Forskellige svar på DNS-forespørgsel på primær og sekundær.
Hej Eksperter,
Vi har på mit arbejde gennem længere tid haft en Primær DNS-server stående, og har nu også opsat en sekundær (windows 2003).
Det giver mig lidt problemer.
1. laver jeg ns-lookup på den primære med type=ns, viser den sine egne ns-records. Gør jeg det samme på den sekundære, viser den de officielle - Domænet er pt. ikke redelegeret. Hvorfor spørger den sekundære ud i verden og ikke den zone den burde hente hos den primære.
2. Flere af zonerne skal jeg manuelt loade/transfer from master, før de vises i MMC-snap-in
3. Enkelte domæner skal jeg på den primære sætte allow AXFR til All, og for andre er det nok at den står til at tillade det for den på NS-listen (sekundæær er på listen)
Hvis det bare er 2 windows 2003 servere, som sidder i samme domæne, så skal zonerne være active directory zoner, før de bliver hentet automatisk over.
Mener at kunne huske du kan konvertere dem til det, men ellers er det som du selv siger at de zoner som ikke er active directory zoner dem skal du hente ud.
så er de sidste domæner ikke opsat korrekt - det er formentlig opsætning på sekundær. Den vil kun svare med eksterne svar, hvis ikke den har noget som helst lokalt om zonen.
lap: Ja, det var egentlig ogsp min teori, men jeg kan for det første ikke se forskel, og for det andet kan jeg ved at vælge (for et af de domæner der på den sekundære, er markeret med rødt kryds, og ikke har hentet far primær) Transfer From master og reload from master, få den til at vise zonen på den sekundære, og også at svare korrekt. Men hvorfor skal jeg bede den om det manuelt. Enkelte er jeg så nødt til, at give tilladelse til AXFR til alle på den primære.
det er vigtigt, at begge servere levere ens svar - hvis ikke, så er det ikke sat rigtigt op.
Jeg kunne forestille mig, at du på den primære ikke har lavet en ns-record som peger på den sekundære - og derfor vil serveren ikke mene, at den har ansvaret.
nslookup -q=soa domæne.dk primær - Svarer som forventet, men nye info fra primær navneserver
nslookup -q=soa domæne.dk sekundær - svarer med de aktuelle informationer (domænet er ikke delegeret endnu), og ikke med info fra primær ns
Nogen idé om, hvad jeg skal kigge efter?
Hvis jeg manuelt på den sekundære går ind i MMC-snapin, og vælger transfer from master, så svarer den korrekt bagefter, men det burde jo ikke være nødvendigt at gøre det manuelt.
Er du sikker på, at du venter længe nok? Der er en TTL på zonen (refresh time) - det er kun med det interval, sekundær spørger primær, om serial er ændret. Hvis serial er ændret (større), så gennemføres en zone transfer.
lap: Det er korrekt, men det har vel kun betydning for, hvornår den henter en evt. ny version (på baggrund af serial). Første gang skal de da gerne hente zonen alligevel, ellers har den jo slet ingen information, og den skal vel under ingen omstændigheder begynde at hente en andre steder end på den primære.
Forwarders var godt nok deaktiveret men ikke recursive lookup. Nu er det også deaktiveret, så nu svarer den ikke med gamle informatione, men kun med nye eller ingen.
Tilbageværende problem er nu, hvorfror jeg manuelt skal vælre Reload from Master og Transfer from Master for at få en zone reloaded? Det er muligt zonen ville komme af sig selv, efter en tid, men hvorlænge må det tage at loade f.eks. 500 zoner?
Det må godt tage en del tid afhængig af datamængden. Hvad er refresh tiden på zonerne? Jeg går ud fra, at serial rent faktisk opdateres hver gang der ændres i primær zonen (prøv at kontrollere det før og efter en ændring)?
Når den sekundære bliver genstartet, har den jo slet ingen oplysninger om zonerne (ud over navn og IP på den primære), så der brurde TTL og serial vel være ligegyldige?
Nu har jeg ikke forsket (men lavet mange gange) på windows - jeg vil da tro, at en sekundær har alle zonerne (som en disk kopi).
Prøv at lave noget netværks trace imellem sekundær og primær - der må ske noget hvis den sekundære er tom.
Om ja, hvis den sekundære ikke indeholder noget, så er refresh (ikke ttl) og serial ligegyldig, men jeg vil mene at der ligger en lokal kopi af zonen.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?
