SIDN dns problemen - Internet en hosting

maandag 22 januari 2007 23:23

Acties:

Topicstarter

Beste mensen,

Ik heb (nogsteeds) problemen met dns. even een situatie schets:

1 server, 2 ip adressen
Op deze server staat windows 2003 server en BIND 9 geinstalleerd. Meerdere domeinen staan hierin gedefineerd.

Ik heb een hoofddomein (we noemen het even voor het gemak domeintje.nl) met daar 2 A records aan vast: ns1.domeintje.nl en ns3.domeintje.nl. Beide verwijzen naar dezelfde machine en zijn te pingen.

Zodra ik een nameserver check doe op de SIDN website krijg ik de volgende foutmelding:

code:

** Summary: REJECTED testdomeintje.nl.
Some problems need to be fixed:
- One configuration error.
** Full check report:
* general reports
* primary name server "ns1.domeintje.nl."
Error: name server "ns1.domeintje.nl." not defined.
* secondary name server "ns3.domeintje.nl."
Info: name server looks correctly configured.
#### fail

Uiteraard bestaat testdomeintje.nl niet, net zoals domeintje.nl. De echte entries heb ik even vervangen voor deze.

Nu kwam ik wel in mijn event log de volgende foutmelding tegen:

The Security System detected an authentication error for the server DNS/ns1.domeintje.nl. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
(0xc000005e)".

Kan iemand mij helpen? ik word een beetje moe van DNS

edit:

Als ik trouwens een dig doe vanaf een andere machine, krijg ik netjes replys van zowel ns1 als ns3. Ik snap niet dat SIDN dan die melding geeft...

[ Voor 5% gewijzigd door Mishmash op 22-01-2007 23:35 ]

dinsdag 23 januari 2007 11:39

Acties:

raymonvdm

Volgens mij heb je een windows 2003 server geinstalleerd met daarop BIND9. Is het nu zo dat voor het domein waar het om gaat de ip adressen van de 2003 server zijn opgegeven ?

Voorbeeld nu.nl

Domeinnaamservers
ns6.ilse.nl
ns7.ilse.nl

Waarbij ns6 en ns7 dus verwijzen naar je windows 2003 server ?

Zoja foei dat mag niet

4. Voor elk domein dient er een primary nameserver te zijn en tenminste één secondary nameserver. De voor opname in de NL zone file opgegeven nameservers dienen bij voorkeur op verschillende (sub)netten te zitten.

Wat gebeurt er als je het domein controleerd met dnsstuff.com ? Is je DNS server wel te bereiken dan ? / Staat je firewall wel open ?

Bestaan er wel 2 a records die aangeven welke ip adressen horen bij ns1 en ns2

En stuurt je firewall/router/nat geval de requests wel echt naar de BIND dns en niet die van windows standaard ?

[ Voor 13% gewijzigd door raymonvdm op 23-01-2007 11:43 ]

dinsdag 23 januari 2007 12:26

Acties:

Mishmash

Topicstarter

raymonvdm schreef op dinsdag 23 januari 2007 @ 11:39:
Volgens mij heb je een windows 2003 server geinstalleerd met daarop BIND9. Is het nu zo dat voor het domein waar het om gaat de ip adressen van de 2003 server zijn opgegeven ?

Voorbeeld nu.nl

Domeinnaamservers
ns6.ilse.nl .....

Inderdaad, ns1 en ns3 verwijzen naar hetzelfde ip adres. Ik weet dat dit niet mag (geeft warning aan bij sidn), maar onze 2e server komt pas over een maand online.

Ik heb bij dnsstuff.com een test gedaan, en daar kwam deze "fail" ook voorbij:

[code]
FAIL: You have one or more missing (stealth) nameservers. The following nameserver(s) are listed (at your nameservers) as nameservers for your domain, but are not listed at the parent nameservers (therefore, they may or may not get used, depending on whether your DNS servers return them in the authority section for other requests, per RFC2181 5.4.1). You need to make sure that these stealth nameservers are working; if they are not responding, you may have serious problems! The DNS Report will not query these servers, so you need to be very careful that they are working properly.

ns3.domeintje.nl.
This is listed as an ERROR because there are some cases where nasty problems can occur (if the TTLs vary from the NS records at the root servers and the NS records point to your own domain, for example).
[code]

Kan iemand mij vertellen wat stealth nameservers zijn en hoe ik dit instel in bind?

De windows DNS service is niet geinstalleerd en de firewall staat zo ingesteld dat hij alle requests op poort 53 door laat.

In mijn hoofd domein heb ik inderdaard 2 A records aangemaakt, 1 voor ns1 en 1 voor ns3.

[ Voor 16% gewijzigd door Mishmash op 23-01-2007 21:25 ]

dinsdag 23 januari 2007 20:31

Acties:

Mishmash

Topicstarter

Ik weet dat kicken binnen 24 uur niet mag, maar zit hier echt in nood door die niet werkende dns... Kan iemand mij helpen?

dinsdag 23 januari 2007 20:45

Acties:

Pascal Saul

Volgens mij heb je niet overal een A-record opgenomen voor ns1.

Controleer of de DNS-servers gesynchronizeerd zijn onderling.

Kijk eens of je op elke machine het zelfde IP terug krijgt wanneer je een ping uitvoert op ns1, ns2 en ns3.

http://www.sidn.nl/ace.ph...econd2_ip=&submit=Verzend

http://www.sidn.nl/ace.ph...ing.nl&zoek.x=4&zoek.y=10

Verder zie ik NS3 niet terug in het SIDN-register....

[ Voor 48% gewijzigd door Pascal Saul op 23-01-2007 20:51 ]

dinsdag 23 januari 2007 21:24

Acties:

Mishmash

Topicstarter

Pascal Saul schreef op dinsdag 23 januari 2007 @ 20:45:
Volgens mij heb je niet overal een A-record opgenomen voor ns1.

Controleer of de DNS-servers gesynchronizeerd zijn onderling.

Kijk eens of je op elke machine het zelfde IP terug krijgt wanneer je een ping uitvoert op ns1, ns2 en ns3.

http://www.sidn.nl/ace.ph...econd2_ip=&submit=Verzend

http://www.sidn.nl/ace.ph...ing.nl&zoek.x=4&zoek.y=10

Verder zie ik NS3 niet terug in het SIDN-register....

In heb alleen in mijn hoofddomein (domeintje.nl) een A record staan van NS1, die zou verder toch niet bij mijn andere zones moeten staan? Hieronder 2 zone files, de eerste is van mijn hoofddomein, de 2e is van een ander domein.

Hoofddomein

code:

$ORIGIN .
$TTL 86400  ; 1 day
domeintje.nl        IN SOA  ns1.domeintje.nl. hostmaster.domeintje.nl. (
                2007012013 ; serial
                21600      ; refresh (6 hours)
                3600       ; retry (1 hour)
                604800     ; expire (1 week)
                86400      ; minimum (1 day)
                )
            NS  ns1.domeintje.nl.
            NS  ns2.domeintje.nl.
            NS  ns3.domeintje.nl.
            A   87.253.135.147
            MX  10 domeintje.nl.
$ORIGIN domeintje.nl.
ftp         CNAME   domeintje.nl.
list            A   87.253.135.147
mail            A   87.253.135.147
mysql           A   87.253.135.147
ns1         A   87.253.135.147
ns2         A   83.161.30.13
ns3         A   87.253.135.159
panel           A   87.253.135.147
sftp            A   87.253.135.147
stats           A   87.253.135.147
www         CNAME   domeintje.nl.

En hier de 2e, van een ander domein:

code:

$ORIGIN .
$TTL 86400  ; 1 day
testdomeintje.nl    IN SOA  ns1.domeintje.nl. hostmaster.testdomeintje. (
                2007012111 ; serial
                21600      ; refresh (6 hours)
                3600       ; retry (1 hour)
                604800     ; expire (1 week)
                86400      ; minimum (1 day)
                )
            NS  ns1.domeintje.nl.
            NS  ns3.domeintje.nl.
            A   87.253.135.147
            MX  10 testdomeintje.nl.
$ORIGIN testdomeintje.nl.
ftp         CNAME   testdomeintje.nl.
list            A   87.253.135.147
mail            A   87.253.135.147
mysql           A   87.253.135.147
ns1         A   87.253.135.147
ns3         A   87.253.135.159
panel           A   87.253.135.147
sftp            A   87.253.135.147
stats           A   87.253.135.147
www         CNAME   testdomeintje.nl.

Ik zie geen problemen in deze zone files...

[ Voor 5% gewijzigd door Mishmash op 23-01-2007 21:27 ]

dinsdag 23 januari 2007 23:08

Acties:

Pascal Saul

Ik wel:

1ste: lijkt mij correct
2de: ns2.domeintje.nl is niet opgenomen onder NS?
2de: ns2.domeintje.nl heeft geen A-record NS2?

En de derde?

woensdag 24 januari 2007 09:42

Acties:

Mishmash

Topicstarter

Pascal Saul schreef op dinsdag 23 januari 2007 @ 23:08:
Ik wel:

1ste: lijkt mij correct
2de: ns2.domeintje.nl is niet opgenomen onder NS?
2de: ns2.domeintje.nl heeft geen A-record NS2?

En de derde?

Ik wil ook eigenlijk geen gebruik meer maken van ns2, omdat ik zelf geen toegang heb op die machine (is van een kennis van me). Hij had voor mij het domein domeintje.nl bij hem erin gezet zodat we in ieder geval al ons hoofddomein konden verhuizen naar het nieuwe ip adres. Later is ns3 erbij gekomen (wat eigenlijk hetzelfde is als ns1) en hebben we ns2 eigenlijk niet meer nodig.

Kan dat dan problemen geven?

woensdag 24 januari 2007 09:47

Acties:

Pascal Saul

Ja, dat kan problemen geven.

Wat je moet doen is overal NS3 eruit gooien.

Op beide machines moeten de A-records bekend zijn: NS1 en NS2

Tevens moeten deze authoritive zijn voor je domein dus beide opnemen als NS-record.

Dan gaat het wel werken,

woensdag 24 januari 2007 09:49

Acties:

Keiichi

Bel SIDN,

Je betaalt niet voor niets een x-bedrag per kwartaal

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

woensdag 24 januari 2007 15:34

Acties:

Mishmash

Topicstarter

Pascal Saul schreef op woensdag 24 januari 2007 @ 09:47:
Ja, dat kan problemen geven.

Wat je moet doen is overal NS3 eruit gooien.

Op beide machines moeten de A-records bekend zijn: NS1 en NS2

Tevens moeten deze authoritive zijn voor je domein dus beide opnemen als NS-record.

Dan gaat het wel werken,

NS2 wil ik juist niet meer gaan gebruiken. Die staat ook alleen ingevuld voor het domein domeintje.nl
NS1 en NS3 verwijzen naar dezelfde BIND 9 installatie.

@keiichi: Ik ben zelf geen registar, mijn domeinen registeer ik via www.domeinnaamreseller.nl

donderdag 25 januari 2007 11:10

Acties:

Mishmash

Topicstarter

Ok, nieuwe ontwikkelingen!!

De ene dag werkte het niet, de andere dag weer wel! heel vaag... Nu zit ik in mijn event viewer te kijken, en kom ik heel vaak deze melding tegen:

code:

Event Type: Warning
Event Source:   LSASRV
Event Category: SPNEGO (Negotiator) 
Event ID:   40960
Date:       1/25/2007
Time:       11:08:46 AM
User:       N/A
Computer:   YOUNGH01
Description:
The Security System detected an authentication error for the server DNS/ns1.domeintje.nl.  The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
 (0xc000005e)".

En deze fout melding:

code:

Event Type: Error
Event Source:   named
Event Category: None
Event ID:   1
Date:       1/25/2007
Time:       8:08:37 AM
User:       N/A
Computer:   YOUNGH01
Description:
client 87.253.135.147#1035: update 'domeintje.nl/IN' denied

Kan iemand hier wat mee?

donderdag 25 januari 2007 11:18

Acties:

raymonvdm

Probeer anders jouw domein eens te vergelijk met een goed werkend domein.

Omdat je overal je echte domein naam vervangt door domeintje.nl Kunnnen wij geen check doen op je domein. Tenzij je domein younghosting.nl is dan heb ik niks gezegt.

Is dit je domein ?

http://www.dnsstuff.com/t...h?domain=younghosting.nl+

Ja volgens mij heb ik goed gegokt.

Waar je mee moet beginnen is het weggooien van de NS server die je niet meer wil gebruiken.

Dan maak je 2 a records een NS1.younghosting.nl en NS2.younghosting.nl aan die verwijzen naar de ip adressen van je windows server. En je maakt 2 NS record ip adressen aan

Nameserver 83.161.30.13 did not provide IPs for all NS records (but did provide at least one)

Mischien toch hier even kijken http://www.didedicated.com/t-kb1.aspx en dan het stukje "Configure your zone"

Substitute namesever-hostname for the hostname of your nameserver.
Edit the last line so that the A record reflects the IP address of your server.

Ik heb eigenlijk nooit bind geinstalleerd of gebruikt, en google is niet echt makkelijk zoeken. En volgens mij is BIND niet een van makkelijkste.

Gaaf een handleiding http://www.isc.org/index.pl?/sw/bind/arm93/

Volgens mij is het ook niet mogelijk om 2 bind servers te draaien op 1 machine. Omdat in de configuratie hard gezegt wordt wat het ip adres van hem is.

An Authoritative-only Name Server
This sample configuration is for an authoritative-only server that is the master server for "example.com" and a slave for the subdomain "eng.example.com".

options {
directory "/etc/namedb"; // Working directory
allow-query { any; }; // This is the default
recursion no; // Do not provide recursive service
};

// Provide a reverse mapping for the loopback address 127.0.0.1
zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
notify no;
};
// We are the master server for example.com
zone "example.com" {
type master;
file "example.com.db";
// IP addresses of slave servers allowed to transfer example.com
allow-transfer {
192.168.4.14;
192.168.5.53;
};
};
// We are a slave server for eng.example.com
zone "eng.example.com" {
type slave;
file "eng.example.com.bk";
// IP address of eng.example.com master server
masters { 192.168.4.12; };
};

Mischien proberen om het eerst met 1 machine in te regelen. Als dat helemaal werkt dan zal de 2e inmiddels wel binnen zijn. Kun je meerdere binds op 1 server draaien dan zal het wel werken

Nog een linkje http://www.linuxforums.or...-using-apache-server.html

[ Voor 121% gewijzigd door raymonvdm op 25-01-2007 11:46 ]

donderdag 25 januari 2007 12:36

Acties:

Mishmash

Topicstarter

Dank je wel voor deze informatie! Ik zal het eens rustig door gaan nemen en stap voorstap alles afhandelen.

Op de server draait maar 1 bind instantie, ik heb alleen 2 IP adressen op de server (wil dat je op beide ip adressen dezelfde instantie van BIND kan benaderen), als dit niet mogelijk is ga ik een andere server online zetten met een 2e bind. Het lullige is dan alleen dat ik telkens die 2e server handmatig in moet voeren, dit omdat mijn hosting panel alleen de bind instantie op de server zelf regelt...