DNS, SOA и регистрация зоны
5353
41
Нужен совет компетентного специалиста:
зарегистрировали зону на NIC.RU, там все как положено, все честно, все правильно. Долго ждали распространения зоны по другим DNS-ам, потом "дошло" посмотреть статус, в рез-те выяснили что состояние зоны "Registered, NOT DELEGATED". Оказалось, что "там" не знают куда передавать зону. Изменили настройки, чтоб "она знала"., теперь у меня каждые три часа приходит сообщение, что
"С DNS-сервера xxxx.xxxx.ru.(IP xxx.xxx.xxx.xxx) не получена SOA-запись для домена XXXX.RU"
Считаю, что неверно сконфигурен сервер, но ничего не могу сделать. все попытки правильно сконфигурить сервер не помогают...
очень нужна, очень срочно, очень помощь.
PN
неа, не помогает...
я просто не знаю, почему так происходит, и что еще надо поменять/добывить в конфигах, чтоб ьыло клево
CyberBOB
А никовская техподдержка чего? Можно попробовать им голосом позвонить... Я с год назад так делал, они очень технично мне помогли:улыб:
CyberBOB
Не успел поправить, ну да ладно...
Тут только что подсказали возможное решение.
Значит, была у человека такая проблема. и решилась она вот как.
NS был на VDS, а провайдер настроил это дело так, что на каждый его VDS был свой NAMED, который забивал личный NAMED этого человека, настроенный под VDS, причем трансфер зон был успешен, а вот запросы не доходили, перехватываясь NAMEDом провайдера...
Вот...
Надеюсь, что ясно изложил, как-то сложно сформулировать...
Рад буду, если таки помог:улыб:
CyberBOB
"С DNS-сервера xxxx.xxxx.ru.(IP xxx.xxx.xxx.xxx) не получена SOA-запись для домена XXXX.RU"
Вы должны указать на НИКе два ДН сервера, в которых есть запись на ваш домен. Один праймари, другой секондари. В секондари должен быть указан IP праймари-сервера. Просто настраиваете корректно первичный и всё.
Stasyan
да он у меня всего ОДИН!!!!
CyberBOB
да он у меня всего ОДИН!!!!
Первым ставишь себя, а вторым - ДНС провайдера. У себя указываешь ещё и провайдера. Тады репликация нормально будет проходить
Stalker
я и ставил 1-м себя, а 2-м днс провайдера...
а че значит: "у себя указываешь еще и провайдера"?? это как?? вторичной зоной??
CyberBOB
Да, и колись ужо, чего используется в качестве ДНС-сервера (bind?), и хто твой провайдер... А там я, мож, тебе и пример конфига выкачу....
Stalker
bind 9.2.2 провайдер siberia.net (aka Online City)

я щас конфиг немного подправил, жду рез-в, но советы и рекомендации активно принимаются (конфиги тоже :))
CyberBOB
$TTL 1D
@ IN SOA bla.ru. root.bla.ru. (
2003020300 ; serial
8H ; refresh
1H ; retry
1W ; expire
1D ; minimum TTL
)
NS bla.ru.
NS ns.siberia.net.

ns.bla.ru. A 192.168.1.15
*.bla.ru. A 192.168.1.15

bla.ru. NS ns.bla.ru.

bla.ru. A 192.168.1.15
bla.ru. MX 10 bla.ru.
Где:
bla.ru - твой домен
192.168.1.15 - адрес твоего сервера-доменодержателя/ДНС
ns.siberia.net - ДНС провайдера
Stalker
Блин, ысё форматирование слетело %-\
Ну, в конфиге с фоматированием разберёшься, я думаю...
Stalker
это все примерно так...
с этим все нормально... (надеюсь)
CyberBOB
а че значит: "у себя указываешь еще и провайдера"?? это как?? вторичной зоной??
Пров должен знайть айпи твоего днс, который к тому же должен быть primary. Он знает?
CyberBOB
Следи за точками после имён доменов и обрати внимание на NS-ссылку на ДНС провайдера
Stasyan
неа, не знает...
а нафига ему знать??
CyberBOB
А как же он будет вторичным ДНС-сервером, если он о тебе не знает???
CyberBOB
Оверквотинг удален (п.12)
откуда он знает, с какого сервера копировать зону? Причём, они должны сами добавить запись себе в днс, вы их попросили?
Stasyan
так!
это еще учтем, надо им рассказать
Stalker
я вот еще о чем подумал: а при чем здесь вторичный сервер, если НИ ОДИН из них не отдает SOA-запись. пускай бы сервак прова не отдавал, но мой-то отдавать должен. а мне говорят, что и 1-й и 2-й сервер не отдали SOA-запись.
CyberBOB
Дык писал же выше, что запрос на SOA может не доходить Вашего NS, перехватываясь NAMEDом провайдера... Очень похоже, что у вас именно эти грабли...
PN
Оверквотинг удален (п.12)
Тем более нужно иметь запись в днс прова.
CyberBOB
bind 9.2.2 провайдер siberia.net (aka Online City)
Это Магистраль Телеком -www.siberia.net Вот из заголовка конфига моего ДНС-сервера:
......................................
IN NS ns..
IN NS ns.siberia.net.
....................................
IN A

У МТ политка такая - держать пользователю свою сеть за НАТом и выходить в Инет через их сеть.
При заключении договора они выделяют тебе свою подсетку из 14 адресов и один дают отдельно именно для твоего ДНС-сервера. Этот адрес ты и указываешь в паре с адресом ДНС-сервера провайдера.
ganymed
Вот у меня все так прописано, с этим вроде все нормально...

а с провайдером щас вопрос решим
Stalker
Все сделал, все равно та же ошибка... еще мысли есть??
CyberBOB
мысль есть... только для проверки ее хочется знать имя домена, а не хххх.ru, ну, и не помешает также ip-адрес dns-сервера



имя, скажи имя

ugly
И login/pass к DNS-серверу...:улыб::):улыб:
CyberBOB
у тебя на ns.figaznaet.ru стоит CNAME?
если стоит, то поставь лучше внешний IP.
PN
>>И login/pass к DNS-серверу...
Ага и пароль рута
FaNaT
... а еще ключи от квартир, и все такое...
CyberBOB
это ты, типа, пошутил? что ж, ты пошутил, я посмеялся... смеемся дальше
вместе с ламерьем, которое не в состоянии увидеть разницы между доменным
именем (которое _должно_ быть известно всем, если ты хочешь правильной
работы своих интернетовских сервисов) и ip-адресом dns-сервера (который
тоже _должен_ быть известен всем), с одной стороны, и логином и паролем
(а также и ключами от квартиры --- совсем уже другая сторона жизни)
этого же сервера, которые должны быть известны (в идеальном случае, которых
почти не бывает) только одному человеку, с другой стороны...
только поможет ли этот смех работе dns-сервера? или уже работает?

если же не работает и есть желание чего-то понастраивать, то слушай
небольшое объяснение на пальцах о работе dns. прошу прощения за пространное
объяснение простых вещей, но у меня сложилось впечатление, что многие
слабо представляют себе то, как работает dns.

для примера используем программу nslookup, далее листинг ее работы,
строчки, начинающиеся с '#' --- мои комментарии к листингу (комментарии
относятся к строчке над комметарием)

$ nslookup
Default Server: intranet.ru
Address: 212.164.71.24

> set q=NS
#
# устанавливаем тип запроса --- name server, будем получать адрес сервера,
# обслуживающего ту или иную зону
#
> ru
#
# ищем сервер для домена первого уровня, в нашем случае --- это ru
#
Server: intranet.ru
Address: 212.164.71.24

Non-authoritative answer:
#
# данный сервер не имеет таких записей, но он "спросил" у других серверов и
# получил ответ, поэтому ответ non-authoritative
#
ru nameserver = sunic.sunet.se
ru nameserver = auth60.ns.uu.net
ru nameserver = ns.ripn.net
ru nameserver = ns1.relcom.ru
ru nameserver = ns2.nic.fr
ru nameserver = ns2.ripn.net

Authoritative answers can be found from:
#
# но, если тебе хочется именно authoritative ответ, то можешь
# спросить вот здесь:
#
ns1.relcom.ru internet address = 193.125.152.3
sunic.sunet.se internet address = 192.36.125.2
> server 192.36.125.2
#
# что ж, пойдем и спросим
#
Default Server: sunic.sunet.se
Address: 192.36.125.2

> ngs.ru
#
# для начала спросим о заведомо работающем сервере: поинтересуемся,
# какой же ip-адрес у dns-сервера, обслуживающего домен ngs.ru
#
Server: sunic.sunet.se
Address: 192.36.125.2

Authoritative answers can be found from:
#
# сервера, обслуживающие домены первого уровня очень важные и гордые,
# они редко скажут адрес, но зато они могут указать на того, кто
# знает этот адрес, бюрократы, блин :-)
#
ngs.ru nameserver = ns.intranet.ru
ngs.ru nameserver = ns.risp.ru
ns.risp.ru internet address = 212.20.0.126
ns.intranet.ru internet address = 212.164.71.24
> kave.ru
#
# к этой части комментарий такой же, как и к предыдущей
#
Server: sunic.sunet.se
Address: 192.36.125.2

Authoritative answers can be found from:
nsk.ru nameserver = ns2.nsk.ru
nsk.ru nameserver = ns.ru.net
nsk.ru nameserver = ns.nsk.ru
nsk.ru nameserver = ns.spb.su
ns.ru.net internet address = 193.124.22.65
ns.nsk.ru internet address = 212.20.32.33
ns.spb.su internet address = 193.124.83.69
ns2.nsk.ru internet address = 194.226.177.226
> server 193.124.22.65
#
# спросим у сервера, который первый в списке
#
Default Server: [193.124.22.65]
Address: 193.124.22.65

> ngs.ru
Server: [193.124.22.65]
Address: 193.124.22.65

Non-authoritative answer:
#
# вот он, адрес dns-сервера, обслуживающего ngs.ru! (одуреть просто,
# какая огромная тайна! просто логин и пароль в одном флаконе!) ответ, правда,
# non-authoritative, но если есть желание, можно спросить и у серверов,
# указанных ниже и получить уже authoritative answer
#
ngs.ru nameserver = ns.risp.ru
ngs.ru nameserver = ns.intranet.ru

Authoritative answers can be found from:
ns.risp.ru internet address = 212.20.0.126
ns.intranet.ru internet address = 212.164.71.24
> kave.ru
#
# теперь поинтересуемся твоим доменом...
#
Server: [193.124.22.65]
Address: 193.124.22.65

*** [193.124.22.65] can't find kave.ru: Non-existent host/domain
#
# а нету такого! а должен бы быть...
#
> server 193.124.83.69
#
# попробуем другой сервер
#
Default Server: [193.124.83.69]
Address: 193.124.83.69

Server: [193.124.83.69]
Address: 193.124.83.69

Non-authoritative answer:
ngs.ru nameserver = ns.risp.ru
ngs.ru nameserver = ns.intranet.ru

Authoritative answers can be found from:
ngs.ru nameserver = ns.intranet.ru
ngs.ru nameserver = ns.risp.ru
ns.risp.ru internet address = 212.20.0.126
ns.intranet.ru internet address = 212.164.71.24
> kave.ru
Server: [193.124.83.69]
Address: 193.124.83.69

*** [193.124.83.69] can't find kave.ru: Non-existent host/domain
#
# то же самое...
#
> exit


итак, проблема в том, что просто никто не знает, какой сервер обслуживает
зону kave.ru. а надо бы, чтобы это знали все... что делать? нужно связываться
с администратором одного из серверов:
ns.ru.net internet address = 193.124.22.65
ns.nsk.ru internet address = 212.20.32.33
ns.spb.su internet address = 193.124.83.69
ns2.nsk.ru internet address = 194.226.177.226
и зело челом бить :-), т.е. просить их внести записи о том, что зону kave.ru обслуживает сервер 212.17.12.115.

теперь, как это сделать. для этого-то в частности и существует soa-запись
в dns. опять зовем nslookup на помощь:

$ nslookup
#
# немного вырезано...
#
> server 193.124.83.69
#
# в принципе, можно спросить и у нашего сервера, но уж очень хочется,
# чтобы был authritative answer
#
Default Server: ns.spb.su
#
# а вот имя сервера оно пригодится для запроса
#
Address: 193.124.83.69

> set q=SOA
#
# устанавливаем тип запроса
#
> ns.spb.su
#
# спрашиваем...
#
Server: ns.spb.su
Address: 193.124.83.69

spb.su
origin = ns.spb.su
mail addr = dnsmaster.relcom.net
#
# вот он, адресок-то! надеюсь, вместо какой точки поставить собачку
# понятно без дополнительных разъяснений.
#
serial = 2004031505
refresh = 21600 (6H)
retry = 3600 (1H)
expire = 1234000 (2w6h46m40s)
minimum ttl = 86400 (1D)

> exit

вместо администратора сервера ns.spb.su можно (даже лучше, по-моему)
связаться с администратором сервера ns.nsk.ru или ns2.nsk.ru, с ними
проще говорить по телефону, ведь почта-то от тебя не уйдет скорее всего.
поэтому первое письмо к ним тебе придется писать с какого-нибудь другого сервера.
ugly
... очень смешно...

понимаешь, вопрос-то как раз и стоит в том, что о МОЕМ СЕРВЕРЕ НИКТО НЕ ЗНАЕТ, а все почему?? да потому что не проходит делегирование домена от .root, вот с чем проблема (!!!)
и разборка идет на тему "ПОЧЕМУ не проходит ??"...

раз уж ты всем рассказываешь, как работает DNS, то, видимо должен быть в курсе, что должно пройти немного времени, пока зона распространится по серверам. тогда, и только тогда сервера УЗНАЮТ, где искать сервер зоны...
а пока об этом знает только мой сервак, да тот, который у меня вторичным прописан...
CyberBOB
А ты уверено, что твой домен правильно прописали и зарегистрирова? Ибо о домене kave.ru никакой из доступных мне DNS-серверов просто напросто НЕ ЗНАЕТ.
Barlog
нет, вот как раз в этом я не уверен, но мне еще надо добиться чтобы мой сервер нормально SOA отдал, а там смотреть будем
CyberBOB
Так может лучше с начало убедится что с доменным именем все в порядке, а потом заниматся настройкой своего DNS-сервера?
Barlog
Всем огроменнейшее спасибо....
все заработало, точнее пока еще не все, но теперь делегирование зоны наконец-то прошло успешно... :)))))))
теперь посмотрим что дальше будет...

проблема заключалась в следующем: IP-правила просто запрещали запросы на 53-й порт извне...
ugly
А ссылку про то, как работает DNS, я кидал еще в начале трэда. И ламерья здесь нет... Осторожнее с выражениями...
CyberBOB
Про запросы тоже еще в самом начале было сказано... Правда там было про их перехват, но проверить-то на предмет их пропуска можно же было...
Ну, в общем. все равно поздравляю с решением ( надеюсь, успешным) проблемы
CyberBOB
ура!



для уточнения: все встало на свои места сразу же после поправки правил?



и, если не секрет, когда (с точностью до часа) были сделаны эти

поправки?



дело в том, что твой сервер был доступен уже в час дня в понедельник,

а в 10 утра еще не был доступен, подозреваю, что исправления были

внесены часов в 12. но в час дня о нем еще никто не знал, хотя доступ к

серверу был, и сервер прекрасно отдавал записи, в том числе и soa:



$ nslookup -q=SOA kave.ru 212.17.12.115

Server: viper.kave.ru

Address: 212.17.12.115



kave.ru

origin = kave.ru

mail addr = root.kave.ru

serial = 200403032

refresh = 10800 (3H)

retry = 3600 (1H)

expire = 1728000 (2w6d)

minimum ttl = 172800 (2D)

kave.ru nameserver = olc.ru

kave.ru nameserver = viper.kave.ru

viper.kave.ru internet address = 212.17.12.115



и сервера, обслуживающие домен ru, сегодня тоже прямо указывают на твой сервер:



$ nslookup -q=NS kave.ru 192.36.125.2

Server: sunic.sunet.se

Address: 192.36.125.2



Authoritative answers can be found from:

kave.ru nameserver = olc.ru

kave.ru nameserver = viper.kave.ru

viper.kave.ru internet address = 212.17.12.115



подозреваю, что кроме правки правил тобою, другими людьми была поправлена

конфигурация dns-серверов для зоны ru.



ps. а почту ты будешь принимать для своего домена? тогда лучше завести еще

и mx-запись.

ugly
... в последний раз bind был перезапущен в 12:36...

... а MX у меня есть, я сразу все прописывал, так что почта работает :)))))))))))))))))))))))))

Еще раз огромаднейшее всем спасибо :))