BIND910 Fehler

[BoS]

Guten Abend,

ich habe eine Frage betreffs eines bind910 Fehlers:

seit Donnerstage voriger Woche liefern die DNS-Server keine Namensauflösung mehr. Beide ohne DNSSec konfiguriert und laufen auf FBSD 10.1 und 11.0.

Ursache ist unbekannt.

Der einzige Hinweis im log-file:

transfer of 'arpa/IN' from 192.5.5.241#53: failed while receiving responses: REFUSED
transfer of './IN' from 192.5.5.241#53: failed while receiving responses: REFUSED

Was muss ich verändern, um das ganze wieder zum laufen zu bringen?

Danke schön,
BoS

 

[Yamagi]

Früher unterstützten alle Root-Server das Spiegeln der Rootzone per AXFR. Über die Jahre sind es immer weniger geworden, bis nun am 1. April auch der letzte (oder zumindest der letzte für solche Zwecke missbrauchte) Root-Server kein AXFR mehr anbietet. Die ICANN bietet allerdings zwei extra Server für AXFR an: https://www.dns.icann.org/services/axfr/

 

[BoS]

Danke Yamagi.
Es arbeitet wieder normal.

Was spricht eigentlich dagegen, dass ein slave angelegt wird?

BoS

 

[Yamagi]

Nichts. Die Betreiber der Root-Server finden es nur nicht lustig, wenn die ganze Welt die Zone herunterlädt. Die ist zwar an sich nicht groß, aber wenn das ein paar Millionen Server machen, läppert es sich halt doch.

 

[BoS]

Hmmm ....

Hat aber den Vorteil, dass die Auflösung schneller ist
Muss ich erstmal in den Docus lesen, was da anders konfiguriert werden muss

BoS

 

[KobRheTilla]

Über die Jahre sind es immer weniger geworden, bis nun am 1. April auch der letzte (oder zumindest der letzte für solche Zwecke missbrauchte) Root-Server kein AXFR mehr anbietet.

Ich habe auch diese Slave-Konfiguration, nutze aber drei Master:

masters {
                192.228.79.201; // B.ROOT-SERVERS.NET
                192.33.4.12;    // C.ROOT-SERVERS.NET
                192.5.5.241;    // F.ROOT-SERVERS.NET
        };

Zumindest einer von denen scheint zu antworten, die Zonendatenbanken sind vom Timestamp her zumindest nicht "alt".

Rob

 

[TCM]

Warum sollte man irgendwelche Zonen von den Rootservern holen? Alle Jubeljahre mal die root.hints updaten, das wars. Verpass ich hier grad was?

 

[KobRheTilla]

Alle Jubeljahre mal die root.hints updaten, das wars.

Umgekehrt ist die Frage ebenso gültig: warum soll ich etwas manuell machen, was der Nameserver auch automatisch kann?

Rob

 

[TCM]

Wie wir an dem Thread sehen, kann er das ja offensichtlich nicht (zuverlässig). Außerdem würde ich bei der Aktualisierung immer besondere Aufmerksamkeit walten lassen, oder sind die AXFR durch irgendwas signiert?