Toon posts:

bind probleem: "RRset exists"

Pagina: 1
Acties:

zondag 21 oktober 2001 01:33

Acties:

Verwijderd

Topicstarter
hoi,

het is zondag-ochtend half-twee dus tijd om weer eens de logfiles van m'n (werkgevers)servers door te spitten :)

nu spamt dhcpd via syslog al lange tijd de volgende regels:
code:
1
2
3

dhcpd: DHCPREQUEST for 192.168.x.y from 00:10:83:5b:00:2f (NPI5B002F) via eth0
dhcpd: DHCPACK on 192.168.x.y to 00:10:83:5b:00:2f (NPI5B002F) via eth0
/bind/sbin/named[6401]: dynamic update failed: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)

ik had niet zoveel tijd om er aandacht aan te geven en het netwerk (+-50 winnt pc's) werkt goed dus echt veel priority heeft het niet. toch ben ik op onderzoek geweest en kwam erachter dat deze error komt omdat een andere dhcp server een lease aan een van onze machines heeft gegeven. het netwerk zit bij easynet achter een cisco 2600 en een masquerading linux-router. ik kan me niet voorstellen dat een dhcp-server van internet/easynet bij ons in het netwerk kan komen of kan dit toch? zo ja, hoe kan ik dit voorkomen (met ipchains) of komt de error door iets anders?

p.s. we draaien bind 9.1.3 en dhcpd 3.0-rc10

alvast bedankt

zondag 21 oktober 2001 02:05

Acties:
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

[weet-verder-niks-te-zeggen]
http://www.google.com/search?sourceid=navclient&q=RRset+exists+%28value+dependent%29%27+prerequisite+not+satisfied+%28NXRRSET%29
Misschien heb je daar wat aan? :)
[/weet-verder-niks-te-zeggen]

zondag 21 oktober 2001 12:37

Acties:

Verwijderd

Topicstarter
tja, zoeken bij google had ik al gedaan en daar had ik ook gelezen dat het iets te maken had met een andere dhcp server.

de echte vraag is, kan het zijn dat die 'andere' dhcp server ons netwerk via de cisco en masquerade bereikt en zo ja hoe zorg ik dat dat niet meer gebeurt.

zondag 21 oktober 2001 12:43

Acties:

Verwijderd

Als je geen DNS draait zou ik BIND uitschakelen, omdat het nogal een security risk is.

zondag 21 oktober 2001 15:19

Acties:

Verwijderd

Topicstarter
we gebruiken bind als caching-dns wat vrij goed werkt. als het aan mij lag hadden we een andere dns-server gebruikt want bind is idd niet het toppunt van veiligheid...

nu blijft het probleem wat dhcpd logt, dat "RRset exists", iemand een idee hoe dit probleem op te lossen (25.000 error's per week is beetje overdreven).

zondag 21 oktober 2001 16:43

Acties:

Verwijderd

je hebt dus dynamische update van je bind zonefiles voor je LAN oid? wat staat er in je forward en reverse zone file??

zondag 21 oktober 2001 17:49

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 20-04 22:06

igmar

ISO20022

we gebruiken bind als caching-dns wat vrij goed werkt. als het aan mij lag hadden we een andere dns-server gebruikt want bind is idd niet het toppunt van veiligheid...
Wat een gelul om het netjes te zeggen.. Bind loopt tegenwoordig als user named, niet meer als root. De laatste bind exploit is een behoorlijke tijd geleden.
nu blijft het probleem wat dhcpd logt, dat "RRset exists", iemand een idee hoe dit probleem op te lossen (25.000 error's per week is beetje overdreven).
Ik zal effe kijken of ik dat Ma kan opzoeken.

zondag 21 oktober 2001 19:54

Acties:

Verwijderd

Topicstarter
Wat een gelul om het netjes te zeggen.. Bind loopt tegenwoordig als user named, niet meer als root. De laatste bind exploit is een behoorlijke tijd geleden.
je kan niet ontkennen dat bind een flinke geschiedenis kwa bugs heeft gehad. ik heb het niet alleen over root-exploits maar ook dos-attacs en wat nogmeer. ik ben al een tijdje geen lid meer van bugtraq maar het programma bind was daan niet onbekend. bind is net als wu-ftpd en sendmail erg veelzijdig wat automatisch problemen met zich meebrengt.
het blijf wel zo dat bind omdat het zo veelzijdig is er prettig mee te werken valt.
Ik zal effe kijken of ik dat Ma kan opzoeken.
dat zou cool zijn want ik heb geen idee wat het probleem nou precies is en hoe ik het kan oplossen.

maandag 22 oktober 2001 02:03

Acties:
  • weirdje
  • Registratie: Oktober 2001
  • Laatst online: 30-11-2021

weirdje

WEiRD runs Unix

Op zondag 21 oktober 2001 15:19 schreef wkamphuis het volgende:
we gebruiken bind als caching-dns wat vrij goed werkt. als het aan mij lag hadden we een andere dns-server gebruikt want bind is idd niet het toppunt van veiligheid...

nu blijft het probleem wat dhcpd logt, dat "RRset exists", iemand een idee hoe dit probleem op te lossen (25.000 error's per week is beetje overdreven).
Als je BIND als caching DNS gebruikt, heb je zeker geen DDNS functionaliteit nodig. Ik zou sowieso de logging van die foutmelding uitzetten.

Ook zou je eens in je DHCPD conf dynamic updates uit moeten zetten, dat scheelt waarschijnlijk een slok op een borrel.
code:
1

ddns-update-style none;

in je dhcpd.conf zou wonderen moeten verrichten.

Running Unix with a reason : it runs and keeps running.

maandag 22 oktober 2001 02:09

Acties:
  • weirdje
  • Registratie: Oktober 2001
  • Laatst online: 30-11-2021

weirdje

WEiRD runs Unix

Op zondag 21 oktober 2001 01:33 schreef wkamphuis het volgende:
hoi,

het is zondag-ochtend half-twee dus tijd om weer eens de logfiles van m'n (werkgevers)servers door te spitten :)

nu spamt dhcpd via syslog al lange tijd de volgende regels:
code:
1
2
3

dhcpd: DHCPREQUEST for 192.168.x.y from 00:10:83:5b:00:2f (NPI5B002F) via eth0
dhcpd: DHCPACK on 192.168.x.y to 00:10:83:5b:00:2f (NPI5B002F) via eth0
/bind/sbin/named[6401]: dynamic update failed: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)

ik had niet zoveel tijd om er aandacht aan te geven en het netwerk (+-50 winnt pc's) werkt goed dus echt veel priority heeft het niet. toch ben ik op onderzoek geweest en kwam erachter dat deze error komt omdat een andere dhcp server een lease aan een van onze machines heeft gegeven. het netwerk zit bij easynet achter een cisco 2600 en een masquerading linux-router. ik kan me niet voorstellen dat een dhcp-server van internet/easynet bij ons in het netwerk kan komen of kan dit toch? zo ja, hoe kan ik dit voorkomen (met ipchains) of komt de error door iets anders?

p.s. we draaien bind 9.1.3 en dhcpd 3.0-rc10

alvast bedankt
Op zich grappig dat je je 1918 adressen anonimiseert, maar niet je MAC adres, daar kunnen we meer aan zien dan aan welk IP adres je hebt gekregen.
Even nog over dat internet verhaal. Dat kan niet. DHCP is broadcast verkeer (in eerste instantie). Tenzij je je Cisco voor DHCP relay hebt geconfigureerd (ik betwijfel het ;)) komen de DHCP requests niet van buiten.

Hoe ben je erachter gekomen dat deze meldingen van een andere DHCP server komen ? Waarom denk je dit ?

Zie verder m'n vorige post...

Running Unix with a reason : it runs and keeps running.

maandag 22 oktober 2001 08:14

Acties:

Verwijderd

Topicstarter
we gebruiken bind voor caching-dns 'en' dhcpd om ip adressen aan de winnt machines uit te delen dus beide zijn nodig.
Op zich grappig dat je je 1918 adressen anonimiseert, maar niet je MAC adres, daar kunnen we meer aan zien dan aan welk IP adres je hebt gekregen.
och, mac-adres heb je weinig aan tenzij je weet in welk subnet we easynet zitten :)
Even nog over dat internet verhaal. Dat kan niet. DHCP is broadcast verkeer (in eerste instantie). Tenzij je je Cisco voor DHCP relay hebt geconfigureerd (ik betwijfel het ) komen de DHCP requests niet van buiten.
ok, dus dat verhaal van een 2e dhcp-server klopt dus niet. ik had dat 'ergens' op het grote www gelezen, weet niet meer waar. nu het probleem, wat is het wel...

maandag 22 oktober 2001 13:36

Acties:
  • weirdje
  • Registratie: Oktober 2001
  • Laatst online: 30-11-2021

weirdje

WEiRD runs Unix

Op maandag 22 oktober 2001 08:14 schreef wkamphuis het volgende:
we gebruiken bind voor caching-dns 'en' dhcpd om ip adressen aan de winnt machines uit te delen dus beide zijn nodig.
Ik zeg ook niet dat je een van de twee uit moet zetten. Wat je moet doen is DDNS support in DHCPD uitzetten. Zie vorige posting. Caching DNS hoef je niet te updaten !
och, mac-adres heb je weinig aan tenzij je weet in welk subnet we easynet zitten :)
Tsjah. Het is in ieder geval een HP kaart. Waarschijnlijk een HP machine ook nog eens. Wat ik maar wil zeggen is dat ik meer weet adhv je MAC adres dan door je IP adres - iedereen gebruikt 1918 adresruimte. Ik heb thuis 192.168.41.0/24, kun je niks mee. Weet je niks door.

Running Unix with a reason : it runs and keeps running.

maandag 22 oktober 2001 13:46

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 20-04 22:06

igmar

ISO20022

je kan niet ontkennen dat bind een flinke geschiedenis kwa bugs heeft gehad. ik heb het niet alleen over root-exploits maar ook dos-attacs en wat nogmeer. ik ben al een tijdje geen lid meer van bugtraq maar het programma bind was daan niet onbekend. bind is net als wu-ftpd en sendmail erg veelzijdig wat automatisch problemen met zich meebrengt.
het blijf wel zo dat bind omdat het zo veelzijdig is er prettig mee te werken valt.
Met de nadruk op HADDEN problemen. Tegenwoordig loopt bind als user named, sendmail is ook non-root en wu-ftpd gebruikt niemand meer :)

Dat ze in het verleden problemen hadden is geen reden om ze niet meer te gebruiken, als dat zo is kunnen we beter meteen alle Windows versies deinstalleren.
dat zou cool zijn want ik heb geen idee wat het probleem nou precies is en hoe ik het kan oplossen.
Eens effe spitten in de docs hier zo :)

maandag 22 oktober 2001 17:20

Acties:

Verwijderd

Topicstarter
Ik zeg ook niet dat je een van de twee uit moet zetten. Wat je moet doen is DDNS support in DHCPD uitzetten. Zie vorige posting. Caching DNS hoef je niet te updaten!
de dhcp-leases moeten toch wel in de dns gezet worden of hoeft dat heel niet? morgen ga ik (misschien) dhcpd-3.0-pre12 proberen, volgens mij zou die dit probleem wel eens kunnen fixen. deze link geeft info
Tsjah. Het is in ieder geval een HP kaart. Waarschijnlijk een HP machine ook nog eens. Wat ik maar wil zeggen is dat ik meer weet adhv je MAC adres dan door je IP adres - iedereen gebruikt 1918 adresruimte. Ik heb thuis 192.168.41.0/24, kun je niks mee. Weet je niks door.
is een acer machine met een intel-nic maar ik gebruikte de x.y om aan te geven dat die er ff niet toe doen. :)

maandag 22 oktober 2001 18:31

Acties:
  • weirdje
  • Registratie: Oktober 2001
  • Laatst online: 30-11-2021

weirdje

WEiRD runs Unix

Op maandag 22 oktober 2001 17:20 schreef wkamphuis het volgende:

de dhcp-leases moeten toch wel in de dns gezet worden of hoeft dat heel niet? morgen ga ik (misschien) dhcpd-3.0-pre12 proberen, volgens mij zou die dit probleem wel eens kunnen fixen. deze link geeft info
Hmm - gebruik je nu juist wel of juist niet dDNS ? Als je ddns-update uit zet in je DHCPD config, worden je zonefiles niet meer door DHCPD gestalked. Je kunt dan natuurlijk nog wel handmatig de zonefiles vullen met hostnames. Ik dacht alleen dat je alleen caching DNS draaide, vandaar !
is een acer machine met een intel-nic maar ik gebruikte de x.y om aan te geven dat die er ff niet toe doen. :)
Hmm .. heeft het MAC adres van een HP kaart (die client dus). Weet je't zeker ? Ik dacht niet dat HP kaarten voor Intel maakte...

Running Unix with a reason : it runs and keeps running.

maandag 22 oktober 2001 18:45

Acties:

Verwijderd

Topicstarter
Hmm - gebruik je nu juist wel of juist niet dDNS ? Als je ddns-update uit zet in je DHCPD config, worden je zonefiles niet meer door DHCPD gestalked. Je kunt dan natuurlijk nog wel handmatig de zonefiles vullen met hostnames. Ik dacht alleen dat je alleen caching DNS draaide, vandaar!
ik ga niet met de hand 50+ hostnames in de dns zetten... daar is ddns juist voor.
Hmm .. heeft het MAC adres van een HP kaart (die client dus). Weet je't zeker ? Ik dacht niet dat HP kaarten voor Intel maakte...
oh, ik snap 'm. de client kan idd een hp zijn, weet ik niet zeker. ik dacht ff dat we het over de server hadden maar nu zie ik wat je bedoelt. :)

ik post morgen wel of het gelukt is, als ik er iig tijd voor hebt.

dinsdag 23 oktober 2001 02:41

Acties:

Verwijderd

Trouwens.. voor al die gene die de elende met BIND zat zijn; er is ook nog een alternatief: djbdns..

djbdns (http://cr.yp.to/djbdns.html) blijkt in het begin een primitief programma te zijn, maar wat er primitief uit ziet kan later toch wel heel erg nuttig en uitgebreid blijken...

Ik heb djbdns nu enkele weken getest en ben tot de conclusie gekomen dat ik BIND aan het einde van de maand eruit ga trappen.

Het grootste voordeel van djbdns is dat het veel stabieler is en dat je een "security guarantee" krijgt, als je een bug vindt, dan krijg je $500 van de auteur (althans, dat beweert ie ;) ).

djbdns heeft een aantal voordelen en een aantal vreemde eigenschappen (de grootste voordelen voor mij zijn automatische serienummers en het super eenvoudige formaat van de zone files/database).

Het is trouwens ook te gebruiken in combinatie met DHCP (alhoewel je daarvoor wat patches nodig hebt). Misschien wel eens de moeite waard om naar te kijken.

dinsdag 23 oktober 2001 10:15

Acties:
  • weirdje
  • Registratie: Oktober 2001
  • Laatst online: 30-11-2021

weirdje

WEiRD runs Unix

Op maandag 22 oktober 2001 18:45 schreef wkamphuis het volgende:

[..]

ik ga niet met de hand 50+ hostnames in de dns zetten... daar is ddns juist voor.
Het is maar wat je wilt. Als je al je hosts in de dynamische reeks met 'werkplek00' t/m 'werkplek99' aanmaakt, ben je ook zo klaar natuurlijk. Heb je niks aan dynamische DNS nodig - krijg je ook geen 'Deslimste.domein.tld' en 'geilgrietje.domein.tld'.

Je had het over een caching DNS - dit is natuurlijk iets meer. Als je ddns wilt gebruiken, moet je niet die ddns-updates uitzetten in je DHCP server.
oh, ik snap 'm. de client kan idd een hp zijn, weet ik niet zeker. ik dacht ff dat we het over de server hadden maar nu zie ik wat je bedoelt. :)
Dat 192.168.x.y was toch van de client ? Daar had ik het over ;)
ik post morgen wel of het gelukt is, als ik er iig tijd voor hebt.
Succes !!

Running Unix with a reason : it runs and keeps running.

Pagina: 1
Reageer