[設定心得] Bind9 View 底下的 master/slave 設定方案

ailms

要使用 TSIG 的方法来建立 view ，要注意符合 ver >= 9.3 的前提条件，否则 match-clients 语句不起作用

下面是 isc 的 faq 中的例子 ：

1. 
   
2. 
   
3. BIND 9.3 and later: Use TSIG to select the appropriate view. （这样主从服务器只需要1个地址就可以了）
   
4. 
   
5. Master 10.0.1.1:
   
6.         key "external" {
   
7.                 algorithm hmac-md5;
   
8.                 secret "xxxxxxxx";
   
9.         };
   
10.         view "internal" {
    
11.                 match-clients { !key external; 10.0.1/24; };
    
12.                 ...
    
13.         };
    
14.         view "external" {
    
15.                 match-clients { key external; any; };
    
16.                 server 10.0.1.2 { keys external; };
    
17.                 recursion no;
    
18.                 ...
    
19.         };
    
20. 
    
21. Slave 10.0.1.2:
    
22.         key "external" {
    
23.                 algorithm hmac-md5;
    
24.                 secret "xxxxxxxx";
    
25.         };
    
26.         view "internal" {
    
27.                 match-clients { !key external; 10.0.1/24; };
    
28.                 ...
    
29.         };
    
30.         view "external" {
    
31.                 match-clients { key external; any; };
    
32.                 server 10.0.1.1 { keys external; };
    
33.                 recursion no;
    
34.                 ...
    
35.         };
    
36. 
    

复制代码

cbbn_net

用的bind-9.3.2  ，根据faq做了如下修改：


Master 10.0.1.1:

        view "internal" {
                key "internal" {
                algorithm hmac-md5;
                secret "xxxxxxxx";
                };
                match-clients { key internal; 10.0.1/24; };
                server 10.0.1.2 { keys internal; };
                ...
                zone "qwq.qwq" {
                type master;
                file "master/q/internal.qwq.qwq.zone";
                allow-update { none; };
                allow-transfer { key internal; };
                };               
        };
        view "external" {
                key "external" {
                algorithm hmac-md5;
                secret "xxxxxxxx";
                };        
                match-clients { key external; any; };
                server 10.0.1.2 { keys external; };
                recursion no;
                ...
        zone "qwq.qwq" {
                type master;
                file "master/q/external.qwq.qwq.zone";
                allow-update { none; };
                allow-transfer { key external; };
        };               
        };

Slave 10.0.1.2:

        view "internal" {
                key "internal" {
                algorithm hmac-md5;
                secret "xxxxxxxx";
                };        
                match-clients { key internal; 10.0.1/24; };
                server 10.0.1.1 { keys internal; };
                ...
        zone "qwq.qwq" {
                type slave;
                masters { 10.0.1.1; };
                file "slave/q/internal.qwq.qwq.zone";
        };               
        };
        view "external" {
                key "external" {
                algorithm hmac-md5;
                secret "xxxxxxxx";
                };        
                match-clients { key external; any; };
                server 10.0.1.1 { keys external; };
                recursion no;
                ...
        zone "qwq.qwq" {
                type slave;
                masters { 10.0.1.1; };
                file "slave/q/external.qwq.qwq.zone";
        };               
        };
        
        
删除slave的zone文件，做named restart，让slave从master获取数据创建zone文件，master提示：
client 10.0.1.2#55027: view internal: request has invalid signature: TSIG external: tsig verify failure (BADKEY)
client 10.0.1.2#50078: view internal: transfer of 'qwq.qwq/IN': AXFR started: TSIG internal
client 10.0.1.2#50078: view internal: transfer of 'qwq.qwq/IN': AXFR ended         

slave日志提示
zone qwq.qwq/IN/internal: Transfer started.
transfer of 'qwq.qwq/IN' from 10.0.1.1#53: connected using 10.0.1.2#50078
zone qwq.qwq/IN/external: refresh: failure trying master 10.0.1.1#53 (source 0.0.0.0#0): tsig indicates error
zone qwq.qwq/IN/internal: transferred serial 2006052608: TSIG 'internal'
transfer of 'qwq.qwq/IN' from 10.0.1.1#53: end of transfer
        
修改qwq.qwq的serial后，从master作rndc reload后，master日志提示
client 10.0.1.2#48850: view internal: request has invalid signature: TSIG external: tsig verify failure (BADKEY)
client 10.0.1.2#48334: view internal: transfer of 'qwq.qwq/IN': AXFR-style IXFR started: TSIG internal
client 10.0.1.2#48334: view internal: transfer of 'qwq.qwq/IN': AXFR-style IXFR ended   

slave日志提示
client 10.0.1.1#32770: view internal: received notify for zone 'qwq.qwq': TSIG 'internal'
zone qwq.qwq/IN/internal: Transfer started.
client 10.0.1.1#32770: view external: received notify for zone 'qwq.qwq': TSIG 'external'
transfer of 'qwq.qwq/IN' from 10.0.1.1#53: connected using 10.0.1.2#48334
zone qwq.qwq/IN/internal: transferred serial 2006052607: TSIG 'internal'
transfer of 'qwq.qwq/IN' from 10.0.1.1#53: end of transfer
zone qwq.qwq/IN/external: refresh: retry limit for master 10.0.1.1#53 exceeded (source 0.0.0.0#0)
zone qwq.qwq/IN/external: Transfer started.
transfer of 'qwq.qwq/IN' from 10.0.1.1#53: connected using 10.0.1.2#43642
transfer of 'qwq.qwq/IN' from 10.0.1.1#53: failed while receiving responses: NOTAUTH
transfer of 'qwq.qwq/IN' from 10.0.1.1#53: end of transfer   

查看文件，只有internal对应的zone文件更新了，请帮忙分析一下原因。

[ 本帖最后由 cbbn_net 于 2006-5-28 18:10 编辑 ]

ailms

1、检查 slave 的 external view 的配置，尤其是 server 语句分配的 key 是否正确？

2、在主服务器上执行 rndc reload qwq.awq in external 看是否成功？

3、如果不成功，用 ethereal 抓一个过程下来并贴图。

4、

1. zone qwq.qwq/IN/external: refresh: retry limit for master 10.0.1.1#53 exceeded (source 0.0.0.0#0)”

复制代码

     是什么回事？

[ 本帖最后由 ailms 于 2006-5-28 20:15 编辑 ]

cbbn_net

1、key分配的没有问题，master和slave都是粘贴过去的。
2、运行reload后，提示  rndc: 'reload' failed: dynamic zone
3、根据日志  client 10.0.1.2#55027: view internal: request has invalid signature: TSIG external: tsig verify failure (BADKEY)
好像优先用的IP做的匹配，没有用tsig

ailms

原帖由 cbbn_net 于 2006-6-8 11:50 发表
1、key分配的没有问题，master和slave都是粘贴过去的。
2、运行reload后，提示  rndc: 'reload' failed: dynamic zone
3、根据日志  client 10.0.1.2#55027: view internal: request has invalid signature: TS ...

这是 isc 的 BIND FAQ 中的一个问题，lz 看了就知道怎么回事了

1. 
   
2. Q:  Why don't my zones reload when I do an "rndc reload" or SIGHUP?
   
3. 
   
4. A: A zone can be updated either by editing zone files and reloading the server or by dynamic update, but not both. If you have enabled dynamic update for a zone using the "allow-update" option, you are not supposed to edit the zone file by hand, and the server will not attempt to reload it.
   
5. 
   

复制代码

检查一下你的外部 zone 的 allow-update {} 是否为 none ，

如果不是，则 rndc reload 是不起作用的。

cbbn_net

allow-update {} 都是设置的none，rndc reload qwq.qwq IN external 也正常了，但是master日志报告
client 10.0.1.2#55027: view internal: request has invalid signature: TSIG external: tsig verify failure (BADKEY)
为什么view internal验证到external的key呢？根据日志，好像优先匹配了IP，所以将external的key提交给internal了。

ailms

自己对照 isc 的 FAQ 看吧，也有相同例子的

coolzsb

tsig的问题出自你的设置，请看ailms贴的bind的官方faq中的这段

        view "internal" {
                match-clients { !key external; 10.0.1/24; };
                ...
        };

而你的internal也用了一个internal的key，而你的external的相关设置为

                match-clients { key external; any; };

改成

                match-clients { !key internal; key external; any; };

看看tsig的报错还在不？

ailms

原帖由 coolzsb 于 2006-6-9 19:57 发表
tsig的问题出自你的设置，请看ailms贴的bind的官方faq中的这段

而你的internal也用了一个internal的key，而你的external的相关设置为


改成

看看tsig的报错还在不？

还是不够准确，可以再改进

shaying110

顶，正需要这个，回去测试好了，来报个到，不行的话再跟帖