Debian.pro

Блог для пользователей и администраторов Debian


debian bind9 + dnsmanager. failed while receiving responses: permission denied

Долго и упорно мучался с данной ошибкой. Откуда появилась — неизвестно. Ясно только то, что dnsmanager (dnsmgr) поменял права на каталог.

Сама ошибка проявляется на сервер с bind9, используемом как Secondary DNS.

Если ваш secondary сервер при запросе вида host -a domain.tld. ns1.domaint.tld сообщает ошибку SERVFAIL — перезагрузите bind9 (/etc/init.d/bind9 restart) и проверьте /var/log/syslog на наличие примерно следующих строк:
Jul 12 05:56:16 Debian named[27519]: transfer of ‘domain.tld/IN/ns1.domain.tld’ from 178.63.xxx.xxx#53: failed while receiving responses: permission denied

Да, логично было бы первым делом топать на master и смотреть внимательно, почему master не отдаёт записи. Так я и поступил и потратил неделю на изучение конфигов bind9. Но, как обычно бывает, если вы используете продукты ispsystem в Debian, проблема оказалась довольно банальной:

Debian:~# ps aux | grep bind
bind 22734 0.0 0.1 253116 11152 ? Ssl Jul12 0:02 /usr/sbin/named -u bind
root 23260 0.0 0.0 5160 772 pts/4 R+ 13:46 0:00 grep bind

Debian:~# ls -al /etc/bind
total 72K

drwxr-xr-x 2 root root 4.0K 2010-07-12 16:37 ns1.domain.biz

Данный каталог (ns1.domain.biz) — каталог с файлами доменов для созданной в bind9 зоны с названием ns1.domain.biz
Пользователь bind не может записать никаких файлов в этот каталог. Поэтому он и не может принять файлы зон от master NS.
Исправляется очень легко, многие уже догадались как:
Debian:~# chown -R bind:root /etc/bind/ns1.domain.biz
Debian:~# /etc/init.d/bind9 restart

Всё, ваш Secondary NS должен теперь получить записи от мастера.

P.S. — большое спасибо компании ispsystem за такой глючный продукт, как dnsmanager. И спасибо за техническую поддержку, которая не удосужилась внимательно прочитать тикет. Феерично было читать ответ от саппорта — почитайте логи, посмотрите, почему server2 не получает записи c server3, при том, что server2 и server3 — оба slaves для server1.
P.P.S. — проблема появилась уже в процессе эксплуатации dnsmanager. aptitude upgrade на сервере не выполнялся. Да и вообще про сервер с dnsmanager как то забыли. Клиенты забеспокоились, что не могут делегировать новые домены на наши NS.


Комментариев пока нет.

Написать комментарий