[Jderobot-admin] Servicio DNS mal configurado

Oscar Garcia oscar.robotica en linaresdigital.com
Mar Oct 30 10:31:47 CET 2012 

Buenos días.

He vuelto a repetir el análisis de configuración de DNS del dominio 
gsyc.es y sigue estando mal (ya le envié anteriormente un informe a José 
María sobre el estado del mismo).

Principalmente he descubierto que siguen habiendo incoherencias entre 
las entradas whois y DNS.

Empecemos por lo que conocen los servidores raíz de los servidores DNS 
del dominio (mediante whois):

ns0.gsyc.es      193.147.71.64
ns1.gsyc.es      212.128.4.2

Sin embargo las resoluciones DNS son:

root en tauri:~/root_antiguo# nslookup -query=NS gsyc.es
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
gsyc.es nameserver = ns0.gsyc.es.
gsyc.es nameserver = ns1.gsyc.es.

Authoritative answers can be found from:
ns0.gsyc.es     internet address = 193.147.15.64


redstar en tauri:~$ nslookup ns0.gsyc.es
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   ns0.gsyc.es
Address: 193.147.15.64

redstar en tauri:~$ nslookup ns1.gsyc.es
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
ns1.gsyc.es     canonical name = ns0.gsyc.es.
Name:   ns0.gsyc.es
Address: 193.147.15.64

Como veis la información del registrador no coincide con la de los 
servidores DNS.

Lo que sí que habéis logrado (a base de repetir la IP de ambos 
servidores DNS) es que todos los servidores DNS respondan con respuestas 
AUTORITATIVAS.

Un problema que teníais antes es que usabais un servidor de respaldo que 
no tenía configurado el dominio de manera autoritativa, por lo que se 
usaba a modo de caché que fallaba si el principal también fallaba para 
aquellos registros que no tuviera en la caché tras el fallo.

Probando si dan respuestas autoritativas también los servidores externos 
(los configurados en el registrador):

redstar en tauri:~$ nslookup www.gsyc.es 193.147.71.64
Server:         193.147.71.64
Address:        193.147.71.64#53

www.gsyc.es     canonical name = gsyc.es.
Name:   gsyc.es
Address: 193.147.71.64

redstar en tauri:~$ nslookup www.gsyc.es 212.128.4.2
Server:         212.128.4.2
Address:        212.128.4.2#53

www.gsyc.es     canonical name = gsyc.es.
Name:   gsyc.es
Address: 193.147.71.64


Por último prueba de que está funcionando correctamente el proceso de 
replicación de los registros DNS:

redstar en tauri:~$ nslookup -querytype=ANY gsyc.es 193.147.15.64
Server:         193.147.15.64
Address:        193.147.15.64#53

gsyc.es
         origin = ns0.gsyc.es
         mail addr = jcenteno.gsyc.es
         serial = 2012100201
         refresh = 28800
         retry = 7200
         expire = 604800
         minimum = 86400
gsyc.es nameserver = ns0.gsyc.es.
gsyc.es nameserver = ns1.gsyc.es.
Name:   gsyc.es
Address: 193.147.71.64
gsyc.es mail exchanger = 10 mailer.gsyc.es.

redstar en tauri:~$ nslookup -querytype=ANY gsyc.es 212.128.4.2
Server:         212.128.4.2
Address:        212.128.4.2#53

gsyc.es
         origin = ns0.gsyc.es
         mail addr = jcenteno.gsyc.es
         serial = 2012100201
         refresh = 28800
         retry = 7200
         expire = 604800
         minimum = 86400
gsyc.es mail exchanger = 10 mailer.gsyc.es.
Name:   gsyc.es
Address: 193.147.71.64
gsyc.es nameserver = ns0.gsyc.es.
gsyc.es nameserver = ns1.gsyc.es.

redstar en tauri:~$ nslookup -querytype=ANY gsyc.es 193.147.71.64
Server:         193.147.71.64
Address:        193.147.71.64#53

gsyc.es
         origin = ns0.gsyc.es
         mail addr = jcenteno.gsyc.es
         serial = 2012100201
         refresh = 28800
         retry = 7200
         expire = 604800
         minimum = 86400
gsyc.es nameserver = ns1.gsyc.es.
gsyc.es nameserver = ns0.gsyc.es.
Name:   gsyc.es
Address: 193.147.71.64
gsyc.es mail exchanger = 10 mailer.gsyc.es.


Resumen:
1.- Siguen sin coincidir los registros whois del dominio con los 
registros DNS del mismo.
2.- Ahora parece que todos los servidores DNS dan respuestas 
autoritativas, así que ese problema se ha subsanado.
3.- Tened cuidado porque ahora mismo funciona todo gracias a que lo que 
está en el servidor DNS 193.147.15.64 se está replicando correctamente a 
los servidores DNS 193.147.71.64 y 212.128.4.2, dependiendo de cómo 
estén configurados (quién hace de maestro y esclavo en la transferencias 
de zonas AXFR/IXFR) podría dar problemas en un futuro si la máquina 
193.147.15.64 deja de funcionar. Dependiendo de la implementación DNS 
del cliente (o servidor DNS caché del operador de telecomunicaciones que 
realiza la consulta) no se usarán nunca los servidores DNS 212.128.4.2 y 
193.147.71.64 para la resolución de registros DNS de la zona (menos aún 
para las subzonas, como aulas.gsyc.es).

La solución al punto 1 depende de qué es lo que se desea:
* Si se desea que los DNS que aparecen en el registrador (que darán alta 
disponibilidad real al dominio) sean los correctos habrá que realizar 
las modificaciones en las entradas del registro DNS para que los 
registros ns0 y ns1 apunten a las direcciones IP correctas.
* Si se desea tener tres servidores DNS entonces hay que arreglar el 
punto anterior de igual manera y configurar un nuevo registro (ns2 por 
ejemplo) con la IP 193.147.15.64 __Y__ agregar en el registrador una 
entrada de host ns2 a dicha IP (para que la información del servidor DNS 
y del whois del registrador coincidan).
* Si se desea que sea 193.147.15.64 el que se haga cargo de la 
resolución (como está configurado en el DNS) hay que modificar las 
entradas ns0 y ns1 del registrador para que apunten a dicha IP (ojo, no 
hablo de cambiar entradas DNS, hablo de cambiar registros de host del 
registrador, las que aparecen en un whois).

El punto 3 es más complejo de "solucionar" porque posiblemente esté todo 
bien configurado para la replicación de registros, pero seguirá siendo 
un único punto de fallo de resolución DNS si el punto 1 no se arregla.

Un saludo.

More information about the Jderobot-admin mailing list