LiveConfig übernimmt keine DNS-Updates mehr + Startup-Fehler

    Ich habe das Problem, dass DNS-Updates, die ich im LiveConfig durchführe nicht auf den lokalen BIND9-Server übernommen werden. Ich gehe also in die Domain, ändere einen DNS-Record oder füge einen Neuen hinzu und es passiert einfach nichts.


    Beim Neustarten von LiveConfig zeigen sich interessante Fehlermeldungen:



    Vorher habe ich auch noch diese Meldungen hier bekommen:



    Ich habe leider keine Ahnung wie das Problem entstehen konnte, aber ich muss irgendwie sehr zeitnah den DNS-Server dazu bewegen wieder richtig die Domains aufzulösen, sonst kriege ich ein echtes Problem.

    So ist es - es handelt sich um einen Proxmox-virtualisierten LXC-Container.


    Daher rührt auch der open(/dev/mem)-Fehler. Die anderen Fehler sind allerdings heute das erste Mal aufgetreten und scheinen ihrer Natur nach auch nicht unbedingt mit dem Umstand der virtualsierten Umgebung zusammenzuhängen.

    1. Stimmen die Einträge in der Zonen Datei vom Bind?
    2. Stimmt die Berechtigung für die DB Files (vor allem das Verzeichnis)?
    3. Einmal das erweiterte Logging im Bind aktivieren und schauen ob es hier weitere Fehlermeldungen gibt.

    Das ist gerade das paradoxe. Egal was ich mit der Domain mache - sie löschen, neu anlegen, DNS-Einträge verändern, etc. - Das Zonefile ändert sich nicht. Die Berechtigungen vom Verzeichnis und von den DB Files stimmen alle.


    BIND Logging werde ich heute Abend aktivieren und beobachten. Kommt der Fehler "Error while updating zone '(null)' (host ''): Invalid zone name" denn von Liveconfig oder von Bind?

    Mal versucht die Bind Konfiguration über Liveconfig neu zu schreiben?
    Wenn eine Domain gelöscht wird sollte jedenfalls in der zones.liveconfig im Bind Ordner (je nach Distri unterschiedlicher Ort) verändert werden. Wenn hier nichts passiert muss das Problem in LC gesucht werden, der Bind liest diese ja nur aus.
    Werden in der zones.liveconfig Änderungen aus Liveconfig geschrieben aber nicht umgesetzt liegt das Problem am Bind selbst (hier hilft dann auch das Logging).

    Also einen Fehler von BIND kann ich ausschließen. Die Software funktioniert einwandfrei und macht, was sie soll.


    Liveconfig zeigt mir in der Server-Verwaltung, dass die Konfiguration ok ist. Wie bereits gesagt, wurde bei mir das Zonefile nicht gelöscht oder geändert - egal was ich mit der Domain angestellt habe. Gelöscht, neu angelegt, verändert - all das hat nicht dazu geführt, dass das Zonefile verändert wurde. Daher hat der BIND immer die Angaben aus dem Zonefile ausgegeben und nicht die veränderten Records.


    Leider fehlt mir die Erfahrung mit LiveConfig um zu sagen, inwieweit die Software nicht so funktioniert, wie sie soll im Hinblick auf die DNS-Serververwaltung.

    Irgendwas bei der BIND Konfiguration in LC ändern, zBsp nen Haken raus und wieder rein, und dann nochmal abspeichern. Danach einmal Domain löschen und prüfen ob die Domain aus zones.liveconfig gelöscht wurde.

    Ich habe leider Gottes das gleiche Problem mit einer virtuellen Kiste unter Debian 8. Den Trick von HBO hab ich auch schon einmal ausprobiert, leider ohne Erfolg. Bei mir gibts nur solche Einträge, aber keine Socketfehler:


    Code
    [749|755] Error while updating NS records (host '', zone 'meindomainname.xyz'): DNS update failed


    Kann mir so darauf erstmal keinen Reim machen, warum es von hier auf da nicht mehr funktioniert. Das Problem ist mir nach dem Hinzufügen einer neuen Kundendomain aufgefallen. (welche aber problemlos angelegt wurde)

    Such mal nach Bind Logging, einfach manuell in die named.conf einfügen danach den Bind restarten. Hier kann man einfacher debuggen. Wir hatten zBsp das Problem, dass die Keys aus der keys.liveconfig nicht so ganz gestimmt haben zu denen in zones.liveconfig und so ein Update der Domain unmöglich war.

    Zitat von kt01

    Ich habe leider Gottes das gleiche Problem mit einer virtuellen Kiste unter Debian 8. Den Trick von HBO hab ich auch schon einmal ausprobiert, leider ohne Erfolg. Bei mir gibts nur solche Einträge, aber keine Socketfehler:


    Code
    [749|755] Error while updating NS records (host '', zone 'meindomainname.xyz'): DNS update failed


    Kann mir so darauf erstmal keinen Reim machen, warum es von hier auf da nicht mehr funktioniert. Das Problem ist mir nach dem Hinzufügen einer neuen Kundendomain aufgefallen. (welche aber problemlos angelegt wurde)


    Wird vielleicht ein Nameserver als NS-Record hinterlegt, der in der selben Zone wie die betroffene Domain liegt?
    Ansonsten sollte es bei fehlgeschlagenen DNS-Updates eigentlich eine Meldung in /var/log/messages bzw. /var/log/syslog geben, oder ggf. im systemd ("journalctl").

    Zitat von Aybee

    Also wir hatten es heute das ein Kunde eine Subdomain angelegt hat und LiveConfig diese als Subzone angelegt hat, wie kann sowas passieren?


    Was genau meinen Sie mit "Subzone"?
    Wie hat der Kunde die Subdomain angelegt? Hat er evtl. die Berechtigung, eigene Domains hinzuzufügen, und hat dann die Subdomain als Domain angelegt?

    Zitat von kk

    Wird vielleicht ein Nameserver als NS-Record hinterlegt, der in der selben Zone wie die betroffene Domain liegt?
    Ansonsten sollte es bei fehlgeschlagenen DNS-Updates eigentlich eine Meldung in /var/log/messages bzw. /var/log/syslog geben, oder ggf. im systemd ("journalctl").


    Also der Syslog gibt folgende Information zurück:


    Das sagt doch schon einiges aus. Haben Sie einen Lösungsansatz?


    Viele Grüße

    Zitat von kk

    Was genau meinen Sie mit "Subzone"?
    Wie hat der Kunde die Subdomain angelegt? Hat er evtl. die Berechtigung, eigene Domains hinzuzufügen, und hat dann die Subdomain als Domain angelegt?


    Nein hat er nicht, wir hatte es selber mit einer Test Subdomain probiert und da war es das selbe.


    hevert A 79.143.XXX.XXX
    hhvision A 79.143.XXX.XXX
    house A 79.143.XXX.XXX
    insert A 79.143.XXX.XXX
    msh A 79.143.XXX.XXX
    $ORIGIN nbv.mk-XXX.de.
    $TTL 300 ; 5 minutes


    So sah die Abfrage auch, die nbv.mk wurde ganz normal als Subdomain angelegt, unsere Test Subdomain sah genauso aus. Nach einem Bind restart und löschen der Subdomain funktioniert es dann wieder wie es sollte. Trotzdem komisch wie sowas passieren konnte.

    Zitat von kt01

    Also der Syslog gibt folgende Information zurück:

    Code
    Nov  2 10:10:24 web1 named[14531]: dns_dnssec_findzonekeys2: error reading private key file meindomainname.xyz/NSEC3RSASHA1/59090: file not found


    Das sagt doch eigentlich schon alles...
    Prüfen Sie bitte mal, ob auf Ihrem Primary DNS die Dareien /etc/bind/keys/K<Domain>.+007+<Id>.(key|private) vorhanden sind.
    Falls diese nicht mehr existieren (auch nicht im Backup), dann müssen Sie einen neuen DNSSEC-Key für diese Domains anlegen und diesen auch beim Domainregistrar aktualisieren.


    Viele Grüße


    -Klaus Keppler


    Ich verstehe das Problem irgendwie noch nicht ganz, mit den Daten kann ich leider nichts anfangen.
    Was für eine Subzone nochmal? Wenn BIND eine Zonen-Datei aktualisiert, dann ist es völlig normal dass er identische Subzonen in eigene $ORIGIN-Abschnitte gruppiert.
    Bitte beschreiben Sie, was genau gemacht wurde, was genau passiert ist und was daran falsch war.

    Es sollte eine Subdomain angelegt werden in diesem Fall nbv.mk-xxx.de


    Das Problem war, das keine DNS Einträge gemacht wurden somit die Domain keinen DNS Eintrag hat bzw keinen A Eintrag, weil LiveConfig eben eine Subzone angelegt hat anstatt eine Subdomain. Somit funktioniert die Subdomain nicht da kein A-Eintrag vorhanden war.


    Man sieht doch ganz klar oben, das alle Subdomains via A auf die IP des Server zeigen außer die nbv.mk-xxx.de


    Warum ist das normal das man $ORIGIN Abschnitte für Subdomain nutzt?
    Der Kunde hat ca 30 Subdomain und bis auf die "hauptdomain" war da nie ein $ORIGIN Abschnitt bis gerade eben.


    Nachdem wir den Bind neugestartet haben, und die Subdomain gelöscht haben und neu angelegt haben wurde Sie auch angelegt wie es sollte.

    Zitat von kk

    Das sagt doch eigentlich schon alles...
    Prüfen Sie bitte mal, ob auf Ihrem Primary DNS die Dareien /etc/bind/keys/K<Domain>.+007+<Id>.(key|private) vorhanden sind.
    Falls diese nicht mehr existieren (auch nicht im Backup), dann müssen Sie einen neuen DNSSEC-Key für diese Domains anlegen und diesen auch beim Domainregistrar aktualisieren.


    Viele Grüße


    -Klaus Keppler


    Danke, funktioniert lt. Syslog wieder. :)

    Zitat von Aybee

    Es sollte eine Subdomain angelegt werden in diesem Fall nbv.mk-xxx.de


    Das Problem war, das keine DNS Einträge gemacht wurden somit die Domain keinen DNS Eintrag hat bzw keinen A Eintrag, weil LiveConfig eben eine Subzone angelegt hat anstatt eine Subdomain. Somit funktioniert die Subdomain nicht da kein A-Eintrag vorhanden war.


    Woran haben Sie ausgemacht, dass der A-Record nicht angelegt wurde?
    Das Bearbeiten von DNS-Einträgen läuft ausschließlich über dynamische DNS-Updates. In der Zonendatei (/var/lib/bind/<Zone>.db) ändert sich dabei in der Regel nichts. Es wird aber von BIND eine Journal-Datei (binär) erzeugt, welche alle Updates protokolliert.
    Mit anderen Worten: der Inhalt der Zonen-Datei alleine ist erstmal nicht aussagekräftig. Man kann die Zonendatei aber durch BIND neu schreiben lassen (z.B. mit "rndc freeze <zone>", "rndc thaw <zone>").


    LiveConfig schreibt selbst auch keine $ORIGIN-Abschnitte, das macht BIND selbst. Und das ist - wie gesagt - völlig ok und normal. Das geschieht manchmal etwa wenn nur einzelne DNS-Einträge eine abweichende TTL aufweisen. Ohne die vollständige Zonendatei kann ich an dieser Stelle auch nur herum raten...


    Die ausnahmslos einzige Möglichkeit um zu prüfen, ob ein gewünschter DNS-Eintrag angelegt wurde ist, diesen direkt beim Primary DNS per "dig" abzufragen:

    Code
    dig @[I]primary.dns.server[/I] [I]name.der.subdomain[/I] ANY


    Viele Grüße


    -Klaus Keppler

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden