Le truc & astuce geek du moment : Suite à la mise à jour vers bind9.3 du serveur secondaire de Lautre Net, je suis tombé sur le message d’erreur suivant pour TOUS les domaines hébergés :
Apr 16 00:34:38 ns2 named[4586]: client 212.85.137.31#1293: received notify for zone 'sonntag.eu.org'
Apr 16 00:34:38 ns2 named[4586]: zone sonntag.eu.org/IN: refused notify from non-master: 212.85.137.31#1293
Le serveur est 212.85.137.31 et sert de dns secondaire pour tout lautre.net.
Le problème est que lorsque l’on démarre bind, celui-ci envoie un notify à son propre daemon pour lui demander de vérifier l’état des zones dont il est esclave DNS. Or, s’il n’est pas autorisé lui-même à s’envoyer un notify, il le refuse alors !
Le problème se résoud tout simplement en ajoutant une autorisation explicite dans les options de bind :
donc dans la zone de named.conf (ici sur une debian c’était dans /etc/bind/named.conf.options : )
options
auth-nxdomain no; # conform to RFC1035
listen-on-v6 any; ;
allow-query any; ; // This is the default
recursion no; // Do not provide recursive service
// On autorise bind à se notifier lui-même
allow-notify 212.85.137.31; ;
Ensuite, un /etc/init.d/bind9 restart m’a confirmé la bonne nouvelle :
Apr 16 00:43:13 ns2 named[4973]: zone sonntag.eu.org/IN: sending notifies (serial 2004110621)
Apr 16 00:43:13 ns2 named[4973]: client 212.85.137.31#1295: received notify for zone 'sonntag.eu.org'
Apr 16 00:43:13 ns2 named[4973]: zone sonntag.eu.org/IN: notify from 212.85.137.31#1295: zone is up to date
Bind a donc bien envoyé un notify à lui-même, il l’a bien reçu, et a envoyé une requête SOA au master, qui lui a renvoyé le numéro de serie 2004110621 qui signale donc à cet esclave que sa zone est à jour …