[Sysadmins] BIND не обновляет зоны

[Sysadmins] BIND не обновляет зоны

[Timur Batyrshin]

[-- Attachment #1: Type: text/plain, Size: 756 bytes --]

Имеется зона, обновляемая dhcpd по ключу и возникла такая проблема: при
обновлении зоны в файл изменения вносятся, однако разрешаться эти
адреса не начинают до рестарта BIND-а (reload не помогает).
Подозреваю, что дело в том, что эта зона находится в нескольких
view и изменения применяются только в первой по счету.
Сходу ничего в доках об этом не нашел.

Как бы это побороть кроме как перестановкой порядка зон в конфиге?

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] BIND не обновляет зоны

[Boltris Alexandr]

Timur Batyrshin пишет:
> Имеется зона, обновляемая dhcpd по ключу и возникла такая проблема: при
> обновлении зоны в файл изменения вносятся, однако разрешаться эти
> адреса не начинают до рестарта BIND-а (reload не помогает).
> Подозреваю, что дело в том, что эта зона находится в нескольких
> view и изменения применяются только в первой по счету.
> Сходу ничего в доках об этом не нашел.
> 
> Как бы это побороть кроме как перестановкой порядка зон в конфиге?
конфиги мастера и слейва в студию. лучше на paste.org.ru

Re: [Sysadmins] BIND не обновляет зоны

[Timur Batyrshin]

В письме от Пнд, 10 Ноя 2008, 18:53 Boltris Alexandr
пишет:
>> Имеется зона, обновляемая dhcpd по ключу и
>> возникла такая проблема: при
>> обновлении зоны в файл изменения
>> вносятся, однако разрешаться эти
>> адреса не начинают до рестарта BIND-а (reload
>> не помогает).
>> Подозреваю, что дело в том, что эта зона
>> находится в нескольких
>> view и изменения применяются только в
>> первой по счету.
>> Сходу ничего в доках об этом не нашел.
>>
>> Как бы это побороть кроме как
>> перестановкой порядка зон в конфиге?
> конфиги мастера и слейва в студию. лучше
> на paste.org.ru

Не мастер и слейв, а сервер dhcpd и bind.

dhcpd.conf:   http://paste.org.ru/?yfwdmi
named.conf:   http://paste.org.ru/?3iedl8
domain.conf:  http://paste.org.ru/?ovsgif

Динамическое обновление происходит в
зоне dom1.domain.ru

Из всех файлов удалены комментарии, те,
что начинаются на '//' я добавил сейчас
вручную. Название домена и внешние
адреса изменены, но их структура
соответствует реальной. Все include, кроме
'include domain.conf' в конфигах раскрыты.

Re: [Sysadmins] BIND не обновляет зоны

[Anton Kvashin]

Timur Batyrshin пишет:
> Имеется зона, обновляемая dhcpd по ключу и возникла такая проблема: при
> обновлении зоны в файл изменения вносятся, однако разрешаться эти
> адреса не начинают до рестарта BIND-а (reload не помогает).
> Подозреваю, что дело в том, что эта зона находится в нескольких
> view и изменения применяются только в первой по счету.
> Сходу ничего в доках об этом не нашел.
> 
> Как бы это побороть кроме как перестановкой порядка зон в конфиге?

Посмотрите логи (категория general), нет ли error, unexpected error?

-- 
Anton Kvashin

Re: [Sysadmins] BIND не обновляет зоны

[Boltris Alexandr]

Timur Batyrshin пишет:
> В письме от Пнд, 10 Ноя 2008, 18:53 Boltris Alexandr
> пишет:
>>> Имеется зона, обновляемая dhcpd по ключу и
>>> возникла такая проблема: при
>>> обновлении зоны в файл изменения
>>> вносятся, однако разрешаться эти
>>> адреса не начинают до рестарта BIND-а (reload
>>> не помогает).
>>> Подозреваю, что дело в том, что эта зона
>>> находится в нескольких
>>> view и изменения применяются только в
>>> первой по счету.
>>> Сходу ничего в доках об этом не нашел.
>>>
>>> Как бы это побороть кроме как
>>> перестановкой порядка зон в конфиге?
>> конфиги мастера и слейва в студию. лучше
>> на paste.org.ru
> 
> Не мастер и слейв, а сервер dhcpd и bind.
прошу прощения, я не сразу сообразил что за схема собрана
> 
> dhcpd.conf:   http://paste.org.ru/?yfwdmi
> named.conf:   http://paste.org.ru/?3iedl8
> domain.conf:  http://paste.org.ru/?ovsgif
> 
> Динамическое обновление происходит в
> зоне dom1.domain.ru
> 
> Из всех файлов удалены комментарии, те,
> что начинаются на '//' я добавил сейчас
> вручную. Название домена и внешние
> адреса изменены, но их структура
> соответствует реальной. Все include, кроме
> 'include domain.conf' в конфигах раскрыты.
создаётся впечатление, что неверно работает reload. Просто не 
подозревает о наличии view-а в конфигурации. Боюсь что здесь никто не 
поможет решить эту проблемы -- лучше обратиться непосредственно к 
разработчикам bind-а.

p.s.
ну и если сервер не очень загружен днс-запросами, то вполне можно делать 
   restart вместо reload.

Re: [Sysadmins] BIND не обновляет зоны

[Timur Batyrshin]

[-- Attachment #1: Type: text/plain, Size: 1660 bytes --]

On Tue, 11 Nov 2008 12:08:35 +0200
Boltris Alexandr wrote:

> > Не мастер и слейв, а сервер dhcpd и bind.
> прошу прощения, я не сразу сообразил что за схема собрана
> > 
> > dhcpd.conf:   http://paste.org.ru/?yfwdmi
> > named.conf:   http://paste.org.ru/?3iedl8
> > domain.conf:  http://paste.org.ru/?ovsgif
> создаётся впечатление, что неверно работает reload. Просто не 
> подозревает о наличии view-а в конфигурации. Боюсь что здесь никто не 
> поможет решить эту проблемы -- лучше обратиться непосредственно к 
> разработчикам bind-а.
> ну и если сервер не очень загружен днс-запросами, то вполне можно
> делать restart вместо reload.

Можно, наверное и делать `ndc reload zone class view` (это я не
проверял еще), да и рестарт тоже мгновенно происходит, но дело не в
этом, а в том, что это приходится делать вручную (или в крон
заносить),  а не должно вообще требовать вмешательства, иначе грош цены
этому ddns.

Логи, как мне в соседнем сообщении я еще более внимательно
проинспектирую, хотя до этого на первый взгляд ничего не замечал.

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] BIND не обновляет зоны

[Boltris Alexandr]

Timur Batyrshin пишет:
> Можно, наверное и делать `ndc reload zone class view` (это я не
> проверял еще), да и рестарт тоже мгновенно происходит, но дело не в
> этом, а в том, что это приходится делать вручную (или в крон
> заносить),  а не должно вообще требовать вмешательства, иначе грош цены
> этому ddns.
DNS & BIND CookBook -- сила!
вот то волшебство которое надо делать вместо reload
rndc reload dom1.domain.ru IN local
rndc reload dom1.domain.ru IN internal-recursive
rndc reload dom1.domain.ru IN internal
rndc reload dom1.domain.ru IN external
rndc reload dom1.domain.ru IN misc

после выплнения первой команды в логах должно появиться вот это (если у 
тебя настроено логирование):
general: info: received control channel command 'reload dom1.domain.ru 
IN local'
general: info: zone dom1.domain.ru/IN/local: loaded serial 2008111100
notify: info: zone dom1.domain.ru/IN/local: sending notifies (serial 
2008111100)


вот самый просто пример включения логирования всего :)
http://paste.org.ru/?b3685i -- сохранить в отдельный файлик и делать 
include

Re: [Sysadmins] BIND не обновляет зоны

[Timur Batyrshin]

[-- Attachment #1: Type: text/plain, Size: 2311 bytes --]

On Tue, 11 Nov 2008 10:26:03 +0500
Anton Kvashin wrote:

> Timur Batyrshin пишет:
> > Имеется зона, обновляемая dhcpd по ключу и возникла такая проблема:
> > при обновлении зоны в файл изменения вносятся, однако разрешаться
> > эти адреса не начинают до рестарта BIND-а (reload не помогает).
> > Подозреваю, что дело в том, что эта зона находится в нескольких
> > view и изменения применяются только в первой по счету.
> > Сходу ничего в доках об этом не нашел.
> > 
> > Как бы это побороть кроме как перестановкой порядка зон в конфиге?
> 
> Посмотрите логи (категория general), нет ли error, unexpected error?

Ошибок не видно, зато видно, что похоже обновляется только view 'local' (severity debug):

12-Nov-2008 07:14:08.978 update: info: client 10.1.1.X#37788: view local: updating zone 'dom1.domain.ru/IN': update unsuccessful: comp2.dom1.domain.ru: 'name not in use' prerequisite not satisfied (YXDOMAIN)
12-Nov-2008 07:14:08.978 update: info: client 10.1.1.X#37788: view local: updating zone 'dom1.domain.ru/IN': deleting rrset at 'comp2.dom1.domain.ru' A
12-Nov-2008 07:14:08.979 update: info: client 10.1.1.X#37788: view local: updating zone 'dom1.domain.ru/IN': adding an RR at 'comp2.dom1.domain.ru' A
12-Nov-2008 07:14:08.979 update: info: client 10.1.1.X#37788: view local: updating zone '168.192.in-addr.arpa/IN': deleting rrset at 'XXX.1.168.192.in-addr.arpa' PTR
12-Nov-2008 07:14:08.979 update: info: client 10.1.1.X#37788: view local: updating zone '168.192.in-addr.arpa/IN': adding an RR at 'XXX.1.168.192.in-addr.arpa' PTR

Проверил еще раз детальнее, откуда резолвится, откуда нет -- получилось что 
из view 'local' адрес резолвится, из остальных нет. Причем, не важно даже в каком
порядке эти view в конфиге указаны.

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] BIND не обновляет зоны

[Timur Batyrshin]

[-- Attachment #1: Type: text/plain, Size: 1429 bytes --]

On Tue, 11 Nov 2008 15:41:28 +0200
Boltris Alexandr wrote:

> Timur Batyrshin пишет:
> > Можно, наверное и делать `ndc reload zone class view` (это я не
> > проверял еще), да и рестарт тоже мгновенно происходит, но дело не в
> > этом, а в том, что это приходится делать вручную (или в крон
> > заносить),  а не должно вообще требовать вмешательства, иначе грош
> > цены этому ddns.
> DNS & BIND CookBook -- сила!
> вот то волшебство которое надо делать вместо reload
> rndc reload dom1.domain.ru IN local
> rndc reload dom1.domain.ru IN internal-recursive
> rndc reload dom1.domain.ru IN internal
> rndc reload dom1.domain.ru IN external
> rndc reload dom1.domain.ru IN misc

Для динамических зон reload, похоже, не работает вообще:

[root@bind etc]# ndc reload dom1.domain.ru IN internal-recursive
ndc: 'reload' failed: dynamic zone

В этом и причина того, что для этой зоны не работает и просто `ndc reload`.

Однако это вопроса о том, почему динамическая зона обновляется только в одном view не снимает.

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] BIND не обновляет зоны

[Boltris Alexandr]

Timur Batyrshin пишет:
> On Tue, 11 Nov 2008 15:41:28 +0200
> Boltris Alexandr wrote:
> 
>> Timur Batyrshin пишет:
>>> Можно, наверное и делать `ndc reload zone class view` (это я не
>>> проверял еще), да и рестарт тоже мгновенно происходит, но дело не в
>>> этом, а в том, что это приходится делать вручную (или в крон
>>> заносить),  а не должно вообще требовать вмешательства, иначе грош
>>> цены этому ddns.
>> DNS & BIND CookBook -- сила!
>> вот то волшебство которое надо делать вместо reload
>> rndc reload dom1.domain.ru IN local
>> rndc reload dom1.domain.ru IN internal-recursive
>> rndc reload dom1.domain.ru IN internal
>> rndc reload dom1.domain.ru IN external
>> rndc reload dom1.domain.ru IN misc
> 
> Для динамических зон reload, похоже, не работает вообще:
> 
> [root@bind etc]# ndc reload dom1.domain.ru IN internal-recursive
> ndc: 'reload' failed: dynamic zone
> 
> В этом и причина того, что для этой зоны не работает и просто `ndc reload`.
> 
> Однако это вопроса о том, почему динамическая зона обновляется только в одном view не снимает.
в таком случае (failed: dymamic zone) правильнее спросить почему не 
происходит динамического обновления, раз reload не предусмотрен для 
динамических зон. и тут даже толстая книжка не поможет. а у тебя есть 
реальный шанс поучаствовать в разработке bind, достаточно повесить им багу.
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] BIND не обновляет зоны

[Timur Batyrshin]

[-- Attachment #1: Type: text/plain, Size: 1719 bytes --]

Keywords: bind, DDNS, views, dynamic updates

On Wed, 12 Nov 2008 10:03:52 +0200
Boltris Alexandr wrote:

> > Однако это вопроса о том, почему динамическая зона обновляется
> > только в одном view не снимает.
> в таком случае (failed: dymamic zone) правильнее спросить почему не 
> происходит динамического обновления,

Ну я вообще-то об этом и спросил в первом сообщении.

> раз reload не предусмотрен для динамических зон. и тут даже толстая
> книжка не поможет. а у тебя есть реальный шанс поучаствовать в
> разработке bind, достаточно повесить им багу.

Пытаясь найти их багзиллу, я нашел их рассылку касательно BIND, которую
почему-то гугл обходит стороной.

Выяснилось, что это не бага, а фича:
http://marc.info/?l=bind-users&m=110308901128888&w=2
http://marc.info/?l=bind-users&m=97118317610940&w=2

Т.е. есть, на вскидку, два варианта решения проблемы -- либо обновлять
зоны в разных представлениях (views) по разным ключам, либо поставить
для динамической зоны отдельный сервер, а на сервере с представлениями
включать динамическую зону с него как slave.

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] BIND не обновляет зоны

[Boltris Alexandr]

Timur Batyrshin пишет:
> Keywords: bind, DDNS, views, dynamic updates
> 
> On Wed, 12 Nov 2008 10:03:52 +0200
> Boltris Alexandr wrote:
> 
>>> Однако это вопроса о том, почему динамическая зона обновляется
>>> только в одном view не снимает.
>> в таком случае (failed: dymamic zone) правильнее спросить почему не 
>> происходит динамического обновления,
> 
> Ну я вообще-то об этом и спросил в первом сообщении.
> 
>> раз reload не предусмотрен для динамических зон. и тут даже толстая
>> книжка не поможет. а у тебя есть реальный шанс поучаствовать в
>> разработке bind, достаточно повесить им багу.
> 
> Пытаясь найти их багзиллу, я нашел их рассылку касательно BIND, которую
> почему-то гугл обходит стороной.
> 
> Выяснилось, что это не бага, а фича:
> http://marc.info/?l=bind-users&m=110308901128888&w=2
> http://marc.info/?l=bind-users&m=97118317610940&w=2
> 
> Т.е. есть, на вскидку, два варианта решения проблемы -- либо обновлять
> зоны в разных представлениях (views) по разным ключам, либо поставить
> для динамической зоны отдельный сервер, а на сервере с представлениями
> включать динамическую зону с него как slave.
смутно себе представляю как к твоей схеме прикрутить "разные ключи".
заставить слейва получать зону в нескольких view-ах -- задача нетривиальная.
да поможет тебе also-notify! удачи!
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] BIND не обновляет зоны

[Timur Batyrshin]

[-- Attachment #1: Type: text/plain, Size: 1289 bytes --]

On Wed, 12 Nov 2008 11:51:03 +0200
Boltris Alexandr wrote:

> > Т.е. есть, на вскидку, два варианта решения проблемы -- либо
> > обновлять зоны в разных представлениях (views) по разным ключам,
> > либо поставить для динамической зоны отдельный сервер, а на сервере
> > с представлениями включать динамическую зону с него как slave.
> смутно себе представляю как к твоей схеме прикрутить "разные ключи".
> заставить слейва получать зону в нескольких view-ах -- задача
> нетривиальная. да поможет тебе also-notify! удачи!

В итоге решилось все вот каким образом:

DHCP обновляет зону на мастере зоны. Этот мастер раздает зону
нескольким слейвам (по числу view), и уже они раздают зону по разным
view центральному серверу DNS.

Как это сделать проще я не придумал.

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] BIND не обновляет зоны

[Boltris Alexandr]

Timur Batyrshin пишет:
> On Wed, 12 Nov 2008 11:51:03 +0200
> Boltris Alexandr wrote:
> 
>>> Т.е. есть, на вскидку, два варианта решения проблемы -- либо
>>> обновлять зоны в разных представлениях (views) по разным ключам,
>>> либо поставить для динамической зоны отдельный сервер, а на сервере
>>> с представлениями включать динамическую зону с него как slave.
>> смутно себе представляю как к твоей схеме прикрутить "разные ключи".
>> заставить слейва получать зону в нескольких view-ах -- задача
>> нетривиальная. да поможет тебе also-notify! удачи!
> 
> В итоге решилось все вот каким образом:
> 
> DHCP обновляет зону на мастере зоны. Этот мастер раздает зону
> нескольким слейвам (по числу view), и уже они раздают зону по разным
> view центральному серверу DNS.
> 
> Как это сделать проще я не придумал.
Если я правильно понял, у тебя получилась 3-х эшелонная схема :)
- на первом эшелоне сервер, получающий зону от dhcpd
- на втором -- несколько серверов, которые как слейвы забирают эту зону 
с первого эшелона
- на третьем -- сервер, который непосредственно обслуживает клиентов. 
получает зоны в разных view с серверов 2-го эшелона

Если дашь конфигурацию 2-х серверов из 2-го эшелона, я покажу как 
изменить конфигурацию таким образом, чтобы на втором эшелоне остался 
только один сервер

> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] BIND не обновляет зоны

[Timur Batyrshin]

[-- Attachment #1: Type: text/plain, Size: 2017 bytes --]

On Fri, 14 Nov 2008 13:41:38 +0200
Boltris Alexandr wrote:

> > DHCP обновляет зону на мастере зоны. Этот мастер раздает зону
> > нескольким слейвам (по числу view), и уже они раздают зону по разным
> > view центральному серверу DNS.
> > 
> > Как это сделать проще я не придумал.
> Если я правильно понял, у тебя получилась 3-х эшелонная схема :)
> - на первом эшелоне сервер, получающий зону от dhcpd
> - на втором -- несколько серверов, которые как слейвы забирают эту
> зону с первого эшелона
> - на третьем -- сервер, который непосредственно обслуживает клиентов. 
> получает зоны в разных view с серверов 2-го эшелона

Ага, именно так.

> Если дашь конфигурацию 2-х серверов из 2-го эшелона, я покажу как 
> изменить конфигурацию таким образом, чтобы на втором эшелоне остался 
> только один сервер

На вторых конфиги полностью идентичны -- отличается только ip-адрес
контейнера. Сами конфиги на них отличаются от стандартных, идущих вместе
с BIND, только наличием ключей, директивы allow-transfer, и прямой и
обратной зоны вида

zone "dom1.domain.ru" {
    type slave;
    file "slave/dom1.domain.ru";
    masters { 10.1.1.X1; };     // 1 эшелон
    notify yes;
    also-notify { 10.1.1.X2; }; // 3 эшелон, возможно эта строчка не нужна
};

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] BIND не обновляет зоны

[Boltris Alexandr]

Timur Batyrshin пишет:
> On Fri, 14 Nov 2008 13:41:38 +0200
> Boltris Alexandr wrote:
> 
>> Если я правильно понял, у тебя получилась 3-х эшелонная схема :)
>> - на первом эшелоне сервер, получающий зону от dhcpd
>> - на втором -- несколько серверов, которые как слейвы забирают эту
>> зону с первого эшелона
>> - на третьем -- сервер, который непосредственно обслуживает клиентов. 
>> получает зоны в разных view с серверов 2-го эшелона
> 
> Ага, именно так.
> 
>> Если дашь конфигурацию 2-х серверов из 2-го эшелона, я покажу как 
>> изменить конфигурацию таким образом, чтобы на втором эшелоне остался 
>> только один сервер
> 
> На вторых конфиги полностью идентичны -- отличается только ip-адрес
> контейнера. Сами конфиги на них отличаются от стандартных, идущих вместе
> с BIND, только наличием ключей, директивы allow-transfer, и прямой и
> обратной зоны вида
> 
> zone "dom1.domain.ru" {
>     type slave;
>     file "slave/dom1.domain.ru";
>     masters { 10.1.1.X1; };     // 1 эшелон
>     notify yes;
>     also-notify { 10.1.1.X2; }; // 3 эшелон, возможно эта строчка не нужна
> };
> 
http://paste.org.ru/?s59d8m
написал только для 2-х view-ов, а потом меня осенило, что не получится 
принять notify сразу в 2 view-а. Так что я погорячился сказав, что на 
2-м эшелоне можно обойтись одним процессом :(
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] BIND не обновляет зоны

[Timur Batyrshin]

[-- Attachment #1: Type: text/plain, Size: 1033 bytes --]

On Mon, 17 Nov 2008 16:04:53 +0200
Boltris Alexandr wrote:

> > На вторых конфиги полностью идентичны -- отличается только ip-адрес
> > контейнера. Сами конфиги на них отличаются от стандартных, идущих
> > вместе с BIND, только наличием ключей, директивы allow-transfer, и
> > прямой и обратной зоны вида
> написал только для 2-х view-ов, а потом меня осенило, что не
> получится принять notify сразу в 2 view-а. Так что я погорячился
> сказав, что на 2-м эшелоне можно обойтись одним процессом :(

Бывает. С учетом того, что конфигурация серверов 2 эшелона совпадает
друг с другом, их большое число не такая уж и проблема.

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]