Cursos Servidores con Centos 6
Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Redes y Servidores Nuevo tema Publicar Respuesta
 Servidor DNS secundario no resuelve cuando el DNS primario esta caido.
Tema anterior Tema siguiente
   
123100344
Publicado en 09/09/16 04:17 (Leído 1979 veces)  

Nuevo
Forum User

Inscrito: 09/09/16 Publicaciones: 13
Saludos a todos.
Tengo el siguiente problema no sé si me puedan ayudar les agradecería mucho.
Cuento con una zona DNS maestro en Windows Server 2012 y una zona DNS esclavo en CentOS 6.7, para las maquinas cliente asignó la IP mediante DHCP así como el DNS.
Ya hice la transferencia de zona de Windows Server a Linux la cual fue satisfactoria ya que puedo encontrar el archivo especificado en la zona esclavo con los registros de la zona maestra.
Pero el problema está que cuando detengo el servicio del DNS en Windows Server 2012 y hago nslookup las peticiones solo se hacen al DNS primario y nunca entra automáticamente el DNS secundario.
Se supone que cuando el DNS primario deja de responder el DNS secundario entra automáticamente o no.
Luego cambio el DNS preferido manualmente por el DNS alternativo y solo asi responde el DNS secundario

Las configuraciones para los servidores son los siguientes:

1) El servidor Windows Server 2012 tiene como nombre apple1 y con una IP de 10.10.10.1
2 )El servidor CentOS tiene como nombre apple y con una IP de 10.10.10.2

En el archivo /etc/resolv.conf del lado del servidor esclavo tengo lo siguiente:

[root@apple usuariocc]# cat /etc/resolv.conf
# Generated by NetworkManager
search itssnp.edu.
domain itssnp.edu.
nameserver 10.10.10.2
nameserver 10.10.10.1


En el archivo /etc/named.conf tengo la siguiente configuración:

[root@apple usuariocc]# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;

dnssec-enable yes;
dnssec-validation yes;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";

};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";




zone "itssnp.edu" IN {
type slave;
file "slaves/dnsesclavo.db";
masters { 10.10.10.1; };
};

zone "10.10.10.in-addr.arpa" IN {
type slave;
file "slaves/inversa.db";
masters { 10.10.10.1; };
};



 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 09/09/16 07:46  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1726
País:Mexico
Añade «alllow-transer { 10.10.10.1; };» debajo de los «masters { 10.10.10.1; };» o vas a quedar vulnerable a ataques DDoS iniciados por solicitudes XFER.

El resto de la configuración se ve bien. Muy abierta, pero bien. Yo añadiría a las opciones «allow-query { 127.0.0.1/32; 10.10.10.0/24; };» y «forwarders { 8.8.8.8; 8.8.4.4; }; forward first;» para estar tranquilo y evitarte DoS desencadenados por el tráfico de tu LAN. Los servidores DNS son muy suceptibles a fallar por saturación de tráfico o peticiones.

¿Abriste el puerto 53 por TCP y UDP en el CentOS 6? Necesitas abrir por ambos protocolos. Las peticiones por UDP sólo se ocupan cuando las conexiones utilizan menos de 512 bytes. Conexiones que usen arriba de éso utilizan TCP.

PHP Formatted Code
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT

service iptables save


Adiconalmente, edita /etc/resolv.conf y ponte a ti mismo como único DNS. ësto con fines diagnósticos y de evitarte problemas.
 
Perfil Sitio Web
 Citar
123100344
Publicado en 12/09/16 09:22  

Nuevo
Forum User

Inscrito: 09/09/16 Publicaciones: 13
Gracias por la respuesta.
Tomare en consideración sus sugerencias.
Apenas estoy empezando en esto y tengo un montón de dudas la primera es:

1)En el archivo /etc/resolv.conf del DNS esclavo tengo que especificar la IP del DNS maestro y esclavo.

Con respecto a mi problema anterior ya abrí el puerto 53 por TCP y UDP pero cuando apago el DNS maestro , el DNS esclavo no entra automáticamente no se que a que se deba.
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 13/09/16 02:53  

Admin
Site Admin

Inscrito: 17/02/07 Publicaciones: 1726
País:Mexico
No. No es necesario. Tanto en maestro como esclavo sólo debes especificar la dirección IP del anfitrión local:

BASH Formatted Code
domain itssnp.edu
nameserver 127.0.0.1


Por favor lee los siguientes dos documentos antes de tu siguiente pregunta:

http://www.alcancelibre.org/staticpages/index.php/introduccion-protocolo-dns
http://www.alcancelibre.org/staticpages/index.php/como-dns

Valida que el servidor esclavo funcione. Ejecuta lo siguiente desde una consola en el esclavo:

BASH Formatted Code
host mx.yahoo.com 127.0.0.1

host algo.itssnp.edu 127.0.0.1


Si lo anterior falla, debes verificar la configuración en /etc/named.conf y asegurarte que tengas lo siguiente en la sección de options:

BASH Formatted Code
    recursion yes;
    allow query { 127.0.0.1/8; 10.10.10.0/24; }; // o lo que corresponda. NO PONGAS 'ANY'. Es peligroso.
    forwarders { 8.8.8.8; 8.8.4.4; }; // o bien los DNS que te haya asignado tu ISP.
    forward first;


Si tienes SELinux activo en ambos servidores, necesitas aplicar la política que permite reescritura de zonas en el servidor esclavo. Ejecuta lo siguiente:

BASH Formatted Code
setsebool -P named_write_master_zones=1


En el servidor maestro la condifuración de tus zonas tiene que estar así:

BASH Formatted Code
zone "itssnp.edu" IN {
    type master;
    file "dnsesclavo.db";
    allow-update { none; };
    allow-transfer { 10.10.10.2; };
};

zone "10.10.10.in-addr.arpa" IN {
    type master;
    file "inversa.db";
    allow-update { none; };
    allow-transfer { 10.10.10.2; };
};


En el servidor esclavo, las zonas deben estar configuradas así:

BASH Formatted Code
zone "itssnp.edu" IN {
    type slave;
    file "slaves/dnsesclavo.db";
    allow-transfer { 10.10.10.1; };
    masters { 10.10.10.1; };
};

zone "10.10.10.in-addr.arpa" IN {
    type slave;
    file "slaves/inversa.db";
    allow-transfer { 10.10.10.1; };
    masters { 10.10.10.1; };
};
 
Perfil Sitio Web
 Citar
123100344
Publicado en 05/10/16 07:49  

Nuevo
Forum User

Inscrito: 09/09/16 Publicaciones: 13
Muchas gracias
 
Perfil
 Citar
Contenido generado en: 0,21 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 06:24 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado