The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"BIND не регистрирует клиентов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (DNS / Linux)
Изначальное сообщение [ Отслеживать ]

"BIND не регистрирует клиентов"  +1 +/
Сообщение от Tigooor (ok) on 16-Июн-11, 12:11 
В сети развернут AD на win2003 + DNS и DHCP на федоре. Клиенты

Лог с бинда:

15-Jun-2011 16:03:37.856 update-security: error: client 172.17.104.244#63666: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:03:37.955 update-security: error: client 172.17.104.244#62031: update '17.172.in-addr.arpa/IN' denied
15-Jun-2011 16:03:47.420 update-security: error: client 172.24.3.192#51024: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:04:09.284 update-security: error: client 172.17.112.161#58566: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:04:34.949 xfer-out: info: client 172.17.5.5#3577: transfer of 'xxx.xxx-xxx.ru/IN': AXFR started
15-Jun-2011 16:04:34.952 xfer-out: info: client 172.17.5.5#3577: transfer of 'xxx.xxx-xxx.ru/IN': AXFR ended
15-Jun-2011 16:04:50.804 update-security: error: client 172.17.1.160#59985: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:06:25.046 update-security: error: client 172.17.113.128#64121: update '17.172.in-addr.arpa/IN' denied
15-Jun-2011 16:06:29.924 update-security: error: client 172.17.1.22#63336: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:06:30.041 update-security: error: client 172.17.1.22#59911: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:06:34.949 xfer-out: info: client 172.17.5.5#3586: transfer of 'xxx.xxx-xxx.ru/IN': AXFR started
15-Jun-2011 16:06:34.952 xfer-out: info: client 172.17.5.5#3586: transfer of 'xxx.xxx-xxx.ru/IN': AXFR ended
15-Jun-2011 16:06:58.988 update-security: error: client 172.17.77.30#56902: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:07:30.316 update-security: error: client 172.17.1.153#56586: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:07:59.996 update-security: error: client 172.17.1.18#51082: update 'xxx.xxx-xxx.ru/IN' denied
15-Jun-2011 16:08:34.951 xfer-out: info: client 172.17.5.5#3590: transfer of 'xxx.xxx-xxx.ru/IN': AXFR started
15-Jun-2011 16:08:34.954 xfer-out: info: client 172.17.5.5#3590: transfer of 'xxx.xxx-xxx.ru/IN': AXFR ended
15-Jun-2011 16:10:19.001 update-security: info: client 127.0.0.1#51806: signer "rndckey" approved
15-Jun-2011 16:10:19.131 update-security: info: client 127.0.0.1#48766: signer "rndckey" approved
15-Jun-2011 16:10:19.405 update-security: info: client 127.0.0.1#49377: signer "rndckey" approved

Лог с клиента XP:

Event ID: 40961

Системе безопасности не удалось установить безопасное подключение к серверу DNS/sip1.xxx.xxx-xxx.ru. Отсутствуют доступные протоколы проверки подлинности.

Спасибо )

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "BIND не регистрирует клиентов"  +/
Сообщение от erera22 (ok) on 16-Июн-11, 12:42 
Покажите в конфиге allow-update
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "BIND не регистрирует клиентов"  +/
Сообщение от Tigooor (ok) on 16-Июн-11, 13:39 
> Покажите в конфиге allow-update

zone "xxx.xxx-xxx.ru" in {
    type master;
    file "xxx.xxx-xxx.ru";
    allow-transfer { 172.17.5.15; 172.17.5.5; };
    allow-update {key rndckey; dc; key xxx.xxx-xxx.ru;};
    check-names ignore;
};

zone "17.172.in-addr.arpa" in {
    type master;
    file "172.17.rev";
    allow-transfer { 172.17.5.15; 172.17.5.5; };
    allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
};

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "BIND не регистрирует клиентов"  +/
Сообщение от rr (ok) on 16-Июн-11, 13:47 
>[оверквотинг удален]
>     allow-transfer { 172.17.5.15; 172.17.5.5; };
>     allow-update {key rndckey; dc; key xxx.xxx-xxx.ru;};
>     check-names ignore;
> };
> zone "17.172.in-addr.arpa" in {
>     type master;
>     file "172.17.rev";
>     allow-transfer { 172.17.5.15; 172.17.5.5; };
>     allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
> };

А что DNS DHCP не на Windows? Вроде как AD требует установки DNS, нет?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "BIND не регистрирует клиентов"  +/
Сообщение от Tigooor (ok) on 16-Июн-11, 13:51 
>[оверквотинг удален]
>>     check-names ignore;
>> };
>> zone "17.172.in-addr.arpa" in {
>>     type master;
>>     file "172.17.rev";
>>     allow-transfer { 172.17.5.15; 172.17.5.5; };
>>     allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>> };
> А что DNS DHCP не на Windows? Вроде как AD требует установки
> DNS, нет?

Можно и сторонний ДНС использовать.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "BIND не регистрирует клиентов"  +/
Сообщение от erera22 (ok) on 16-Июн-11, 14:05 
Может что-то, вроде: http://social.technet.microsoft.com/forums/ru-RU/windowsserv...
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "BIND не регистрирует клиентов"  +/
Сообщение от Vladimir (??) on 16-Июн-11, 14:17 
>   allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};

Попробуйте без ключа.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "BIND не регистрирует клиентов"  +/
Сообщение от Tigooor (ok) on 16-Июн-11, 14:49 
>>   allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>  Попробуйте без ключа

убрать только key xxx.xxx-xxx.ru ?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "BIND не регистрирует клиентов"  +/
Сообщение от reader (ok) on 16-Июн-11, 15:24 
>>>   allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>>  Попробуйте без ключа
> убрать только key xxx.xxx-xxx.ru ?

для попробовать в скобках перечислите только подсети, а остальное уберите

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "BIND не регистрирует клиентов"  +/
Сообщение от Tigooor (ok) on 16-Июн-11, 15:42 
>>>>   allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>>>  Попробуйте без ключа
>> убрать только key xxx.xxx-xxx.ru ?
> для попробовать в скобках перечислите только подсети, а остальное уберите

убрал ключи, ошибочные логи сыпаться перестали...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "BIND не регистрирует клиентов"  +/
Сообщение от reader (ok) on 16-Июн-11, 15:54 
>>>>>   allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>>>>  Попробуйте без ключа
>>> убрать только key xxx.xxx-xxx.ru ?
>> для попробовать в скобках перечислите только подсети, а остальное уберите
> убрал ключи, ошибочные логи сыпаться перестали...

а что прописали?
записи о машинах добавляются?

если да, то можно конечно оставить с указанием подсетей, хотя в плане безопасности это не лучший способ

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "BIND не регистрирует клиентов"  +/
Сообщение от Tigooor (ok) on 16-Июн-11, 15:58 
>>>>>>   allow-update { key rndckey; dc; key xxx.xxx-xxx.ru;};
>>>>>  Попробуйте без ключа
>>>> убрать только key xxx.xxx-xxx.ru ?
>>> для попробовать в скобках перечислите только подсети, а остальное уберите
>> убрал ключи, ошибочные логи сыпаться перестали...
> а что прописали?
> записи о машинах добавляются?
> если да, то можно конечно оставить с указанием подсетей, хотя в плане
> безопасности это не лучший способ

только подсети и прописал )) машины были добавлены, но записи о них начали обнавляться...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "BIND не регистрирует клиентов"  +/
Сообщение от reader (ok) on 16-Июн-11, 16:03 
>[оверквотинг удален]
>>>>>>  Попробуйте без ключа
>>>>> убрать только key xxx.xxx-xxx.ru ?
>>>> для попробовать в скобках перечислите только подсети, а остальное уберите
>>> убрал ключи, ошибочные логи сыпаться перестали...
>> а что прописали?
>> записи о машинах добавляются?
>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>> безопасности это не лучший способ
> только подсети и прописал )) машины были добавлены, но записи о них
> начали обнавляться...

так и должно быть

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "BIND не регистрирует клиентов"  +/
Сообщение от Tigooor (ok) on 16-Июн-11, 16:38 
>[оверквотинг удален]
>>>>>> убрать только key xxx.xxx-xxx.ru ?
>>>>> для попробовать в скобках перечислите только подсети, а остальное уберите
>>>> убрал ключи, ошибочные логи сыпаться перестали...
>>> а что прописали?
>>> записи о машинах добавляются?
>>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>>> безопасности это не лучший способ
>> только подсети и прописал )) машины были добавлены, но записи о них
>> начали обнавляться...
> так и должно быть

а как с ключами быть?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "BIND не регистрирует клиентов"  +/
Сообщение от reader (ok) on 16-Июн-11, 16:42 
>[оверквотинг удален]
>>>>>> для попробовать в скобках перечислите только подсети, а остальное уберите
>>>>> убрал ключи, ошибочные логи сыпаться перестали...
>>>> а что прописали?
>>>> записи о машинах добавляются?
>>>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>>>> безопасности это не лучший способ
>>> только подсети и прописал )) машины были добавлены, но записи о них
>>> начали обнавляться...
>> так и должно быть
> а как с ключами быть?

я не знаю, может кто подскажет

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "BIND не регистрирует клиентов"  +/
Сообщение от Tigooor (ok) on 16-Июн-11, 16:46 
>[оверквотинг удален]
>>>>>> убрал ключи, ошибочные логи сыпаться перестали...
>>>>> а что прописали?
>>>>> записи о машинах добавляются?
>>>>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>>>>> безопасности это не лучший способ
>>>> только подсети и прописал )) машины были добавлены, но записи о них
>>>> начали обнавляться...
>>> так и должно быть
>> а как с ключами быть?
> я не знаю, может кто подскажет

Буду дальше копать. Пока без ключей поработает.

Спасибо!

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "BIND не регистрирует клиентов"  +/
Сообщение от Vladimir (??) on 16-Июн-11, 21:43 
>[оверквотинг удален]
>>>>>> записи о машинах добавляются?
>>>>>> если да, то можно конечно оставить с указанием подсетей, хотя в плане
>>>>>> безопасности это не лучший способ
>>>>> только подсети и прописал )) машины были добавлены, но записи о них
>>>>> начали обнавляться...
>>>> так и должно быть
>>> а как с ключами быть?
>> я не знаю, может кто подскажет
> Буду дальше копать. Пока без ключей поработает.
> Спасибо!

А с ключами скорее всего никак.
У системы  уиндоус  свои понятия о ключах.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "BIND не регистрирует клиентов"  +/
Сообщение от Сергей (??) on 17-Июн-11, 10:18 
>>[оверквотинг удален]
>>> а как с ключами быть?
>> я не знаю, может кто подскажет
> Буду дальше копать. Пока без ключей поработает.

  Про ключи для винды забудь, винды dns обновляют по своему проприетарному протоколу,  а вообще, у тебя же адреса выдаются через DHCP, вот и заставь его вносить соответствующие записи в DNS, а у станций вообще вырубить возможность автоматического обновления, а вот для виндовых серверов надо оставить возможность динамического обновления зон...


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "BIND не регистрирует клиентов"  +/
Сообщение от rr (ok) on 17-Июн-11, 10:32 
>>>[оверквотинг удален]
>>>> а как с ключами быть?
>>> я не знаю, может кто подскажет
>> Буду дальше копать. Пока без ключей поработает.
>   Про ключи для винды забудь, винды dns обновляют по своему
> проприетарному протоколу,  а вообще, у тебя же адреса выдаются через
> DHCP, вот и заставь его вносить соответствующие записи в DNS, а
> у станций вообще вырубить возможность автоматического обновления, а вот для виндовых
> серверов надо оставить возможность динамического обновления зон...

я полагала, что  DHCPD обновляет DNS

named.conf

        zone   "t.ru" {
               type    master;
               file    "internal/db.t.ru";
               notify no;
               allow-update {
               key rndckey;
               };
        };


dhcpd.conf

key rndckey {
        algorithm       HMAC-MD5;
        secret          "t/NwiiNLmmiY=";
}


И где написано, что опция Windows
"Зарегистрировать адреса данного подключения в DNS"
должна работать с Bind ?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру