 22:49
  5. dns zone
    Von swiss_man im Forum Software: Windows, Apple, Linux...
    Antworten: 5
    Letzter Beitrag: 12.11.2003, 20:00

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
BigBellyBank.shop