Problème DNS (Bind)

[Recif]

Salut,

J'ai besoin de vos lumières :wink:

J'ai des clients qui me disent avoir des retours d'erreur dans leur mail qui parle d'un problème de résolution de nom sur le domaine en question... J'ai également des scripts qui font appel à des images externes et qui me renvoient le message "Temporary failure in name resolution in ...".
Je suppose donc qu'il y a un problème avec Bind. Mais je suis pas très fort en analyse DNS... Pouvez vous me guider pour essayer de trouver l'origine du problème?... Les logs Bind par exemple, je ne sais pas où ils sont...
Merci

 

[o2switch]

Salut,

Je suppose qu'il s'agit d'un problème sur un serveur Linux ?
Si oui, il faudrait regarder le contenu dans /etc/resolv.conf dans un premier temps. Pour tester dans un premier temps, il faudrait mettre :
nameserver 8.8.8.8
nameserver 8.8.4.4
En testant par la suite. Si c'est bon, c'est qu'un des serveurs renseignés ici ne répond pas.

Si le problème est toujours présent, à essayer :
iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

Alex

 

[Recif]

Oui, désolé, c'est du linux...
Bon, finalement dans l'urgence l'hébergeur m'a ajouté leur serveurs DNS dans mon fichier resolv.conf justement... Je vais voir dans les prochains temps si ça fonctionne... Mais ça ne me dira pas pourquoi mon bind déconne...

 

[jcaron]

Le resolv.conf ça n'affectera que la façon dont la résolution (i.e. la conversion nom -> IP) se fait sur la machine en question. Si c'est un problème de config DNS pour un domaine particulier, ça ne va rien changer.

Ca aiderait évidemment beaucoup si tu nous indiquais le domaine incriminé, les circonstances précises dans lesquelles tu as des erreurs, et quels sont les messages d'erreur. Si c'est dans le cas du mail, la machine qui donne l'erreur peut être utile aussi.

Sinon, tu peux le tester au Zonecheck de l'Afnic, ou avec cet outil:
http://www.squish.net/dnscheck/

Note que si tu utilises des noms en ovh.net, il va te donner tout plein d'erreurs, la config DNS de ce domaine est problématique (pas assez de place pour tous les glue records dans une réponse de taille standard).

Jacques.

 

[Recif]

Non, en fait ça incrimine plusieurs domaines, plus ou moins aléatoirement. Par contre ils sont tous sur la même machine.
Je vais observer la suite pour voir si ce changement a eu un effet sur mes problèmes. Merci.

 

[Recif]

J'ai quand même essayé l'outil en ligne et je trouve à tous els domaines essayés :

Error: serv.amoi.net (92.145.214.21): Resolve for monsite.com. (A) failed: query timed out

 

[jcaron]

Ben au choix, bind n'est pas lancé, ou il est configuré pour ne pas répondre, ou tu as un firewall ou autre filtre qui empêche les requêtes ou leurs réponses de passer...

Jacques.

 

[Recif]

Quand je vais sous webmin il m'indique que Bind est lancé... Pour le reste, aucune idée...

 

[Julia41]

Tu as quoi dans ton resolv.conf.
Dans ton exemple :

Error: serv.amoi.net (92.145.214.21): Resolve for monsite.com. (A) failed: query timed out

Si ton serveur DNS est sur ta machine (donc dans ton resolv.conf tu dois avoir :

nameserver 127.0.0.1

Tu ne "devrais" pas avoir ce message, surtout si ton domaine (monsite.com) est hébergé (on parle bien du domaine) sur le bind qui tourne sur 127.0.0.1.

Avec la commande dig, tu devrais pouvoir débuguer le tout :
Exemple simple pour mon domaine :

dig @127.0.0.1 admin-serv.net

Le truc intéressant pour les "performances":

;; Query time: 0 msec

Si jamais tu veux voir si les DNS de google sont mieux :

dig @8.8.8.8 admin-serv.net
...
;; Query time: 10 msec

Donc chez Google ça a marché nikel, mais ça a prit 10ms plutôt que 0, c'est donc "moins bien" mais au moins "ça marche".

Donc trouve un serveur DNS qui fonctionne bien (normalement le tiens c'est génial) et mets le dans ton resolv.conf.

 

[Recif]

Bonjour,

Dans mon fichier conf j'ai maintenant l'ip de mon serveur et celui de mon hébergeur. Avant j'avais juste celui de mon serveur.
Mon hebergeur m'a rajouté le domaine en tant que serveur secondaire via l'interface client.. Je sais pas trop à quoi ça correspond mais c'est apparemment la raison du message d'erreur... J'attends que les serveurs se synchronisent et je reteste...

 

[Recif]

Bon ben ça y est déjà...
L'erreur a effectivement disparu, il reste le message :


Monsite.com. 38400 IN A 92.145.214.21 Security: Server ser.amoi.net (92.145.214.21) is recursive

 

[jcaron]

Ca veut dire que tu autorises n'importe qui à utiliser ton serveur DNS comme "resolver". Normalement, tu autorises n'importe qui à venir demander des infos pour les zones que tu sers, et uniquement toi à utiliser le serveur comme resolver.

Ca se contrôle (par exemple) via la ligne

 allow-recursion { addresse-ip; };

dans la section options de ton named.conf.

En général, juste 127.0.0.1 ça suffit (et encore, ce n'est nécessaire que si tu as ton 127.0.0.1 dans ton resolv.conf), mais si tu as d'autres machines qui utilisent celle-là comme resolver (i.e. son IP est dans leur resolv.conf ou dans leur config DNS pour une machine Windows par exemple) il faut que tu les y rajoutes.

Jacques.

 

[Recif]

Ok, donc je vais éditer mon fichier named.conf et ajouter l'ip de mon serveur (127.0.0.1) et celle du serveur dns de mon hebergeur, actuellement en dns secondaire, correct?

 

[jcaron]

Tu n'as pas besoin de rajouter le secondaire dans la ligne allow-recursion, le secondaire ne fait que tu transfert de zone.

NB: si dans ton resolv.conf tu as l'adresse IP "externe" de ton serveur plutôt que 127.0.0.1, tu dois aussi ajouter cette adresse. Mais le plus simple est d'utiliser 127.0.0.1 de part et d'autre.

Jacques.

 

[Recif]

Ok, donc ce n'est que mon serveur qui est concerné, merci. Je vais jeter un oeil à tout ça des que j'aurais accès à mon PC