Во время расследования инцидента я заметил ошибку в своем системном журнале, которая выглядит следующим образом (анонимно):
Feb 3 21:59:59 ns1 named[18824]: client xxx.xxx.xxx.xxx#2091 (us-east1-aws.api.snapchat.com): view MyView: rpz QNAME rewrite us-east1-aws.api.snapchat.com via us-east1-aws.api.snapchat.com.rpz.vendorsite.com query_getzonedb()failed: zone not loaded
Feb 3 21:59:59 ns1 named[18824]: client yyy.yyy.yyy.yyy#27720 (time-ios.apple.com): view MyView: rpz QNAME rewrite time-osx.g.aaplimg.com via time-osx.g.aaplimg.com.rpz.vendorsite.com query_getzonedb()failed: zone not loaded
Feb 3 21:59:59 ns1 named[18824]: client yyy.yyy.yyy.yyy#27720 (time-ios.apple.com): view MyView: rpz QNAME rewrite time.apple.com via time.apple.com.rpz.vendorsite.com query_getzonedb()failed: zone not loaded
У нас включено ведение журнала запросов. Под капотом это BIND 9. Мы используем поставщика услуг DNS, и этот поставщик использует Spamhaus в качестве источника угроз. Мы подписываемся на эту услугу. Такое сообщение непривычно для этой службы. Услуга реализуется путем подчинения RPZ, размещенной поставщиком.
Обратил внимание:
Что означает это сообщение журнала? И почему это произошло в середине февраля?
Другой возможный ответ на это я нашел в Pastebin:
По какой-то причине перезапись RPZ в моей настройке продолжала давать сбой в журнале запросов DNS, показывающем следующее:
18 апреля 12:26:28 Внутренний DNS-DHCP с именем [7257]: клиент 172.16.11.17 # 58306: rpz QNAME перезаписать gateway.fe.apple-dns.net через gateway.fe.apple-dns.net.rpz.local Ошибка .net query_getzonedb (): зона не загружена 18 апреля 12:26:31 Внутренний DNS-DHCP с именем [7257]: клиент 172.16.10.13 # 64377: rpz QNAME перезаписать teredo.ipv6.microsoft.com через teredo.ipv6.microsoft .com.rpz.local.net query_getzonedb () не удалось: зона не загружена
Ошибка: query_getzonedb () не удалось: зона не загружена
Исправление:
- Проверьте журнал запуска Bind DNS:
18 апреля 12:39:23 Внутренний DNS-DHCP с именем [7551]: зона rpz / IN: загрузка из главного файла /etc/ named/zone/response-override.db не удалась: разрешение отклонено
18 апреля, 12:39:23 Внутренний DNS-DHCP с именем [7551]: зона rpz / IN: не загружена из-за ошибок.
- Исправить ошибку разрешения файла зоны.
- Перезагрузить имя
- Готово.
Получается, что сообщение журнала означает - зона в сообщении не загружалась. :-). В частности, подчиненная зона RPZ не могла получать обновления. Теперь очевидные дополнительные вопросы: почему? И в чем здесь настоящая проблема?
Хотя, вероятно, есть несколько причин, по которым RPZ не загружается (главный сервер не работает, изменение правил FW и т. Д.), Наша проблема заключалась в том, что мы никогда не применяли новую годовую лицензию. Именно там был ключ TSIG, который позволил нам подписаться на сервис.
Наши лицензии следуют солнечному календарному году, так почему же это произошло в середине февраля? Оказалось, что поставщик предоставил существенный льготный период! (После чего он, вероятно, достигнет лимита обновления или истечения срока действия и, наконец, «умер».)
Я приобрел лицензию, применил, развернул, и мы вернулись к работе - больше никаких странных сообщений журнала (по крайней мере, больше не подобных описанному выше).