primary nameserver nicht autoritativ

[max2621]

Ich versuche einen eigenen dynamischen DNS Server aufzusetzen. Hierbei bin ich schier am Verzweifeln.

Folgende Konstellation liegt vor:

Server 2008R2.
2 feste IP Nummern in unterschiedlichen Netzen.
zwei NS Server sind bei NIC.at mit Namen und IP Nummern eingetragen.
Eigene Domäne: "mydomain.at" Provider INWX

Folgendes habe ich als neue Zone im Server ("WJSERVER") eingetragen:

Forward-LookupZone: mydomain.at

(identisch mit übergeordnetem Ordner) SOA Record 2012060510 ns.mydomain.at ...
(identisch mit übergeordnetem Ordner) ns.mydomain.at
(identisch mit übergeordnetem Ordner) ns1.otherdomain.de
(identisch mit übergeordnetem Ordner) my IP
ns my IP (A record, vermutlich der glue record?).
www my IP (A record, wenn ich es richtig verstehe für www).

Eine Reverse-Lookup Zone und eine Weiterleitung habe ich nicht eingetragen.


Bei allen Tests z.B. mit webdnstools.com erhalte ich folgende Nachricht:

Checking name server authority:
ns.mydomain.at : query timed out
One or more name servers is not authoritative for this domain (or did not respond in time).

Der zweite nameserver scheint zu funktionieren.

Meine Fragen lauten nun:

1. Kann der Server und der primäre ns die gleiche IP besitzen?
2. Warum ist der ns server nicht autoritativ, obwohl als solcher eingetragen un 3. wie mache ich Ihn autoritativ?

Ich bin blutiger Anfänger und bitte die möglicherweise dummen Fragen zu entschuldigen. Freue mich natürlich über jede zielführende Antwort.

Max2621

 

[Whistler]

zwei NS Server sind bei NIC.at mit Namen und IP Nummern eingetragen.

Das heißt, bei NIC.at gibt es einen Glue-Record für "ns.mydomain.at" und der ist auch identisch mit "my IP"?

ns.mydomain.at : query timed out

Läßt der DNS-Dienst und die Windows/Router-Firewall Anfragen (TCP/UDP Port 53) an den Nameserver von überall aus zu?

Kannst Du mal ein "dig mydomain.at @ns.mydomain.at" von innen und von außen machen?
Kriegst Du eine Antwort, ist da das AUTH-Flag gesetzt?
Ist die Antwort identisch mit "dig mydomain.at @ns1.otherdomain.de" (bezüglich NS-Set, SOA-Serial)?

 

[max2621]

Lieber Whistler,

vielen Dank für die Info (morgens um4:33!!!, toll),

bei NIC.at gibt es einen Glue record für meine IP.

port 53 ist für TCP und udp offen.

die Antworten von dig sind als jpg angehängt. Die Antworten sind nicht identisch.
Was nun?

Vielleicht hast Du eine Idee.


max2621

 

[Whistler]

Hast Du in letzter Zeit irgendwas geändert? Von außen sieht (bis auf den fehlenden MX) alles OK aus.

 

[max2621]

Vielen Dank Whistler,

mit infoDNS finde ich die gleichen Angaben wie Du. Ich hatte diesen Service vorher nicht probiert.
Mit Webdnstools.com sieht die Sache anders aus (siehe Bild) Auch mit pingability.com werden 4 bis 6 Fehler bei dem primary nameserver ns.mydomain.at gemeldet. Vielleicht hast Du Zeit einmal hinein zu sehen.

Welchem Verfahren soll ich nun glauben.

In jedem Fall schon mal herzlichen Dank für Deine Bemühungen mir zu helfen.

Gruß max2621

 

[max2621]

PS auch unter http://www.dns-info.cz/en/dns-test/dom.php
(eine ausführlicher Test) kommt der Fehler,

Gruß max2621

 

[Whistler]

Huh? dns-info.cz zeigt erstmal das gleiche an.

Gegen die Warnungen kann man was tun (rekursive Querys auf dem Windows-Srever per ACL nur lokal zulassen, sich für .de oder .at entscheiden und die Expiry hochsetzen), aber beide Server sind erreichbar und antworten konsistent.

Vorhin war allerdings keiner der Server erreichbar, auch nicht ns1.rz.uni-kiel.de. Möglicherweise läuft ja der Dienst nicht stabil oder die Uni Kiel hat eine komische Firewall, die mehrere DNS-Anfragen hinternander als Angriff interpretiert. webdnstools.com sieht im Moment immer noch keinen der DNS.

 

[max2621]

Lieber Whistler,

super, ich komme weiter. Das Problem das kurzfristig mydomain.at nicht erreichbar ist, habe ich mit der Uni geklärt und es wird beseitigt.

Bezüglich der recursive queries habe ich mich zunächst einmal belesen und gemerkt, dass das feature Zugriffsrechteverwaltung (ich hoffe, das ist mit ACL gemeint) bisher gar nicht hinzugefügt ist. Wird jetzt zunächst erledigt.

Ich habe gelesen, das es sonst auch möglich ist über regedit recursive Anfragen zu blockieren, lasse aber zunächst einmal die Finger davon mit regedit etwas zu verändern.

Ich werde mich für .at entscheiden und Expiry hochsetzen (wie hoch?)

Abschliessend noch eine Frage: Ich habe keine reverse lookup Zone eingerichtet. Ist diese notwendig?

Nochmals herzlichen Dank für die wirklich hilfreichen Kommentare!

Max2621

 

[Whistler]

Ob der 2008R2 rekursiv antworten muß, kannst nur Du beantworten - das hängt davon ab, was er sonst noch so tut (z.B. PDC?).
Auf alle Fälle sollte er dann nur Dir oder Rechnern in Deinem Netz rekursiv antworten - nicht der ganzen Welt.
Das meinte ich mit ACL (Access Control List).

Für ███.███.14.8 gibt es einen gültigen reverse Lookup, nämlich ██████.de.
Da brauchst Du auf dem 2008R2 nichts einzurichten.

Expiry ist die Zeit, die Deine Zone auf dem Slave-Nameserver (ns1.rz.uni-kiel.de) "weiterlebt", wenn Dein primärer NS ausfällt.
Im aktuellen Stand würde sie nach einer Woche verworfen.
In Deinem Fall ist das unkritisch, da der 2008R2 ja auch die Website macht, die bei eiem Ausfall ja sowieso weg wäre.

Es sind aber auch Fälle denkbar, in denen ein Ausfall des primären NS nicht sofort behoben werden kann (weil z.B. ein Ersatzteil fehlt) oder (z.B. urlaubsbedingt) erst nach 2 oder 3 Wochen festgestellt wird. Wenn man dann nicht umkonfiguriert und einen anderen NS zum primären macht, ist die Zone nach der Expiry-Time weg und man empfängt z.B. auch keine Mails mehr, weil eben der MX-Record nicht mehr gefunden werden kann.

Ich würde z.B. 4 Wochen (2419200) nehmen.