Re: Bind9.3.1 - 2ndary - updates lahm

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 21 Aug 2006 12:45:13 +0200 (CEST)



Rainer Duffner <rainer(at)ultra-secure.de> wrote:


 > ich betreibe einen 2ndary-only BIND auf FreeBSD 6.0.


 > 


 > Ein Kunde hat sich beschwert, dass die Updates sehr lange brauchen, bis 


 > sie auf unseren Rechner auftauchen:



Wie lange?  Gibt es konkrete Zahlen?  Insbesondere wäre


interessant zu wissen, ob es länger als die »refresh«-


Zeit aus der SOA dauert.  Kannst Du das problem



Wenn alles korrekt funktioniert -- insbesondere die


Notifies --, sollten die Updates allerdings sofort pas-


sieren, unabhängig vom »refresh«-Intervall.  Allerdings


kann es passieren, dass negative Ergebnisse (NXDOMAIN)


für kurze Zeit gecacht werden (5 Minuten oder so).


Darüberhinaus findet auch in einigen Anwendungen ein


Caching statt (typisches Beispiel: Squid).



Übrigens:  Kannst Du das Problem selbst nachvollziehen,


oder gibt es lediglich die Beschwerde vom Kunden?



 > Aug 20 11:35:19 named[28009]: zone domain.ch/IN: loaded serial 2006082001


 > Aug 20 11:35:19 named[28009]: zone domain.ch/IN: sending notifies 


 > (serial 2006082001)



Hm, die Serial sieht OK aus.  (Typischer Fehler wäre,


eine Ziffer zuviel zu verwenden, so dass dir 32 Bits


überlaufen, was zu fehlenden Updates führen kann.)



 > Aug 20 11:35:19 named[28009]: received notify for zone 'domain.ch'



Sieht auch OK aus.  Mein erster Verdacht war, dass die


Notifies nicht gesendet werden und/oder nicht ankommen


(wg. Paketfilter, Fehler in BIND-Config etc.).  Das


scheint aber nicht der Fall zu sein.



 > Das ganze ist als jail am Laufen, mit so ziemlich der 


 > Default-Konfiguration von BIND.


 > 


 > Muss man da irgendwas beachten?



Eigentlich sollte es out-of-the-box laufen.  Chroot ist ja


in FreeBSD 6 eh schon der Default, und im Jail statt Chroot


sollte es ebensogut laufen (vorausgesetzt, der notwendige


Netzzugriff ist im Jail mit der richtigen IP möglich).


Ob's am Netz liegt oder nicht, kann man ja rasch feststel-


len, indem man vorübergehend chroot statt jail verwendet.


Oder einfach mal eine DNS-Abfrage im tcpdump angucken,


oder mit »host -d«.



Gruß


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"To this day, many C programmers believe that 'strong typing'
just means pounding extra hard on the keyboard."
        -- Peter van der Linden
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 21 Aug 2006 - 12:47:17 CEST













search this site