(no subject)

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 21 Aug 2006 17:35:14 +0200 (CEST)

Rainer Duffner wrote:
> Oliver Fromme schrieb:
> > Rainer Duffner <rainer(at)ultra-secure.de> wrote:
> > > ich betreibe einen 2ndary-only BIND auf FreeBSD 6.0.
> > > Ein Kunde hat sich beschwert, dass die Updates sehr lange brauchen, bis
> > > sie auf unseren Rechner auftauchen:
> >
> > Wie lange? Gibt es konkrete Zahlen?
>
> Naja, so rounadabout 2-3h, wenn ich das richtig im Kopf habe.
>
> > Insbesondere wäre interessant zu wissen, ob es länger als
> > die »refresh«-Zeit aus der SOA dauert.
>
> Refresh ist 10800, vom dem her dachte ich eigentlich, es sei normal.

Hmm, das wären ja 3 Stunden. Da liegt der Verdacht nahe,
dass die Notifies nicht funktionieren.

> Ich sehe halt in den Logs gar nichts zum Thema IXFR/notify.
> Die Auszüge sind vom named vom Kunden.

Achso, OK, dann hatte ich die fehlinterpretiert. Ich nahm
an, das seien Deine eigenen Logs.

> Ich habe da noch knapp 500 andere Slaves "rumliegen", und wenn die Leute
> gebacken kriegen, das sie unserer IP den AXFR erlauben müssen (oder
> ihrer IP die NOTIFYs), dann geht es im Allgemeinen.
> Zumindest hat sich noch nie jemand beschwert.

AXFR sollte gehen, sonst würden die Update nie durchkom-
men, auch nach 3 Stunden nicht. Es sieht aber ganz so aus,
als wenn die Notifies nicht ankommen. Das sollte man mit
BIND-Logging (s.u.) oder auch tcpdump überprüfen können.

> Ich finde BIND aber sehr verwirrend.
> Z.B. würde ich gerne ein "verboseres" logging anschalten, aber ich werde
> nicht so richtig schlau aus der Doku.

Ist eigentlich recht gut dokumentiert (und bei BIND8 und
BIND9 auch recht ähnlich). Wenn Du Doku installiert hast,
dann /usr/share/doc/bind9/arm/Bv9ARM.html ("Logging"),
sonst /usr/src/contrib/bind9/doc/arm/Bv9ARM.html.

Für den Anfang müßte folgendes in der named.conf genügen:

logging {
        channel my_debug {
                file "named.log";
                print-time yes;
                print-category yes;
                print-severity yes;
        };
        category default { my_debug; };
        category lame-servers { my_debug; };
        category xfer-in { my_debug; };
        category xfer-out { my_debug; };
        category notify { my_debug; };
        category security { my_debug; };
};

Vorher im Arbeitsverzeichnis des named eine Datei named.log
anlegen und dem user "bind" übereignen (chown), damit er
reinschreiben kann.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
Perl is worse than Python because people wanted it worse.
        -- Larry Wall
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 21 Aug 2006 - 17:37:08 CEST

search this site