named: FORMERR resolving .../DS/IN

Jan Kasprzak kas na fi.muni.cz
Pátek Listopad 12 15:32:55 CET 2010 

Jan Marek wrote:
: Dd,
: 
: On Fri, Nov 12, 2010 at 02:25:07PM +0100, Jan Kasprzak wrote:
: > 	Zdravim,
: > 
: > mam takovy problem s named, asi neco blizkeho DNSSECu: od vcerejska mam plny
: > log sveho rekurzivniho nameserveru plny zprav typu
: > 
: > Nov 12 14:12:28 dns1 named[26746]: FORMERR resolving 'fi.muni.cz/DS/IN': 147.251.4.33#53
: > Nov 12 14:12:28 dns1 named[26746]: FORMERR resolving 'fi.muni.cz/DS/IN': 147.251.48.1#53
: > Nov 12 14:12:28 dns1 named[26746]: FORMERR resolving 'fi.muni.cz/DS/IN': 147.251.48.3#53
: > 
: > pricemz ty tri IP adresy jsou tri autoritativni DNS servery pro domenu
: > fi.muni.cz. Zjistil jsem ze tyhle tri radky v syslogu umim vyvolat prikazem
: > 
: > host -t ds fi.muni.cz dns1
: > 
: > Kdyz jsem se dival tcpdumpem, tak vsechny tri tyhle nameservery vraceji
: > normalni DNS odpoved (uspesny stav, pocet answer sections 0 - DS zaznam
: > zatim neni). Ten rekurzivni DNS server pak ale z toho klientovi
: > vykonstruuje SERVFAIL a zaloguje tri vyse uvedene radky.
: 
: Nepomohlo by toto:
: 
: https://lists.isc.org/pipermail/bind-users/2008-November/073861.html
: 
: S firewallem to možná souviset nebude, ale na konci je doporučený
: zásah do named.conf

	Jakoze zrusit forwarders? To nemuzu. Ale mezitim jsem prisel
na to, ze kdyz si vyrobim virtualni stroj kde zadne forwarders nemam
a mam tam jen cachovaci nameserver se zapnutou validaci, tak mi napriklad

host -t mx fi.muni.cz. 127.0.0.1

vrati SERVFAIL. A dela to jen na virt. stroji s Fedorou 13. Zkusil jsem
pokusne prekompilovat bind z Fedory 14, a zda se ze uz tento problem nema.
Zkusim tohle jeste na ostrem rekurzivnim nameserveru, ale asi to bude ono.

-Y.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/    Journal: http://www.fi.muni.cz/~kas/blog/ |
Please don't top post and in particular don't attach entire digests to your
mail or we'll all soon be using bittorrent to read the list.     --Alan Cox

Další informace o konferenci Linux