[2K8 R2][DNS] DNS records van domein bestaan niet

vrijdag 2 juli 2010 00:09

Acties:

0 Henk 'm!

Topicstarter

Ok, daar gaan we dan.

Ik heb 2 DNS servers, beide Windows Server 2008 R2, een in het datacenter (dedicated leaseweb) en een thuis als backup.

Nu wil het geval dat de LeaseWeb server d00d is, nog geen feedback gehad van support en power cycle heeft ook niet geholpen. Dit betekend ook meteen dat de hoofd DNS server weg is.

In plaats dat de 2e dns server (staat zo in SOA record) wordt aangesproken, lijkt er van alles mis te gaan nu.

Als ik een NSLookup doe tegen die 2e DNS server voor de domains waar hij als backup voor draait, krijg ik "Query Refused". Externe domains en domains die ik hier thuis alleen intern draai (en de server dus primairy dns is) die werken wel.

DNS Lint gedraaid en die geeft aan: "This DNS server may be a root server as it answered authoritatively,but DNS records for the specified domain did not exist on the server."

Iemand enig idee wat er mis is?

[update]
Als ik in de manager van die 2e DNS server de zone wil bekijken, geeft ie aan "Zone not loaded by DNS Server" en "Transfer of zone data from the master server failed."

Enig idee waarom die zo gebeurd? Ik heb hem just als secondary toegevoegd als backup, daar heb je dus schijnbaar niets aan als je master weg valt???
[/update]

DNSLint Report

System Date: Fri Jul 02 00:03:09 2010

Command run:

dnslint /d nickkusters.com

Domain name tested:

nickkusters.com

The following 2 DNS servers were identified as authoritative for the domain:

DNS server: ns.nkcss.com
IP Address: 95.211.30.21
UDP port 53 responding to queries: NO
TCP port 53 responding to queries: Not tested
Answering authoritatively for domain: Unknown

SOA record data from server:
Authoritative name server: Unknown
Hostmaster: Unknown
Zone serial number: Unknown
Zone expires in: Unknown
Refresh period: Unknown
Retry delay: Unknown
Default (minimum) TTL: Unknown
--------------------------------------------------------------------------------
DNS server: ns2.nkcss.com
IP Address: 87.209.224.134
UDP port 53 responding to queries: YES
TCP port 53 responding to queries: Not tested
Answering authoritatively for domain: YES

This DNS server may be a root server as it answered authoritatively,
but DNS records for the specified domain did not exist on the server.

SOA record data from server:
Authoritative name server: Unknown
Hostmaster: Unknown
Zone serial number: Unknown
Zone expires in: Unknown
Refresh period: Unknown
Retry delay: Unknown
Default (minimum) TTL: Unknown

Mail Exchange (MX) records from server (preference/name/IP address):
None found
--------------------------------------------------------------------------------
Notes:
One or more DNS servers may not be authoritative for the domain
One or more DNS servers did not respond to UDP queries
One or more zone files may have expired
SOA record data was unavailable and/or missing on one or more DNS servers
Mail exchange (MX) records were not identical on every DNS server

NKCSS - Projects - YouTube

vrijdag 2 juli 2010 00:15

Acties:

0 Henk 'm!

CMG

Topicstarter

Kleine update (heel raar).

Ik heb de eigenschappen aangepast van Secondary naar Primary omdat ik zoiets had van: dan ga ik maar even die entries opnieuw toevoegen (nu werkt niks meer namelijk) en nu heeft ie opeens wel alle data? SOA, A, CNAMES, etc, nu weet ie wel weer alles. Ik snap er niets van; iemand die me dit kan uitleggen?

Nu ook een andere geprobeerd, maar daar werkt dit trucje niet; ik krijg dan de error "the data on the primary zone failed to set. the operation cannot be performed because this zone is shutdown".

Ik heb de zones waarbij het niet werkte maar gedelete en opnieuw aangemaakt (A, www CNAME en MX), dan werkt 't meeste weer iig. Als iemand nog info voor me heeft hoe dit kon gebeuren en wat ik heb fout gedaan, dan hoor ik het graag. Nu tijd voor wat nachtrust.

[ Voor 41% gewijzigd door CMG op 02-07-2010 00:46 ]

NKCSS - Projects - YouTube

vrijdag 2 juli 2010 01:15

Acties:

0 Henk 'm!

Verwijderd

Best practice is in dit geval volgens mij om te kiezen voor Active Directory Integrated DNS zones. De replicatie gebeurt dan via de AD replicatie, en er is geen verschil tussen primary en secondary zones.

vrijdag 2 juli 2010 01:49

Acties:

0 Henk 'm!

mookie

Heerlijk Helder

Er zit nogal een verschil tussen AD integrated en secondary.
Als je in de primary 2 SOA records hebt waarbij je backup ingesteld staat als authoritive voor de zone is dat wel leuk, maar een secondary zone is nooit authoritive. Secondary is altijd read only, en met altijd een kopie of tenminste de wijzigingen ontvangen binnen X uur.
Als dat te lang duurt gooit hij de zone eruit en zegt hij not loaded.

Alleen bij een AD integrated kan hij het echt overnemen.
Althans, bij zones van interne windows domeinen werkt dat bij mij wel zo.

Een secondary is ook altijd read only en alleen maar om te querien om b.v. data van je lijnen af te houden.
Updates of nieuwe records kunnen niet gedaan/gemaakt worden in secondary zones.

mookie

vrijdag 2 juli 2010 10:56

Acties:

0 Henk 'm!

CMG

Topicstarter

mookie schreef op vrijdag 02 juli 2010 @ 01:49:
Er zit nogal een verschil tussen AD integrated en secondary.
Als je in de primary 2 SOA records hebt waarbij je backup ingesteld staat als authoritive voor de zone is dat wel leuk, maar een secondary zone is nooit authoritive. Secondary is altijd read only, en met altijd een kopie of tenminste de wijzigingen ontvangen binnen X uur.
Als dat te lang duurt gooit hij de zone eruit en zegt hij not loaded.

Alleen bij een AD integrated kan hij het echt overnemen.
Althans, bij zones van interne windows domeinen werkt dat bij mij wel zo.

Een secondary is ook altijd read only en alleen maar om te querien om b.v. data van je lijnen af te houden.
Updates of nieuwe records kunnen niet gedaan/gemaakt worden in secondary zones.

Dit laatste was ook gewoon het geval, ik kon op die 2e DNS server geen records toevoegen aan zones die als secondary stonden.

NKCSS - Projects - YouTube

vrijdag 2 juli 2010 10:58

Acties:

0 Henk 'm!

CMG

Topicstarter

Verwijderd schreef op vrijdag 02 juli 2010 @ 01:15:
Best practice is in dit geval volgens mij om te kiezen voor Active Directory Integrated DNS zones. De replicatie gebeurt dan via de AD replicatie, en er is geen verschil tussen primary en secondary zones.

Dat gaat niet omdat het 2 verschillende DC's zijn (ik zou iig niet weten hoe). Daarnaast heb ik geen VPN lopen tussen het data center en thuis.

NKCSS - Projects - YouTube

vrijdag 2 juli 2010 11:46

Acties:

0 Henk 'm!

Lazerballz

Heb je het al werkend gekregen op 1 plek ?

Zo niet, begin daar eerst mee.

Zorg dat je DC's repliceren. DNS AD intregrated maken zodat tie mee repliceerd. En dan pas op 2 verschillende locaties gaan proberen.

Werkt dat wel, maar vervolgens thuis dan niet. Misschien een firewall issue.

Ik raad wel VPN aan.

vrijdag 2 juli 2010 12:24

Acties:

0 Henk 'm!

DrFlash

Standaard werking van veel DNS servers (ik weet dit zeker van bind) is dat ze 36 uur nadat de primaire server offline is gegaan alle domeinen die van de primaire server uitschakelen. Is een beveiligings feature, na 36 uur moet ofwel je primaire server weer aanstaan, of een andere server als primair aanwijzen en dit door synchroniseren.

*edit* bovenstaand geld uiteraard alleen voor master -> slave setup. bij active directory integrated DNS servers op windows geld dit niet aangezien deze allemaal primary zijn.

[ Voor 20% gewijzigd door DrFlash op 02-07-2010 12:25 ]

Wowhead profiel

vrijdag 2 juli 2010 21:16

Acties:

0 Henk 'm!

CMG

Topicstarter

Ik blijf het vreemd vinden moet ik zeggen; de main server is inmiddels weer up iig, maar dit is een situatie die ik niet zo verwacht had. Ik dacht eerst dat het met de expiry te maken had; die had ik in veel gevallen op 1 dag staan (niet zo handig), die zijn inmiddels opgehoogd, maar er was ook een domain die zijn expiry op 7 dagen had staan en ook niet meer werkte, dus dat was het ook niet.

Ik kan niet zeggen dat ik begrijp wat er is gebeurd wat er is gebeurd en zie steeds minder heil in een 2e DNS server als deze de taken van de eerste niet kan overnemen.

NKCSS - Projects - YouTube

vrijdag 2 juli 2010 22:57

Acties:

0 Henk 'm!

mookie

Heerlijk Helder

CMG schreef op vrijdag 02 juli 2010 @ 21:16:
Ik blijf het vreemd vinden moet ik zeggen;

In dat geval vreemd als in onbekend

Standaard werking van een secondary zone werkt altijd op deze manier.
Secondaries zijn ook geen backup servers.
Secondaries zijn een soort van caching servers.
Het verschil tussen het gewoon cachen en een hele zone secondary beschikbaar maken is: als een client een verzoek doet aan een caching server en deze server heeft het antwoord opgehaald cached ie alleen de gevraagde records. Als je een secondary zone opzet heeft ie alle records al meteen gecached.
Ten tweede blijft alles iets van 36 uur beschikbaar mocht de primary plat gaan, ipv de cache expiry timeout die normaal op records gelden (bijzonder varierend, meestal iets van 15 minuten voor gewone A records).

Verders is bij primary en secondary de zone file gewoon een text file, en bij beide hetzelfde.
Als je primary onderuit gaat kun je rustig de secondary omzetten naar een primary.
Dan worden alle SOA records automatisch even aangepast zodat de server er ook daadwerkelijk als authoritive in staat. Als je primary dan weer terug is kun je gewoon even die file kopieren naar de primary, SOA records even controleren en eventueel aanpassen, en je tijdelijke primary weer omzetten naar secondary.

En een AD integrated zone wordt inderdaad in AD opgeslagen en kun je dus niet syncen tussen 2 DC's die in verschillende domeinen zitten.
Wel zou je een VPN op kunnen zetten tussen beide, gewoon met RRAS wat standaard in de server zit, alleen even instellen.
En even zorgen dat die server niet het VPN IP adres ook gaat registreren in DNS. Anders krijg je SOA records met 192.168.x.x bijvoorbeeld.
Je zou het zelfs zonder VPN kunnen doen, meteen over internet, maar dat is dan weer wat minder veilig.

Dus: je huidige oplossing is in jouw geval denk ik de beste.
Alleen ff op tijd je secondary omzetten naar een primary, en het zou verstandig zijn om regelmatig kopietjes te maken van je zonefile op je secondary, voor het geval er iets foutgaat en je zonefile ineens leeg is.

mookie

zaterdag 3 juli 2010 17:42

Acties:

0 Henk 'm!

Rolfie

Verders is bij primary en secondary de zone file gewoon een text file, en bij beide hetzelfde.

Is dit ook van toepassing als de zone gebruikt wordt op het Internet?

zaterdag 3 juli 2010 22:07

Acties:

0 Henk 'm!

CMG

Topicstarter

mookie schreef op vrijdag 02 juli 2010 @ 22:57:
[...]

In dat geval vreemd als in onbekend
Standaard werking van een secondary zone werkt altijd op deze manier.
Secondaries zijn ook geen backup servers.
Secondaries zijn een soort van caching servers.
Het verschil tussen het gewoon cachen en een hele zone secondary beschikbaar maken is: als een client een verzoek doet aan een caching server en deze server heeft het antwoord opgehaald cached ie alleen de gevraagde records. Als je een secondary zone opzet heeft ie alle records al meteen gecached.
Ten tweede blijft alles iets van 36 uur beschikbaar mocht de primary plat gaan, ipv de cache expiry timeout die normaal op records gelden (bijzonder varierend, meestal iets van 15 minuten voor gewone A records).

Verders is bij primary en secondary de zone file gewoon een text file, en bij beide hetzelfde.
Als je primary onderuit gaat kun je rustig de secondary omzetten naar een primary.
Dan worden alle SOA records automatisch even aangepast zodat de server er ook daadwerkelijk als authoritive in staat. Als je primary dan weer terug is kun je gewoon even die file kopieren naar de primary, SOA records even controleren en eventueel aanpassen, en je tijdelijke primary weer omzetten naar secondary.

En een AD integrated zone wordt inderdaad in AD opgeslagen en kun je dus niet syncen tussen 2 DC's die in verschillende domeinen zitten.
Wel zou je een VPN op kunnen zetten tussen beide, gewoon met RRAS wat standaard in de server zit, alleen even instellen.
En even zorgen dat die server niet het VPN IP adres ook gaat registreren in DNS. Anders krijg je SOA records met 192.168.x.x bijvoorbeeld.
Je zou het zelfs zonder VPN kunnen doen, meteen over internet, maar dat is dan weer wat minder veilig.

Dus: je huidige oplossing is in jouw geval denk ik de beste.
Alleen ff op tijd je secondary omzetten naar een primary, en het zou verstandig zijn om regelmatig kopietjes te maken van je zonefile op je secondary, voor het geval er iets foutgaat en je zonefile ineens leeg is.

Dan van secondary omzetten naar primary ging dus niet zomaar (zie mijn eerdere updates).

Daarnaast zijn die textfiles alleen in het geval van bind, microsoft DNS slaat ze in de AD op, niet als text helaas (kun je met WMI queries wel als text er uit trekken, daar niet van).

NKCSS - Projects - YouTube

zaterdag 3 juli 2010 22:14

Acties:

0 Henk 'm!

mookie

Heerlijk Helder

DNS is DNS. Het maakt de DNS server niet zoveel uit of hij zijn aanvragen vanuit een LAN krijgt of het internet. Hij zal het verschil niet zien want een IP netwerk is een IP netwerk.

Er zijn wel DNS servers waarbij je meerdere primary DNS servers hebt zoals je dat hebt met een AD integrated, echter gebruiken ze dan geen AD maar een database.
Ik heb er geen ervaring mee, maar de eerst hit op google leid mij naar:
http://www.howtoforge.com/mydns_name_server

Uiteraard moet je dan ook weer meerdere database servers hebben en die repliceren, anders heb je nog een single point of failure.

Verders moet ik ook zeggen dat de DNS server van microsoft nou niet helemaal super is.
Voor wat licht werk is het prima, maar ik had destijds op een server in een DC gewoon de DNS van windows server 2003 draaien. Werkte prima totdat hij veel reverse lookups moest gaan doen (voor mij eigen applicaties). Bleek dat dat ding zichzelf gewoon opknoopte en niet meer reageerde.
Ik kreeg het niet opgelost dus gebruik sindsdien de DNS server van mijn provider voor gewone lookups en reverse lookups.
Ik kon het probleem echter wel repliceren op een andere test machine.
Gewoon achterlijk veel reverse lookups laten doen, dan wordt ie vanzelf gek.

Maar om op het verhaal terug te komen:
De DNS server van MS is best wel stabiel, bevat praktisch geen vulnerabilities, en als je een makkelijke DNS oplossing wilt kun je door het gebruiken van een secondary en het kopieren van de zonefile voor de veiligheid best wel een goede redundante DNS server oplossing maken. Zolang je maar zorgt dat je binnen 36 uur de secondary omzet naar primary.

Als je iets stabiels wilt met multi-primary zul je toch echt verder moeten zoeken (of de servers in 1 AD hangen).

mookie

zaterdag 3 juli 2010 22:35

Acties:

0 Henk 'm!

mookie

Heerlijk Helder

CMG schreef op zaterdag 03 juli 2010 @ 22:07:
[...]

Daarnaast zijn die textfiles alleen in het geval van bind, microsoft DNS slaat ze in de AD op, niet als text helaas (kun je met WMI queries wel als text er uit trekken, daar niet van).

MS DNS slaat ze alleen in AD op als de zone AD integrated is.
Als je een 2de server hebt die in een andere AD zit en je maakt daar een secondary zone op aan dan zal die secondary gewoon de zone in een bestandje opslaan.
Onder C:\WINDOWS\system32\dns vind je dan mooie .dns bestandjes.

Ik werd toch een beetje benieuwd of alles wat ik nu zeg wel waar is.
Daarom heb ik op 1 server in 1 AD domein een primaire zone gemaakt en die niet in AD opgeslagen.
A recordje aangemaakt, data file geflushed, kopietje gemaakt, zone verwijdert, zone opnieuw aangemaakt maar deze keer AD integrated.
Daarna op een andere server uit een ander domein de zone als secondary ingeladen.
Als ik nu naar het .dns bestand kijk van de originele zone en daarna naar het .dns bestand van de secondary zone dan zijn die identiek.
Dit is de inhoud (heb ff mijn eigen echt domein naam verandert....)

;
; Database file mookie.local.dns for mookie.local zone.
; Zone version: 3
;

@ IN SOA dnsserver.domein.local. hostmaster.domein.local. (
3 ; serial number
900 ; refresh
600 ; retry
86400 ; expire
3600 ) ; default TTL

;
; Zone NS records
;

@ NS dnsserver.domein.local.

;
; Zone records
;

mookieArecord A 127.0.0.1

Daarom moet je ff zelf kopietjes maken.
Als het dan fout gaat kun je in het ergste geval ff heel de zone op de secondary verwijderen, opnieuw aanmaken als primary, dns even stoppen, daarna de lege zonefile overschrijven met je kopie, de @ IN SOA en @ NS aanpassen en dns weer starten.
Of gewoon meteen de backup wijzigen, lege file overschrijven en heeeeeel snel reload doen in dnsmgmt.msc

Als je backups van de DNS file op je primare DNS server wilt maken dan moet je de zone niet AD integrated maken. Op de secondaire heb je altijd alleen maar een .dns file.

mookie

zondag 4 juli 2010 00:30

Acties:

0 Henk 'm!

CMG

Topicstarter

Je hebt helemaal gelijk

Mijn excuses.

Maar ligt het nou aan mij, of is het raar dat er geen eenvoudige zelf-replicerende fail-safe backup DNS met MS DNS te maken is als de secondary DNS niet in het zelfde domain hangt? Schijnbaar is dat een vreemde situatie :-/

NKCSS - Projects - YouTube

zondag 4 juli 2010 01:15

Acties:

0 Henk 'm!

Turdie

Het is heel simpel.

Secondary zones zijn read-only kopieen van primaire zones, dus als je primaire zone wegvalt, heb je ook niks aan je secondaire zone. De records die erin staan kunnen natuurlijk nog wel geresolved worden, maar updates zullen niet meer doorkomen. Tenzij je zones AD-integrated zijn, maar dan wordt het een ander verhaal, maar daar ga ik even niet vanuit.

Als je DNS echt op Windows echt high available wilt maken moet je gaan werken met clustering of iets dergelijks.

Maar DNS op Windows Server draaien, mwah, ik ben er zelf niet zo'n voorstander van, ik zie het liever op een dedicated appliance draaien (Infoblox). In kleine omgevingen kan het wel, maar zodra de omgeving wat groter wordt, zou ik het niet doen.

Een ander ding, het lijkt met niet zo handig dat je je eigen domeinnaam gewoon op een forum plempt, of je moet fijn vinden dat iedereen je vol gaat spammen

[ Voor 59% gewijzigd door Turdie op 04-07-2010 03:03 ]

zondag 4 juli 2010 03:32

Acties:

0 Henk 'm!

CMG

Topicstarter

shadowman12 schreef op zondag 04 juli 2010 @ 01:15:
Maar DNS op Windows Server draaien, mwah, ik ben er zelf niet zo'n voorstander van, ik zie het liever op een dedicated appliance draaien (Infoblox). In kleine omgevingen kan het wel, maar zodra de omgeving wat groter wordt, zou ik het niet doen.

Het is maar voor een stuk of 20 domains, dus het valt allemaal wel reuze mee. Het is voornamelijk voor mezelf. Ik ben een .NET ontwikkelaar, dus overal Windows platform. Als je dan toch de mogelijkheid hebt om af te stappen van de web interface van een handje vol domijn boeren en het lekker op je bakke zelf kan regelen, had ik zo iets van: maar doen, wel zo makkelijk (niet dus

shadowman12 schreef op zondag 04 juli 2010 @ 01:15:
Een ander ding, het lijkt met niet zo handig dat je je eigen domeinnaam gewoon op een forum plempt, of je moet fijn vinden dat iedereen je vol gaat spammen .

Ik heb wat dat betreft geen geheimen; mensen die willen kijken of mailen mogen dat doen. Voor spam hebben we GFI, dus dat komt ook wel goed

NKCSS - Projects - YouTube

zondag 4 juli 2010 23:15

Acties:

0 Henk 'm!

mookie

Heerlijk Helder

CMG schreef op zondag 04 juli 2010 @ 00:30:
Maar ligt het nou aan mij, of is het raar dat er geen eenvoudige zelf-replicerende fail-safe backup DNS met MS DNS te maken is als de secondary DNS niet in het zelfde domain hangt? Schijnbaar is dat een vreemde situatie :-/

Dat licht dan weer niet aan jou, die DNS server van MS schiet daarin te kort.
Het is wel zo dat die DNS server voornamelijk is bedoelt om het AD gedeelte te behappen.
Wat dat betreft kun je voor AD's beter MS DNS gebruiken dan iets anders zoals bind.
De AD integrated replicatie is safe (niet iedereen kan zomaar de DNS partitie uit AD lezen), simpel (maak een server DC, laat hem repliceren en naderhand ff DNS installeren en al je zones zijn er) en efficient (AD replicatie is van nature efficient omdat in principe alleen wijzigingen worden gerepliceerd).

Dus voor AD domeinen is het de beste.
Voor andere zaken zijn er betere (maar meestal complexere) oplossingen.

mookie

maandag 5 juli 2010 19:21

Acties:

0 Henk 'm!

CMG

Topicstarter

Thank god I'm not crazy

Maareh, iedereen bedankt voor de bijdrage, er is weer een hoop geleerd.

NKCSS - Projects - YouTube

Pagina: 1

Reageer

Onderwerpen