Назад | Перейти на главную страницу

Ошибка query_getzonedb (): зона не загружена в журналах DNS

Во время расследования инцидента я заметил ошибку в своем системном журнале, которая выглядит следующим образом (анонимно):

Feb  3 21:59:59 ns1 named[18824]: client xxx.xxx.xxx.xxx#2091 (us-east1-aws.api.snapchat.com): view MyView: rpz QNAME rewrite us-east1-aws.api.snapchat.com via us-east1-aws.api.snapchat.com.rpz.vendorsite.com query_getzonedb()failed: zone not loaded

Feb  3 21:59:59 ns1 named[18824]: client yyy.yyy.yyy.yyy#27720 (time-ios.apple.com): view MyView: rpz QNAME rewrite time-osx.g.aaplimg.com via time-osx.g.aaplimg.com.rpz.vendorsite.com query_getzonedb()failed: zone not loaded

Feb  3 21:59:59 ns1 named[18824]: client yyy.yyy.yyy.yyy#27720 (time-ios.apple.com): view MyView: rpz QNAME rewrite time.apple.com via time.apple.com.rpz.vendorsite.com query_getzonedb()failed: zone not loaded

У нас включено ведение журнала запросов. Под капотом это BIND 9. Мы используем поставщика услуг DNS, и этот поставщик использует Spamhaus в качестве источника угроз. Мы подписываемся на эту услугу. Такое сообщение непривычно для этой службы. Услуга реализуется путем подчинения RPZ, размещенной поставщиком.

Обратил внимание:

Что означает это сообщение журнала? И почему это произошло в середине февраля?

Другой возможный ответ на это я нашел в Pastebin:

https://pastebin.com/NCwum7up

По какой-то причине перезапись RPZ в моей настройке продолжала давать сбой в журнале запросов DNS, показывающем следующее:

18 апреля 12:26:28 Внутренний DNS-DHCP с именем [7257]: клиент 172.16.11.17 # 58306: rpz QNAME перезаписать gateway.fe.apple-dns.net через gateway.fe.apple-dns.net.rpz.local Ошибка .net query_getzonedb (): зона не загружена 18 апреля 12:26:31 Внутренний DNS-DHCP с именем [7257]: клиент 172.16.10.13 # 64377: rpz QNAME перезаписать teredo.ipv6.microsoft.com через teredo.ipv6.microsoft .com.rpz.local.net query_getzonedb () не удалось: зона не загружена

Ошибка: query_getzonedb () не удалось: зона не загружена

Исправление:

  1. Проверьте журнал запуска Bind DNS:

18 апреля 12:39:23 Внутренний DNS-DHCP с именем [7551]: зона rpz / IN: загрузка из главного файла /etc/ named/zone/response-override.db не удалась: разрешение отклонено

18 апреля, 12:39:23 Внутренний DNS-DHCP с именем [7551]: зона rpz / IN: не загружена из-за ошибок.

  1. Исправить ошибку разрешения файла зоны.
  2. Перезагрузить имя
  3. Готово.

Получается, что сообщение журнала означает - зона в сообщении не загружалась. :-). В частности, подчиненная зона RPZ не могла получать обновления. Теперь очевидные дополнительные вопросы: почему? И в чем здесь настоящая проблема?

Хотя, вероятно, есть несколько причин, по которым RPZ не загружается (главный сервер не работает, изменение правил FW и т. Д.), Наша проблема заключалась в том, что мы никогда не применяли новую годовую лицензию. Именно там был ключ TSIG, который позволил нам подписаться на сервис.

Наши лицензии следуют солнечному календарному году, так почему же это произошло в середине февраля? Оказалось, что поставщик предоставил существенный льготный период! (После чего он, вероятно, достигнет лимита обновления или истечения срока действия и, наконец, «умер».)

Я приобрел лицензию, применил, развернул, и мы вернулись к работе - больше никаких странных сообщений журнала (по крайней мере, больше не подобных описанному выше).