【設定面倒】BIND　総合スレッド【DNS】

**DNS未登録さん** · 2009/11/19(木) 20:02:38

無かったから建てた。
正直webminすごく助かる

**DNS未登録さん** · 2009/11/28(土) 01:40:49

BIND9に脆弱性が見つかったぞ。
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html

**DNS未登録さん** · 2009/11/29(日) 22:52:31

>>2
いつの話だよ。

**DNS未登録さん** · 2009/12/01(火) 13:28:34

BIND9ってopensslを必要とするよね。
./configure --with-openssl=/usr/local/ssl
みたいな感じで。

DNSSECを使わない場合もopensslって必要なん?

**DNS未登録さん** · 2009/12/01(火) 14:28:00

>3
失礼。日付を確認してなかった。
jprsのホームページにデカデカと出ていたから勘違いしたよ。

**DNS未登録さん** · 2009/12/08(火) 22:08:15

内部用DNSの設定について質問です。

Value-domainでドメイン名を登録して、DDNSで自宅サーバ（ubuntu 9.10）を立てました。

LAN内からWebサーバへアクセスするとき、
(1) ドメイン(hoge.net)でアクセスすると、Webサイトのトップページが見えます。
(2) サブドメイン(sub.hoge.net)でアクセスすると、ルーターの設定画面が出てきます。

ググったら、LAN内でWebサーバにアクセスする場合、内部用DNSを用意すればイイことまで分かりました。
ubuntu bind9 自宅サーバ内部用設定の検索結果約 2,300 件

ttp://www.miloweb.net/bind.html
ttp://hyamada.ddo.jp/hiki/hiki.cgi?bind9
↑検索で出てきた説明を基に設定しようと思いましたが、どこをいじるのかまだよく分かりません。

内部用DNSの設定をご指導ください。よろしくお願いします。

**DNS未登録さん** · 2009/12/08(火) 22:14:19

DNSの本について

DNS、特にBINDについてお勧めの本があればご紹介ください。

Amazon.co.jpでDNS、BINDの本を探したら、
オライリーの「DNS & BIND 第5版」が定番のようですが、これを読破するのはちとしんどいです。（２、３日じゃ読めない？）＞＜
ttp://www.amazon.co.jp/dp/4873113903

BIND9によるDNSサーバ構築
ttp://www.amazon.co.jp/dp/477412947X
↑これ読めば、自宅サーバの内部用DNSを作れるでしょうか？

アドバイスよろしくお願いいたします。

**DNS未登録さん** · 2009/12/09(水) 17:13:35

マニュアルを読む。
解説サイトを読む。
キャッシュと内向けだけならそれで十分。
汚染が怖いならキャッシュもなくす。あとはプロバイダのDNSに任せる。

**DNS未登録さん** · 2009/12/11(金) 12:42:05

設定なんでググればいくらでも出てくるだろ

BINDは最新使えよ

**DNS未登録さん** · 2009/12/11(金) 15:07:53

bindに関しては、googleはおすすめできない。
いいかげんな知識でほんとにそれでいいのかよくわかってないけど
なんとなく動いてるみたいだからそれでいいや、
てな人間が書いたものばっかりひっかかる。

**DNS未登録さん** · 2009/12/11(金) 19:05:13

図書館にDNS＆BINDの第4版があったので借りてきました！

**DNS未登録さん** · 2009/12/12(土) 08:36:53

>>10
知ったかぶりだけじゃなくていいところと悪いところのURLを書いてみたらどうだい？
自鯖で優越感浸るほどの設定なんて必要ないだろうし、どうせなら自慢の自分の設定さらしてみたら？

**DNS未登録さん** · 2009/12/14(月) 07:45:13

BINDってすごいよね～
セキュリティ的な云々だから～
なんて手前味噌な都合でchrootみたいな非構造的でユーザビリティとは乖離しきった実装が許されちゃうんだもんね～
すごいよ。さすが。

**DNS未登録さん** · 2009/12/14(月) 12:35:09

しかし初心者にオライリーを勧めるのはちょっとなぁ。

セキュリティー的には /etc/named.conf に allow-recursion を入れることが重要。

**DNS未登録さん** · 2009/12/14(月) 20:27:59

これをベースにちょっと書き換えてやればいいだけじゃないの？
ttp://www.cymru.com/Documents/secure-bind-template.html

**DNS未登録さん** · 2009/12/28(月) 07:32:14

>>10
っせえ
黙ってろ

**DNS未登録さん** · 2009/12/30(水) 20:24:42

とりあえず共有からもってた独自ドメインを自鯖のDNSにうつしたんだけど、
指定事業者の設定でネームサーバの指定をしました。
んで、BINDでバーチャルホストの設定をしたんだわさ。
質問なんだけど、よく変更したら24～72時間くらいは待てよっていうのは
ネームサーバの変更から？それとも自分がたてたDNSサーバを変更してから？
理屈で考えると、自分のDNSサーバの設定を変更したら、その変更が世界に回るまでに
時間がかかるから、設定をなおしたと思ってもしばらくは意図しない表示になるってことだよね？
家にあるPC数台、どれも表示が違うし、digでwwwつけるのとつけないので
返ってくるIPが違うし(一つは今のIP、もうひとつは共有鯖だったときのIP)

**DNS未登録さん** · 2010/01/12(火) 10:07:44

買いました。
このスレの煽りの真偽に興味シンシンです

**DNS未登録さん** · 2010/01/18(月) 13:03:46

SRVレコードの動作をチェックする方法ってありますか？

**DNS未登録さん** · 2010/01/19(火) 21:07:49

>>19
？

**DNS未登録さん** · 2010/01/27(水) 13:56:53

BIND 9 の DNSSEC 検証コードに脆弱性
これって
https://jvn.jp/cert/JVNVU360341/index.html

DNSSECを使ってなければ、関係ないの？
使ってなくても関係あるの？

こういう所の報告って
前提条件とかがよくわからない

**DNS未登録さん** · 2010/02/12(金) 15:29:57

つかDNSSEC自体がよくわからん

**DNS未登録さん** · 2010/03/01(月) 01:30:28

すいません、質問です

マスター側の/etc/named.confてスレーブ側に同期されますか？

例えばhoge.comを運用しているbindだとして、a.hoge.comのサブドメインを追加する場合は
マスターとスレーブの/etc/named.confを変更して、さらにa.hoge.com.zoneファイルなんか
を用意する必要があるという事でしょうか？

よろしくお願いいたします。

**DNS未登録さん** · 2010/03/01(月) 06:17:06

>>23
当然です
楽したければ同期したい部分を別ファイルに切りだして
rsyncするのも手だよ。(ゾーンファイルもな)

**DNS未登録さん** · 2010/03/01(月) 06:20:06

>>23
スマソ、一部見過ごしてたよ

サブドメインのゾーンファイルをわけなければスレーブ側は何もする必要はない。

**DNS未登録さん** · 2010/03/04(木) 18:43:49

>>19
遅れてすいません．
DNSがWindowsの場合はよく知りませんが UNIX系のBINDでSIPで使う
TLSのサービスを聞く場合を書きます．
以下の様にすればどうでしょうか? 以下のようなコマンドを投入します
これは，SIPのTLSは何処に(A：IP)張ればっていうアプリからDNSに
聴かれるものです．

dig @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE．CO．JP
投入コマンドのエコー部分
; <<>> DiG 9.3.5 <<>> @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE．CO．JP.
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32608
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4
#結果はエラーがなくて
問い合わせ１レコード解答1レコード DNSのAUTHが３レコード
付加情報が４レコード
;; QUESTION SECTION: DNSが聴いた問い合わせ
;_sipinternaltls._tcp.EXAMPLE．CO．JP. IN SRV
;; ANSWER SECTION: DNSからの返答
_sipinternaltls._tcp.EXAMPLE．CO．JP. 300 IN SRV 0 0 5061 SIP.EXAMPLE．CO．JP.
;; AUTHORITY SECTION:
EXAMPLE．CO．JP. 300 IN NS NS2.EXAMPLE．CO．JP.
省略
;; ADDITIONAL SECTION:
SIP.EXAMPLE．CO．JP. 300 IN A SIPのIP
NS1.EXAMPLE．CO．JP. 300 IN A DNSのIPアドレス
省略
;; Query time: 62 msec
;; SERVER: DNSのIPアドレス(DNSのIPアドレス)
;; WHEN: Sun Feb 21 11:08:45 2010
;; MSG SIZE rcvd: 219

**DNS未登録さん** · 2010/03/04(木) 20:35:54

>>21
DNSSEC 検証コードに脆弱性とありますので，DNSSECを使わなければ
この*問題*はOKのようですが，これ以外に沢山あるようです．
https://www.isc.org/software/bind/security/matrix
ごらんください
2ちゃんねる攻撃もDNSをDDoSされ毒入れをされたと聴いています．
BINDは最新にってことでしょうか?

**DNS未登録さん** · 2010/03/05(金) 12:06:23

>>27
毒入れはキャッシュサーバにしかできない

**DNS未登録さん** · 2010/03/05(金) 21:36:42

>>28
maido3はプロバイダーだよねキャッシュサーバ無いの？

**DNS未登録さん** · 2010/03/05(金) 22:31:41

>>29
仮にあったとしても関係ない
よーく考えよう

**DNS未登録さん** · 2010/03/08(月) 03:15:23

>>30
http://www.your.org/dnscache/djbdns.pdf　をみたけど
DJBDNSってまじめだとわかった。
またなぜmaido3がDNSSECをしていないかの理由もわかったきがする
　でもプロバイダって厳しい仕事だね

**DNS未登録さん** · 2010/03/08(月) 03:18:42

>>28
キャッシュサーバポイズニングはキャッシュサーバだけだね
当たり前だけど

**DNS未登録さん** · 2010/04/22(木) 18:40:30

自前でＤＮＳ立てたんだけど
ドメイン名は引けるけど
digとかで見たら逆引きができません

利用するネームサーバを自前のものに指定して引くと
正・逆共に正しく引けます
広まるまで時間がかかるのかな？とおもって既に３カ月
そんなもの？

**DNS未登録さん** · 2010/04/22(木) 19:24:46

dig +trace

**DNS未登録さん** · 2010/04/23(金) 00:41:52

大抵はほぼリアルタイムで反映されるはず。
ゾーン名が間違ってるか、ミスで権限委譲されていないのいずれかだと思う。

ゾーン名の記述はISPによって違うので注意。

33 · 2010/04/23(金) 11:20:19

>>34-35 ありがとう御座います

dig +traceで見てみたら順番に下がってきて ISPのセカンダリーが先に出てきて
最終的に自信はReceivedに出ていませんでした
ただ、ＤＮＳ自信のＩＰを逆引きしたらちゃんと引けて出ました(IPは８つです）

>>35の言うようにゾーン名が変だと思いＩＳＰの情報を色々と物色してみると（ISPはOCN）
こんなのを見つけました ttp://www.ocn.ad.jp/tw/dns_02.html
中には
# // ネットワークアドレス全て(4オクテット)を使ってゾーン名を設定します.
# zone "32.69.168.192.in-addr.arpa" in {
とあるんですが、
うちは
zone "69.168.192.in-addr.arpa" in {
となっていました、

ISPに出ているように
zone "32.69.168.192.in-addr.arpa" in {
に変更して dig @localhost で調べると
今度は自信の 32.69.168.192 以外が引けて
32.69.168.192 が引けなくなりました(契約はIP8）

色々と調べながら１時間ほどして
別のＩＳＰから当該ＤＮＳで管理しているメールサーバーのメールアドレスへ
メールしてみたら全く届かなくなっていたので
これはヤバイ！と思い取りあえず元に戻して寝ました（笑）
（元に戻したおかげで今は正常に届いています）

昼間は流石に触るのが怖いんで週末の夜中にこっそり続きやります

**DNS未登録さん** · 2010/04/23(金) 23:04:14

>>36
ゾーンファイルの中身はどうなってるの？

33 · 2010/04/24(土) 01:18:50

こんな感じです

$TTL 86400
@ IN SOA ns.example.com. postmaster.example.com. (
　 1 ; Serial
　 10800 ; Refresh after 3 Hours
　 3600 ; Retry after 1 Hour
　 604800 ; Expire after 1 Week
　 86400 ) ; Minimum TTL of 1 Day
;
　IN NS ns.example.com.
; Hosts
34 IN PTR ns.example.com.
35 IN PTR host1.example2.com.
36 IN PTR host1.example3.com.
37 IN PTR host1.example4.com.
38 IN PTR host1.example5.com.

33 · 2010/04/24(土) 01:37:01

因みに
■googleのDNS指定して逆引きしたら

; <<>> DiG 9.5.0-P2.1 <<>> @8.8.8.8 -x 192.168.69.35
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3410
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;35.69.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa.

;; AUTHORITY SECTION:
69.168.192.in-addr.arpa. 3600 IN SOA ns.example.com. postmaster.example.com. 2010042341 3600 900 3600000 3600

■ dig +trace @8.8.8.8 -x 192.168.69.35 だと

; <<>> DiG 9.5.0-P2.1 <<>> +trace @8.8.8.8 -x 192.168.69.35
; (1 server found)
;; global options: printcmd
. 2625 IN NS l.root-servers.net.
　　　　　　　　　　　（省略）
. 2625 IN NS d.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 54 ms

192.in-addr.arpa. 86400 IN NS NS4.APNIC.NET.
192.in-addr.arpa. 86400 IN NS NS3.APNIC.NET.
192.in-addr.arpa. 86400 IN NS NS-SEC.RIPE.NET.
192.in-addr.arpa. 86400 IN NS NS1.APNIC.NET.
192.in-addr.arpa. 86400 IN NS TINNIE.ARIN.NET.
;; Received 159 bytes from 128.8.10.90#53(d.root-servers.net) in 237 ms

;; connection timed out; no servers could be reached

33 · 2010/04/24(土) 01:38:45

>>39
35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa.
訂正
35.69.168.192.in-addr.arpa. 86400 IN CNAME 35.69.168.192.in-addr.arpa.
ですｗ

33 · 2010/04/24(土) 01:42:04

■ローカルホストで試すと dig -trace @localhost -x 192.168.69.35
;; Warning, ignoring invalid type race

; <<>> DiG 9.5.0-P2.1 <<>> -trace @localhost -x 192.168.69.35
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26998
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;35.69.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
35.69.168.192.in-addr.arpa. 3600 IN PTR host1.example2.com.

;; AUTHORITY SECTION:
69.168.192.in-addr.arpa. 3600 IN NS ns.example.com.

;; ADDITIONAL SECTION:
ns.example.com. 3600 IN A 192.168.69.34

今気がついたんですけど、１行目の
;; Warning, ignoring invalid type race
ってのは・・・何かダメってことでしょうか

**DNS未登録さん** · 2010/04/24(土) 01:53:19

>>38
zone "32.69.168.192.in-addr.arpa" が正解だよ。
192.168.69.32の逆引きを設定したいのならば、ゾーンファイルに
@ IN PTR test.example.com.
を追加しとけばよい

ってか、ネットワークアドレスの 32 をホストで使用してるの？

33 · 2010/04/24(土) 02:11:02

>>42
>ってか、ネットワークアドレスの 32 をホストで使用してるの？
私も引き継いだ時にそうなっちゃってたんで
そのまんまなんですが
やっぱり不味いですよねぇ

そもそもＩＰアドレスベースで他で設定してあるものもあるらしく
勝手に変更するとＰＣ側の設定でえらい事になりそうで
踏み出せずにいます

33 · 2010/04/24(土) 02:31:32

>>42
確かに、@ IN PTR test.example.com. で
ローカルでは32も引けるようになりました、たぶん大丈夫な気がします
ありがとう御座いました！！

ご指摘のようにネットワークアドレスのＩＰの事を考えると鬱になるんですけどねぇ…
元々の間違いの始まりはドメイン申請の時にNの営業さんが手配してたらしいんですけど
こんな設定にしてる為に凄く困ってることが他にもあるんですが、スレ違いなんでいいです（笑）

**DNS未登録さん** · 2010/04/24(土) 03:14:06

>>43
ルータによっては制約があるかもしれませんが、ネットワークアドレスや
ブロードキャストアドレスもNAT用であれば活用可能です。
混乱の元なのでアドレス足りてるなら使わないほうがよいですが。

**DNS未登録さん** · 2010/04/24(土) 17:20:58

DNSを変更した時に世界中で反映される時間とかかかれてますが、利用者が利用者のDNSに参照に行った時に
キャッシュの情報が古い場合だけ設定元のDNS情報を参照しに行くと考えてＯＫでしょうか。
だとすれば、どこのアドレスからの参照で何時どのドメインを引いたか知りたいのですがログに残せないものでしょうか

**DNS未登録さん** · 2010/04/24(土) 18:29:06

>>46
利用者側の情報は設定された時間を経過すると消去されるので
再度設定元に問い合わせに行く。

ログは簡単に取れるよ。
ttp://www.atmarkit.co.jp/flinux/rensai/bind910/bind910a.html

**DNS未登録さん** · 2010/04/25(日) 16:57:13

ログとれたサンクス

**DNS未登録さん** · 2010/06/09(水) 11:17:26

自鯖のDNSにnslookupするとサーバ名がIPアドレスになってしまいます。
これをサーバ名にするにはなにを修正すればいいのでしょうか？
教えて、エロい人！

> google.com
Server: 127.0.0.1 ←これをlocalhostしたい
Address: 127.0.0.1#53

Non-authoritative answer:
Name: google.com
Address: 66.249.89.104
Name: google.com
Address: 66.249.89.99

**DNS未登録さん** · 2010/06/09(水) 12:29:09

nslookup 使うな。

**DNS未登録さん** · 2010/06/09(水) 19:41:33

>>49
$ nslookup - localhost
> google.com
Server: localhost
Address: 127.0.0.1#53

Non-authoritative answer:
Name: google.com
Address: 66.249.89.99
Name: google.com
Address: 66.249.89.104

**DNS未登録さん** · 2010/06/30(水) 18:52:17

cnetos 5.5 (x86_64)
bind 9.3.6-4.P1.el5_4.2

service named restart
をすると

Error getting active value for named_write_master_zones

という警告が出るんだけど、再起動は問題なくできている。設定も反映されます。

設定関連はちゃんとできてると思うが、ググってもズバリというようなソース見当たらないので
どういう関連のエラーかわかる方いますか？

このサーバはmasterzoneもslavezoneも持っているので、推測するにmasterから変更があったが、slaveとして書き換えできなかったというエラーなのかな？
selinuxはpermissivなのでそっち関連は大丈夫だと思います。

zonefileに関してはかなりの数があり、全部私が設定してないので問題ないとは自信持って言えないが、出力ログを見る限り、該当するものの詳細は見当たらず。
同様なエラーメッセージに遭遇し、解決した方いらしたら、ご教授ください。

**DNS未登録さん** · 2010/07/05(月) 21:46:09

nslookup www.valinux.co.jp

とすると、

connection refused resolving 'fsv.valinux.co.jp/A/IN': 210.128.90.2#53

とmessagesに出てきてしまうんですが、これはどういう意味なのでしょうか？
宜しくお願い致します。

**DNS未登録さん** · 2010/07/05(月) 22:24:25

>>53
そのドメインの設定ミスだから気にスンナ。

上位(JPRS)にはvalinux.co.jpのネームサーバの一つとして
ns2.valinux.co.jp(210.128.90.2)が登録されているけど、ns2には
valinix.co.jpの設定がない(もしくは設定ミスの)ため拒否されてるだけ。

**DNS未登録さん** · 2010/07/05(月) 23:05:22

>>54
ありがとうございます。
その ns2... って dig valinux.co.jp ns しても出てこないみたいなんですが、
教えて頂けないでしょうか・・？

**DNS未登録さん** · 2010/07/05(月) 23:12:29

>>55
$ whois -h whois.jprs.jp valinux.co.jp
$ whois -h whois.jprs.jp ns2.valinux.co.jp

**DNS未登録さん** · 2010/07/05(月) 23:36:16

ん・・。ありがとうございます。

bindって色々調べて結果返してるんですね。

**DNS未登録さん** · 2010/07/15(木) 11:23:48

NAT環境内でbind9によりDNSサーバを動かしています。
ルータの設定でもbind9用のポートは閉じています。
allow-query,allow-recursionの対象をLAN内のPCのみとしているので
jail化する必要はないと考えていますが、いかがでしょうか？
よろしければご教授下さい。

**DNS未登録さん** · 2010/07/15(木) 11:31:25

>>58
allow-*とjailは別々のセキュリティ対策だよ。

外部からの不正な問い合わせを何重もの防御で守りたいのなら、
jailではなくipfwなどで自力でポートを閉じるべきだ。

jailは万が一セキュリティホールが突かれたとき、
システム側に不正な要求を投げさせないのが目的だから、
それはそれで必要性を判断して設定すればいい。

**DNS未登録さん** · 2010/07/15(木) 12:50:55

アドバイスありがとうございます。
こちらが言葉足らずでした。

NAT内だけでの運用なので、システムが占拠される心配はないと考えたので
jailは不要ではないかと判断した次第です。
よく、何重にも対策をしておく方が良いと言われますが、労力が割かれてしまう
ので迷う所です。
現状、named.conf.optionsの設定に気を配る程度です。
allow-queryやallow-recursion, version "unknown"辺りでしょうか。

それと、ipfwというものを調べてみましたが、ファイアウォールなのですね。
私はルータをファイアウォールとして使用しています。
webサーバとファイルサーバを外部に公開したいと考えていますが、今のと
ころ未公開です。ポートも閉じています。。

上記を考慮した場合、jail化は必要なのでしょうか？
また、他に推奨のセキュリティ対策など教えて頂ければ幸いです。

**DNS未登録さん** · 2010/07/18(日) 22:12:08

bind9.7.1-P2をインストールしようとしているんですが、
下記２点についてうまくいっていません。分かる方助言をお願いします。

1.Microsoft Visual C++ 2005 Redistributableインストール時に
「Command line option syntax error. Type command/? for Help.」
というエラーメッセージダイアログがでてインストール失敗する

2.上記の失敗からか、「C:\Windows\System32\dns」フォルダが作成されない

61 · 2010/07/18(日) 22:13:46

すみません。環境はWindows 7 Ultimate 64ビットです。

**DNS未登録さん** · 2010/07/22(木) 22:40:43

今までCentOS5.4で自鯖立ててて
yum updateで5.5相当にして使ってたんだけど
今回サーバー用ＨＤＤの容量アップのために
クリーンインストールでCentOS5.5入れて自鯖セットアップしなおしたんだけど
bindをどう設定して、bindを起動してもnamed/confにエラーがあると出る
ちなみに再インストール前のbindの設定をバックアップ取ってたので
それをコピペしてみてもダメ
bindの新しいバージョンってなんか設定方法とか変わったの？
named.confの設定はこんな感じなんで
おかしいとこあったらどこがおかしいか教えてください。

options {
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
version "unknown";
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;
query-source-v6 port 53;
allow-query { localhost; localnets; };

forwarders{
192.168.24.1;（プレミアムのCTUのプライベートアドレス）
XXX.XXX.XXX.XXX; (インターリンクのプライマリーDNSのIPアドレス)
XXX.XXX.XXX.XXX; (インターリンクのセカンダリーDNSのIPアドレス)
};
};

view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.xxx.com.zone";
};

view "internal" {
match-clients { localnets; };
match-destinations { localnets; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.xxx.com.zone";
};

view "external" {
match-clients { any; };
match-destinations { any; };
recursion no;
include "/etc/named.xxx.com.zone.wan"

**DNS未登録さん** · 2010/07/23(金) 02:40:31

>>63
パッと見、問題なさそうだが、肝心のエラー内容は？

エラーとは直接関係ないはずだけど、これはコメントアウトしろよ。
query-source port 53;
query-source-v6 port 53;

**DNS未登録さん** · 2010/07/23(金) 05:12:07

>>63
最後の行は
include "/etc/named.xxx.com.zone.wan"
で終わりなの？

**DNS未登録さん** · 2010/07/28(水) 16:46:12

教えて下さい。

DIG で ANSWER SECTION にきちんとＩＰが返ってきているのに、
# dig www.domain.local a

PINGを実行してもUnknown host になってしまうのなぜでしょうか？
# ping www.domain.local

ちなみにドメインを指定しないときちんと返ってきます。
# ping www

環境
debian lenny
bind9

DNSを設定したマシン自体にwwwと名前をつけています。
/etc/resolv.conf には nameserver 127.0.0.1 とし、
他のnameserverは設定していません。

他のマシンからは正しくping が通ります。

インフラ詳しくないので、チェックの方法等、助言頂けると幸いです。
よろしくお願いします。

66 · 2010/07/28(水) 17:27:12

66です。
いろいろ試してみたところ、
bind側ではなく、ＯＳ側に問題がありそうです。

理由は以下の３点です。
１．他のマシンからのpingは通る。
２．dig, nslookup は問題ない
３．設定しているマシンのresolv.confに他のＤＮＳを指定してもFQDNでpingできない

debian板で聞いてみることにします。
ありがとうございました。

**DNS未登録さん** · 2010/07/29(木) 07:51:01

友人の所で間借りしてたドメインを自鯖に移したんですが(ムームー)、なぜか1週間以上たった今も
digをすると、前の鯖のIPが出ます。
HPドメインのhogehoge.comだけが前のIPになっていて、サブドメインのmail.hogehoge.com等は
新しいIPに変わってます。
どこが悪いとこうなるんでしょうか？

**DNS未登録さん** · 2010/08/02(月) 15:49:30

そりゃそこだけ設定変えてないんだろう

**DNS未登録さん** · 2010/08/03(火) 08:01:47

ID更新してないだけとふんだ

なんかruドメインの名前解決が大量にログに残ってて気持ち悪いんだけど何が起きましたか？

**DNS未登録さん** · 2010/08/10(火) 00:18:00

winodws版のBINDでちょっと疑問。
8.8.8.8にforwordさせて、ローカルにも保存する場合confにどう記述すれば良いの？
紹介サイトで記述の仕方が違うから理解できない。

**DNS未登録さん** · 2010/08/10(火) 00:46:39

>>71
何を保存するの？
そもそも日本のユーザが8.8.8.8を指定してもメリットはないよ

**DNS未登録さん** · 2010/08/10(火) 00:51:55

テストする意味で8.8.8.8にして見たけどプロバイダのでも良いんです。
windowsの標準のＤＮＳクライアントみたいにドメイン名とＩＰをキャッシュさせたいです。
もしかすると実はもうキャッシュされているのでしょうか。
named.conf,
named.root.
見よう見まねで記述してるので自信がありません。

**DNS未登録さん** · 2010/08/10(火) 11:07:15

プロキシーとか代理応答とかキャッシュとかそういう話？

**DNS未登録さん** · 2010/08/10(火) 13:05:47

そういう感じです。

**DNS未登録さん** · 2010/08/10(火) 14:16:27

普通に設置してoptionsにforwardersとforward onlyで丸投げでいいんじゃない？
あとrecursion yesとか？

**DNS未登録さん** · 2010/08/10(火) 14:58:28

うまくできました感謝

**DNS未登録さん** · 2010/08/12(木) 07:14:38

勉強のためubuntu上にてvirt-managerでubuntu10.04のDNSの構築してみてるんだけど
今slaveサーバ設置してゾーン転送させようとしてるとこでうまくいかない
マスター側は192.168.122.11、スレーブ側は192.168.122.12
マスター側のnamed.confのzoneステートメント（とaclステートメント）は
acl "Slave" {192.168.122.12;};
zone "122.168.182.in-addr.arpa"{
type master;
file "122.168.192.rev";
allow-transfer{Slave;};
notify yes;};
スレーブ側は
acl "Slave"{192.168.122.12;};
zone "122.168.192.in-addr.arpa"{
type slave;
file "bak/122.168.192.rev";
masters{192.168.122.11;};
allow-transfer{Slave;};};
コピペじゃないけど再起動もできるので書式のミスは無いはず
スレーブ側bindを再起動すればスレーブ側のゾーンファイルを消しとくとちゃんと転送されるけど
ゾーンファイルがあるとマスター側で更新されててもスレーブ側はbind再起動しても更新されない
よろしくお願いします

**DNS未登録さん** · 2010/08/12(木) 07:43:06

小出しで申し訳ないけれど最後の方日本語おかしかったから
つまりマスター側でゾーンファイルを編集保存しただけでスレーブ側にも
反映（ゾーン転送）してほしいのに、編集保存してからマスター側のbindを再起動して、
スレーブ側にある古いゾーンファイルを消したうえでスレーブ側のbindを再起動しないと
ゾーン転送してくれないということ、どうすればいいんでしょか

**DNS未登録さん** · 2010/08/12(木) 19:23:41

>>78-79
シリアル更新忘れに1ペリカ

**DNS未登録さん** · 2010/08/13(金) 01:27:49

>>78
ゾーンファイルのNSレコードにスレーブサーバを登録してる？

**DNS未登録さん** · 2010/08/13(金) 08:39:18

レスありがとうございます
>>80
シリアル更新はしてます
emacsのDNSモードなので編集保存すると自動で変わってくれます
>>81
登録してます

マスターのゾーンファイルを編集してからゾーン転送されるまで普通はどれくらい時間掛かりますか？
僕の頭の中ではSOAレコード第4パラメータの時間＋15分弱です
それとnotify yesはSOAレコード第4パラメータ無視して更新したら15分弱で転送するって認識で合ってますか

今わかりましたがマスター側のbind再起動してしばらく待ってると
スレーブ側はゾーンファイル残して再起動もせずともゾーン転送してくれました
マスター側のbind再起動すればできるってことはマスター側のnamedがゾーンファイルの更新を
監視してくれてないとか、そういうのは無いですか？何々起動しないと監視してくれないとか
てかそもそもゾーン転送以前にbind再起動無しでゾーン情報更新してくれてた気がしない
問題はそこな気がします、どうすればbind起動中にemacsやらでゾーンファイル弄ったのを
シリアルを確認して感知するのか、このシリアルを確認するのはnamedプロセス？namedはしっかり起動しています
ps aux|grep named
bind 3284 0.0 2.0 43892 10432 ? Ssl 07:37 0:00 /usr/sbin/named -u bind
hoge 3302 0.0 0.1 2884 808 pts/0 S+ 08:16 0:00 grep --color=auto named
またですがアドバイスよろしくお願いします

**DNS未登録さん** · 2010/08/13(金) 17:58:17

>マスターのゾーンファイルを編集してからゾーン転送されるまで
自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。

話からするとnotifyがスレーブ側に届いていないようなので、>>81だと思うんだけどね。

NSレコードでスレーブ鯖の記述が間違ってないか、
マスタ側でNSレコードをdigしてみて、
それでもダメならマスター側で以下を追加してみてはどうだろうか。
also-notify { slave鯖のIPアドレス; };

**DNS未登録さん** · 2010/08/13(金) 18:04:30

>自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。

あぁごめん、一部見逃して書いてた。
マスタ側だけはゾーン情報を更新したらbindの再起動は必須だよ。

**DNS未登録さん** · 2010/08/13(金) 18:17:59

>>84
そうでしたか、それならこれで合ってたんですね
ちなみに再起動ではなくHUPシグナル送ったりrndc reloadしたりでも
ゾーン情報更新してくれるみたいです、これで数分以内にはスレーブ側も更新してくれました
ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました
ありがとうございました！！

**DNS未登録さん** · 2010/08/14(土) 21:35:00

＞ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました

コンピュータ関係の間違いの大部分を占める「勝手な思い込み」の典型
俺が経験したクレームで「パスワードを変更したらメールサーバにつながらなくなった」ってのがあったが
結局、旧パスワードを削除せずに新パスワードを続けて書いたのが原因
「新しいパスワードをちゃんと設定しましたってば！」
うん、そうだね、したね
でもこっちの質問「どのようにですか？」「パスワードは何文字になってますか？」には頑なに答えてくれなかったね
コンピュータにはピンポイントで肝心な部分の情報を隠蔽させる魔力があるんだろうね

**あああ** · 2010/08/19(木) 22:05:24

あああ

**DNS未登録さん** · 2010/08/22(日) 21:21:29

**DNS未登録さん** · 2010/08/22(日) 22:57:12

はじめての書き込みです　さっそく
named.conf.options: // forwarders {
というのがあってこれ以下にプロバイダー側のサーバを書くのですが
具体的に何を書くのか分かりません。教えてください。
なお環境としてはglobalIP1
質問１：
候補１　：　回線会社（NT*ですが）のDNS？（使用する地域の接続ポイント）
候補２　：　プロバイダ（Info*****）のDNS
候補３　：　ドメインの管理会社のものでしょうか？

質問２：
ま上記の３つを最低３行を併記しても良いものでしょうか？

**DNS未登録さん** · 2010/08/23(月) 03:53:38

＞というのがあってこれ以下にプロバイダー側のサーバを書くのですが
と自分で書いてるんだからプロバイダのDNSでしょ。

＞ま上記の３つを最低３行を併記しても良いものでしょうか？
やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。

NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。
ドメイン管理会社にもDNSは持ってるだろうが、
そこにドメイン情報を設定していないと意味はない。

**DNS未登録さん** · 2010/08/23(月) 22:09:54

さっそくども

＞＞というのがあってこれ以下にプロバイダー側のサーバを書くのですが
＞と自分で書いてるんだからプロバイダのDNSでしょ。

プロバイダー側と書いてあるとおりプロバイダーとは限定した質問では
ありませんでした。プロバイダー側の３つからどれかという質問の意図でした。
プロバイダー限定なわけですね。

＞ま上記の３つを最低３行を併記しても良いものでしょうか？
やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。

＞NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。

フレッツはDNSではない接続をしているようですが、そこのDNS達につなぐ
のも手なのかなとも考えたわけです。

＞ドメイン管理会社にもDNSは持ってるだろうが、
＞そこにドメイン情報を設定していないと意味はない。

そこでは保有しているべきものではないのでしょうか？

これ設定しないとドメイン登録できないし・・・
もし、管理会社が登録していないとなるとどこに？
もっと上流のどこかが保存管理しているということな？

**DNS未登録さん** · 2010/08/23(月) 22:12:13

同じく
infospher　ですがプロバイダーのDNSは
http://www.sphere.ne.jp/support/guide/dnschange/images/001img01.gif
になるのですか？

**DNS未登録さん** · 2010/08/23(月) 23:10:53

>>91
あぁごめん、説明を端折って書いたから余計混乱させてしまったか。

今回bindで設定する意図はキャッシュサーバーを立てる事なのか、
自分が取得したドメインの運用のためかによって話は変わってくるけど、
forwarderはキャッシュサーバーの用途なのでドメインの運用とは関係ないからね。

まだドメインが取得できていないのであれば
お名前.comやValue Domainとかの大手でドメインを取得して
レジストラが用意するネームサーバを利用するといいんじゃないかな。
これらの業者は自分でネーム鯖を用意せずにドメインを運用する事ができるよ。

さすがにレジストラというのはどういう所かくらいは自分でぐぐってね。

>>92
東日本と西日本で違うみたい。
ttp://www.sphere.ne.jp/support/guide/setvalue/#a050

**DNS未登録さん** · 2010/08/23(月) 23:16:50

一応補足。
お名前.comやValue Domainというのがレジストラね。国内だと大手だと思う。

**DNS未登録さん** · 2010/08/24(火) 14:58:13

レジストラの指定している管理サーバーは　***.***.jp　となっています。
すると　forwarder　には　その***.***.jp　を入れるべきでしょうか？
いまいち分からない。
一応やってみた　restart　すると　[fail]　になる。
だから数字だけしか通用しないようです。あたりまえ？

改めて知りたいですが
「ドメインは取得した、それから内向きのDNSを作る」には
レジストラのDNSを入れるべきでしょうか？
それともそのレジストラのDNSの数字のGIPを入れるべきでしょうか？
それともキャッシュ用のDNSのようにプロバイダー指定のDNSのGIPが良いのでしょうか？

　

**DNS未登録さん** · 2010/08/24(火) 15:26:27

基本的にforwarderいらないでしょ
何か目的があってやるにしてもレジストラは関係ない
ISPの指定したDNSに投げればいい

**DNS未登録さん** · 2010/08/25(水) 22:13:08

この前　forwarder 使わ無い方式は危ないといわれて　しかたなし使っているのですが
　ところで、４種
１、　forwarder する場合で、ドメインを持っている場合でも　ISPのDNS　にするのですか？
２、　forwarder する場合で、ドメインを持ってない場合でも　ISPのDNS　にするのですか？
３、　forwarderしない場合で、ドメインを持っている場合でも　ISPのDNS　にするのですか？
４、　forwarderしない場合で、ドメインを持ってない場合でも　ISPのDNS　にするのですか？
しつこくてすみません　どうも理解できなくて

**DNS未登録さん** · 2010/08/26(木) 10:17:06

自宅にDNS設置してんだろ？
そこに問い合わせるのは誰よ？
レジストラのDNSを利用しろと言ってるのは
自前のドメインの問い合わせ先を自宅じゃなくてそこにすればと言ってるのであって
forwarderはそれらと全く関係ない。
forwarder先は本来別の場所に設置してある自前のDNSにするんだろうが、
そんなものが無いなら、自宅が接続してる一番近いISPのDNSにするだろ。

**韓国人** · 2010/09/01(水) 13:10:34

日本人はバカてす。

**韓国人** · 2010/09/01(水) 13:14:19

JAPAN IS MONKEY PALACE~~~~~
NANANANANANANANANANANANANANA
なななななななななななななななななななななななななななななななな

ばかばかばかばがばかばかばかばかばかばかばかばかばかばがばかばか

ちっしおちっしおちっしおちっしおちっしおちっしおちっしおちっしお

**DNS未登録さん** · 2010/09/12(日) 06:10:52

借りているVPSサーバ(CentOS5.5)を使用してプライマリのDNSサーバを構築しようとしています。
LANのIPアドレス（192.168.～など）が無いのですが、「内向きのゾーン設定」というものは必要になるのでしょうか？
また、必要な場合は127.0.0.1で代用して設定してもよいのでしょうか？
いろいろなサイトを参考に試行錯誤しているのですが、192.168～なしの設定が見あたらず困っています。

初めてのDNSサーバ構築なのでトンチンカンな質問だったらすみません。
アドバイスをいただければと思います。

**DNS未登録さん** · 2010/09/12(日) 07:57:39

>>101
ローカルの逆引きは必ずしも必要ではないから省略しても良いと思う。

自宅鯖と違ってレン鯖はローカルで何かをするって事ができないから、
LANのIPアドレス自体が存在しないこともあるしね。

VPSでも業者によってコンパネが違うと思うので、
レン鯖の住人の方が詳しいかもしれんよ。

**DNS未登録さん** · 2010/09/12(日) 08:18:45

>>102
丁寧にありがとうございます。
これから本屋で書籍を探してみようと思います。

**DNS未登録さん** · 2010/09/13(月) 11:06:09

プライベートアドレスの逆引きは必須。グローバルの逆引きより必要性が高い。
ローカルの DNS にプライベートの逆引きゾーンが存在しないと、
プライベートなのにグローバルに対して逆引きを聞きに行くことになる。
インターネット上にはちゃんと 192.168.x.x とかの逆引きに答を返す DNS が
用意されてるからグローバルに聞きにいっても問題が起きないけど、
仮にこの DNS が落ちるとプライベートの通信でも異常が起きるし、
実際に1週間ほど止まって世界中でトラブルになったことがある。

逆引き問い合わせをプライベートだけで完結して、外に出さないことが重要なんで、
逆引きゾーンを作るだけでよい。実際のホストは登録しなくてもかまわない。
最近の気の効いたディストリならはじめからその設定サンプルがついてる。
bind でなく unbound だと設定しなくても組込みで設定されてる。

**DNS未登録さん** · 2010/09/16(木) 03:12:33

ルータの簡易DNSの用途が分かった気がする

**DNS未登録さん** · 2010/09/19(日) 13:44:59

DNSで
www.test.com と www2.test.co.jp
への要求を別サーバへ
（仮に1.1.1.1 と 1.1.1.2）振り分ける設定がわかりません。
ひとまず前者のwww.test.co.jp→1.1.1.1　への正引きはできているものとして

AレコードとかCNAMEあたりはどう設定すればいいんでしょう？
どこかいいサイトとかありませんか？

**DNS未登録さん** · 2010/09/19(日) 22:36:25

www.test.com　は www.test.co.jp のタイプミスと仮定して
> www.test.co.jp→1.1.1.1　への正引きはできているものとして
ということは
test.co.jp のzoneファイル中に www A 1.1.1.1という設定があるのでしょう。
同様に www2 A 1.1.1.2 という設定をすればいいです。
サイトなら @it とかですか。

**DNS未登録さん** · 2010/09/20(月) 23:12:15

>>107
レス遅くなりましたが
ありがとうございます。

目的の動作ができるようになりました！

**DNS未登録さん** · 2010/10/01(金) 18:38:52

debianのlennyでbind9によりDNSサーバを起動しています。
/etc/hostsの全行をコメントアウトすると "ping localhost"を実行したときに
"unknown host localhost"とメッセージがでて、pingが通りません。

因みに

"nslookup localhost"を実行すると
Name:　localhost
Address:　127.0.0.1

"nslookup 127.0.0.1"を実行すると
1.0.0.127.in-addr.arpa name = localhost.

と出力されます。
/etc/hostsは極力使用しないようにしてみたのですがlocalhostの解決は
/etc/hostsで行うものですか？

**DNS未登録さん** · 2010/10/01(金) 20:19:39

うん
ループバックアドレスをDNSサーバに問い合わせるなよ

**DNS未登録さん** · 2010/10/01(金) 20:31:13

んー、DNS で localhost の名前解決ができるのなら
/etc/hosts になくても ping localhost がコケるはずはないんだが。
getent hosts localhost を実行してみるとどうなるかしらん。

それはともかく、hosts にホストを登録するのは管理が煩雑になるので
DNS を使った方がいいのはたしかだけど、
すでにある localhost を削除するのは推奨しない。

**DNS未登録さん** · 2010/10/02(土) 07:18:30

>>111
何も出力されません。
他のマシンは名前を解決できるのですが。
>>110さんも言われてるようにlocalhostはhostsを利用するべきですかね。

**DNS未登録さん** · 2010/10/04(月) 03:47:26

getbyhostnameのmanpageによると
> name がドットで終了していなければ、現在のドメインとその親ドメインが検索される。
ということなのでHOST_NOT_FOUNDになると思われる
おそらく ping localhost. と打つと `localhost` そのものが解決される

ローカルループバックアドレスはホストローカルの情報すなわちホストごとにことなる可能性があるため
DNSサーバで集中管理するべきではない

**DNS未登録さん** · 2010/10/04(月) 03:48:22

× getbyhostname ○ gethostbyname

**DNS未登録さん** · 2010/10/24(日) 16:13:00

JP DNSがdnssecに対応したっぽい。

**DNS未登録さん** · 2010/11/19(金) 10:17:09

dnsサーバを建てようと思います。
chrootするのですが、chroot以下のディスク容量をどれ位にすれば良いか迷ってます。
chroot以下が意外と大きくなると聞きましたが実際はどうなのでしょうか？

質問 · 2010/11/30(火) 21:17:56

CNAMEレコードのTTLが0になってしまう現象について質問です。

DiG 9.6-ESV-R1では、
$dig @サーバ host9.example.co.jp a
;; ANSWER SECTION:
host9.example.co.jp. 80 IN CNAME host8.example.co.jp.
host8.example.co.jp. 80 IN A 192.168.24.108

BIND9.2.4では、
$dig @サーバ host9.example.co.jp a
;; ANSWER SECTION:
host9.example.co.jp. 0 IN CNAME host8.example.co.jp.
host8.example.co.jp. 80 IN A 192.168.24.108

という結果になります。ググっても特にバグとかでていません。
また、tcpdump port 53 -n -vvv -X -s 1500 でパケットキャプチャしたところ、
権威サーバ側では、TTL=80でパケットを出力していますが、
問題のBIND9.2.4があるクライアント側ではTTL=0で受け取っています。

どうしてこのような現象になるのでしょうか？

**DNS未登録さん** · 2010/12/01(水) 02:38:19

>>117
バグじゃないならDNAME(RFC2672)じゃなイカ？

**DNS未登録さん** · 2010/12/03(金) 21:54:50

>>118
調べてみましたが、DNAMEとは違うようです
www.yahoo.co.jpやwww.google.comもCNAMEを使っていますが、
こちらもやはりCNAMEレコードのTTLは0になります。

**DNS未登録さん** · 2011/01/04(火) 14:47:13

質問があります。
自分、今Yahoo!のADSLをハブを使って数台でネットを使っています。
で、サーバ構築を勉強しているので試しにパソコン数台をDNSで分けて連携してみたいのですが、自分のような個人のネット環境でも出来るのでしょうか？
特に固定IPアドレスなど申請していないのでモデムによる動的なIPアドレス取得だと思います。
データベースのレプリケーション等もやってみたいと思っています。
DNS自体は簡単にですが学習しましたが、BIND等によるIPアドレスの設定しか書かれておらず、複数のIPアドレスを持っていさえすれば出来るのかと思っているところです。

上記のような場合、どのようにすればサーバ構築が出来るのでしょうか？
ifconfig、ipconfig等で現在のIPアドレスを確認してその値を設定ファイルに書き込むだけで出来るのでしょうか？
モデムの電源を切ったり、切れたりするとIPアドレスは変わってしまうので、その場合数台の設定をまた設定ファイルで書き直さないといけなくなりそうですが。

また、もう一つ本に載っていない疑問があるのですが、ネットに繋がないオフライン環境でもパソコン数台によるサーバ環境は出来るのでしょうか？

**120** · 2011/01/04(火) 14:50:53

書き忘れていましたが、OSはcentOS5.5メインでWindowsXPも使っています

**DNS未登録さん** · 2011/01/04(火) 19:40:59

質問の読む限りでは君には無理

**120** · 2011/01/05(水) 08:38:53

>>122
それは自分の環境では出来ないということでしょうか？

**DNS未登録さん** · 2011/01/05(水) 21:26:50

>>123
122のような角の立つ言い方は好ましいものではないですね。
ですが、私も今のあなたの知識はDNSサーバーを構築して実験を行いながら知識を深める段階に達していないと思います。
それは用語の間違いからわかります。

DNSについて前にIPアドレスとホスト名(DNS的に言うならドメイン名)の関係について学習することが必要ではないかと思います。
bindの解説から勉強を始めると、DNS有りきが前提になっているかもしれませんので、勘違いを助長するかもしれません。
まずはホスト名とIPアドレスの対応方法について調べ、その一つの解決方法がDNSであり、
DNSを実現するソフトウェアの一つがbindであるという点を確認してみてはどうでしょうか。

**120** · 2011/01/06(木) 11:58:59

>>124
ありがとうございます
まぁ、まだ学習段階なので知識は全然ないのですが、一応自分のYahoo!からのADSLだけでも出来るのかどうかが知りたくて質問させていただきました

オライリーのDNS&BINDでも読めば幾分サーバ構築の知識は得れるでしょうか？
自分は図解でわかる Linuxサーバ構築・設定のすべてという本を読んだのですが、ちょっとコレだけではサーバを構築できるかイメージが沸きませんでした

**DNS未登録さん** · 2011/01/06(木) 13:31:13

>>125
内部のマシンだけが参照するのならばできなくはない。
外部にドメインを公開するのは無理。

**DNS未登録さん** · 2011/01/12(水) 22:49:29

修得した独自ドメインを入れればBINDを簡単に設定してくれる便利なアプリとかないですか？
設定がいまいちよくわからない

**DNS未登録さん** · 2011/01/13(木) 00:15:33

>>127
レジストラなりリセラーが提供するDNSサービスを利用するのではいけないの?
それか、Zoneedit.comとか、ちょっと怪しいけどDomainDNS.comとか。

**DNS未登録さん** · 2011/01/13(木) 00:23:57

>>127
どうしても自鯖でってことなら、Webmin使うか、
Smbind ttp://sourceforge.net/projects/smbind/
DNS Control ttp://www.r00tshell.com/dns-control/
ProBind ttp://probind.org/
みたいなツールは?

**DNS未登録さん** · 2011/01/13(木) 13:17:39

>>128
レジストラのDNSは逆引きができない仕様になってるので自分でやろうかなと
>>129
ありがとうございます。やってみます。

**DNS未登録さん** · 2011/01/14(金) 21:28:32

逆引きはプロバイダが対応していないと出来ませんが、
固定IPを割り当ててもらっていないと無理じゃないかと思います。

**DNS未登録さん** · 2011/02/03(木) 18:11:57

自分でやっても逆引きは無理
固定でもプロバイダが委譲してくれないと無理

**DNS未登録さん** · 2011/05/20(金) 00:05:00.79

すみませんがわかる方いたら教えて下さい。
委任設定がうまくいかないのです。
NSレコードに委任するドメインと委任するDNSサーバのURLを記載し、Aレコードに委任するDNSサーバのURLとIPを記載しているのですが、nslookupをすると見つかりません　non-existent となってしまいます。
他に設定項目や確認項目があるのでしょうか。

**DNS未登録さん** · 2011/05/20(金) 00:28:19.93

URLっていうのは http://xxxx/yyy とか ftp://zzz/ のようなものだと思っていたんですが、
ここではドメイン名なりホスト名のことだとしておきます。

example.jp の下に some.example.jp を作り、その DNS が dns1.example.jp だとすると
example.jp のゾーンファイルに

some NS dns1.some.example.jp.
dns1.some A 111.222.333.444
のように書くという方針は合ってます。

シリアルを更新したか、ドットの打ち忘れはないか、リロードしたかのようなところをもう一度確認してみては？

**DNS未登録さん** · 2011/05/20(金) 02:53:48.10

アドバイスありがとうございます。
確認してみます。

**DNS未登録さん** · 2011/05/20(金) 11:20:33.12

編集ページのＵＲＬってどうやって調べるの？

**DNS未登録さん** · 2011/05/20(金) 21:30:39.88

>>134
333.444て・・・
255までだろJK

**DNS未登録さん** · 2011/05/21(土) 01:37:08.10

Windows7のnslookupでFQDN入れてgoogle.comとか引くと
プライマリDNSサフィックスに設定しているhoge.co.jpがついて
google.com.hoge.co.jp
google.com.co.jp
google.com
の順に問い合わせていって2番目のところで
jpドメインのルートサーバ？z.dns.jpに行っちゃうですが
これをルートサーバに行かせない方法ってないものですかね・・・
RHEL5.5/bind

末尾に.付けて検索すればいいのかもですが

**DNS未登録さん** · 2011/05/21(土) 08:46:31.11

>>138
TCP/IP詳細設定でプライマリDNSサフィックスの親サフィックスを追加するチェックを外す
google.com.co.jpをhostsに書いておく

**DNS未登録さん** · 2011/05/22(日) 04:25:38.30

>>138
google.com. を引いてｗ

**DNS未登録さん** · 2011/05/22(日) 17:47:44.62

親サフィックスを追加するを外すのは効果なかったです。
hostsに書くか、末尾にピリオドを入れるしかないみたいですね
ありがとうございました。

**DNS未登録さん** · 2011/06/16(木) 23:20:16.39

--enable-filter-aaaaして何回やっても
/etc/named.conf:18: option 'filter-aaaa-on-v4' is not configured
と出るけどバグ?

**DNS未登録さん** · 2011/06/17(金) 02:48:13.63

--enable-filter-aaaa=yes とか？

**DNS未登録さん** · 2011/06/21(火) 01:59:33.19

すいません。
ソースコンパイルでインストールして新しいBINDを入れようと思うのですが
古いBINDの削除ってどうすればいいのでしょうか？
makeにそれらしいルールは無いのですが・・・・
もしかしてconfigure時にprefixで指定した(指定してなければデフォルトの場所)ディレクトリの削除だけでよかったりするのでしょうか？

**DNS未登録さん** · 2011/06/21(火) 23:44:09.21

はい、ダメ～（笑）

**DNS未登録さん** · 2011/06/22(水) 00:53:46.80

え～、ダメなんですかぁ？（汗

**DNS未登録さん** · 2011/08/17(水) 16:23:52.04

@ IN CNAME hoge
って書くと通らない…
@ IN A 192.168.0.1
みたいにAだといいみたいなんだけど
もちろん
hoge IN CNAME fuga
みたいなのはいける

**DNS未登録さん** · 2011/08/17(水) 16:34:07.67

CNAME 以外のものがあるレコードに CNAME は相乗りできない。
@ には SOA や NS が必ず存在しているので、
@ に CNAME は設定できない。

**DNS未登録さん** · 2011/08/17(水) 17:57:19.34

素人にCNAMEは無理ってことだな。

**DNS未登録さん** · 2011/08/17(水) 18:01:08.76

プロ御用達、CNAME

**DNS未登録さん** · 2011/08/17(水) 19:08:42.56

たまにはDNAMEのことも思い出してあげてください。

**DNS未登録さん** · 2011/08/18(木) 00:20:55.19

いやぷー

**DNS未登録さん** · 2011/08/18(木) 00:51:26.30

DNA ME

**154** · 2011/08/21(日) 15:13:26.39

>>128
今日、DomainDNS.com のドメイン有効期限が切れていたので驚きました。
でWhoisの、
Registrant:
PrivacyProtect.org
Domain Admin (*******@privacyprotect.org)
に連絡してみました。
しばらく放置していたのですがすぐに自動返信が来ていました。

**154** · 2011/08/21(日) 15:17:19.73

*******@privacyprotect.orgはwhoisを隠すためのサービスのようで、
本人のものでないとメールに記載されていました。
それでもオーナー(本人)に問い合せたい場合はprivacyprotect.org
が用意したフォームを使用して下さいとのこと。
わたしはそのフォームを使用して連絡したところ、
返事は来ませんでしたが、1時間程度で気づいたらしく、
ドメイン期限を10年延長してくれていたのです。
つまり、怪しいながらも連絡は一応通じるということです。

終わり

**DNS未登録さん** · 2011/10/16(日) 05:11:44.19

しばらくDDNSで自鯖でウェブサービス用に使ってたドメインで、
メールサービスだけは Google Apps を使っていました。

このウェブサービスをレンタルホストでやることに切り替えたので、
ドメインホルダーに登録してあったDNS情報を以下のようにしました。
############################################
1). mx aspmx.l.google.com. 10
2). mx alt1.aspmx.l.google.com. 20
3). mx alt2.aspmx.l.google.com. 20
4). mx aspmx2.googlemail.com. 30
5). mx aspmx3.googlemail.com. 30
6). mx aspmx4.googlemail.com. 30
7). mx aspmx5.googlemail.com. 30
8). txt @ v=spf1 include:aspmx.googlemail.com ~all
9). a * WWW.XXX.YYY.ZZZ
############################################
行頭の "数字)." は、分かりやすくするために打っただけで、
実際に記載していません。

で、この 1行目から8行目までは、自鯖からレン鯖に変えた時にノータッチで、
Google Apps に言われた通りの内容をただそのままコピペしているだけです。
自鯖の時にはこれでウェブはウェブで、メールはメールで、ちゃんと利用できていました。

しかし9行目を自鯖からレン鯖へ移行するときに上記のように書き換えたのです。
変えたのはレン鯖の固定IP部分 WWW.XXX.YYY.ZZZ だけなんですが、そうしたら、
メールサービスが一切正しく働かなくなってしまいました。

今まで変動制だったIPアドレス部分を固定IPに変えただけなんですが、
何がいけないのでしょうか？
使っているドメインホルダーは value-domain.com です。

a レコードっていうのがマズいのかなぁ。。
どなたか何かアドバイスいただけませでしょうか。
よろしくお願いいたします。

**DNS未登録さん** · 2011/10/16(日) 12:39:06.34

とりあえず、ゾーン情報を他人に見せるなら共通化した形式で出せ。
俺フォーマットで出すならならどのカラムが何を意味するのかちゃんと説明しろ。

* がワイルドカードのつもりなら、罠満載だから素人はあんなもん使うな。

**DNS未登録さん** · 2011/10/16(日) 16:25:25.24

>>157 うう。DNS関係よく分かってないもんで。。

* はワイルドカードのつもりです。
ウェブだけ WWW.XXX.YYY.ZZZ というのならワイルドカードにしちゃいけないのかな。
a レコードとか c レコードとかの意味もイマイチ。。

VGスレに移動します。ごめんなさい。

**DNS未登録さん** · 2011/10/20(木) 22:59:58.71

つかこの人BINDの話はしてないね
VDのDNSで設定いじったらおかしくなりましたって話

**DNS未登録さん** · 2011/10/22(土) 16:28:01.12

>>159
スレタイのDNSに反応しちゃったんじゃない？

**DNS未登録さん** · 2011/12/10(土) 20:50:51.60

BIND 9.3.2　on FreeBSD 5.5-RELEASE です。
初めて、Windows 7 (Home Premium 64bit)のノートを買いましたが、DNSがひけません。
コマンドプロンプトで nslookup を行っても駄目です。
mac、XP,vista 　までは問題なくひけてます。

色々、情報をネットで探してみたけど、まだ、見つかっていません。
なにか情報があれば教えていただけないでしょうか？

よろしくお願いします。

**DNS未登録さん** · 2011/12/11(日) 12:33:59.44

そりゃクライアント側の問題じゃないの？
板違いだと思うけど。

DHCPでうまく渡せてないなら、マニュアルで設定してみては？

**DNS未登録さん** · 2011/12/11(日) 13:00:56.60

>>162
マニュアルで設定しても変わらないんです。
ためにしに、外部のプロバイダのDNSを設定するとちゃんとつながるので、
自宅内のDNSのせいかなと推測しました。

コマンドプロンプトの nslookup で確認しているので、クライアントの設定は関係ないと思います。
ちなみに、そのDNSには ping が通ります。

**DNS未登録さん** · 2011/12/11(日) 13:24:50.38

うーん、なんだろね。
IPv6関係とか？
あとググるとVAIOでトラぶってるの多いな。

**DNS未登録さん** · 2011/12/11(日) 13:41:31.40

>>164
はい、ググるとIPv6とVAIOの関係と、ゲーム機関係は見つかります。
今回は、VAIOでもゲーム機でもないので、残るIPv6もクラインとでは無効にしています。
DNSは IPv6 には対応させていません。

Bindのログレベルを上げてもログにはかないのでなかなか掴みようが無いのです。

**DNS未登録さん** · 2011/12/11(日) 15:42:58.03

nslookup は - でサーバ指定してもダメ？
サーバに届いてるのかなあ、、pingはいってるようだけど
ipconfig /flushdns してみるとか。

**DNS未登録さん** · 2011/12/11(日) 15:48:49.02

>>166
色々ありがとうございます。
nslookup は server で指定してます。
外部のDNSはひけるのでクライアントから、要求は出て行っていると思うんです。
やっぱり、bind のせいじゃないんですかね。　
firewall 系を確認してみます。

**DNS未登録さん** · 2011/12/11(日) 16:24:59.05

ログに残らないというのがひっかかるなあ、snoopしてみては？

**DNS未登録さん** · 2011/12/18(日) 20:39:53.21

>>168
その後です。
bindのせいではないようです。
有線LANだと特に問題なく、DNSが引けます。
また、無線アクセスポイントを変えてみたところ、直りました。
まだ、原因がよく分かってはいませんが、どうも、、無線アクセスポイントの設定のような気がしてきました。
なにか、判ればまたここで報告します。

お騒がせしました。

**DNS未登録さん** · 2012/02/11(土) 17:09:17.79

例の件って、本当に脆弱性なのか？

**DNS未登録さん** · 2012/02/11(土) 20:12:28.11

>>169
これってマルチキャストに対応してない無線LANでの、IPv6問題ではないかな。

**154** ◆oqXRTXh2QY · 2012/02/26(日) 20:00:12.04

>>154 だが
最近DomainDns.com のネームサーバーのns2. ns4. ns5. が調子悪かったのです。
タイムアウトになっていたので新規DNS設定のとき、反映しなかったり
してたのだが、154のときと同様にWhoisのアドレス宛にメールしたら、
１日で直してくれました。
※とりあえず、ns4. とns5. がタイムアウトしなくなった。

で、なぜかその数日後、domaindns.com にログインしたり管理画面内で
操作してるとBASIC認証の画面が出て、OKを何度も何度も入れないと
入れなくなったのです。それで我慢ならなくなって、数日後に
さらにwhoisのアドレス宛にメールしてみました。
すると１日後にサイトの左側に[feedback & support]というのが付くようになり、
BASIC認証も出なくなったのです。

どうやら、返事は全くしないものの、しっかり管理する気はあるようです。
おれのエキサイト翻訳のメールを3回もまともに相手して1日で対処してくれたのだから。

とりあえず、信頼して皆つかってみましょう＾＾

**154** ◆oqXRTXh2QY · 2012/02/26(日) 20:01:11.76

ちなみに、
>>154 の続きは >>155 にある

**DNS未登録さん** · 2012/03/01(木) 14:21:50.87

9.9.0がきましたよ～

**DNS未登録さん** · 2012/03/01(木) 19:37:20.59

ククレカレー

**DNS未登録さん** · 2012/03/01(木) 23:01:15.76

>>174
inline-signingに期待大

**DNS未登録さん** · 2012/05/02(水) 01:25:41.31

ねえ、教えてよ

SOAのシリアル番号って別ファイルに持たせられないの？
たくさんのゾーンの番号を一発で上げたいの

**DNS未登録さん** · 2012/05/02(水) 07:01:26.73

>>177
sed & awk

**DNS未登録さん** · 2012/05/24(木) 18:54:30.75

namedのログが急にmessagesにも残るようになったんだけどこれって普通のこと？
今日recursionを許可するIPに制約を加えたらそうなった

むしろ今までまったく残らなかったのがおかしいのかな？
ちなみにdata/named.runにもほぼ同じ内容が今までどおり残ってる

RHEL6の64bit版（アプリ一切なし）にApacheからなにから自分ですべてインスコしてます
基本はRedHat Networkのレポジトリからyumで入れてる
でもやっぱりないものもあるしトラブることもあって他からも入れざるを得ない状態
なのでどっかで間違った可能性は十分あると思います

**DNS未登録さん** · 2012/05/24(木) 19:33:44.27

設定によって如何ようにもなる。

**DNS未登録さん** · 2012/05/25(金) 06:39:07.83

そこにかかわる設定が変わってないはずなのにそう変わったから不思議なんだけどね

**DNS未登録さん** · 2012/05/25(金) 18:11:59.69

不思議だねぇｗ

**DNS未登録さん** · 2012/05/25(金) 18:16:56.67

ログにかかわる設定は大分前にいじったが、
そのときはbindをリスタートさせていなかった。
のかもしれない。

**DNS未登録さん** · 2012/05/25(金) 18:21:07.19

うーん・・・そもそもログ関連はいじってないんだよなあ

ただchrootの設定をよくわからないままやっていて
webminから設定してると妙な動作をすることがあった
具体的にはコンフィグファイルの書き込み権限がないとエラーになったり
タイミングによってはならなかったり
そのへんが原因なのかもなあ

**DNS未登録さん** · 2012/05/25(金) 18:34:23.48

かもなぁｗ

**DNS未登録さん** · 2012/05/28(月) 10:13:18.31

webmin
ｗｗｗｗｗｗｗｗｗ

**DNS未登録さん** · 2012/05/31(木) 06:05:31.02

わろた

＞最近の女子高生はDNSを使いこなしているらしく、電車の中で「アドレス渡されたんだけど、逆に引くわ！」と言っていた。

**DNS未登録さん** · 2012/06/25(月) 09:58:59.78

9.7.3でフォワードしてくれないんだけど何か特殊な事しないと行けない？
BINDが入ってるサーバーからフォワード先のサーバーへは名前解決できるから
FWなどの問題ではなくBINDの設定だと思うんだけど
optionsに設定入れただけでは上手く行かない？
WEB色々調べてそれらの従ってやったり、サンプルファイルから
書き直してもどうしてもフォワードが上手く行かない

**DNS未登録さん** · 2012/06/25(月) 13:02:51.10

どう設定したのか晒さないということは、
自力で解決するつもりで人に頼る気はない、>>188はただの日記だということでいいよな？

**DNS未登録さん** · 2012/06/25(月) 13:42:00.81

9.7.3の前は何を使っていのか？とか
allow-query とか recursion とかの設定はどうしてるのか、とか
普通は options に正しい設定を入れるだけで上手く行くので
9.7.3だけどうってことは特にないと思われ。

**DNS未登録さん** · 2012/06/25(月) 23:31:02.94

>>190
options に
forwarders{
XXX.XXX.XXX.XXX;
XXX.XXX.XXX.XXX;
};
を追加してるだけなんだけどね

後の設定はサンプルをそのままで下記の項目だけ変えてる
optionsは下記の項目を変更{
listen-on port 53 { 127.0.0.1; xxx.xxx.xxx.xxx; };
//listen-on-v6 port 53
allow-query { localhost; xxx.xxx.xxx.xxx;};
allow-query-cache { localhost; xxx.xxx.xxx.xxx;};
}
loggingはサンプルのまま
viewはinternalのサンプルのみ適応で下記の場所変更

**sage** · 2012/06/25(月) 23:35:14.93

>>191
recursionは？

**DNS未登録さん** · 2012/06/25(月) 23:52:03.86

ミスった再送信
options に
forwarders{
XXX.XXX.XXX.XXX;
XXX.XXX.XXX.XXX;
};
を追加してるだけなんだけどね

後の設定はサンプルをそのままで下記の項目だけ変えてる
optionsは下記の項目を変更{
listen-on port 53 { 127.0.0.1; xxx.xxx.xxx.xxx; };
//listen-on-v6 port 53
allow-query { localhost; xxx.xxx.xxx.xxx;};
allow-query-cache { localhost; xxx.xxx.xxx.xxx;};
}
loggingはサンプルのまま
viewはinternalのサンプルのみ適応で下記の場所変更{
match-clients { localhost; localnets; xxx.xxxx.xxx.xxx; };
}

WEB見てたらoptionsにforwardの設定入れたり入れなかったりで
試してみたけど特に変化無し
viewにforwardersの設定が反映されてない？と思ってview内に書いても見たが変化無し
BINDはcentos6.2からyumでインストール
方向性は間違って無さそうだし、もうしばらく調べてみます
スペースやタブなどが、悪さしてるかも知れないし
それにタグ系まだ全て、どんな意味合いでどんな時に使うか調べ切れてないし
何かセキュリティー周りが色々追加されてるみたいですしね

ちなみに見てるツールによっては半角スペースが表示されてないかも

>>192
recursion yes;
にしてます

外部に公開している訳でも無く内部向けなので
最悪セキュリティー落ちる過去の入れようかな・・・て
逃げてても何も解決しないから、何とかするんだろうな

**192** · 2012/06/26(火) 00:00:07.21

>>193
ちょっと待って、allow-queryがおかしくないか？
BIND動いているサーバーから、dig google.com @localhosしたら動くんじゃないかい？

**DNS未登録さん** · 2012/06/26(火) 00:28:30.89

>>194
ANSWERが返って来ないですね
念のため問合せ先をフォワード予定のサーバーにすると返って来ます（当然ですね）
色々試して見ます　ありがとう

あ　書き忘れてた
ちなみにSELinuxは無効にしています
SELinuxも使い方覚えないとな

**DNS未登録さん** · 2012/06/26(火) 12:09:41.36

dnssec は？

その１　そのbind9..7.3ではすべてforwardしたいのですか？
その２　forward先のDNSはキャッシュサーバーなのでしょうか？

うちはDebianなんで9.7.3使ってます。
社内のドメインについては、イントラ上の別のDNSへforwardし
その他のドメイン(社外のドメイン)については、上記とは別のDNSへforwardしています。

/etc/bind/named.conf.local で
zone "社内のドメイン" {
type forward;
forwarders { xxxxxxxxx; yyyyyyyy;}};
};

/etc/bind/named.conf.options で
options {
forward first;
recursion yes;
allow-query { any; };
dnssec-validation yes;
forwarders { yyyyyyyyyy; };
}

**188** · 2012/06/26(火) 13:40:40.44

原因（？）判明
optionsのdnssec-validationをyesにしてると上手く行かない
dnssec-validationをnoにすると上手く行く・・・

と　思ったが>>196でyesのまま動いてるな
dnssec-validationが何する物か調べてnoで問題が無いなら
noのまま使う事にするか

色々ありがとう、一人で考えると変な方向に行く事もあるから
話す事により自分なりにも整理でき、別の見方をするきっかけにもなるね

**DNS未登録さん** · 2012/06/26(火) 13:49:10.96

forward 先の dnssec-validation も yesにしないとダメじゃない。

**DNS未登録さん** · 2012/06/26(火) 14:02:49.76

>>198
見たいですね
これらの設定をyesにした場合、フォワード先のDNSもyesの設定で無い場合
処理が出来ない見たいな事がかかれてますね
私がフォワード先に指定した物がこれらに対応して居ないため
処理が行なえずにエラーになったと考えられます

何となく納得・・・って
この設定が入ってないDNSサーバは設定しているサーバからは参照が出来ないのか？
それはそれで問題が出そうな気がするけど、その辺は上手く何処かで処理されてるのかな？

**DNS未登録さん** · 2012/06/26(火) 14:13:32.02

dnssec validation をしたい人は forward する先のサーバが
dnssec OKかどうか調べて、NGな場合は他のDNSを探すか
forwardしないか、です。