【設定面倒】BIND 総合スレッド【DNS】
無かったから建てた。 正直webminすごく助かる BIND9ってopensslを必要とするよね。 ./configure --with-openssl=/usr/local/ssl みたいな感じで。 DNSSECを使わない場合もopensslって必要なん? >3 失礼。日付を確認してなかった。 jprsのホームページにデカデカと出ていたから勘違いしたよ。 内部用DNSの設定について質問です。 Value-domainでドメイン名を登録して、DDNSで自宅サーバ(ubuntu 9.10)を立てました。 LAN内からWebサーバへアクセスするとき、 (1) ドメイン(hoge.net)でアクセスすると、Webサイトのトップページが見えます。 (2) サブドメイン(sub.hoge.net)でアクセスすると、ルーターの設定画面が出てきます。 ググったら、LAN内でWebサーバにアクセスする場合、内部用DNSを用意すればイイことまで分かりました。 ubuntu bind9 自宅サーバ 内部用 設定 の検索結果 約 2,300 件 ttp://www.miloweb.net/bind.html ttp://hyamada.ddo.jp/hiki/hiki.cgi?bind9 ↑検索で出てきた説明を基に設定しようと思いましたが、どこをいじるのかまだよく分かりません。 内部用DNSの設定をご指導ください。よろしくお願いします。 DNSの本について DNS、特にBINDについてお勧めの本があればご紹介ください。 Amazon.co.jpでDNS、BINDの本を探したら、 オライリーの「DNS & BIND 第5版」が定番のようですが、これを読破するのはちとしんどいです。(2、3日じゃ読めない?)>< ttp://www.amazon.co.jp/dp/4873113903 BIND9によるDNSサーバ構築 ttp://www.amazon.co.jp/dp/477412947X ↑これ読めば、自宅サーバの内部用DNSを作れるでしょうか? アドバイスよろしくお願いいたします。 マニュアルを読む。 解説サイトを読む。 キャッシュと内向けだけならそれで十分。 汚染が怖いならキャッシュもなくす。あとはプロバイダのDNSに任せる。 設定なんでググればいくらでも出てくるだろ BINDは最新使えよ bindに関しては、googleはおすすめできない。 いいかげんな知識でほんとにそれでいいのかよくわかってないけど なんとなく動いてるみたいだからそれでいいや、 てな人間が書いたものばっかりひっかかる。 図書館にDNS&BINDの第4版があったので借りてきました! >>10 知ったかぶりだけじゃなくていいところと悪いところのURLを書いてみたらどうだい? 自鯖で優越感浸るほどの設定なんて必要ないだろうし、どうせなら自慢の自分の設定さらしてみたら? BINDってすごいよね〜 セキュリティ的な云々だから〜 なんて手前味噌な都合でchrootみたいな非構造的でユーザビリティとは乖離しきった実装が許されちゃうんだもんね〜 すごいよ。さすが。 しかし初心者にオライリーを勧めるのはちょっとなぁ。 セキュリティー的には /etc/named.conf に allow-recursion を入れることが重要。 これをベースにちょっと書き換えてやればいいだけじゃないの? ttp://www.cymru.com/Documents/secure-bind-template.html とりあえず共有からもってた独自ドメインを自鯖のDNSにうつしたんだけど、 指定事業者の設定でネームサーバの指定をしました。 んで、BINDでバーチャルホストの設定をしたんだわさ。 質問なんだけど、よく変更したら24〜72時間くらいは待てよっていうのは ネームサーバの変更から?それとも自分がたてたDNSサーバを変更してから? 理屈で考えると、自分のDNSサーバの設定を変更したら、その変更が世界に回るまでに 時間がかかるから、設定をなおしたと思ってもしばらくは意図しない表示になるってことだよね? 家にあるPC数台、どれも表示が違うし、digでwwwつけるのとつけないので 返ってくるIPが違うし(一つは今のIP、もうひとつは共有鯖だったときのIP) 買いました。 このスレの煽りの真偽に興味シンシンです SRVレコードの動作をチェックする方法ってありますか? BIND 9 の DNSSEC 検証コードに脆弱性 これって https://jvn.jp/cert/JVNVU360341/index.html DNSSECを使ってなければ、関係ないの? 使ってなくても関係あるの? こういう所の報告って 前提条件とかがよくわからない すいません、質問です マスター側の/etc/named.confてスレーブ側に同期されますか? 例えばhoge.comを運用しているbindだとして、a.hoge.comのサブドメインを追加する場合は マスターとスレーブの/etc/named.confを変更して、さらにa.hoge.com.zoneファイルなんか を用意する必要があるという事でしょうか? よろしくお願いいたします。 >>23 当然です 楽したければ同期したい部分を別ファイルに切りだして rsyncするのも手だよ。(ゾーンファイルもな) >>23 スマソ、一部見過ごしてたよ サブドメインのゾーンファイルをわけなければスレーブ側は何もする必要はない。 >>19 遅れてすいません. DNSがWindowsの場合はよく知りませんが UNIX系のBINDでSIPで使う TLSのサービスを聞く場合を書きます. 以下の様にすればどうでしょうか? 以下のようなコマンドを投入します これは,SIPのTLSは何処に(A:IP)張ればっていうアプリからDNSに 聴かれるものです. dig @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE.CO.JP 投入コマンドのエコー部分 ; <<>> DiG 9.3.5 <<>> @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE.CO.JP. ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32608 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4 #結果はエラーがなくて 問い合わせ1レコード 解答1レコード DNSのAUTHが3レコード 付加情報が4レコード ;; QUESTION SECTION: DNSが聴いた問い合わせ ;_sipinternaltls._tcp.EXAMPLE.CO.JP. IN SRV ;; ANSWER SECTION: DNSからの返答 _sipinternaltls._tcp.EXAMPLE.CO.JP. 300 IN SRV 0 0 5061 SIP.EXAMPLE.CO.JP. ;; AUTHORITY SECTION: EXAMPLE.CO.JP. 300 IN NS NS2.EXAMPLE.CO.JP. 省略 ;; ADDITIONAL SECTION: SIP.EXAMPLE.CO.JP. 300 IN A SIPのIP NS1.EXAMPLE.CO.JP. 300 IN A DNSのIPアドレス 省略 ;; Query time: 62 msec ;; SERVER: DNSのIPアドレス(DNSのIPアドレス) ;; WHEN: Sun Feb 21 11:08:45 2010 ;; MSG SIZE rcvd: 219 >>21 DNSSEC 検証コードに脆弱性 とありますので,DNSSECを使わなければ この*問題*はOKのようですが,これ以外に沢山あるようです. https://www.isc.org/software/bind/security/matrix ごらんください 2ちゃんねる攻撃もDNSをDDoSされ毒入れをされたと聴いています. BINDは最新にってことでしょうか? >>28 maido3はプロバイダーだよね キャッシュサーバ無いの? >>29 仮にあったとしても関係ない よーく考えよう >>30 http://www.your.org/dnscache/djbdns.pdf をみたけど DJBDNSってまじめだとわかった。 またなぜmaido3がDNSSECをしていないかの理由もわかったきがする でもプロバイダって厳しい仕事だね >>28 キャッシュサーバポイズニングはキャッシュサーバだけだね 当たり前だけど 自前でDNS立てたんだけど ドメイン名は引けるけど digとかで見たら逆引きができません 利用するネームサーバを自前のものに指定して引くと 正・逆共に正しく引けます 広まるまで時間がかかるのかな?とおもって既に3カ月 そんなもの? 大抵はほぼリアルタイムで反映されるはず。 ゾーン名が間違ってるか、ミスで権限委譲されていないのいずれかだと思う。 ゾーン名の記述はISPによって違うので注意。 >>34-35 ありがとう御座います dig +traceで見てみたら順番に下がってきて ISPのセカンダリーが先に出てきて 最終的に自信はReceivedに出ていませんでした ただ、DNS自信のIPを逆引きしたらちゃんと引けて出ました(IPは8つです) >>35 の言うようにゾーン名が変だと思いISPの情報を色々と物色してみると(ISPはOCN) こんなのを見つけました ttp://www.ocn.ad.jp/tw/dns_02.html 中には # // ネットワークアドレス全て(4オクテット)を使ってゾーン名を設定します. # zone "32.69.168.192.in-addr.arpa" in { とあるんですが、 うちは zone "69.168.192.in-addr.arpa" in { となっていました、 ISPに出ているように zone "32.69.168.192.in-addr.arpa" in { に変更して dig @localhost で調べると 今度は自信の 32.69.168.192 以外が引けて 32.69.168.192 が引けなくなりました(契約はIP8) 色々と調べながら1時間ほどして 別のISPから当該DNSで管理しているメールサーバーのメールアドレスへ メールしてみたら全く届かなくなっていたので これはヤバイ!と思い取りあえず元に戻して寝ました(笑) (元に戻したおかげで今は正常に届いています) 昼間は流石に触るのが怖いんで週末の夜中にこっそり続きやります こんな感じです $TTL 86400 @ IN SOA ns.example.com. postmaster.example.com. ( 1 ; Serial 10800 ; Refresh after 3 Hours 3600 ; Retry after 1 Hour 604800 ; Expire after 1 Week 86400 ) ; Minimum TTL of 1 Day ; IN NS ns.example.com. ; Hosts 34 IN PTR ns.example.com. 35 IN PTR host1.example2.com. 36 IN PTR host1.example3.com. 37 IN PTR host1.example4.com. 38 IN PTR host1.example5.com. 因みに ■googleのDNS指定して逆引き したら ; <<>> DiG 9.5.0-P2.1 <<>> @8.8.8.8 -x 192.168.69.35 ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3410 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;35.69.168.192.in-addr.arpa. IN PTR ;; ANSWER SECTION: 35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa. ;; AUTHORITY SECTION: 69.168.192.in-addr.arpa. 3600 IN SOA ns.example.com. postmaster.example.com. 2010042341 3600 900 3600000 3600 ■ dig +trace @8.8.8.8 -x 192.168.69.35 だと ; <<>> DiG 9.5.0-P2.1 <<>> +trace @8.8.8.8 -x 192.168.69.35 ; (1 server found) ;; global options: printcmd . 2625 IN NS l.root-servers.net. (省略) . 2625 IN NS d.root-servers.net. ;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 54 ms 192.in-addr.arpa. 86400 IN NS NS4.APNIC.NET. 192.in-addr.arpa. 86400 IN NS NS3.APNIC.NET. 192.in-addr.arpa. 86400 IN NS NS-SEC.RIPE.NET. 192.in-addr.arpa. 86400 IN NS NS1.APNIC.NET. 192.in-addr.arpa. 86400 IN NS TINNIE.ARIN.NET. ;; Received 159 bytes from 128.8.10.90#53(d.root-servers.net) in 237 ms ;; connection timed out; no servers could be reached >>39 35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa. 訂正 35.69.168.192.in-addr.arpa. 86400 IN CNAME 35.69.168.192.in-addr.arpa. ですw ■ローカルホストで試すと dig -trace @localhost -x 192.168.69.35 ;; Warning, ignoring invalid type race ; <<>> DiG 9.5.0-P2.1 <<>> -trace @localhost -x 192.168.69.35 ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26998 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;35.69.168.192.in-addr.arpa. IN PTR ;; ANSWER SECTION: 35.69.168.192.in-addr.arpa. 3600 IN PTR host1.example2.com. ;; AUTHORITY SECTION: 69.168.192.in-addr.arpa. 3600 IN NS ns.example.com. ;; ADDITIONAL SECTION: ns.example.com. 3600 IN A 192.168.69.34 今気がついたんですけど、1行目の ;; Warning, ignoring invalid type race ってのは・・・何かダメってことでしょうか >>38 zone "32.69.168.192.in-addr.arpa" が正解だよ。 192.168.69.32の逆引きを設定したいのならば、ゾーンファイルに @ IN PTR test.example.com. を追加しとけばよい ってか、ネットワークアドレスの 32 をホストで使用してるの? >>42 >ってか、ネットワークアドレスの 32 をホストで使用してるの? 私も引き継いだ時にそうなっちゃってたんで そのまんまなんですが やっぱり不味いですよねぇ そもそもIPアドレスベースで他で設定してあるものもあるらしく 勝手に変更するとPC側の設定でえらい事になりそうで 踏み出せずにいます >>42 確かに、@ IN PTR test.example.com. で ローカルでは32も引けるようになりました、たぶん大丈夫な気がします ありがとう御座いました!! ご指摘のようにネットワークアドレスのIPの事を考えると鬱になるんですけどねぇ… 元々の間違いの始まりはドメイン申請の時にNの営業さんが手配してたらしいんですけど こんな設定にしてる為に凄く困ってることが他にもあるんですが、スレ違いなんでいいです(笑) >>43 ルータによっては制約があるかもしれませんが、ネットワークアドレスや ブロードキャストアドレスもNAT用であれば活用可能です。 混乱の元なのでアドレス足りてるなら使わないほうがよいですが。 DNSを変更した時に世界中で反映される時間とかかかれてますが、利用者が利用者のDNSに参照に行った時に キャッシュの情報が古い場合だけ設定元のDNS情報を参照しに行くと考えてOKでしょうか。 だとすれば、どこのアドレスからの参照で何時どのドメインを引いたか知りたいのですがログに残せないものでしょうか >>46 利用者側の情報は設定された時間を経過すると消去されるので 再度設定元に問い合わせに行く。 ログは簡単に取れるよ。 ttp://www.atmarkit.co.jp/flinux/rensai/bind910/bind910a.html 自鯖のDNSにnslookupするとサーバ名がIPアドレスになってしまいます。 これをサーバ名にするにはなにを修正すればいいのでしょうか? 教えて、エロい人! > google.com Server: 127.0.0.1 ←これをlocalhostしたい Address: 127.0.0.1#53 Non-authoritative answer: Name: google.com Address: 66.249.89.104 Name: google.com Address: 66.249.89.99 >>49 $ nslookup - localhost > google.com Server: localhost Address: 127.0.0.1#53 Non-authoritative answer: Name: google.com Address: 66.249.89.99 Name: google.com Address: 66.249.89.104 cnetos 5.5 (x86_64) bind 9.3.6-4.P1.el5_4.2 service named restart をすると Error getting active value for named_write_master_zones という警告が出るんだけど、再起動は問題なくできている。設定も反映されます。 設定関連はちゃんとできてると思うが、ググってもズバリというようなソース見当たらないので どういう関連のエラーかわかる方いますか? このサーバはmasterzoneもslavezoneも持っているので、推測するにmasterから変更があったが、slaveとして書き換えできなかったというエラーなのかな? selinuxはpermissivなのでそっち関連は大丈夫だと思います。 zonefileに関してはかなりの数があり、全部私が設定してないので問題ないとは自信持って言えないが、出力ログを見る限り、該当するものの詳細は見当たらず。 同様なエラーメッセージに遭遇し、解決した方いらしたら、ご教授ください。 nslookup www.valinux.co.jp とすると、 connection refused resolving 'fsv.valinux.co.jp/A/IN': 210.128.90.2#53 とmessagesに出てきてしまうんですが、これはどういう意味なのでしょうか? 宜しくお願い致します。 >>53 そのドメインの設定ミスだから気にスンナ。 上位(JPRS)にはvalinux.co.jpのネームサーバの一つとして ns2.valinux.co.jp(210.128.90.2)が登録されているけど、ns2には valinix.co.jpの設定がない(もしくは設定ミスの)ため拒否されてるだけ。 >>54 ありがとうございます。 その ns2... って dig valinux.co.jp ns しても出てこないみたいなんですが、 教えて頂けないでしょうか・・? >>55 $ whois -h whois.jprs.jp valinux.co.jp $ whois -h whois.jprs.jp ns2.valinux.co.jp ん・・。ありがとうございます。 bindって色々調べて結果返してるんですね。 NAT環境内でbind9によりDNSサーバを動かしています。 ルータの設定でもbind9用のポートは閉じています。 allow-query,allow-recursionの対象をLAN内のPCのみとしているので jail化する必要はないと考えていますが、いかがでしょうか? よろしければご教授下さい。 >>58 allow-*とjailは別々のセキュリティ対策だよ。 外部からの不正な問い合わせを何重もの防御で守りたいのなら、 jailではなくipfwなどで自力でポートを閉じるべきだ。 jailは万が一セキュリティホールが突かれたとき、 システム側に不正な要求を投げさせないのが目的だから、 それはそれで必要性を判断して設定すればいい。 アドバイスありがとうございます。 こちらが言葉足らずでした。 NAT内だけでの運用なので、システムが占拠される心配はないと考えたので jailは不要ではないかと判断した次第です。 よく、何重にも対策をしておく方が良いと言われますが、労力が割かれてしまう ので迷う所です。 現状、named.conf.optionsの設定に気を配る程度です。 allow-queryやallow-recursion, version "unknown"辺りでしょうか。 それと、ipfwというものを調べてみましたが、ファイアウォールなのですね。 私はルータをファイアウォールとして使用しています。 webサーバとファイルサーバを外部に公開したいと考えていますが、今のと ころ未公開です。ポートも閉じています。。 上記を考慮した場合、jail化は必要なのでしょうか? また、他に推奨のセキュリティ対策など教えて頂ければ幸いです。 bind9.7.1-P2をインストールしようとしているんですが、 下記2点についてうまくいっていません。分かる方助言をお願いします。 1.Microsoft Visual C++ 2005 Redistributableインストール時に 「Command line option syntax error. Type command/? for Help.」 というエラーメッセージダイアログがでてインストール失敗する 2.上記の失敗からか、「C:\Windows\System32\dns」フォルダが作成されない すみません。環境はWindows 7 Ultimate 64ビットです。 今までCentOS5.4で自鯖立ててて yum updateで5.5相当にして使ってたんだけど 今回サーバー用HDDの容量アップのために クリーンインストールでCentOS5.5入れて自鯖セットアップしなおしたんだけど bindをどう設定して、bindを起動してもnamed/confにエラーがあると出る ちなみに再インストール前のbindの設定をバックアップ取ってたので それをコピペしてみてもダメ bindの新しいバージョンってなんか設定方法とか変わったの? named.confの設定はこんな感じなんで おかしいとこあったらどこがおかしいか教えてください。 options { #listen-on port 53 { 127.0.0.1; }; #listen-on-v6 port 53 { ::1; }; version "unknown"; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; query-source port 53; query-source-v6 port 53; allow-query { localhost; localnets; }; forwarders{ 192.168.24.1;(プレミアムのCTUのプライベートアドレス) XXX.XXX.XXX.XXX; (インターリンクのプライマリーDNSのIPアドレス) XXX.XXX.XXX.XXX; (インターリンクのセカンダリーDNSのIPアドレス) }; }; view localhost_resolver { match-clients { localhost; }; match-destinations { localhost; }; recursion yes; include "/etc/named.rfc1912.zones"; include "/etc/named.xxx.com.zone"; }; view "internal" { match-clients { localnets; }; match-destinations { localnets; }; recursion yes; include "/etc/named.rfc1912.zones"; include "/etc/named.xxx.com.zone"; }; view "external" { match-clients { any; }; match-destinations { any; }; recursion no; include "/etc/named.xxx.com.zone.wan" >>63 パッと見、問題なさそうだが、肝心のエラー内容は? エラーとは直接関係ないはずだけど、これはコメントアウトしろよ。 query-source port 53; query-source-v6 port 53; >>63 最後の行は include "/etc/named.xxx.com.zone.wan" で終わりなの? 教えて下さい。 DIG で ANSWER SECTION に きちんとIPが返ってきているのに、 # dig www.domain.local a PINGを実行してもUnknown host になってしまうのなぜでしょうか? # ping www.domain.local ちなみに ドメインを指定しないと きちんと返ってきます。 # ping www 環境 debian lenny bind9 DNSを設定したマシン自体にwwwと名前をつけています。 /etc/resolv.conf には nameserver 127.0.0.1 とし、 他のnameserverは設定していません。 他のマシンからは正しくping が通ります。 インフラ詳しくないので、チェックの方法等、助言頂けると幸いです。 よろしくお願いします。 66です。 いろいろ試してみたところ、 bind側ではなく、OS側に問題がありそうです。 理由は以下の3点です。 1.他のマシンからのpingは通る。 2.dig, nslookup は問題ない 3.設定しているマシンのresolv.confに他のDNSを指定してもFQDNでpingできない debian板で聞いてみることにします。 ありがとうございました。 友人の所で間借りしてたドメインを自鯖に移したんですが(ムームー)、なぜか1週間以上たった今も digをすると、前の鯖のIPが出ます。 HPドメインのhogehoge.comだけが前のIPになっていて、サブドメインのmail.hogehoge.com等は 新しいIPに変わってます。 どこが悪いとこうなるんでしょうか? ID更新してないだけとふんだ なんかruドメインの名前解決が大量にログに残ってて気持ち悪いんだけど何が起きましたか? winodws版のBINDでちょっと疑問。 8.8.8.8にforwordさせて、ローカルにも保存する場合confにどう記述すれば良いの? 紹介サイトで記述の仕方が違うから理解できない。 >>71 何を保存するの? そもそも日本のユーザが8.8.8.8を指定してもメリットはないよ テストする意味で8.8.8.8にして見たけどプロバイダのでも良いんです。 windowsの標準のDNSクライアントみたいにドメイン名とIPをキャッシュさせたいです。 もしかすると実はもうキャッシュされているのでしょうか。 named.conf, named.root. 見よう見まねで記述してるので自信がありません。 プロキシーとか代理応答とかキャッシュとかそういう話? 普通に設置してoptionsにforwardersとforward onlyで丸投げでいいんじゃない? あとrecursion yesとか? 勉強のためubuntu上にてvirt-managerでubuntu10.04のDNSの構築してみてるんだけど 今slaveサーバ設置してゾーン転送させようとしてるとこでうまくいかない マスター側は192.168.122.11、スレーブ側は192.168.122.12 マスター側のnamed.confのzoneステートメント(とaclステートメント)は acl "Slave" {192.168.122.12;}; zone "122.168.182.in-addr.arpa"{ type master; file "122.168.192.rev"; allow-transfer{Slave;}; notify yes;}; スレーブ側は acl "Slave"{192.168.122.12;}; zone "122.168.192.in-addr.arpa"{ type slave; file "bak/122.168.192.rev"; masters{192.168.122.11;}; allow-transfer{Slave;};}; コピペじゃないけど再起動もできるので書式のミスは無いはず スレーブ側bindを再起動すればスレーブ側のゾーンファイルを消しとくとちゃんと転送されるけど ゾーンファイルがあるとマスター側で更新されててもスレーブ側はbind再起動しても更新されない よろしくお願いします 小出しで申し訳ないけれど最後の方日本語おかしかったから つまりマスター側でゾーンファイルを編集保存しただけでスレーブ側にも 反映(ゾーン転送)してほしいのに、編集保存してからマスター側のbindを再起動して、 スレーブ側にある古いゾーンファイルを消したうえでスレーブ側のbindを再起動しないと ゾーン転送してくれないということ、どうすればいいんでしょか >>78 ゾーンファイルのNSレコードにスレーブサーバを登録してる? レスありがとうございます >>80 シリアル更新はしてます emacsのDNSモードなので編集保存すると自動で変わってくれます >>81 登録してます マスターのゾーンファイルを編集してからゾーン転送されるまで普通はどれくらい時間掛かりますか? 僕の頭の中ではSOAレコード第4パラメータの時間+15分弱です それとnotify yesはSOAレコード第4パラメータ無視して更新したら15分弱で転送するって認識で合ってますか 今わかりましたがマスター側のbind再起動してしばらく待ってると スレーブ側はゾーンファイル残して再起動もせずともゾーン転送してくれました マスター側のbind再起動すればできるってことはマスター側のnamedがゾーンファイルの更新を 監視してくれてないとか、そういうのは無いですか?何々起動しないと監視してくれないとか てかそもそもゾーン転送以前にbind再起動無しでゾーン情報更新してくれてた気がしない 問題はそこな気がします、どうすればbind起動中にemacsやらでゾーンファイル弄ったのを シリアルを確認して感知するのか、このシリアルを確認するのはnamedプロセス?namedはしっかり起動しています ps aux|grep named bind 3284 0.0 2.0 43892 10432 ? Ssl 07:37 0:00 /usr/sbin/named -u bind hoge 3302 0.0 0.1 2884 808 pts/0 S+ 08:16 0:00 grep --color=auto named またですがアドバイスよろしくお願いします >マスターのゾーンファイルを編集してからゾーン転送されるまで 自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。 話からするとnotifyがスレーブ側に届いていないようなので、>>81 だと思うんだけどね。 NSレコードでスレーブ鯖の記述が間違ってないか、 マスタ側でNSレコードをdigしてみて、 それでもダメならマスター側で以下を追加してみてはどうだろうか。 also-notify { slave鯖のIPアドレス; }; >自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。 あぁごめん、一部見逃して書いてた。 マスタ側だけはゾーン情報を更新したらbindの再起動は必須だよ。 >>84 そうでしたか、それならこれで合ってたんですね ちなみに再起動ではなくHUPシグナル送ったりrndc reloadしたりでも ゾーン情報更新してくれるみたいです、これで数分以内にはスレーブ側も更新してくれました ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました ありがとうございました!! >ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました コンピュータ関係の間違いの大部分を占める「勝手な思い込み」の典型 俺が経験したクレームで「パスワードを変更したらメールサーバにつながらなくなった」ってのがあったが 結局、旧パスワードを削除せずに新パスワードを続けて書いたのが原因 「新しいパスワードをちゃんと設定しましたってば!」 うん、そうだね、したね でもこっちの質問「どのようにですか?」「パスワードは何文字になってますか?」には頑なに答えてくれなかったね コンピュータにはピンポイントで肝心な部分の情報を隠蔽させる魔力があるんだろうね はじめての書き込みです さっそく named.conf.options: // forwarders { というのがあってこれ以下にプロバイダー側のサーバを書くのですが 具体的に何を書くのか分かりません。教えてください。 なお環境としてはglobalIP1 質問1: 候補1 : 回線会社(NT*ですが)のDNS?(使用する地域の接続ポイント) 候補2 : プロバイダ(Info*****)のDNS 候補3 : ドメインの管理会社のものでしょうか? 質問2: ま上記の3つを最低3行を併記しても良いものでしょうか? >というのがあってこれ以下にプロバイダー側のサーバを書くのですが と自分で書いてるんだからプロバイダのDNSでしょ。 >ま上記の3つを最低3行を併記しても良いものでしょうか? やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。 NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。 ドメイン管理会社にもDNSは持ってるだろうが、 そこにドメイン情報を設定していないと意味はない。 さっそくども >>というのがあってこれ以下にプロバイダー側のサーバを書くのですが >と自分で書いてるんだからプロバイダのDNSでしょ。 プロバイダー側と書いてあるとおりプロバイダーとは限定した質問では ありませんでした。プロバイダー側の3つからどれかという質問の意図でした。 プロバイダー限定なわけですね。 >ま上記の3つを最低3行を併記しても良いものでしょうか? やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。 >NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。 フレッツはDNSではない接続をしているようですが、そこのDNS達につなぐ のも手なのかなとも考えたわけです。 >ドメイン管理会社にもDNSは持ってるだろうが、 >そこにドメイン情報を設定していないと意味はない。 そこでは保有しているべきものではないのでしょうか? これ設定しないとドメイン登録できないし・・・ もし、管理会社が登録していないとなるとどこに? もっと上流のどこかが保存管理しているということな? >>91 あぁごめん、説明を端折って書いたから余計混乱させてしまったか。 今回bindで設定する意図はキャッシュサーバーを立てる事なのか、 自分が取得したドメインの運用のためかによって話は変わってくるけど、 forwarderはキャッシュサーバーの用途なのでドメインの運用とは関係ないからね。 まだドメインが取得できていないのであれば お名前.comやValue Domainとかの大手でドメインを取得して レジストラが用意するネームサーバを利用するといいんじゃないかな。 これらの業者は自分でネーム鯖を用意せずにドメインを運用する事ができるよ。 さすがにレジストラというのはどういう所かくらいは自分でぐぐってね。 >>92 東日本と西日本で違うみたい。 ttp://www.sphere.ne.jp/support/guide/setvalue/#a050 一応補足。 お名前.comやValue Domainというのがレジストラね。国内だと大手だと思う。 レジストラの指定している管理サーバーは ***.***.jp となっています。 すると forwarder には その***.***.jp を入れるべきでしょうか? いまいち分からない。 一応やってみた restart すると [fail] になる。 だから数字だけしか通用しないようです。あたりまえ? 改めて知りたいですが 「ドメインは取得した、それから内向きのDNSを作る」には レジストラのDNSを入れるべきでしょうか? それともそのレジストラのDNSの数字のGIPを入れるべきでしょうか? それともキャッシュ用のDNSのようにプロバイダー指定のDNSのGIPが良いのでしょうか? 基本的にforwarderいらないでしょ 何か目的があってやるにしてもレジストラは関係ない ISPの指定したDNSに投げればいい この前 forwarder 使わ無い方式は危ないといわれて しかたなし使っているのですが ところで、4種 1、 forwarder する場合で、ドメインを持っている場合でも ISPのDNS にするのですか? 2、 forwarder する場合で、ドメインを持ってない場合でも ISPのDNS にするのですか? 3、 forwarderしない場合で、ドメインを持っている場合でも ISPのDNS にするのですか? 4、 forwarderしない場合で、ドメインを持ってない場合でも ISPのDNS にするのですか? しつこくてすみません どうも理解できなくて 自宅にDNS設置してんだろ? そこに問い合わせるのは誰よ? レジストラのDNSを利用しろと言ってるのは 自前のドメインの問い合わせ先を自宅じゃなくてそこにすればと言ってるのであって forwarderはそれらと全く関係ない。 forwarder先は本来別の場所に設置してある自前のDNSにするんだろうが、 そんなものが無いなら、自宅が接続してる一番近いISPのDNSにするだろ。 JAPAN IS MONKEY PALACE~~~~~ NANANANANANANANANANANANANANA なななななななななななななななななななななななななななななななな ばかばかばかばがばかばかばかばかばかばかばかばかばかばがばかばか ちっしおちっしおちっしおちっしおちっしおちっしおちっしおちっしお 借りているVPSサーバ(CentOS5.5)を使用してプライマリのDNSサーバを構築しようとしています。 LANのIPアドレス(192.168.〜など)が無いのですが、「内向きのゾーン設定」というものは必要になるのでしょうか? また、必要な場合は127.0.0.1で代用して設定してもよいのでしょうか? いろいろなサイトを参考に試行錯誤しているのですが、192.168〜なしの設定が見あたらず困っています。 初めてのDNSサーバ構築なのでトンチンカンな質問だったらすみません。 アドバイスをいただければと思います。 >>101 ローカルの逆引きは必ずしも必要ではないから省略しても良いと思う。 自宅鯖と違ってレン鯖はローカルで何かをするって事ができないから、 LANのIPアドレス自体が存在しないこともあるしね。 VPSでも業者によってコンパネが違うと思うので、 レン鯖の住人の方が詳しいかもしれんよ。 >>102 丁寧にありがとうございます。 これから本屋で書籍を探してみようと思います。 プライベートアドレスの逆引きは必須。グローバルの逆引きより必要性が高い。 ローカルの DNS にプライベートの逆引きゾーンが存在しないと、 プライベートなのにグローバルに対して逆引きを聞きに行くことになる。 インターネット上にはちゃんと 192.168.x.x とかの逆引きに答を返す DNS が 用意されてるからグローバルに聞きにいっても問題が起きないけど、 仮にこの DNS が落ちるとプライベートの通信でも異常が起きるし、 実際に1週間ほど止まって世界中でトラブルになったことがある。 逆引き問い合わせをプライベートだけで完結して、外に出さないことが重要なんで、 逆引きゾーンを作るだけでよい。実際のホストは登録しなくてもかまわない。 最近の気の効いたディストリならはじめからその設定サンプルがついてる。 bind でなく unbound だと設定しなくても組込みで設定されてる。 DNSで www.test.com と www2.test.co.jp への要求を別サーバへ (仮に1.1.1.1 と 1.1.1.2)振り分ける設定がわかりません。 ひとまず前者のwww.test.co.jp→1.1.1.1 への正引きはできているものとして AレコードとかCNAMEあたりはどう設定すればいいんでしょう? どこかいいサイトとかありませんか? www.test.com は www.test.co.jp のタイプミスと仮定して > www.test.co.jp→1.1.1.1 への正引きはできているものとして ということは test.co.jp のzoneファイル中に www A 1.1.1.1という設定があるのでしょう。 同様に www2 A 1.1.1.2 という設定をすればいいです。 サイトなら @it とかですか。 >>107 レス遅くなりましたが ありがとうございます。 目的の動作ができるようになりました! debianのlennyでbind9によりDNSサーバを起動しています。 /etc/hostsの全行をコメントアウトすると "ping localhost"を実行したときに "unknown host localhost"とメッセージがでて、pingが通りません。 因みに "nslookup localhost"を実行すると Name: localhost Address: 127.0.0.1 "nslookup 127.0.0.1"を実行すると 1.0.0.127.in-addr.arpa name = localhost. と出力されます。 /etc/hostsは極力使用しないようにしてみたのですがlocalhostの解決は /etc/hostsで行うものですか? うん ループバックアドレスをDNSサーバに問い合わせるなよ んー、DNS で localhost の名前解決ができるのなら /etc/hosts になくても ping localhost がコケるはずはないんだが。 getent hosts localhost を実行してみるとどうなるかしらん。 それはともかく、hosts にホストを登録するのは管理が煩雑になるので DNS を使った方がいいのはたしかだけど、 すでにある localhost を削除するのは推奨しない。 >>111 何も出力されません。 他のマシンは名前を解決できるのですが。 >>110 さんも言われてるようにlocalhostはhostsを利用するべきですかね。 getbyhostnameのmanpageによると > name がドットで終了していなければ、現在のドメインとその親ドメインが検索される。 ということなのでHOST_NOT_FOUNDになると思われる おそらく ping localhost. と打つと `localhost` そのものが解決される ローカルループバックアドレスはホストローカルの情報すなわちホストごとにことなる可能性があるため DNSサーバで集中管理するべきではない × getbyhostname ○ gethostbyname dnsサーバを建てようと思います。 chrootするのですが、chroot以下のディスク容量をどれ位にすれば良いか迷ってます。 chroot以下が意外と大きくなると聞きましたが実際はどうなのでしょうか? CNAMEレコードのTTLが0になってしまう現象について質問です。 DiG 9.6-ESV-R1では、 $dig @サーバ host9.example.co.jp a ;; ANSWER SECTION: host9.example.co.jp. 80 IN CNAME host8.example.co.jp. host8.example.co.jp. 80 IN A 192.168.24.108 BIND9.2.4では、 $dig @サーバ host9.example.co.jp a ;; ANSWER SECTION: host9.example.co.jp. 0 IN CNAME host8.example.co.jp. host8.example.co.jp. 80 IN A 192.168.24.108 という結果になります。ググっても特にバグとかでていません。 また、tcpdump port 53 -n -vvv -X -s 1500 でパケットキャプチャしたところ、 権威サーバ側では、TTL=80でパケットを出力していますが、 問題のBIND9.2.4があるクライアント側ではTTL=0で受け取っています。 どうしてこのような現象になるのでしょうか? >>117 バグじゃないならDNAME(RFC2672)じゃなイカ? >>118 調べてみましたが、DNAMEとは違うようです www.yahoo.co.jpやwww.google.comもCNAMEを使っていますが、 こちらもやはりCNAMEレコードのTTLは0になります。 質問があります。 自分、今Yahoo!のADSLをハブを使って数台でネットを使っています。 で、サーバ構築を勉強しているので試しにパソコン数台をDNSで分けて連携してみたいのですが、自分のような個人のネット環境でも出来るのでしょうか? 特に固定IPアドレスなど申請していないのでモデムによる動的なIPアドレス取得だと思います。 データベースのレプリケーション等もやってみたいと思っています。 DNS自体は簡単にですが学習しましたが、BIND等によるIPアドレスの設定しか書かれておらず、複数のIPアドレスを持っていさえすれば出来るのかと思っているところです。 上記のような場合、どのようにすればサーバ構築が出来るのでしょうか? ifconfig、ipconfig等で現在のIPアドレスを確認してその値を設定ファイルに書き込むだけで出来るのでしょうか? モデムの電源を切ったり、切れたりするとIPアドレスは変わってしまうので、その場合数台の設定をまた設定ファイルで書き直さないといけなくなりそうですが。 また、もう一つ本に載っていない疑問があるのですが、ネットに繋がないオフライン環境でもパソコン数台によるサーバ環境は出来るのでしょうか? 書き忘れていましたが、OSはcentOS5.5メインでWindowsXPも使っています >>122 それは自分の環境では出来ないということでしょうか? >>123 122のような角の立つ言い方は好ましいものではないですね。 ですが、私も今のあなたの知識はDNSサーバーを構築して実験を行いながら知識を深める段階に達していないと思います。 それは用語の間違いからわかります。 DNSについて前にIPアドレスとホスト名(DNS的に言うならドメイン名)の関係について学習することが必要ではないかと思います。 bindの解説から勉強を始めると、DNS有りきが前提になっているかもしれませんので、勘違いを助長するかもしれません。 まずはホスト名とIPアドレスの対応方法について調べ、その一つの解決方法がDNSであり、 DNSを実現するソフトウェアの一つがbindであるという点を確認してみてはどうでしょうか。 >>124 ありがとうございます まぁ、まだ学習段階なので知識は全然ないのですが、一応自分のYahoo!からのADSLだけでも出来るのかどうかが知りたくて質問させていただきました オライリーのDNS&BINDでも読めば幾分サーバ構築の知識は得れるでしょうか? 自分は図解でわかる Linuxサーバ構築・設定のすべてという本を読んだのですが、ちょっとコレだけではサーバを構築できるかイメージが沸きませんでした >>125 内部のマシンだけが参照するのならばできなくはない。 外部にドメインを公開するのは無理。 修得した独自ドメインを入れればBINDを簡単に設定してくれる便利なアプリとかないですか? 設定がいまいちよくわからない >>127 レジストラなりリセラーが提供するDNSサービスを利用するのではいけないの? それか、Zoneedit.comとか、ちょっと怪しいけどDomainDNS.comとか。 >>127 どうしても自鯖でってことなら、Webmin使うか、 Smbind ttp://sourceforge.net/projects/smbind/ DNS Control ttp://www.r00tshell.com/dns-control/ ProBind ttp://probind.org/ みたいなツールは? >>128 レジストラのDNSは逆引きができない仕様になってるので自分でやろうかなと >>129 ありがとうございます。やってみます。 逆引きはプロバイダが対応していないと出来ませんが、 固定IPを割り当ててもらっていないと無理じゃないかと思います。 自分でやっても逆引きは無理 固定でもプロバイダが委譲してくれないと無理 すみませんがわかる方いたら教えて下さい。 委任設定がうまくいかないのです。 NSレコードに委任するドメインと委任するDNSサーバのURLを記載し、Aレコードに委任するDNSサーバのURLとIPを記載しているのですが、nslookupをすると見つかりません non-existent となってしまいます。 他に設定項目や確認項目があるのでしょうか。 URLっていうのは http://xxxx/yyy とか ftp://zzz/ のようなものだと思っていたんですが、 ここではドメイン名なりホスト名のことだとしておきます。 example.jp の下に some.example.jp を作り、その DNS が dns1.example.jp だとすると example.jp のゾーンファイルに some NS dns1.some.example.jp. dns1.some A 111.222.333.444 のように書くという方針は合ってます。 シリアルを更新したか、ドットの打ち忘れはないか、リロードしたかのようなところをもう一度確認してみては? アドバイスありがとうございます。 確認してみます。 >>134 333.444て・・・ 255までだろJK Windows7のnslookupでFQDN入れてgoogle.comとか引くと プライマリDNSサフィックスに設定しているhoge.co.jpがついて google.com.hoge.co.jp google.com.co.jp google.com の順に問い合わせていって2番目のところで jpドメインのルートサーバ?z.dns.jpに行っちゃうですが これをルートサーバに行かせない方法ってないものですかね・・・ RHEL5.5/bind 末尾に.付けて検索すればいいのかもですが >>138 TCP/IP詳細設定でプライマリDNSサフィックスの親サフィックスを追加するチェックを外す google.com.co.jpをhostsに書いておく 親サフィックスを追加するを外すのは効果なかったです。 hostsに書くか、末尾にピリオドを入れるしかないみたいですね ありがとうございました。 --enable-filter-aaaaして何回やっても /etc/named.conf:18: option 'filter-aaaa-on-v4' is not configured と出るけどバグ? --enable-filter-aaaa=yes とか? すいません。 ソースコンパイルでインストールして新しいBINDを入れようと思うのですが 古いBINDの削除ってどうすればいいのでしょうか? makeにそれらしいルールは無いのですが・・・・ もしかしてconfigure時にprefixで指定した(指定してなければデフォルトの場所)ディレクトリの削除だけでよかったりするのでしょうか? @ IN CNAME hoge って書くと通らない… @ IN A 192.168.0.1 みたいにAだといいみたいなんだけど もちろん hoge IN CNAME fuga みたいなのはいける CNAME 以外のものがあるレコードに CNAME は相乗りできない。 @ には SOA や NS が必ず存在しているので、 @ に CNAME は設定できない。 たまにはDNAMEのことも思い出してあげてください。 >>128 今日、DomainDNS.com のドメイン有効期限が切れていたので驚きました。 でWhoisの、 Registrant: PrivacyProtect.org Domain Admin (*******@privacyprotect.org) に連絡してみました。 しばらく放置していたのですがすぐに自動返信が来ていました。 *******@privacyprotect.orgはwhoisを隠すためのサービスのようで、 本人のものでないとメールに記載されていました。 それでもオーナー(本人)に問い合せたい場合はprivacyprotect.org が用意したフォームを使用して下さいとのこと。 わたしはそのフォームを使用して連絡したところ、 返事は来ませんでしたが、1時間程度で気づいたらしく、 ドメイン期限を10年延長してくれていたのです。 つまり、怪しいながらも連絡は一応通じるということです。 終わり しばらくDDNSで自鯖でウェブサービス用に使ってたドメインで、 メールサービスだけは Google Apps を使っていました。 このウェブサービスをレンタルホストでやることに切り替えたので、 ドメインホルダーに登録してあったDNS情報を以下のようにしました。 ############################################ 1). mx aspmx.l.google.com. 10 2). mx alt1.aspmx.l.google.com. 20 3). mx alt2.aspmx.l.google.com. 20 4). mx aspmx2.googlemail.com. 30 5). mx aspmx3.googlemail.com. 30 6). mx aspmx4.googlemail.com. 30 7). mx aspmx5.googlemail.com. 30 8). txt @ v=spf1 include:aspmx.googlemail.com ~all 9). a * WWW.XXX.YYY.ZZZ ############################################ 行頭の "数字)." は、分かりやすくするために打っただけで、 実際に記載していません。 で、この 1行目から8行目までは、自鯖からレン鯖に変えた時にノータッチで、 Google Apps に言われた通りの内容をただそのままコピペしているだけです。 自鯖の時にはこれでウェブはウェブで、メールはメールで、ちゃんと利用できていました。 しかし9行目を自鯖からレン鯖へ移行するときに上記のように書き換えたのです。 変えたのはレン鯖の固定IP部分 WWW.XXX.YYY.ZZZ だけなんですが、そうしたら、 メールサービスが一切正しく働かなくなってしまいました。 今まで変動制だったIPアドレス部分を固定IPに変えただけなんですが、 何がいけないのでしょうか? 使っているドメインホルダーは value-domain.com です。 a レコードっていうのがマズいのかなぁ。。 どなたか何かアドバイスいただけませでしょうか。 よろしくお願いいたします。 とりあえず、ゾーン情報を他人に見せるなら共通化した形式で出せ。 俺フォーマットで出すならならどのカラムが何を意味するのかちゃんと説明しろ。 * が ワイルドカードのつもりなら、罠満載だから素人はあんなもん使うな。 >>157 うう。DNS関係よく分かってないもんで。。 * はワイルドカードのつもりです。 ウェブだけ WWW.XXX.YYY.ZZZ というのならワイルドカードにしちゃいけないのかな。 a レコードとか c レコードとかの意味もイマイチ。。 VGスレに移動します。ごめんなさい。 つかこの人BINDの話はしてないね VDのDNSで設定いじったらおかしくなりましたって話 >>159 スレタイのDNSに反応しちゃったんじゃない? BIND 9.3.2 on FreeBSD 5.5-RELEASE です。 初めて、Windows 7 (Home Premium 64bit)のノートを買いましたが、DNSがひけません。 コマンドプロンプトで nslookup を行っても駄目です。 mac、XP,vista までは問題なくひけてます。 色々、情報をネットで探してみたけど、まだ、見つかっていません。 なにか情報があれば教えていただけないでしょうか? よろしくお願いします。 そりゃクライアント側の問題じゃないの? 板違いだと思うけど。 DHCPでうまく渡せてないなら、マニュアルで設定してみては? >>162 マニュアルで設定しても変わらないんです。 ためにしに、外部のプロバイダのDNSを設定するとちゃんとつながるので、 自宅内のDNSのせいかなと推測しました。 コマンドプロンプトの nslookup で確認しているので、クライアントの設定は関係ないと思います。 ちなみに、そのDNSには ping が通ります。 うーん、なんだろね。 IPv6関係とか? あとググるとVAIOでトラぶってるの多いな。 >>164 はい、ググるとIPv6とVAIOの関係と、ゲーム機関係は見つかります。 今回は、VAIOでもゲーム機でもないので、残るIPv6もクラインとでは無効にしています。 DNSは IPv6 には対応させていません。 Bindのログレベルを上げてもログにはかないのでなかなか掴みようが無いのです。 nslookup は - でサーバ指定してもダメ? サーバに届いてるのかなあ、、pingはいってるようだけど ipconfig /flushdns してみるとか。 >>166 色々ありがとうございます。 nslookup は server で指定してます。 外部のDNSはひけるのでクライアントから、要求は出て行っていると思うんです。 やっぱり、bind のせいじゃないんですかね。 firewall 系を確認してみます。 ログに残らないというのがひっかかるなあ、snoopしてみては? >>168 その後です。 bindのせいではないようです。 有線LANだと特に問題なく、DNSが引けます。 また、無線アクセスポイントを変えてみたところ、直りました。 まだ、原因がよく分かってはいませんが、どうも、、無線アクセスポイントの設定のような気がしてきました。 なにか、判ればまたここで報告します。 お騒がせしました。 >>169 これってマルチキャストに対応してない無線LANでの、IPv6問題ではないかな。 >>154 だが 最近DomainDns.com のネームサーバーのns2. ns4. ns5. が調子悪かったのです。 タイムアウトになっていたので新規DNS設定のとき、反映しなかったり してたのだが、154のときと同様にWhoisのアドレス宛にメールしたら、 1日で直してくれました。 ※とりあえず、ns4. とns5. がタイムアウトしなくなった。 で、なぜかその数日後、domaindns.com にログインしたり管理画面内で 操作してるとBASIC認証の画面が出て、OKを何度も何度も入れないと 入れなくなったのです。それで我慢ならなくなって、数日後に さらにwhoisのアドレス宛にメールしてみました。 すると1日後にサイトの左側に[feedback & support]というのが付くようになり、 BASIC認証も出なくなったのです。 どうやら、返事は全くしないものの、しっかり管理する気はあるようです。 おれのエキサイト翻訳のメールを3回もまともに相手して1日で対処してくれたのだから。 とりあえず、信頼して皆つかってみましょう^^ ちなみに、 >>154 の続きは >>155 にある ねえ、教えてよ SOAのシリアル番号って別ファイルに持たせられないの? たくさんのゾーンの番号を一発で上げたいの namedのログが急にmessagesにも残るようになったんだけどこれって普通のこと? 今日recursionを許可するIPに制約を加えたらそうなった むしろ今までまったく残らなかったのがおかしいのかな? ちなみにdata/named.runにもほぼ同じ内容が今までどおり残ってる RHEL6の64bit版(アプリ一切なし)にApacheからなにから自分ですべてインスコしてます 基本はRedHat Networkのレポジトリからyumで入れてる でもやっぱりないものもあるしトラブることもあって他からも入れざるを得ない状態 なのでどっかで間違った可能性は十分あると思います そこにかかわる設定が変わってないはずなのにそう変わったから不思議なんだけどね ログにかかわる設定は大分前にいじったが、 そのときはbindをリスタートさせていなかった。 のかもしれない。 うーん・・・そもそもログ関連はいじってないんだよなあ ただchrootの設定をよくわからないままやっていて webminから設定してると妙な動作をすることがあった 具体的にはコンフィグファイルの書き込み権限がないとエラーになったり タイミングによってはならなかったり そのへんが原因なのかもなあ わろた >最近の女子高生はDNSを使いこなしているらしく、電車の中で「アドレス渡されたんだけど、逆に引くわ!」と言っていた。 9.7.3でフォワードしてくれないんだけど何か特殊な事しないと行けない? BINDが入ってるサーバーからフォワード先のサーバーへは名前解決できるから FWなどの問題ではなくBINDの設定だと思うんだけど optionsに設定入れただけでは上手く行かない? WEB色々調べてそれらの従ってやったり、サンプルファイルから 書き直してもどうしてもフォワードが上手く行かない どう設定したのか晒さないということは、 自力で解決するつもりで人に頼る気はない、>>188 はただの日記だということでいいよな? 9.7.3の前は何を使っていのか?とか allow-query とか recursion とかの設定はどうしてるのか、とか 普通は options に正しい設定を入れるだけで上手く行くので 9.7.3だけどうってことは特にないと思われ。 >>190 options に forwarders{ XXX.XXX.XXX.XXX; XXX.XXX.XXX.XXX; }; を追加してるだけなんだけどね 後の設定はサンプルをそのままで下記の項目だけ変えてる optionsは下記の項目を変更{ listen-on port 53 { 127.0.0.1; xxx.xxx.xxx.xxx; }; //listen-on-v6 port 53 allow-query { localhost; xxx.xxx.xxx.xxx;}; allow-query-cache { localhost; xxx.xxx.xxx.xxx;}; } loggingはサンプルのまま viewはinternalのサンプルのみ適応で下記の場所変更 ミスった再送信 options に forwarders{ XXX.XXX.XXX.XXX; XXX.XXX.XXX.XXX; }; を追加してるだけなんだけどね 後の設定はサンプルをそのままで下記の項目だけ変えてる optionsは下記の項目を変更{ listen-on port 53 { 127.0.0.1; xxx.xxx.xxx.xxx; }; //listen-on-v6 port 53 allow-query { localhost; xxx.xxx.xxx.xxx;}; allow-query-cache { localhost; xxx.xxx.xxx.xxx;}; } loggingはサンプルのまま viewはinternalのサンプルのみ適応で下記の場所変更{ match-clients { localhost; localnets; xxx.xxxx.xxx.xxx; }; } WEB見てたらoptionsにforwardの設定入れたり入れなかったりで 試してみたけど特に変化無し viewにforwardersの設定が反映されてない?と思ってview内に書いても見たが変化無し BINDはcentos6.2からyumでインストール 方向性は間違って無さそうだし、もうしばらく調べてみます スペースやタブなどが、悪さしてるかも知れないし それにタグ系まだ全て、どんな意味合いでどんな時に使うか調べ切れてないし 何かセキュリティー周りが色々追加されてるみたいですしね ちなみに見てるツールによっては半角スペースが表示されてないかも >>192 recursion yes; にしてます 外部に公開している訳でも無く内部向けなので 最悪セキュリティー落ちる過去の入れようかな・・・て 逃げてても何も解決しないから、何とかするんだろうな >>193 ちょっと待って、allow-queryがおかしくないか? BIND動いているサーバーから、dig google.com @localhosしたら動くんじゃないかい? >>194 ANSWERが返って来ないですね 念のため問合せ先をフォワード予定のサーバーにすると返って来ます(当然ですね) 色々試して見ます ありがとう あ 書き忘れてた ちなみにSELinuxは無効にしています SELinuxも使い方覚えないとな dnssec は? その1 そのbind9..7.3ではすべてforwardしたいのですか? その2 forward先のDNSはキャッシュサーバーなのでしょうか? うちはDebianなんで9.7.3使ってます。 社内のドメインについては、イントラ上の別のDNSへforwardし その他のドメイン(社外のドメイン)については、上記とは別のDNSへforwardしています。 /etc/bind/named.conf.local で zone "社内のドメイン" { type forward; forwarders { xxxxxxxxx; yyyyyyyy;}}; }; /etc/bind/named.conf.options で options { forward first; recursion yes; allow-query { any; }; dnssec-validation yes; forwarders { yyyyyyyyyy; }; } 原因(?)判明 optionsのdnssec-validationをyesにしてると上手く行かない dnssec-validationをnoにすると上手く行く・・・ と 思ったが>>196 でyesのまま動いてるな dnssec-validationが何する物か調べてnoで問題が無いなら noのまま使う事にするか 色々ありがとう、一人で考えると変な方向に行く事もあるから 話す事により自分なりにも整理でき、別の見方をするきっかけにもなるね forward 先の dnssec-validation も yesにしないとダメじゃない。 >>198 見たいですね これらの設定をyesにした場合、フォワード先のDNSもyesの設定で無い場合 処理が出来ない見たいな事がかかれてますね 私がフォワード先に指定した物がこれらに対応して居ないため 処理が行なえずにエラーになったと考えられます 何となく納得・・・って この設定が入ってないDNSサーバは設定しているサーバからは参照が出来ないのか? それはそれで問題が出そうな気がするけど、その辺は上手く何処かで処理されてるのかな? dnssec validation をしたい人は forward する先のサーバが dnssec OKかどうか調べて、NGな場合は他のDNSを探すか forwardしないか、です。 2つviewを作り同名で内容が異なるzoneを両方に設定するのは全くやぶさかはないのですが、 両方のviewに全く同じ内容のzoneを設定するのは、なんと言ったらいいのか「コンチクショウのバーロー岬」です。 viewの外でzoneは定義できませんし、一方のzoneでは自分自身にforwardするのもなんだか厭な予感します。 何かかっちょいい方法はないでやんすか? >>201 どちらもmasterなら同じファイル指定すれば? 残念ながらmasterではないのです。 いつtransferを拒否されるやもしれぬ、しがないslaveサーバーの身なれば。 キャッシュファイルの中身が同じなら、異なるzoneが一つのキャッシュを共有しても大丈夫なのでしょうか。 それが許されるならincludeは超良い感じだと思います。 master の dbファイルはどこに置いてますか? (a) /etc/bind/ の下 (b) /var/lib/bind/ の下 (c) ベッドの下 >205 (d) chrootしているので、/var/named/etc/namedbの下。 うちのドメインをDNSSECにしてやったのですが、 qmailなんぞを使っていやがる取引先様から メールがエラーになるでーという連絡があり 俺は涙目です。 http://jprs.jp/dnssec/faq.html#Q19 こういう事情で送信にqmailを使っている取引先が うちのユーザーにメールを送るとエラーになる。 取引先からは(DNSSECにしていない)第三者のところへは 送れるので、うちのメールサーバーだけが駄目なんだと判断する。 俺が責められる。飲んだくれる。注意力が散漫になる。 裸足でレゴを踏む。すごく痛い。涙目。 足の裏にピングリッドアレイなBCGより1つ1つにLEGOのロゴが入ったBCGの方がマシ。 >>209 業種によって論理的な説明で相手が納得するかも パッチ出てるみたいだし、相手に適応させた方が良いかも 原因が分かってるなら、説明し易いし 最近はセキュリティに五月蠅くなってるから 相手が少し不安になりそうな言葉入れておけば折れるよ DNSSEC自体がまだそんなに広まってない気もするが しかし、IPv6からセキュリティ周りデフォルトで入ってたよな、今後必要なのかね? キャッシュなどを使った乗っ取り、成りすましには有効そうだが >>211 俺 -> うちの取引担当者 -> 取引先の担当者 -> サーバー管理業者 ということになるので、対応してもらえるかどうかは怪しい。 管理業者さんに連絡できるのなら、直接説明するのもやぶさかではない、 と伝えていますが、過去の2件は「gmail使うのでいいです」、「当分、メールでの やりとりはないのでいいです」で終わった。 また、送信を2系統持っている取引先で、片方のqmailだけダメなところもあったのだが、 そこからは2回に1回の割合で送れたり送れなかったりした。 そのときは「送りなおしてもらえば届くのでいいです」で終わった。 教えて下さい。 DNSサーバでnslookupでそのままドメインを引くと問題ないのですが 対話形式でserver指定で同じDNSサーバをホスト名で指定するとIPv6のアドレスに変わってしまって引けなくなります。 server指定でIPアドレスで指定する場合は問題ありません。 BINDに関係ないかもしれませんがどこの設定が関連しているかわかれば教えて下さい。 windows側の問題かと思って別板で質問したのですが、サーバの問題のようで。 サーバはTurboLinux8Serverでbindは9.2.1-7です >>213 まず、「DNSサーバでnslookupでそのままドメインを引く」とは何をしているのか? どのコンピューターで実行しているのか?DNSサーバであるTurboLinux8Server上で実行しているのか? そのまま、とは何がそのままなのか? 「同じDNSサーバを」何と同じなのか? >>213 自分が設定しているサーバーの名前? 第三者が提供している名前? 仮にaaa.bbb.ccc(FQDN)と言うドメインがあり 端末から「nslookup aaa.bbb.ccc」 と入力するとIPv4の情報を持ってくるが snlookupを実行して対話モードで入った後に、「server aaa.bbb.ccc」と入力すると IPv6の情報を持って来ると言う事かな? それとも、別のDNSサーバーに接続した後、aaa.bbb.cccを問い合わせると IPv6で返って来ると言う事? 用語が一部混じってるから微妙な所が分からない ドメイン名とホスト名は別物だし FQDNがaaa.bbb.cccでドメイン名はbbb.cccでホスト名はaaaと言うこと? すみません、文字制限があると思ってかなり端折って書いてしまいました。 DNSサーバ(ホスト名:AAA)でnslookupで例えば、yahoo.co.jpを引くとIPアドレスがきちんと引けますが、 DNSサーバ上で、対話形式で、server AAA と自分に切り替えると同じサーバ上でnslookupを行う道理だと思うのですが、 IPアドレスが引けなくなります。 どうもserverコマンドで切り替えたタイミングでIPv6用に切り替わっているように見えます。(AddressがIPv6で返ってきてます) この後、set type=A等をしても引けない状況です。 これがserverコマンドで切り替えた場合でもIPv4のままになっていればいいのだと思うのですが、BIND関連の設定で どこか関連している部分がありましたら教えて下さい。 追記 server指定でIPアドレスで行う場合は問題ありません、とは AAAのホストのIPアドレスを指定する場合は、という意味です。 ですので、DNSサーバでserver AAAとしたタイミングで、AAAを自動的にIPv6で 指定してしまっているのかもしれません。 ちなみにDNSサーバはIPv6には対応していますが、hostsにはそのような記載はしていません。 /etc/resolv.conf はありますか?あるとすれば、その中身はどうなってますか? nslookup でサーバーを指定しない場合、resolv.confに書いてあるDNSサーバーに問い合わせます。 もしかすると、そこではIPアドレスで指定してあるかもしれません。 試してにnslookup の server で resolv.confに書いてあるDNSサーバーを指定してみてください。 次に、nslookup で AAA を引いてみてください。 ひょっとしてV6アドレスが返ってくるのではないでしょうか? その場合、AAAはV6アドレスを持っていますか?またbindはV6アドレスでlistenしていますか? >>219 resolv.confですが、中身は domain AAAのドメイン search AAAのドメイン nameserver AAAのIPアドレス(v4) nameserver 別のDNS2のIPアドレス nameserver 別のDNS3のIPアドレス となっております。 nslookupでserver AAAのIPアドレスを実施し、 AAAのホスト名を引くと問題なくIPアドレス(v4)が返ってきております。 AAAはv6アドレスは持っておりますが、53番ポートはIPv4のみ開けています。 nslookup が server AAAで指定された AAA をIPに変換するときはresolv.confに従うので AAA DNS2 DNS3 のどれかに問合せることになりますが、 server AAAのIPアドレス ← これは実験済みですね。 server DNS2のIPアドレス server DNS3のIPアドレス で v6 になったりしませんか? /etc/hosts に AAA のv6アドレスを書いてあったりしませんか? nslookup が server AAA 時に AAA をv6にしてしまうかもしれません。 そうなっているとv6でbindに問い合わせるので答えが返ってこないですね。 >>221 resolv.confに従うのですね。 DNS2,3ともにIPアドレスでserverコマンドで指定して確認しましたが、 問題ありませんでした。 hostsにはIPv6関連の記載はありません。 ちなみにですが、AAA、DNS2はIPv4、v6対応、DNS3はIPv4のみとなります。 且つ、AAA、DNS2、DNS3は全て同じドメインに属しておりまして、 JPRSの指定はDNS3になっております。 途中で送ってしまいました…。 ですので、DNS2をホスト名で server DNS2 とした場合も同様の現象が発生します。 DNS3の場合は問題ありません。 >>223 v6で問い合わせるのと、v6のアドレスが結果として帰ってくるのとは関係がないんだが、 単にAAAのネームサーバーにAAAとDNS2のv6のアドレスが登録されているのではないですか? lserverでなくserverでは、名前解決にカレントのネームサーバーを照会するから、 server AAAとやった場合、AAAがAAAのv6アドレスを返したら、次からv6のAAAに照会に行きます。 >>224 確認が遅くなりましてすみません。 AAAがv6のアドレスを返すのはどこの設定が怪しいでしょうか? ホスト名で指定した場合、v4を優先的に返す設定にしたいと思っております。 bind は 聞かれたことに答えるので v4のアドレスを聞かれれば v4のアドレス、v6のアドレスを聞かれればv6のアドレスを答えます。 any を聞かれれば両方(それ以外も)を答えるので、v6を問い合わせている、もしくはanyで問い合わせてv6アドレスを採用しているやつがいるはずです。 nslookup は nslookupの機能としてDNSへの問いあわせを行う前に、 server AAA と指定されたとき、標準の方法(libcに組み込まれてる)でAAAの名前解決をします。 そのときにv6アドレスになっちゃっているのが今回の問題点だと思いますが、どうですか? libcの機能の名前解決でv6とv4が帰ってきたらv4優先にするにはどうするか? FreeBSDにip6addrctlというコマンドがありますが、Linuxでは何になるんでしょう。 > そのときにv6アドレスになっちゃっているのが今回の問題点だと思いますが、どうですか? そう思っております。 一度libc関連で調査してみます。 フォワードについて質問です 特定ゾーンだけフォワードしようと思ってるいるのですが、先にルートファイルが読まれてしまいます rootは上位のサーバからゾーン転送しており、 上位サーバで定義されていないゾーンを管理している別のサーバにフォワードしたいと考えています option内でforwardの設定を書かずに下記のように書いております zone "example.co.jp" in { type forward; forward only; forwarders { xxx.xxx.xxx.xxx; }; }; zone "." in { type slave; file "secondary/root.zone"; masters { yyy.yyy.yyy.yyy; }; }; 下のルート指定をなくした場合は、フォワードが上手く行って名前解決ができるようになります ルートファイルを読む前にフォワードするにはどうすればよろしいのでしょうか? yyy.yyy.yyy.yyy はどこのサーバーなのでしょうか? 質問させて貰いましたDNSサーバの所属するネットワークを管理しているDNSサーバで、 各ゾーンのネームサーバの指定などを行っています。 作成したDNSサーバはネットワークの一部のmasterとして下位ゾーンの管理をしています。 下手な図ですが下記のような形です。 @最上位DNSサーバ(yyy.yyy.yyy.yyy) ↓ゾーン転送 フォワード A作成したDNSサーバ → @が管理していないネットワークのDNSサーバ(xxx.xxx.xxx.xxx) ↓ ↓ ↓ ↓ Aが管理するネットワーク root を slave として設定する例は初めて見たし、 さらにそれを forwarder と組み合わせるなんてアホなことをやるのも初めて見た。 思うに、type forward ではなく、type stub がやりたかったことなのではないか。 >>229 普通ルートには内部で解決手段が無い場合に行くのですが 内部に全体のフォワード設定があればそちら優先ですし (今回みたいに内部に別途指定があればその部分は指定した方が有効ですが) 記載方法では、example.co.jp(子も含む)当ては別の場所にフォワードしようと見れますが 下の記載がおかしくないですか? 通常 zone "."は 「type hint」になると思いますが(私の知識が浅はかなのかも知れませんが) ファイル名からルート情報を持っているように見えますが、もしかしてそこで全体のフォワード設定してますか? と思ったら>>231 が続きなのですね 記載の仕方を変更してください 最上位DNSへは全体のフォワード設定として下さい もし、最上位DNSのスレーブとしてDNSサーバを設計しているならマスターファイルのドメイン名を記載してください 個人的な推測ですが 最上位DNSに設定している複数のマスターファイル及び色んな物を zone "."で一括で管理して、最上位DNSとDNS間の通信を極力下げようとしているのでは無いでしょうか? 余りそのような設定は聞かないのですが、可能なのでしょうか?仕組み上キャッシュとしては可能だと思いますが スレーブでは無理なような気がします ちなみにお使いのDNSサーバーは何を使っているのでしょうか?(BINDかな?) >>233 >最上位DNSへは全体のフォワード設定として下さい こちらの設定で思い通りの動作をしました。 アドバイスありがとうございました あと使用しているのはBINDでした >>232 自分自身も「rootをslaveで良いのか?」と思いながら設定してました・・・ ここで書くのもあれですが、研究室が独自に立てたサーバの更新で旧設定からの引継ぎだったんですよね・・・ 質問して良いのかどうか迷ってしまいましたが、質問させていただきました(板違いでしたらすみません) 問題となったrootファイルは上位からゾーン転送してきたものをmasterとして設定してたり (見た感じですと今回forwardする先の情報が、rootファイルから外れたときにslaveから変えたようです) それをそのまま移植してforwardすればいけないかな?と考えたところが、理解の低さを示してますね・・・ 今回、自分がネットワークについて全然分かってないことを思い知りました 拙い文章でしたが、回答していただきありがとうございました forwardersを設定している場合、 自分が管理しているゾーンで以外だったらクエリを転送すると思うのですが、 自分が管理しているゾーンファイル中で解決できなかった場合でも、 forwardersに飛ぶのでしょうか? 例えば、 ゾーンAを管理していて、A内にホストやサブドメインa1,a2,a3がある場合、 問い合わせがゾーンAのa1であれば即時解決、 問い合わせがゾーンBのb1であればforwardersで転送ですが、 問い合わせがゾーンAのa4である場合です。 >>235 それグローバルオプションのforwardersが優先されたはず。 サブドメインのセカンダリになるか、配下のサブドメインを個別にforwardersしないと 解決できなかった気がするけど、今ならオプションとかあるのかな。 それはnamed.confでなく、個別のファイルであるゾーンAファイル内に 「ホストa1〜a3」「(それ以外は)forwardersどこそこ」 という設定するということでしょうか? >>237 飛ばずに、無いとなると思います 基本、同一ドメイン名は他に存在しないのが原則ですから 例的に言えば管理ゾーンがAAA.BBB.CCCだったで 中に記載されているホスト名はa1・a2・a3とした場合 a1.AAA.BBB.CCCは即時解決 a1.EEE.FFF.GGGはforwarders転送 a4.AAA.BBB.CCCは存在しない >>237 スマソ、a4を権限委譲したサブドメインと勘違いしてた。 この場合でも1行目は書き間違いで「グローバルオプションのforwardersの 影響を受けてサブドメインの解決ができない」となるけどね。 自分が管理しているゾーンAにa4の情報はないが、 同じゾーンAを、例えば外部に設置したBINDも管理していて、そこにはゾーンAのa4の情報がある場合、 a1,a2,a3は自己解決し、a4は外部設置BINDに飛ばす、 という設定はできないものなんでしょうか。 Webサーバーみたいに、内部と外部で、同じゾーンの同じホストでも 違うIPを記述する例(同一ドメインが他に存在し、記述内容が異なる例)も あると思うんだけど、何か間違えてるかな? >>240 DNSの基本構造がおかしくなりますから、無理だと思います DNSの基本として、マスターは1個ですから その場合、同一ドメインのマスターが複数あると言う事になりますので 基本に違反する事になります (※設定によっては、複数のマスターが存在する事も有りますが、双方でレプリケートされ整合性が取れるようになってます) 何故そのような事をしたいのか?しないと行けないのか?など分れば 別の良い方法を提示できる可能性もありますが・・・ (私の知識が古いだけで今は出来たりするのかな?) >>240 >Webサーバーみたいに、内部と外部で、同じゾーンの同じホストでも・・・ それはアクセスしに来る場所(IPアドレス)により参照先を変更してます 確かセキュリティーゾーンの設定みたいな感じだったかな? 最近のBINDなら設定可能です それでも、上記のような管理配下に存在しない場合は別のDNSに問い合わせは無理だったかと で・・・方法は無い訳では有りません 基本設定にそのような項目が無いならソースは公開されてるので、 そのような動作をするようにすれば良いと言う考えも無くは無いですが・・・絶対にお勧めはしない どうしても必要、他に方法が無いと言う時の悪手の中の悪手の最終手段 CNAMEで別のゾーンに逃げるのがakamaiとかでの定石かな。 あるいはRPZでもいけるか? それは、ドメインが例えば a1.AAA.BBB.CCC a1.EEE.FFF.GGG に変わった場合のこと? 「あまりお勧めできるものではないけれど」という前置き付きで view 機能を使えばいいんじゃないか。 と、言いたい人は沢山いるんじゃないだろうか。 けれど view はちょっと複雑なケースになると面倒になるのを皆経験しているのじゃないかな。 viewを使うとクライアントのアドレスや、ホストのアドレスやら毎にドメイン情報を区別できます。 例えばあるbindサーバーが、example.jpのマスターだとして、 インターネット向けには www.example.jp A 1.2.3.4 と イントラネット向けには www.example.jp A 192.168.0.100 という異なるアドレスを返すようにできます。 これだけ見ると、「ああ、それそれ」と思うかもしれませんがやってみると zoneファイルが2つになるとか、master、slaveの関係とかいろいろ面倒なことがあります。 どうしてもCNAMEのホスト名に @ を指定できないと困る状況なのですが、古いbindとかを使えばなんとかなったりしますか? 去年zoneedit.comでDNS設定した際に、どういうわけかCNAMEのホスト名に @ が指定できたのでそのままサービスを運用していたのです・・ RFC 的に禁止なので、バージョンによってどうにかなるもんじゃないです。 >>246 古い物ほどその辺厳密だと思いますよ @はユーザーとドメインの区切りでも使われますし(メールとかで) 仮に運用してても不具合や他の問題が出る可能性が考えられるので 登録情報を修正する事をお勧めします (移行期間を長く儲けていれば混乱も少ないと思います) 一応ソースは公開されているので、自らソースいじれば@も対応可能だとは思いますが 規定外なので何処でどのような問題が出るか分りません 別の件ですが、某携帯会社のメールアドレスに規定外のアドレスが設定できるために そのアドレスから送られたメールが届かなかったり、送っても届かないとか有ります フリーで出回ってるメールーサーバーは対応したりしてますが、大多数のサーバーは 未対応で今でも偶にそのような話が上がります >>247 >>246 はそんなことを聞いてるんじゃないと思われ。 DNS の仕様的には @ という文字を使うことはまったく禁止されてないし、 実際 BIND などでも何の問題なく設定できる。@ ではなく \@ と書けばいいだけ。 DNS に問い合わせる側がそういう応答をちゃんと扱えるかどうかはまったく別問題だが。 >>249 @使えるんだ と思って試した 今使ってるバージョン(9.6.2 古いバージョンだった)では ドメイン名に@入れると起動時にエラーで弾かれます。\@に変えても同じでした エラー出してるのがドメイン下の設定ファイルなので、その辺を上手く設定してあげればいけるかも 設定ファイルの中に@で書いてる場所がありますからそれと当ってるのかな? (@止めてきちんと書けば・・・) ホスト名の方に@は認識してくれました。\@にしなくても可能でした(\@でも可能) しかし、Windows版のping・nslookupでは共にエラー(該当データ無し) Linux版ping・nslookupではpingエラー・nslookup返り値有り と言う不安定な結果 何か渡し方が別途あるのかも知れないですが >>246 と 言う事で \付けて問題ないバージョンが存在するみたいなので それを見つけて導入してはいかがでしょうか? ただ、DNSを利用するソフトによって挙動が変わる可能性がありますので 使う用途によってはテストをしっかりする必要性が有るかと思います 現状運用していて問題が無いのであれば、問題が起きない可能性もありますが CNAMEを@に使って、NSやSOAはどうするつもりなんだ? 質問させてください。 ネームサーバーを複数登録し、その中の一台が応答すれば名前解決は行われるそうですが、 ゾーンの編集はネームサーバー一台毎に行っているのでしょうか? たとえば、バリュードメインのゾーン編集を行った場合 NS1-5.valuedomain.comまでを一括で編集するということですか? 内向けLAN内で使うDNS構築は意味ありそうなんですが 外部向けDNSって自分がDynamic DNSをユーザーに提供するような目的じゃないと構築する意味ないですよね? 自分のドメインでメールを受け取ったりWebサーバーを公開したりする人には意味があると思います。 え?外向けDNSなんか構築しなくてもWEBサーバの公開はできるでしょ? 自分のドメインは外部にあるDNS利用させてもらってIPアドレスを通知すればいいし。 ドメインに対して権威あるDNSをわざわざ自前で立てて外部へ向けるんですか? それでも可能でしょうけどルータのポートを解放してまで外部へ提供するDNSをわざわざ自前で立てるまでもないですよ。 運用次第だろうね 外部DNS利用するが外部のデータ更新は手続きが面倒なため 外部をサブにして自前をマスターにし、データ更新はマスターで行なうとかもあるし 別に無理して使う必要も無い代物だよ BIND9.7xから設定が難しくなりましたね。 デフォルトの設定ファイルの配置が違いす業て最初からハマります。 何がなんだかです。 biind9.8.2+bind9.8.2-chootでの内向けDNSの設定のやり方がいろんなサイト見てもやり方が違いすぎてどれが本当なのか分かりません。 LAN内の名前解決したいだけなのになんでこんなに難しいんだろう。 やりたいのはwindowsで言うところのhostsファイル書き換え程度なのに。 デフォルトの設定ファイルの配置って、 そんなもん大昔から変わってませんがいったい何の話をしていますか。 たしかにちょっとテストで使いたいとか、LANも含めて小規模のDNS作りたいときに BIND使うのは大げさでうざくて面倒な感じがする。 一時期自分も使ってたけど、面倒くさくなってプロバイダに委託してしまった。 だれかもそっと簡易なものを作ってくれんかな? むしろそういう用途こそBINDがラクできるんだが。 BIND以外のものはゾーンを持つものとキャッシュさせるものが別実装なので それぞれ別個に設定しなきゃいけない。 マジメに運用するときは分離していろいろ考えた構成にする必要があるから BINDでもそれ以外でもたいして手間に変わりはなくなるが、 外に晒さない内向きの名前解決をさせるだけのことでBINDが面倒ということはないはず。 BIND9.8が遅い fowardersをルータでなくISPのDNSにした。 ipv6を止めた。 それでも遅い。 >>15 をベースにすれば中用外用分離できるし簡単w すんません 教えてください valuedomain使ってるんだけど ns @ 対象のネームサーバ って設定はできないものですか? サブドメインなしのアドレスのネームサーバを 設定したいんですが・・・ >>267 利用されている場所の設定によると思います サイトを見ると、ネームサーバーの変更方法も有るみたいですし 他のサーバーを利用する場合の項目もあるみたいですが BINDなら SOAドメイン名がdomain.jpだった場合 「 NS @」 で domain.jpがDNSサーバーとなります 「 NS sample」 で sample.domain.jpがDNSサーバーとなります 「 NS sample.jp.」でsample.jpがDNSサーバーとなります 指定ドメイン名の最後がピリオドかどうかで、相対か完全かが分かれてたかと (このような場合も、相対・完全と言うか分りませんが) やりたい事は分るのですが、意図が分らない 上位サーバーにマスター・スレーブを登録されているなら分りますが optionsの記述変更は、rndc reloadコマンドだけで適用されますか? reload はゾーンの読み直し。 設定変更するなら rndc reconfig >>267 サブドメインなしのネームサーバーは、そこに定義するのではなく、別画面(NS)。 上位のネームサーバーで回答してもらわないといけないからね。 今月に入ってから所有する複数のサーバーでnamedのエラーが大量に出るようになったんですが、同じような症状の人います? 自動でアップデートするようにはしてないのでアタックなのかと不安なのですが… >>274 Jul 9 16:01:40 ns named[928]: client xxx.xxx.xxx.xxx#2091: error sending response: unexpected error こんな感じのエラーが大量に出ます。 リソース不足になってないか確認してみては? ttps://kb.isc.org/article/AA-00717/0/Why-does-named-log-error-sending-response.html ちょっと前の記事だけど、オープンリゾルバがDDOSの踏み台になってるとの事 http://www.rbbtoday.com/article/2013/04/18/106611.html 外部からの問い合わせは許可しない設定にしましょう bind9.7.3でdkimを設定してもdigで返ってこないんだけど何でだろ。 default._domainkey IN TXT "v=DKIM1; k=rsa; p=MI****" ; をゾーンに追記だけでいいんだよね? 設定のしかたが間違ってるか確認のしかたが間違ってるか、どっちかまたは両方。 その聞き方だと思い当たる可能性が多すぎて、これ以上のことはわからん。 あまり資料が無く困っているのですが、自身が管理しているゾーン(example.jp)をtype stubにして、 別のDNSへ委任させることはできるのでしょうか? この場合、上位(jpドメイン)のDNSでは、特に何もしなくても良いのでしょうか? Windows 2000 から Windows Server 2012に移行しました。 BINDを8から9.10.0-P1.x64に変更して named.confなどはそのままBIND 9に持ってきました。 いざ稼動してみると20分くらいでBINDが落ちてしまいます。 Windows Server 2012でBIND 9が正常に動いている人いますか? Bind設定してやっとエラーもでなくなったんで下みたいにnslookupしてみたんだけど引けない。 nslookup server.com 192.168.1.88 *** Can't find server name for address 192.168.1.88: No response from server Server: UnKnown Address: 192.168.1.88 *** UnKnown can't find server.com: No response from server ログファイル見てみると下のログが延々と並んでる。 netstat -ls すると53番ポートは開いてる。 なにをどうなおせばいいのか全くわからないだれか教えてください。 20-Jun-2014 13:29:37.955 general: debug 1: zone_maintenance: managed-keys-zone ./IN: enter 20-Jun-2014 13:29:38.006 general: debug 1: zone_settimer: managed-keys-zone ./IN: enter 20-Jun-2014 13:29:38.006 general: debug 1: zone_timer: managed-keys-zone ./IN: enter 20-Jun-2014 13:29:38.006 general: debug 1: zone_maintenance: managed-keys-zone ./IN: enter 127.0.0.1は? そしてファイアウォールとかaclとか。 > Server: UnKnown BIND以前の問題だなw なんだか古巣に戻ってきた気分で。 BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 (CentOS6.5) 動かしてます。けれども。 top - 23:58:09 up 6 days, 22:13, 2 users, load average: 1.34, 1.39, 1.36 Tasks: 248 total, 2 running, 246 sleeping, 0 stopped, 0 zombie Cpu(s): 24.9%us, 0.1%sy, 0.0%ni, 74.9%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 12187176k total, 10465200k used, 1721976k free, 286760k buffers Swap: 23568376k total, 16324k used, 23552052k free, 4413928k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 4101 named 20 0 5349m 4.8g 2680 S 100.0 41.3 10564:16 /usr/sbin/named -u named -t /var/named/chroot こんなことになっています。 動作は問題無いけれども、負荷掛かりすぎ?メモリ食い過ぎ? ちょと心配になって。これって異常? ちなみにエントリ数が5.3Mあったりします。 >>288 純粋にキャッシュの増大が原因ならmax-cache-size設定してみたら? アホな質問かもしれませんが、 1台のサーバでマスターとスレーブを設定することってできますか? BINDを使って名前解決できるようになったんだけど、 一部のドメインとレジストラの組み合わせではマスターとスレーブの二台を登録しないと 登録できないみたいで困っとります。 >>290 view使えばできるけど・・・というのは置いといて。 2つのNSレコードが必要なんでしょ。 2つのNSレコードを登録してIPアドレス一緒にして回避するか、 だめなら2つの異なるIPアドレスでネームサーバ立てるしかないでしょ。 >>291 だめなら2つの異なるIPアドレスでネームサーバ立てるしかないでしょ。 一つのネームサーバに2つのIPアドレスでいけるかもね。 >>291 なるほど、2つのNSレコードで対応すればいいんですな。 >>292 上の方法でダメだったらあきらめてVPSでも借りて二台立てます。 しかし、普通みんな普通に2台も立ててんのかな? ネームサーバなんてスパムさえ来なければ全然負荷ないのに…。 >>293 負荷対策って言うより、障害対策って事だと思う。 ありがとう。 NSをもう一つ書いたらレジストラに登録はできたけど、 セカンダリでアクセス出来なかった。 そこでセカンダリDNSに登録したらさくっとできたわ。 無料で提供している所あるんだねっていうか、これ絶対に一定の需要あるよね。 昔は知り合いのところと相互にセカンダリーを引き受けてたよね。 ___ _ ヽo,´-'─ 、 ♪ r, "~~~~"ヽ i. ,'ノレノレ!レ〉 ☆ 日本のカクブソウは絶対に必須です ☆ __ '!从.゚ ヮ゚ノル 総務省の『憲法改正国民投票法』のURLです。 ゝン〈(つY_i(つ http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html `,.く,§_,_,ゝ, ~i_ンイノ ★マインドコントロールの手法★ ・沢山の人が偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い ,,,,, 質問です。 BIND9を使ってます。 netstat などで待ち受け状況を見ると IPv6では *.53 IPv4では 127.0.0.1.53 <自IP>.53 などと、IPv4では持っているIPアドレス毎にbindしているように見えます。 これを *.53の様に「何処からでも待ち受け」にするには、 どのような設定を行えばよいでしょうか。 関係ありそうなものといえば、現在 listen-on { any; }; listen-on-v6 { any; }; としているくらいです。 tcpじゃね? バージョンもなんもかいとらんし判らンゴ >>301 OSなどの種類が分らないと netstatはBINDのコマンドでも無いからね 既にその設定なら何処からでも受け付けていると思うけど それに、 IPv6では *:53 IPv4では 127.0.0.1:53 <自IP>:53 こうでは無いかな? 仮に繋がらないと言うなら FW(linux系ならiptablesとか)が遮断しているのでは無いでしょうか? それともネットワークカードが複数あり全てで待ちうけしたいのかな? BINDは逆に何もしなければ全てのNICで待ち受けしたと思うけど >>303 NICが複数ある状態で使っているのです。 現状を簡単に説明すると、 今使っている環境、仮にインタフェースが3つあってそれぞれIPアドレスを <a>、<b>、<e>とすると <a>.53にbindは成功するけど、<e>.53はbindに失敗するといった状況です。 これ自体は問題ではなくて、権限の話なのでどうでもいいのですが BINDではbindに失敗すると(ややこしいな・・・)エラーログを出し続けます。 これがうっとおしいので、どうにかしたいのです。 わざわざすべてのNIC(<a>、<b>、<e>)に対してbindするのではなく、 0.0.0.0に対してbindすれば解決するんですが、どうにかならないものかと。 ( IPv6では 0に対してbindしてますよね ) >>305 ありゃ。駄目なんですか。 別のアプローチ考えます。。。 情報有り難うございました。 今度IPアドレスが変わるんですが 事前作業としてはDNSサーバーのzoneファイルのTTLを 15分とかにしておけばいいでしょうか? ゾーン転送のリフレッシュタイムを1時間にしました。 質問させて下さい。 DDNS、サブドメイン無しの環境で ホスト名「SV01」固定IP「192.168.1.100」のAレコードを登録している正引きゾーンに対し、 同一のホスト名のDHCPクライアント「SV01」「172.16.1.101」が現れた時に DHCPサーバからのdns updateによる上記レコードの上書きをさせないようにするには どのような手法がありますか? >>311 SV01をサブドメインにして、そのドメインはDDNSでの更新を許可しない。 >>313 update-policyを調べてみたけど、要件は満たしていそうに見える。 ダメな理由は? >>316 >>317 deny sv01.example.jp self sv01.example.jp. A; ではダメなんか? ここは質問スレじゃないから書く奴のご機嫌次第だぞ 1から10まで書かないと理解できないというのなら実装されてないと思って諦めなさい >>341 特定のAレコードを更新禁止にしたいのならupdate-policyで出来そうなんだけど、違うのか? update-policyはoptionsで定義は可能でしょうか? それともzoneでしか書けないのでしょうか? >>350 http://www.zytrax.com/books/dns/ch7/xfer.html#update-policy update-policy only applies to, and may only appear in, zone clauses. zoneの中だけですね。 あえてBIND9でRBLを構築しているのですが、 正引きにおいてうまく返事が返ってこない症状が出ました。 route: 91.121.0.0/16 descr: OVH ISP descr: Paris, France origin: AS16276 このアドレスに対して127.0.0.2を返そうとゾーンファイルを作成したのですが、 あるレンジでは、何も返ってこなくなります。 *.121.91.exsample.net IN A 127.0.0.2 この設定において、正引きしてみたところ、以下のような結果が返ってきました。 > dig 0.0.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.1.121.91.exsample.net @BINDのアドレス +short > dig 0.2.121.91.exsample.net @BINDのアドレス +short : : > dig 0.7.121.91.exsample.net @BINDのアドレス +short > dig 0.8.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.224.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.255.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 123.1.121.91.exsample.net @BINDのアドレス +short > 91.121.1.0-91.121.7.255の間が127.0.0.2と返ってこないのは 何かしらの設定がおかしいのでしょうか? ご意見いただけるとありがたいです。 > named -v BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 バージョンはこちらになります(CentOS6.5) bind9で複数ゾーンの運用中なんだけど、サブドメインの委任をすることになった。 で、nsupdateでグルーレコードはどうやって登録すればいいのかな というか、そもそもグルーレコードは必要なのか 自分のドメインがabc.jpとして、サブドメインがsub.abc.jp、subのネームサーバがns1.ddd.jpとns2.ddd.jpなら、クライアントはグルーレコードが無くてもns1とns2のipを解決できるんじゃないだろか どうだろ? >>355 グルーレコードが必要なのは、それがないと辿れないとき。 クライアントはabc.jpとは関係なく ddd.jp のネームサーバーを知ることができる。 ちなみに abc.jp も ddd.jp も実際にあるっぽい。 >>359 それは例示用に使っていい予約ドメインですよ。 >>359 example.jp、予約されてはいるけど、例で使っていいのは、com,net,orgだけじゃないの? JPRSがexample.jpとかexample0.jp〜example9.jpとかは例示に使っていいよと表明してる。 RFCには載ってないけど。 Q. 例示に使用可能なドメイン名はありませんか? ttp://jprs.jp/faq/use/ 現在allow-update で指定したホストのみupdate受信を許可している状態で、特定のAレコード更新を拒否するのにupdate-policyを追加したらエラーが出てサービスが上がりません。 allow-updateをコメントにするとサービスは上がるのでupdate-policyの記載には問題ないように見えます。 update-policyとallow-updateは同時に使用出来ないのでしょうか? その場合、allow-updateのように許可ホストはupdate-policyで定義するのでしょうか? 実現したいのは 1.特定のホストからのupdate受信を許可 2.特定のAレコードの更新を拒否 です。どなたかご存知の方いらっしゃいましたらご教授願います。 http://www.bind9.net/arm910.pdf 6.2.28.4 Dynamic Update Policies (略) Rules are specified in the update-policy zone option, and are only meaningful for master zones. When the update-policy statement is present, it is a configuration error for the allow-update statement to be present. The update-policy statement only examines the signer of a message; the source address is not relevant. ルールはupdate-policyゾーンオプションで指定され、マスターゾーンでのみ意味を持つ。 update-policy文が存在する場合、allow-update文が存在するとコンフィギュレーションエラーになる。 update-policy文はメッセージ(アップデート要求)の署名者だけをテストし、ソースアドレス(IPアドレス)は無視する。 > update-policyとallow-updateは同時に使用出来ないのでしょうか? 出来ません。使えるのはどちらか一方だけです。 > 1.特定のホストからのupdate受信を許可 IPアドレスでの指定はできないので、そのホストで署名するようにしましょう。 > 2.特定のAレコードの更新を拒否 deny *.example.com. name nochange.example.com. A; こんなのでは出来るかもしれません。試してないです。悪しからず。 ☆ 日本の核ブ装は絶対に必須ですわ。☆ http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html ☆ 日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、改憲の参議院議員が 3分の2以上を超えると日本国憲法の改正です。皆様方、必ず投票に自ら足を運んでください。 私たちの日本国憲法を絶対に改正しましょう。☆ マ イ ン ド コ ン ト ロ ー ル の手法 ・沢山の人が、偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い 靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト 10人に一人は カ ル ト か 外 国 人 「ガ ス ラ イ テ ィ ン グ」 で 検 索 を ! DNS設定に不備があるってJPRSからプロバイダ経由で 注意喚起の通知が来た。 allow-transfer設定してなかったら全て転送可になるんだね。 現在DNSサーバにDDoS攻撃受けてる。udp53に大量のパケット来てるからとりあえず セカンダリのみ許可してあとは破棄してる。 なにか有効な対策はないものか。 >>372 Queryパケット? それともAMP攻撃による応答パケット? 元々bindでdns鯖立ててるんだけど、新しくWindowsServer2012でADサーバ立てた。 で、Win側でAD立てる際にDNSも自動設定したんだけど、そのうち作成されたADに必要なゾーン情報(srvレコードなど)を、既存のbind側で管理させたい。 結構ありそうな状況だと思うんだけど、ネットにあまり情報がないんだよなぁ…。 bindのDNSをADのDNSに移行するっつー逆の情報は少しあるんだけど。 結局、ADの検証したいだけで、Win2012は仮想だから常時起動させてる訳でないのね、だからラズパイで常時起動させてるbindを主のDNS鯖にしたい。 もうちょい自力で色々調べるつもりだけど、降参したら後日詳細書き込みます。 >>375 出来なくは無いがお勧めしない AD(Active Directory)とDNSはセットだし、AD組んでて AD落とせばADの機能使えないし 名前解決だけをDNSに持たせたいなら普通の方法で使えるし MSのDNS独自設定を使うのもあったような気がする 単純な方法はスレーブとすれば良い もしくは設定時に別DNSを使うとかで構築するなど コマンドからDNSの内容を再生成するのもあったと思う どちらにせよ、DNSに自動更新機能無いと無理だと思う >>376 >単純な方法はスレーブとすれば良い WindowsServer側を、って事? てか実は、何とか自己解決できました。 ラズパイのbindで、ADとなるWindowsServerからの動的更新を許可。 ADのDNSで各ゾーンをセカンダリに設定し、プライマリをラズパイのbindに設定。 その後、WindowsServerのコマンドプロンプトで ipconfig/registerdns コマンドを打ったら、上手く既存のレコードとsrvレコードを統合できました。 てっきりsrvレコードは自動では更新されないと思ってたけど、プライマリのDNS側で動的更新を許可してやれば、別のDNSでも更新されるのね…。 srvレコード情報は、ADサーバが定期的に最新情報を発信してくれてる、って感じなんかなぁ。よくわからんが。 私は元創価の会員でした。 すぐ隣に防衛省の背広組の官舎があるのですが、 自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、 学会本部に送っていました。 別に大したものは写っていません。ごみ出しとか奥さんが子供を遊ばせている所とか。 官舎が老朽化して使われなくなってから、 今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、 もう守ってやれないのでこれからは満額申告するように言われました。 納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、 朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ 馬鹿らしくなって脱会しました。 それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。 全部自分の出来心から始まった事で、どこへ訴えると言うわけにもいかないのですが、 なんとかあの人たちと縁を切って新しい始まりを迎える方法はないんだろうか。 「OracleがDNSサーバー管理代行サービスなどを手がける米Dynを買収(中略) 今年10月にはDynが大規模な攻撃を受け」 OracleがDynを買収 | スラド IT https://it.srad.jp/story/16/11/24/0641237/ 2016年11月24日 17時17分 Hyper-V鯖を試食中なんだけどゲストをLinuxで動的メモリONにすると最大値を 大き目に設定しても起動時のメモリ設定以上は使えないみたいな動きに 見えるんだけどそんなもん? ヘルプ見ると起動時のメモリはギリギリ起動する位に絞るべしみたいな事が書かれて いるしLinuxの対応の問題なのかなぁと。 試したのはCentOS6.3とDebian7+Kernel3.8.13のバルーン >>380 DNSなどのOS・サービスの問題ではなく Hyper-V側の制御の問題だと思う OS・サービスから見た場合は、動的・静的は気にしないはずだからね そこが仮想化などの良い部分だし Linux系なら高付加掛けてみると良い メモリある限りスワップ基本使わないから スワップが増えないと思う メモリが足りてなければスワップが増加するはず BINDとは余り関係無いと思う すごくおもしろいPCさえあれば幸せ小金持ちになれるノウハウ 一応書いておきます グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』 QQZU9 Windows10に最新bindだけど、confが別れワケわからなくて、フォワーダーしか動いてない ちなウブンツ そうだよな。 コンテンツ鯖ならnsdでプライマリ作って、 セカンダリはホスティングに丸投げさ… 私たち日本人の、日本国憲法を改正しましょう。 総ム省の、『憲法改正國民投票法』、でググって みてください。拡散も含め、お願い致します。 bindってそろそろオワコンにならないのかな… 小規模ならnsd、大規模ならPowerDNSあたりで良い気がする。 キャッシュなら適当なの結構あるし。 ┌─‐「][] _,ィ ´ ̄`ヽ、  ̄ ̄} | _ /:.ゝ-─‐<> r─' ノ 「Y {´ ̄`ン':.:.:.:.:.:.:.:.:.:.:.:.:}{  ̄ Lハj_, ィ'´⌒⌒ヽ、:.:.:.ィ、ハ [[] 「} _/∠二ニニニ¬、_ハ:.:.:.ヽヽ', rー'_ノ //´ 了~~~⌒~`ヽ.弋゙Tl:.:.:.:_j」 l { { { j} }士ぅ'´:.:_〉| い、__ >、___ __, ィ人 ヽく_:./:.〉ゝ ィ ⌒ >'/ い 〉~~〉T~~T< ヽハ 〈_:.く ( _ イ `7 ハ⊥__j_i___〉 ,}イ 〈_/ ( _) ハ__厶>ー‐一_7 /´ ゝ ___,ノ /ーY):::ノ ` ̄´厶.、/_ {::::::::/ /⌒ー'::::::}  ̄´ {:::::::::;: ィ もはやbindである必要性がない。 10万個レベルのゾーン作って起動すると、 最後のドメインに答えられるようになるまでに30分以上掛かるわ。 その間はパケットフィルタでもしとかないとゾーンはありませんって嘘つくしな。 キャッシュは1.1.1.1や8.8.8.8でいいし、 もしくはそこをforwarderとするヤツをLAN内に置けばいいな。 流石にdjbdnsのままはまずいとは思ってるんだけど何に乗り換えたものかわからなくて困ってる >>393 dnscacheならUnboundやPowerDNS Recursorあたりに乗り換えた方がいいと思うが tinydns/axfrdnsはそのままでも問題ないよ 自分はNSDに乗り換えたけど unbound試用中。 いろいろ覚えることが多い。 unboundって設定ファイル無しでも動くんだな ルートサーバのIPアドレスとかバイナリに含まれてるから、 単に使うだけなら無設定でいける 今時まともなパッケージシステム使ってたらrootもパッケージで入るよ rhel7、chrootで構築して普通に動作できている /var/named/chroot/etcなどにあるファイルも正常。 なのに、 df -haを見ると、なにやらマウントはできてそうなのだが、 /dev/sda3 1111 222 3333 3% /var/named/chroot〜 みたいになる。 なぜにdev sda3??? Bindはソフトのコンセプトとして部分ごとに編集する ブロックエディターというものがあるのですが、これが最悪に使いづらいです。 ブロックの編集窓がパソコンディスプレイの全体幅に対して 50パーセント前後しか確保できておらず、なおかつこの窓のサイズが 変更できないのだそうです。センターに聞いても対応できるかわかりませんが 稟議にはあげておくとかWindowsのズームで見ると文字が大きく見えるとか、 見当違いな返答ばかりしてくるのでデジタルステージには本当に困っています。 なんか他のユーザーさんに聞いてみたくって。すみません。 自分が使い方を知らないだけなのかもしれませんが ブロックエディターの編集窓って、画面端をつかんでドラッグしたり大きくできましたか? ここかなぁ。。。。 ir.nsfc.gov.cn を名前解決すると bind が落ちるって症状、他の人でも発生します? bind は 9.14.4、FreeBSD 12.0R の ports で入れたものです。 DNS初心者で申し訳ないのですが、質問させてください。 CetnOS8、bind 9.11、で構築し名前解決まではできたのですが、 ホスト名のみでの名前解決ができません。どこの設定が必要になりますでしょうか? (ホスト名のみでの名前解決はできないのが普通なのでしょうか?) xxxx.localdomain → 名前解決できる xxxx → できない。 >>403 /etc/resolv.confに追記: domain localdomain >>404 ありがとうございます。 Net上、ちゃんと読めばありましたね。助かりました。 すいません。 ちなみに、Windowsでもおなじことする方法ご存じでしょうか? サフィックス で、できました。 firewalld 開け忘れてました。 いつもは、ActiveDirectoryばかりだったもんで。 お手数をおかけしました。 ローカルDNSサーバーについて質問させてください。 .localとかは使わないほうがいいということで、ムームームドメインで取得したドメインのサブドメインで(sub.example.com)権威サーバーをローカルネットワークで使いたいと思います。 このような用途で 1.ムームードメイン側でsub.example.comのAレコードは追加が必要でしょうか。 2.DNSSECの設定はローカル内でのみ使うDNSサーバーでもした方がいいのでしょうか、キャッシュサーバーは別に用意しています。 1. 必要 必要だが、Aレコードが必要なのはsub.example.comゾーンのNSレコードに対応してしたA。 sub ns ns1.example.com sub ns ns2.example.com ns1 a 192.0.2.53 ns2 a 192.02.153 的な雰囲気。 これをムームー側にも書く。 ムームーがプライベートIPでAレコード書けるかは知らん。 2. どっちでもいい。 お前しかアクセスしないからお前のローカルキャッシュDNSがDNSSEC Validationを使ってないなら誰も参照しない。 あと、キャッシュでforward設定入れないとダメ。 間違えた。 sub ns ns1.sub.example.com sub ns ns2.sub.example.com こっちだな。 BINDでフルリゾルバも兼ねたら1も不要になるよね フルリゾルバを兼用してても、上位ゾーンに設定が不要になるだけで、ゾーン自体は書かないとダメだぞ。 サーバー移転のために、新しいサーバー構築でつまづいています 古い方は稼働中で、ドメインを別にしてテスト構築中です いずれもVPSです BINDでDNSをたてdnscheck.jpでもOK表示 既存のサーバー上でdigを叩くとREFUSEDで結果が返らず なぜかmacのターミナルでdigを叩くときちんと返ってきます ウェブサーバーは、ドメイン名でアクセスOK メールサーバーは、内部の送受信はOKですが 外部からのメールは届きません 送り元のサーバー上ではIPひけないのでqueに残ったまま送信されていません ゾーンファイル見直し(ウェブは引けるのでメールがNGな理由がわからず) Firewalldのdns許可確認 あとは、どこ探ればいいでしょうか・・・ ちなみに既存サーバー側でnslookupすると Non-authoritative answer:とついた上で、一応IPアドレスはひけています read.cgi ver 07.5.0 2024/04/24 Walang Kapalit ★ | Donguri System Team 5ちゃんねる