论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2007-10-30 23:21 |只看该作者 |倒序浏览

主服务器信息：

Oct 30 22:33:41 ns named[5021]: client 10.0.1.1#32932: view ChinaNet: request has invalid signature: TSIG chinanetkey: tsig verify failure (BADKEY)
Oct 30 22:33:47 ns named[5021]: client 10.0.1.1#32932: view ChinaNet: request has invalid signature: TSIG cncnetkey: tsig verify failure (BADKEY)

从服务器信息：

Oct 30 22:26:19 se named[5539]: zone test.com/IN/ChinaNet: refresh: failure trying master 10.0.1.2#53 (source 0.0.0.0#0): clocks are unsynchronized
Oct 30 22:26:25 se named[5539]: zone test.com/IN/CNCNet: refresh: failure trying master 10.0.1.2#53 (source 0.0.0.0#0): clocks are unsynchronized

请问如何解决。。。TSIG key获取方式是在主DNS的机器上运行
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST cncnetkey
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST chinanetkey

不知是否正确，然后从服务器配置的key是从这个cp过去的。。。谢谢

文库|博客

alexa

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2007-10-31 10:15 |只看该作者

Oct 30 22:33:47 ns named[5021]: client 10.0.1.1#32932: view ChinaNet: request has invalid signature: TSIG cncnetkey: tsig verify failure (BADKEY)

key不匹配？

Oct 30 22:26:19 se named[5539]: zone test.com/IN/ChinaNet: refresh: failure trying master 10.0.1.2#53 (source 0.0.0.0#0): clocks are unsynchronized

时间不同步

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

gracet3

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2007-10-31 11:09 |只看该作者

回复 #2 alexa 的帖子

是啊，好奇怪的，不知道为什么，请高手指导一下，两边bind的版本都是9.3.3，系统是CentOS

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ailms

丰衣足食

论坛徽章:: 0

4楼 [报告]

发表于 2007-10-31 12:05 |只看该作者

TSIG 会检查时间的，差距超过 5 分钟就不行了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

gracet3

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2007-10-31 13:05 |只看该作者

原帖由 ailms 于 2007-10-31 12:05 发表
TSIG 会检查时间的，差距超过 5 分钟就不行了

哦，这样的。。。谢谢ailms大大~~ 还有个问题，我想问KEY密码文件应该放哪啊？在named.conf里面写了CP下来的那个KEY，要在外面放个文件校验的吗？而且为什么会提示我badkey呢？

-rw------- 1 root root  120 10-30 22:28 Kchinanetkey.+157+21241.key
-rw------- 1 root root  145 10-30 22:28 Kchinanetkey.+157+21241.private

-rw------- 1 root root  118 10-30 22:30 Kcncnetkey.+157+37948.key
-rw------- 1 root root  145 10-30 22:30 Kcncnetkey.+157+37948.private

这2个文件要如何使用啊？在named.conf里面是这样写的

.........................
view "CNCNet"{
key "cncnetkey" {
            algorithm hmac-md5;
            secret "Ved+EDTYQjvOPgE5jrdPzQ==";    #这个是从Kcncnetkey.+157+37948.private里面的secret cp 的
};
match-clients {key "cncnetkey"; cnc-nets; };
recursion no;
allow-transfer { key "cncnetkey"; };
server 10.0.1.2 { keys "cncnetkey"; };

...

[ 本帖最后由 gracet3 于 2007-10-31 13:11 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

gracet3

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2007-10-31 18:19 |只看该作者

装完ntp时间同步后就OK了，谢谢各位大大以前的文章，受益良多。。。如果我有4台DNS server，那主服务器那里是怎么写transfer呢?
我这样写可以吗？

.....

allow-transfer { key "cncnetkey"; };
server (10.0.1.2 | 10.0.1.3 | 10.0.1.4 ) { keys "cncnetkey"; };

......

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › IT运维 › 服务器应用 › bind9 view功能TSIG主从同步的问题

[DNS] bind9 view功能TSIG主从同步的问题 [复制链接]

回复 #2 alexa 的帖子