Я бился головой о руководство по привязке и несколько часов гуглил, чтобы понять это, но я не уверен, где я облажался. Я построил это на нескольких локальных виртуальных машинах, и ведомый без проблем разговаривал с мастером. Брандмауэр между этими двумя подсетями ничего не блокирует. Обе виртуальные машины имеют firewalld для приема данных udp-порта 53 с постоянным исключением. Любой совет будет очень признателен. Конфигурация настроена так, что DHCP из двух мест будет обновлять главный DNS, а затем DNS заполняет подчиненный DNS. Я удалил часть текста named.conf по умолчанию для экономии места (все, что не включено, скорее всего, будет по умолчанию). Все это работает на Centos 7.
Ошибки при запуске Named on slave
Jun 14 12:54:07 dns-vm-pa-01 named[26045]: running
Jun 14 12:54:07 dns-vm-pa-01 systemd[1]: Started Berkeley Internet Name Domain (DNS).
Jun 14 12:54:07 dns-vm-pa-01 named[26045]: zone 1.0.10.in-addr.arpa/IN: Transfer started.
Jun 14 12:54:07 dns-vm-pa-01 named[26045]: transfer of '1.0.10.in-addr.arpa/IN' from 10.0.0.5#53: connected using 10.0.1.5#36381
Jun 14 12:54:07 dns-vm-pa-01 named[26045]: transfer of '1.0.10.in-addr.arpa/IN' from 10.0.0.5#53: failed while receiving responses: SERVFAIL
Jun 14 12:54:07 dns-vm-pa-01 named[26045]: transfer of '1.0.10.in-addr.arpa/IN' from 10.0.0.5#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.146 secs (0 bytes/sec)
Jun 14 12:54:08 dns-vm-pa-01 named[26045]: zone int.bubbhashramp.com/IN: Transfer started.
Jun 14 12:54:08 dns-vm-pa-01 named[26045]: transfer of 'int.bubbhashramp.com/IN' from 10.0.0.5#53: connected using 10.0.1.5#36067
Jun 14 12:54:08 dns-vm-pa-01 named[26045]: transfer of 'int.bubbhashramp.com/IN' from 10.0.0.5#53: failed while receiving responses: SERVFAIL
Jun 14 12:54:08 dns-vm-pa-01 named[26045]: transfer of 'int.bubbhashramp.com/IN' from 10.0.0.5#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.155 secs (0 bytes/sec)
Результат NetStat на Мастере
udp 0 0 10.0.0.5:53 0.0.0.0:* 26141/named
Разрешения для файлов зоны в / var / named / dynamic /
-rw-r--r--. 1 root named 374 Jun 14 10:43 0.0.10.in-addr.arpa
-rw-r--r--. 1 root named 372 Jun 14 10:04 1.0.10.in-addr.arpa
-rw-r--r--. 1 root named 567 Jun 14 12:31 int.bubbhashramp.com
Копать ответ от мастера
dig @10.0.0.5 vmhost-01.int.bubbhashramp.com
; <<>> DiG 9.8.3-P1 <<>> @10.0.0.5 vmhost-01.int.bubbhashramp.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21900
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;vmhost-01.int.bubbhashramp.com. IN A
;; ANSWER SECTION:
vmhost-01.int.bubbhashramp.com. 10800 IN A 10.0.1.10
;; AUTHORITY SECTION:
int.bubbhashramp.com. 10800 IN NS dns-vm-pa-01.int.bubbhashramp.com.
int.bubbhashramp.com. 10800 IN NS dns-vm-nh-01.int.bubbhashramp.com.
;; ADDITIONAL SECTION:
dns-vm-nh-01.int.bubbhashramp.com. 10800 IN A 10.0.0.5
dns-vm-pa-01.int.bubbhashramp.com. 10800 IN A 10.0.1.5
;; Query time: 55 msec
;; SERVER: 10.0.0.5#53(10.0.0.5)
;; WHEN: Tue Jun 14 13:05:34 2016
;; MSG SIZE rcvd: 146
Мастер Конфигурация
key "rndc-key" {
algorithm hmac-md5;
secret "bubbgumpkeys";
};
options {
listen-on port 53 { 10.0.0.5; };
listen-on-v6 port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
allow-transfer { 10.0.0.0/16; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
forwarders {
8.8.8.8;
75.75.75.75;
8.8.4.4;
};
};
zone "int.bubbhashramp.com" {
type master;
file "dynamic/int.bubbhashramp.com";
allow-update { key rndc-key; };
};
zone "1.0.10.in-addr.arpa" {
type master;
file "dynamic/1.0.10.in-addr.arpa";
allow-update { key rndc-key; };
};
zone "0.0.10.in-addr.arpa" {
type master;
file "dynamic/0.0.10.in-addr.arpa";
allow-update { key rndc-key; };
};
Подчиненная конфигурация
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion no;
dnssec-enable yes;
dnssec-validation yes;
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
forwarders {
8.8.8.8;
75.75.75.75;
8.8.4.4;
};
};
zone "int.bubbhashramp.com" {
type slave;
file "slaves/int.bubbhashramp.com";
masters { 10.0.0.5; };
};
zone "1.0.10.in-addr.arpa" {
type slave;
file "slaves/1.0.10.in-addr.arpa";
masters { 10.0.0.5; };
};
Оказывается, это был DNSMasq на подчиненном сервере. Он уже был привязан к IP и порту 53, поэтому named не мог принимать ответный трафик там, где он слушал. Как только я отключил службу dnsmasq, она заработала.
Проверьте права доступа к каталогам BIND. Каталоги и файлы BIND должны принадлежать или, по крайней мере, иметь права записи для пользователя BIND (скорее всего, с именем).
Если ваша сеть не маршрутизирует IPv6, удалите строки IPv6 из конфигурации.