Toutes les versions de cet article : [English] [français]

Le 16/4/2007, 00:00
bind - named zone sonntag.eu.org : refused notify from non-master

Le truc & astuce geek du moment : Suite à la mise à jour vers bind9.3 du serveur secondaire de Lautre Net, je suis tombé sur le message d’erreur suivant pour TOUS les domaines hébergés :

Apr 16 00:34:38 ns2 named[4586]: client 212.85.137.31#1293: received notify for zone 'sonntag.eu.org'
Apr 16 00:34:38 ns2 named[4586]: zone sonntag.eu.org/IN: refused notify from non-master: 212.85.137.31#1293

Le serveur est 212.85.137.31 et sert de dns secondaire pour tout lautre.net.

Le problème est que lorsque l’on démarre bind, celui-ci envoie un notify à son propre daemon pour lui demander de vérifier l’état des zones dont il est esclave DNS. Or, s’il n’est pas autorisé lui-même à s’envoyer un notify, il le refuse alors !

Le problème se résoud tout simplement en ajoutant une autorisation explicite dans les options de bind :

donc dans la zone de named.conf (ici sur une debian c’était dans /etc/bind/named.conf.options : )

options {
       auth-nxdomain no;    # conform to RFC1035
       listen-on-v6 { any; };
       allow-query { any; };              // This is the default
       recursion no;                      // Do not provide recursive service
<font color="red">
       // On autorise bind à se notifier lui-même
       allow-notify { 212.85.137.31; };
</font>
}

Ensuite, un /etc/init.d/bind9 restart m’a confirmé la bonne nouvelle :

Apr 16 00:43:13 ns2 named[4973]: zone sonntag.eu.org/IN: sending notifies (serial 2004110621)
Apr 16 00:43:13 ns2 named[4973]: client 212.85.137.31#1295: received notify for zone 'sonntag.eu.org'
Apr 16 00:43:13 ns2 named[4973]: zone sonntag.eu.org/IN: notify from 212.85.137.31#1295: zone is up to date

Bind a donc bien envoyé un notify à lui-même, il l’a bien reçu, et a envoyé une requête SOA au master, qui lui a renvoyé le numéro de serie 2004110621 qui signale donc à cet esclave que sa zone est à jour ...