Segédanyag a regcheck hibaüzeneteihez


M-CNAM -E- [domain] NS record CNAME

Ok:

A ,,domain'' egy név szervere, amit NS rekordként adtunk, CNAME-ra (Canonical Name) vezet. A (Address) rekord a helyes (v.ö. RFC1912 2.4. és http://www.faqs.org/faqs/internet/tcp-ip/domains-faq/part1/ Q6.6.)

Javítás:

A CNAME helyett A rekorddal adjuk meg a névszervert.


M-DIFN -E- [domain] All nameservers on the same network

Ok:

A regisztrációs szabályzat előírja, hogy legalább két név szervernek különböző hálózaton kell lennie. Az ellenőrző procedúra ezt nem tudja teljes bizonyossággal megállapítani, de igaznak fogadja el, ha:

  1. Két név szerver különböző /24 címtartományban van, vagy ha
  2. A névszerverekhez vezető traceroute-ok eltérést mutatnak.

Javítás:

Helyezzünk el a domain-ra egy külön hálózaton levő (másodlagos) névszervert. Gyakori, hogy két vagy több szervezet kölcsönösen kisegíti egymást másodlagos névszerver tekintetében.


M-SOAM -E- [domain] SOA mismatch at [address] over [prot]

Ok:

A domain különböző autoritatív névszervereinek összehangolt módon kell szolgáltatni a zónát. Ez úgy valósul meg, hogy a másodlagos név szerver(ek) az elsődlegesről áttölti(k) a név-fa megfelelő részét. A SOA rekordok eltérése diszkrepanciát jelez. Ezt okozhatja, ha a másodlagos nem tudja valamilyen okból frissíteni a zónát, de okozhatja az is, hogy a frissítés még nem történt meg (v.ö. SOA rekord, refresh érték).

Javítás:

Ha a diszkrepanciát az okozza, hogy a másodlagos nem tölti le a zónát, akkor javítsunk a konfiguráción. Néhány lehetséges pont: tűzfal szabályok, allow-transfer opció, helyes IP cím megadása stb.

Ha a diszkrepanciát a refresh késedelme okozza, akkor várjuk ki az időt, vagy erőszakoljuk ki a zóna tükrözést (ennek egy módja, ha a másodlagoson töröljük a zóna fájlt, majd újraindítjuk a név szerver programot).


M-SOAN -E- [domain] No authoritative SOA at [address] over [prot]

Ok:

A zónában megadott név szerver nem szolgáltatja autoritatív módon a zónát.

Javítás:

Gondoskodjunk róla, hogy szolgáltassa a domain-t a megadott szerver: lehet, hogy nem is működik név szerver a megadott helyen, vagy működik, de nem szolgáltatja a zónát, vagy működik, de valamilyen tűzfal akadályozza az elérését.


M-NMAS -E- [domain] Cannot get A for NS host pserv

Ok:

Az elsődleges név szerverhez (pserv) a procedúra nem talált A rekordot.

Javítás:

A megadott név szerverhez A rekorddal rendeljünk IP címet.


M-NOSE -E- [domain] No secondary

Ok:

A domain-hoz nem tartozik másodlagos név szerver.

Javítás:

Gondoskodjunk legalább még egy autoritatív név szerverről.


M-NOST -W- [domain] no NS record for starting NS [ns]

Ok:

A kiinduló névszerver [ns]nem szerepel NS rekordként.

Javítás:

Ez csak egy figyelmeztetés, lehet, hogy szándékosan konfigurált így a domain gazdája. Vegyük fel a név szervert az NS rekordok közé, ha nem ez a helyzet.


M-SOAR -E- [domain] SOA error at [address] over [prot]

Ok:

Nem sikerült [prot] protokoll fölött a SOA rekordot lekérdezni az [address] címről. Lehetséges, hogy a domain-hoz nem is tartozik az [address] címen SOA rekord. Ez a hiba előfordulhat, ha például csak egy CNAME rekordot definiálunk az autoritatív név szerveren. Az is lehetséges, hogy valamilyen tűzfal beállítás akadályozza, hogy a szóban forgó lekérdezés megvalósuljon.

Javítás:

Szükség szerint vezessük be a megfelelő SOA rekordot, vagy módosítsunk a tűzfal beállításokon.


M-PRIF -E- [domain] Cannot get domain data (nshost_a nshost)

Ok:

A domain SOA rekordját, ami a zóna alapadatait tartalmazza, nem sikerült megkapni.

Lehet, hogy rosszul adtuk meg az ellenőrizendő domain név szerverének IP címét. Legjobb az elsődleges név szerver IP címét megadni. Üresen hagyni a név szerver mezőt nem szabad, ha még be nem jegyzett domain-ról van szó, vagy meg akarjuk változtatni a név szervert, vagy annak IP címét. A név szerver megadás csak akkor hagyható el, ha már bejegyzett domaint akarunk ellenőrizni.

Lehet, hogy a név szerver nem szolgáltatja a zónát. Ennek oka lehet valamilyen tűzfalszabály, vagy hiányos/hibás konfiguráció.

Javítás:

Adjuk meg a név szervert, vagy javítsuk a konfigurációt.


M-SOAER -E- [domain] syntax error in SOA record: [elem]

Ok:

A domain-hoz tartozó SOA rekord szintaktikusan hibás.

Javítás:

RFC1035 szerint javítsuk a rekordot.


M-SOAM -E- [domain] SOA mismatch at [address] over [prot]

Ok:

Különböző a SOA rekord az autoritatív név szervereken. Az autoritatív név szerverek nincsenek szinkronban egymással. A hibát okozhatja például nem megfelelő tűzfal konfiguráció.

Javítás:

Gondoskodjunk róla, hogy egymással összhangban legyenek konfigurálva az autoritatív név szerverek, és mindegyik ugyanazokat az adatokat szolgáltatssa a zónáról.


M-TO -E- [domain] Timout, exiting...

Ok:

Előfordulhat, hogy valamilyen kérésre/kérdésre nem kapunk választ, akármennyit várhatunk. Ezért az ellenőrző procedúra időzítést indít, és ha ez lejár, ezzel a hibaüzenettel jelzi.

Az ok tehát az, hogy valamilyen kérdés - lehet DNS kérés, de gyakrabban traceroute -, olyan sokáig tart, hogy az egész procedúra nem ér véget az időzítés alatt. Az ellenőrző procedúra tájékoztató üzenetei támpontot nyújtanak arra nézve, hogy mi is az, amire olyan sokáig kellett várni.

Javítás:

Hárítsuk el a késlekedés okát (pl. a tűzfal beállításainak módosításával). Esetleges hálózati hiba esetén próbálkozzunk újra később.


M-RERR -W- [domain] SOA parameters don't comply with RIPE,

Ok:

A hibaüzenet a SOA rekordban levő refresh, retry, expire és ttl értékek RIPE ajánlástól való jelentős eltérésére figyelmeztet: akkor találkozunk vele, ha az ajánlás értékét x-nek véve a SOA rekordban megadott érték kívül esik a [x/20, 20*x] intervallumon.

A RIPE ajánlást a RIPE 203-as sorszámú dokumentuma (ld. ftp://ftp.ripe.net/ripe/docs/ripe-203.txt) fogalmazta meg. A dokumentum 1999-ből származik. A mű szerzője - Peter Koch - 2005-ben a következő értékeket tartotta ajánlatosnak:

  refresh = 86400,        # 24 hours
  retry   = 7200,         # 2 hours
  expire  = 2419200,      # 4 weeks
  ttl     = 3600          # 1 hour

Az ellenőrző procedúra tehát ezeket veszi alapul.

Javítás:

Adjunk meg a SOA idő paraméterekben az ajánlástól nem sokkal eltérő értékeket.


M-MULP -W- [domain] Not just one NS at one IP address [IP]: [name1] / [name2]

Ok:

Két különböző nevű zónához tartozó autoritatív név szervernek ugyanaz az IP címe.

Javítás:

Szüntessük meg az egyik NS rekordot, vagy tegyük át az egyik név szervert másik IP címre.


M-SOMN -W- [domain] no NS record for SOA MNAME [ns]

Ok:

A SOA rekordban megadott MNAME paraméter, ami a zóna elsődleges név szerverét jelöli, nem szerepel NS rekordként. Ez lehetséges, és egyes esetekben talán kívánatos is lehet (hidden primary), gyakran azonban nem ez a szándék.

Javítás:

Adjuk meg az MNAME szervert NS rekordként is.


M-PARI -W- [domain] NS records inconsistent with parent !!!

Ok:

A hibaüzenet már bejegyzett domain esetében fordulhat elő. Azt jelzi, hogy az apuka (pl. a .hu, vagy co.hu) név szerverben nem azok az NS rekordok szerepelnek, mint az autoritatív név szerverben. Gyakran oka ennek az, hogy megváltoztak egy zóna név szerverei, de a regisztrátor nem módosította a regisztrációs rendszerben a domaint. Az apuka név szerverbe a regisztráció, vagy domain módosítás folyamán a következő módon kerülnek be a név szerverek:

  1. A regcheck a megadott helyről lekérdezi az NS rekordokat.
  2. Ezek mindegyikétől megkérdezi a SOA rekordot.
  3. Ha a domain ellenőrzése sikeres, akkor ezek az NS rekordok kerülnek be a Hureg adatbázisba, és a .hu zónába.

Javítás:

A regisztrátor gondoskodjon a megfelelő változtatásról, vagy állítsuk vissza a régi állapotot.


M-GLUD -W- [domain] NS glues differ on parent [parent_ip : ip] !!! ,

Ok:

A hibaüzenet már bejegyzett domain esetében fordulhat elő, ha a domainhoz glue rekordot is be kell jegyezni. Azt jelzi, hogy a glue rekord értékeként más van az apuka név szerverben, mint az autoritatív név szerverben. Gyakran oka ennek az, hogy a regisztrátor nem módosította a regisztrációs rendszerben a domaint.

Javítás:

A regisztrátor gondoskodjon a megfelelő változtatásról, vagy állítsuk vissza a régi állapotot.


M-NODS -E- [domain] No dnskey found at [ip cím]

Ok:

Ez a hibaüzenet csak akkor jelenik meg, ha az ellenőrzést DNSSEC-cel kérjük. Az ellenőrző procedúra nem talál a domain-hoz tartozó DNSKEY rekordot az ip cím-en levő névszerveren. Valószínűleg a zóna valójában nincs DNSSEC-cel konfigurálva.

Javítás:

Attól függően, hogy mi volt a zóna gazdájának a szándéka vagy DNSSEC nélküli ellenőrzést kell kérni, vagy pótolni/javítani kell a DNSSEC konfigurációt.


M-MDS -E- [domain] More than 6 KSKs found

Ok:

Ez a hibaüzenet csak akkor jelenik meg, ha az ellenőrzést DNSSEC-cel kérjük. Az ellenőrző procedúra több mint hat olyan DNSKEY rekordot talált, ahol állt a SEP bit.

Javítás:

Gondoskodjunk róla, hogy legfeljebb hat KSK legyen a DNSKEY rrset-ben.


M-DSD -W- [domain] DS keys differ at parent

Ok:

Ez a hibaüzenet csak akkor jelenik meg, ha már regisztrált domainról van szó, és az apuka domain-ban (rendszerint a .hu-ban) DNSSEC-cel delegálták a domaint. Az üzenetet ellenőrző procedúra nem ugyanazt a DNSKEY rrset-et találja a névszervereken, mint amikre az apuka domain-ban hivatkozás van. Gyakran oka ennek az, hogy a regisztrátor nem módosította a regisztrációs rendszerben a domaint.

Javítás:

A regisztrátor kezdeményezzen domain módosítást DNSSEC-cel, hogy a változott DNSKEY rrset-nek megfelelő DS rekordok legyenek az apuka zónában.


M-KERR -E- [domain] Key error [keyerr]

Ok:

DNSSEC hibát talált az ellenőrző procedúra a DNSKEY RRset-tel, vagy ennek az RRset-nek az aláírásával kapcsolatban. A [keyerr] közelebbi információt ad a hibáról. Egy lehetséges ok, hogy a domain név szerverei közül nem mindegyik szolgáltat DNSSEC információt.

Javítás:

Gondoskodjunk róla, hogy a DNSKEY RRset, illetve az RRset aláírása valamennyi autoritatív név szerveren helyes legyen.


M-UNSDS -E- Unsupported DNSKEY algorithm [algo]

Ok:

A DNSKEY algoritmus nem támogatott. A támogatott algoritmusok listájáról Itt tájékozódhatunk.

Javítás:

Módosítsuk a DNSKEY algoritmust a zónában.