【設定面倒】BIND　総合スレッド【DNS】

**DNS未登録さん** · 2009/11/19(木) 20:02:38

無かったから建てた。
正直webminすごく助かる

**DNS未登録さん** · 2009/11/28(土) 01:40:49

BIND9に脆弱性が見つかったぞ。
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html

**DNS未登録さん** · 2009/11/29(日) 22:52:31

>>2
いつの話だよ。

**DNS未登録さん** · 2009/12/01(火) 13:28:34

BIND9ってopensslを必要とするよね。
./configure --with-openssl=/usr/local/ssl
みたいな感じで。

DNSSECを使わない場合もopensslって必要なん?

**DNS未登録さん** · 2009/12/01(火) 14:28:00

>3
失礼。日付を確認してなかった。
jprsのホームページにデカデカと出ていたから勘違いしたよ。

**DNS未登録さん** · 2009/12/08(火) 22:08:15

内部用DNSの設定について質問です。

Value-domainでドメイン名を登録して、DDNSで自宅サーバ（ubuntu 9.10）を立てました。

LAN内からWebサーバへアクセスするとき、
(1) ドメイン(hoge.net)でアクセスすると、Webサイトのトップページが見えます。
(2) サブドメイン(sub.hoge.net)でアクセスすると、ルーターの設定画面が出てきます。

ググったら、LAN内でWebサーバにアクセスする場合、内部用DNSを用意すればイイことまで分かりました。
ubuntu bind9 自宅サーバ内部用設定の検索結果約 2,300 件

ttp://www.miloweb.net/bind.html
ttp://hyamada.ddo.jp/hiki/hiki.cgi?bind9
↑検索で出てきた説明を基に設定しようと思いましたが、どこをいじるのかまだよく分かりません。

内部用DNSの設定をご指導ください。よろしくお願いします。

**DNS未登録さん** · 2009/12/08(火) 22:14:19

DNSの本について

DNS、特にBINDについてお勧めの本があればご紹介ください。

Amazon.co.jpでDNS、BINDの本を探したら、
オライリーの「DNS & BIND 第5版」が定番のようですが、これを読破するのはちとしんどいです。（２、３日じゃ読めない？）＞＜
ttp://www.amazon.co.jp/dp/4873113903

BIND9によるDNSサーバ構築
ttp://www.amazon.co.jp/dp/477412947X
↑これ読めば、自宅サーバの内部用DNSを作れるでしょうか？

アドバイスよろしくお願いいたします。

**DNS未登録さん** · 2009/12/09(水) 17:13:35

マニュアルを読む。
解説サイトを読む。
キャッシュと内向けだけならそれで十分。
汚染が怖いならキャッシュもなくす。あとはプロバイダのDNSに任せる。

**DNS未登録さん** · 2009/12/11(金) 12:42:05

設定なんでググればいくらでも出てくるだろ

BINDは最新使えよ

**DNS未登録さん** · 2009/12/11(金) 15:07:53

bindに関しては、googleはおすすめできない。
いいかげんな知識でほんとにそれでいいのかよくわかってないけど
なんとなく動いてるみたいだからそれでいいや、
てな人間が書いたものばっかりひっかかる。

**DNS未登録さん** · 2009/12/11(金) 19:05:13

図書館にDNS＆BINDの第4版があったので借りてきました！

**DNS未登録さん** · 2009/12/12(土) 08:36:53

>>10
知ったかぶりだけじゃなくていいところと悪いところのURLを書いてみたらどうだい？
自鯖で優越感浸るほどの設定なんて必要ないだろうし、どうせなら自慢の自分の設定さらしてみたら？

**DNS未登録さん** · 2009/12/14(月) 07:45:13

BINDってすごいよね～
セキュリティ的な云々だから～
なんて手前味噌な都合でchrootみたいな非構造的でユーザビリティとは乖離しきった実装が許されちゃうんだもんね～
すごいよ。さすが。

**DNS未登録さん** · 2009/12/14(月) 12:35:09

しかし初心者にオライリーを勧めるのはちょっとなぁ。

セキュリティー的には /etc/named.conf に allow-recursion を入れることが重要。

**DNS未登録さん** · 2009/12/14(月) 20:27:59

これをベースにちょっと書き換えてやればいいだけじゃないの？
ttp://www.cymru.com/Documents/secure-bind-template.html

**DNS未登録さん** · 2009/12/28(月) 07:32:14

>>10
っせえ
黙ってろ

**DNS未登録さん** · 2009/12/30(水) 20:24:42

とりあえず共有からもってた独自ドメインを自鯖のDNSにうつしたんだけど、
指定事業者の設定でネームサーバの指定をしました。
んで、BINDでバーチャルホストの設定をしたんだわさ。
質問なんだけど、よく変更したら24～72時間くらいは待てよっていうのは
ネームサーバの変更から？それとも自分がたてたDNSサーバを変更してから？
理屈で考えると、自分のDNSサーバの設定を変更したら、その変更が世界に回るまでに
時間がかかるから、設定をなおしたと思ってもしばらくは意図しない表示になるってことだよね？
家にあるPC数台、どれも表示が違うし、digでwwwつけるのとつけないので
返ってくるIPが違うし(一つは今のIP、もうひとつは共有鯖だったときのIP)

**DNS未登録さん** · 2010/01/12(火) 10:07:44

買いました。
このスレの煽りの真偽に興味シンシンです

**DNS未登録さん** · 2010/01/18(月) 13:03:46

SRVレコードの動作をチェックする方法ってありますか？

**DNS未登録さん** · 2010/01/19(火) 21:07:49

>>19
？

**DNS未登録さん** · 2010/01/27(水) 13:56:53

BIND 9 の DNSSEC 検証コードに脆弱性
これって
https://jvn.jp/cert/JVNVU360341/index.html

DNSSECを使ってなければ、関係ないの？
使ってなくても関係あるの？

こういう所の報告って
前提条件とかがよくわからない

**DNS未登録さん** · 2010/02/12(金) 15:29:57

つかDNSSEC自体がよくわからん

**DNS未登録さん** · 2010/03/01(月) 01:30:28

すいません、質問です

マスター側の/etc/named.confてスレーブ側に同期されますか？

例えばhoge.comを運用しているbindだとして、a.hoge.comのサブドメインを追加する場合は
マスターとスレーブの/etc/named.confを変更して、さらにa.hoge.com.zoneファイルなんか
を用意する必要があるという事でしょうか？

よろしくお願いいたします。

**DNS未登録さん** · 2010/03/01(月) 06:17:06

>>23
当然です
楽したければ同期したい部分を別ファイルに切りだして
rsyncするのも手だよ。(ゾーンファイルもな)

**DNS未登録さん** · 2010/03/01(月) 06:20:06

>>23
スマソ、一部見過ごしてたよ

サブドメインのゾーンファイルをわけなければスレーブ側は何もする必要はない。

**DNS未登録さん** · 2010/03/04(木) 18:43:49

>>19
遅れてすいません．
DNSがWindowsの場合はよく知りませんが UNIX系のBINDでSIPで使う
TLSのサービスを聞く場合を書きます．
以下の様にすればどうでしょうか? 以下のようなコマンドを投入します
これは，SIPのTLSは何処に(A：IP)張ればっていうアプリからDNSに
聴かれるものです．

dig @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE．CO．JP
投入コマンドのエコー部分
; <<>> DiG 9.3.5 <<>> @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE．CO．JP.
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32608
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4
#結果はエラーがなくて
問い合わせ１レコード解答1レコード DNSのAUTHが３レコード
付加情報が４レコード
;; QUESTION SECTION: DNSが聴いた問い合わせ
;_sipinternaltls._tcp.EXAMPLE．CO．JP. IN SRV
;; ANSWER SECTION: DNSからの返答
_sipinternaltls._tcp.EXAMPLE．CO．JP. 300 IN SRV 0 0 5061 SIP.EXAMPLE．CO．JP.
;; AUTHORITY SECTION:
EXAMPLE．CO．JP. 300 IN NS NS2.EXAMPLE．CO．JP.
省略
;; ADDITIONAL SECTION:
SIP.EXAMPLE．CO．JP. 300 IN A SIPのIP
NS1.EXAMPLE．CO．JP. 300 IN A DNSのIPアドレス
省略
;; Query time: 62 msec
;; SERVER: DNSのIPアドレス(DNSのIPアドレス)
;; WHEN: Sun Feb 21 11:08:45 2010
;; MSG SIZE rcvd: 219

**DNS未登録さん** · 2010/03/04(木) 20:35:54

>>21
DNSSEC 検証コードに脆弱性とありますので，DNSSECを使わなければ
この*問題*はOKのようですが，これ以外に沢山あるようです．
https://www.isc.org/software/bind/security/matrix
ごらんください
2ちゃんねる攻撃もDNSをDDoSされ毒入れをされたと聴いています．
BINDは最新にってことでしょうか?

**DNS未登録さん** · 2010/03/05(金) 12:06:23

>>27
毒入れはキャッシュサーバにしかできない

**DNS未登録さん** · 2010/03/05(金) 21:36:42

>>28
maido3はプロバイダーだよねキャッシュサーバ無いの？

**DNS未登録さん** · 2010/03/05(金) 22:31:41

>>29
仮にあったとしても関係ない
よーく考えよう

**DNS未登録さん** · 2010/03/08(月) 03:15:23

>>30
http://www.your.org/dnscache/djbdns.pdf　をみたけど
DJBDNSってまじめだとわかった。
またなぜmaido3がDNSSECをしていないかの理由もわかったきがする
　でもプロバイダって厳しい仕事だね

**DNS未登録さん** · 2010/03/08(月) 03:18:42

>>28
キャッシュサーバポイズニングはキャッシュサーバだけだね
当たり前だけど

**DNS未登録さん** · 2010/04/22(木) 18:40:30

自前でＤＮＳ立てたんだけど
ドメイン名は引けるけど
digとかで見たら逆引きができません

利用するネームサーバを自前のものに指定して引くと
正・逆共に正しく引けます
広まるまで時間がかかるのかな？とおもって既に３カ月
そんなもの？

**DNS未登録さん** · 2010/04/22(木) 19:24:46

dig +trace

**DNS未登録さん** · 2010/04/23(金) 00:41:52

大抵はほぼリアルタイムで反映されるはず。
ゾーン名が間違ってるか、ミスで権限委譲されていないのいずれかだと思う。

ゾーン名の記述はISPによって違うので注意。

33 · 2010/04/23(金) 11:20:19

>>34-35 ありがとう御座います

dig +traceで見てみたら順番に下がってきて ISPのセカンダリーが先に出てきて
最終的に自信はReceivedに出ていませんでした
ただ、ＤＮＳ自信のＩＰを逆引きしたらちゃんと引けて出ました(IPは８つです）

>>35の言うようにゾーン名が変だと思いＩＳＰの情報を色々と物色してみると（ISPはOCN）
こんなのを見つけました ttp://www.ocn.ad.jp/tw/dns_02.html
中には
# // ネットワークアドレス全て(4オクテット)を使ってゾーン名を設定します.
# zone "32.69.168.192.in-addr.arpa" in {
とあるんですが、
うちは
zone "69.168.192.in-addr.arpa" in {
となっていました、

ISPに出ているように
zone "32.69.168.192.in-addr.arpa" in {
に変更して dig @localhost で調べると
今度は自信の 32.69.168.192 以外が引けて
32.69.168.192 が引けなくなりました(契約はIP8）

色々と調べながら１時間ほどして
別のＩＳＰから当該ＤＮＳで管理しているメールサーバーのメールアドレスへ
メールしてみたら全く届かなくなっていたので
これはヤバイ！と思い取りあえず元に戻して寝ました（笑）
（元に戻したおかげで今は正常に届いています）

昼間は流石に触るのが怖いんで週末の夜中にこっそり続きやります

**DNS未登録さん** · 2010/04/23(金) 23:04:14

>>36
ゾーンファイルの中身はどうなってるの？

33 · 2010/04/24(土) 01:18:50

こんな感じです

$TTL 86400
@ IN SOA ns.example.com. postmaster.example.com. (
　 1 ; Serial
　 10800 ; Refresh after 3 Hours
　 3600 ; Retry after 1 Hour
　 604800 ; Expire after 1 Week
　 86400 ) ; Minimum TTL of 1 Day
;
　IN NS ns.example.com.
; Hosts
34 IN PTR ns.example.com.
35 IN PTR host1.example2.com.
36 IN PTR host1.example3.com.
37 IN PTR host1.example4.com.
38 IN PTR host1.example5.com.

33 · 2010/04/24(土) 01:37:01

因みに
■googleのDNS指定して逆引きしたら

; <<>> DiG 9.5.0-P2.1 <<>> @8.8.8.8 -x 192.168.69.35
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3410
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;35.69.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa.

;; AUTHORITY SECTION:
69.168.192.in-addr.arpa. 3600 IN SOA ns.example.com. postmaster.example.com. 2010042341 3600 900 3600000 3600

■ dig +trace @8.8.8.8 -x 192.168.69.35 だと

; <<>> DiG 9.5.0-P2.1 <<>> +trace @8.8.8.8 -x 192.168.69.35
; (1 server found)
;; global options: printcmd
. 2625 IN NS l.root-servers.net.
　　　　　　　　　　　（省略）
. 2625 IN NS d.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 54 ms

192.in-addr.arpa. 86400 IN NS NS4.APNIC.NET.
192.in-addr.arpa. 86400 IN NS NS3.APNIC.NET.
192.in-addr.arpa. 86400 IN NS NS-SEC.RIPE.NET.
192.in-addr.arpa. 86400 IN NS NS1.APNIC.NET.
192.in-addr.arpa. 86400 IN NS TINNIE.ARIN.NET.
;; Received 159 bytes from 128.8.10.90#53(d.root-servers.net) in 237 ms

;; connection timed out; no servers could be reached

33 · 2010/04/24(土) 01:38:45

>>39
35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa.
訂正
35.69.168.192.in-addr.arpa. 86400 IN CNAME 35.69.168.192.in-addr.arpa.
ですｗ

33 · 2010/04/24(土) 01:42:04

■ローカルホストで試すと dig -trace @localhost -x 192.168.69.35
;; Warning, ignoring invalid type race

; <<>> DiG 9.5.0-P2.1 <<>> -trace @localhost -x 192.168.69.35
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26998
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;35.69.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
35.69.168.192.in-addr.arpa. 3600 IN PTR host1.example2.com.

;; AUTHORITY SECTION:
69.168.192.in-addr.arpa. 3600 IN NS ns.example.com.

;; ADDITIONAL SECTION:
ns.example.com. 3600 IN A 192.168.69.34

今気がついたんですけど、１行目の
;; Warning, ignoring invalid type race
ってのは・・・何かダメってことでしょうか

**DNS未登録さん** · 2010/04/24(土) 01:53:19

>>38
zone "32.69.168.192.in-addr.arpa" が正解だよ。
192.168.69.32の逆引きを設定したいのならば、ゾーンファイルに
@ IN PTR test.example.com.
を追加しとけばよい

ってか、ネットワークアドレスの 32 をホストで使用してるの？

33 · 2010/04/24(土) 02:11:02

>>42
>ってか、ネットワークアドレスの 32 をホストで使用してるの？
私も引き継いだ時にそうなっちゃってたんで
そのまんまなんですが
やっぱり不味いですよねぇ

そもそもＩＰアドレスベースで他で設定してあるものもあるらしく
勝手に変更するとＰＣ側の設定でえらい事になりそうで
踏み出せずにいます

33 · 2010/04/24(土) 02:31:32

>>42
確かに、@ IN PTR test.example.com. で
ローカルでは32も引けるようになりました、たぶん大丈夫な気がします
ありがとう御座いました！！

ご指摘のようにネットワークアドレスのＩＰの事を考えると鬱になるんですけどねぇ…
元々の間違いの始まりはドメイン申請の時にNの営業さんが手配してたらしいんですけど
こんな設定にしてる為に凄く困ってることが他にもあるんですが、スレ違いなんでいいです（笑）

**DNS未登録さん** · 2010/04/24(土) 03:14:06

>>43
ルータによっては制約があるかもしれませんが、ネットワークアドレスや
ブロードキャストアドレスもNAT用であれば活用可能です。
混乱の元なのでアドレス足りてるなら使わないほうがよいですが。

**DNS未登録さん** · 2010/04/24(土) 17:20:58

DNSを変更した時に世界中で反映される時間とかかかれてますが、利用者が利用者のDNSに参照に行った時に
キャッシュの情報が古い場合だけ設定元のDNS情報を参照しに行くと考えてＯＫでしょうか。
だとすれば、どこのアドレスからの参照で何時どのドメインを引いたか知りたいのですがログに残せないものでしょうか

**DNS未登録さん** · 2010/04/24(土) 18:29:06

>>46
利用者側の情報は設定された時間を経過すると消去されるので
再度設定元に問い合わせに行く。

ログは簡単に取れるよ。
ttp://www.atmarkit.co.jp/flinux/rensai/bind910/bind910a.html

**DNS未登録さん** · 2010/04/25(日) 16:57:13

ログとれたサンクス

**DNS未登録さん** · 2010/06/09(水) 11:17:26

自鯖のDNSにnslookupするとサーバ名がIPアドレスになってしまいます。
これをサーバ名にするにはなにを修正すればいいのでしょうか？
教えて、エロい人！

> google.com
Server: 127.0.0.1 ←これをlocalhostしたい
Address: 127.0.0.1#53

Non-authoritative answer:
Name: google.com
Address: 66.249.89.104
Name: google.com
Address: 66.249.89.99

**DNS未登録さん** · 2010/06/09(水) 12:29:09

nslookup 使うな。

**DNS未登録さん** · 2010/06/09(水) 19:41:33

>>49
$ nslookup - localhost
> google.com
Server: localhost
Address: 127.0.0.1#53

Non-authoritative answer:
Name: google.com
Address: 66.249.89.99
Name: google.com
Address: 66.249.89.104

**DNS未登録さん** · 2010/06/30(水) 18:52:17

cnetos 5.5 (x86_64)
bind 9.3.6-4.P1.el5_4.2

service named restart
をすると

Error getting active value for named_write_master_zones

という警告が出るんだけど、再起動は問題なくできている。設定も反映されます。

設定関連はちゃんとできてると思うが、ググってもズバリというようなソース見当たらないので
どういう関連のエラーかわかる方いますか？

このサーバはmasterzoneもslavezoneも持っているので、推測するにmasterから変更があったが、slaveとして書き換えできなかったというエラーなのかな？
selinuxはpermissivなのでそっち関連は大丈夫だと思います。

zonefileに関してはかなりの数があり、全部私が設定してないので問題ないとは自信持って言えないが、出力ログを見る限り、該当するものの詳細は見当たらず。
同様なエラーメッセージに遭遇し、解決した方いらしたら、ご教授ください。

**DNS未登録さん** · 2010/07/05(月) 21:46:09

nslookup www.valinux.co.jp

とすると、

connection refused resolving 'fsv.valinux.co.jp/A/IN': 210.128.90.2#53

とmessagesに出てきてしまうんですが、これはどういう意味なのでしょうか？
宜しくお願い致します。

**DNS未登録さん** · 2010/07/05(月) 22:24:25

>>53
そのドメインの設定ミスだから気にスンナ。

上位(JPRS)にはvalinux.co.jpのネームサーバの一つとして
ns2.valinux.co.jp(210.128.90.2)が登録されているけど、ns2には
valinix.co.jpの設定がない(もしくは設定ミスの)ため拒否されてるだけ。

**DNS未登録さん** · 2010/07/05(月) 23:05:22

>>54
ありがとうございます。
その ns2... って dig valinux.co.jp ns しても出てこないみたいなんですが、
教えて頂けないでしょうか・・？

**DNS未登録さん** · 2010/07/05(月) 23:12:29

>>55
$ whois -h whois.jprs.jp valinux.co.jp
$ whois -h whois.jprs.jp ns2.valinux.co.jp

**DNS未登録さん** · 2010/07/05(月) 23:36:16

ん・・。ありがとうございます。

bindって色々調べて結果返してるんですね。

**DNS未登録さん** · 2010/07/15(木) 11:23:48

NAT環境内でbind9によりDNSサーバを動かしています。
ルータの設定でもbind9用のポートは閉じています。
allow-query,allow-recursionの対象をLAN内のPCのみとしているので
jail化する必要はないと考えていますが、いかがでしょうか？
よろしければご教授下さい。

**DNS未登録さん** · 2010/07/15(木) 11:31:25

>>58
allow-*とjailは別々のセキュリティ対策だよ。

外部からの不正な問い合わせを何重もの防御で守りたいのなら、
jailではなくipfwなどで自力でポートを閉じるべきだ。

jailは万が一セキュリティホールが突かれたとき、
システム側に不正な要求を投げさせないのが目的だから、
それはそれで必要性を判断して設定すればいい。

**DNS未登録さん** · 2010/07/15(木) 12:50:55

アドバイスありがとうございます。
こちらが言葉足らずでした。

NAT内だけでの運用なので、システムが占拠される心配はないと考えたので
jailは不要ではないかと判断した次第です。
よく、何重にも対策をしておく方が良いと言われますが、労力が割かれてしまう
ので迷う所です。
現状、named.conf.optionsの設定に気を配る程度です。
allow-queryやallow-recursion, version "unknown"辺りでしょうか。

それと、ipfwというものを調べてみましたが、ファイアウォールなのですね。
私はルータをファイアウォールとして使用しています。
webサーバとファイルサーバを外部に公開したいと考えていますが、今のと
ころ未公開です。ポートも閉じています。。

上記を考慮した場合、jail化は必要なのでしょうか？
また、他に推奨のセキュリティ対策など教えて頂ければ幸いです。

**DNS未登録さん** · 2010/07/18(日) 22:12:08

bind9.7.1-P2をインストールしようとしているんですが、
下記２点についてうまくいっていません。分かる方助言をお願いします。

1.Microsoft Visual C++ 2005 Redistributableインストール時に
「Command line option syntax error. Type command/? for Help.」
というエラーメッセージダイアログがでてインストール失敗する

2.上記の失敗からか、「C:\Windows\System32\dns」フォルダが作成されない

61 · 2010/07/18(日) 22:13:46

すみません。環境はWindows 7 Ultimate 64ビットです。

**DNS未登録さん** · 2010/07/22(木) 22:40:43

今までCentOS5.4で自鯖立ててて
yum updateで5.5相当にして使ってたんだけど
今回サーバー用ＨＤＤの容量アップのために
クリーンインストールでCentOS5.5入れて自鯖セットアップしなおしたんだけど
bindをどう設定して、bindを起動してもnamed/confにエラーがあると出る
ちなみに再インストール前のbindの設定をバックアップ取ってたので
それをコピペしてみてもダメ
bindの新しいバージョンってなんか設定方法とか変わったの？
named.confの設定はこんな感じなんで
おかしいとこあったらどこがおかしいか教えてください。

options {
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
version "unknown";
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;
query-source-v6 port 53;
allow-query { localhost; localnets; };

forwarders{
192.168.24.1;（プレミアムのCTUのプライベートアドレス）
XXX.XXX.XXX.XXX; (インターリンクのプライマリーDNSのIPアドレス)
XXX.XXX.XXX.XXX; (インターリンクのセカンダリーDNSのIPアドレス)
};
};

view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.xxx.com.zone";
};

view "internal" {
match-clients { localnets; };
match-destinations { localnets; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.xxx.com.zone";
};

view "external" {
match-clients { any; };
match-destinations { any; };
recursion no;
include "/etc/named.xxx.com.zone.wan"

**DNS未登録さん** · 2010/07/23(金) 02:40:31

>>63
パッと見、問題なさそうだが、肝心のエラー内容は？

エラーとは直接関係ないはずだけど、これはコメントアウトしろよ。
query-source port 53;
query-source-v6 port 53;

**DNS未登録さん** · 2010/07/23(金) 05:12:07

>>63
最後の行は
include "/etc/named.xxx.com.zone.wan"
で終わりなの？

**DNS未登録さん** · 2010/07/28(水) 16:46:12

教えて下さい。

DIG で ANSWER SECTION にきちんとＩＰが返ってきているのに、
# dig www.domain.local a

PINGを実行してもUnknown host になってしまうのなぜでしょうか？
# ping www.domain.local

ちなみにドメインを指定しないときちんと返ってきます。
# ping www

環境
debian lenny
bind9

DNSを設定したマシン自体にwwwと名前をつけています。
/etc/resolv.conf には nameserver 127.0.0.1 とし、
他のnameserverは設定していません。

他のマシンからは正しくping が通ります。

インフラ詳しくないので、チェックの方法等、助言頂けると幸いです。
よろしくお願いします。

66 · 2010/07/28(水) 17:27:12

66です。
いろいろ試してみたところ、
bind側ではなく、ＯＳ側に問題がありそうです。

理由は以下の３点です。
１．他のマシンからのpingは通る。
２．dig, nslookup は問題ない
３．設定しているマシンのresolv.confに他のＤＮＳを指定してもFQDNでpingできない

debian板で聞いてみることにします。
ありがとうございました。

**DNS未登録さん** · 2010/07/29(木) 07:51:01

友人の所で間借りしてたドメインを自鯖に移したんですが(ムームー)、なぜか1週間以上たった今も
digをすると、前の鯖のIPが出ます。
HPドメインのhogehoge.comだけが前のIPになっていて、サブドメインのmail.hogehoge.com等は
新しいIPに変わってます。
どこが悪いとこうなるんでしょうか？

**DNS未登録さん** · 2010/08/02(月) 15:49:30

そりゃそこだけ設定変えてないんだろう

**DNS未登録さん** · 2010/08/03(火) 08:01:47

ID更新してないだけとふんだ

なんかruドメインの名前解決が大量にログに残ってて気持ち悪いんだけど何が起きましたか？

**DNS未登録さん** · 2010/08/10(火) 00:18:00

winodws版のBINDでちょっと疑問。
8.8.8.8にforwordさせて、ローカルにも保存する場合confにどう記述すれば良いの？
紹介サイトで記述の仕方が違うから理解できない。

**DNS未登録さん** · 2010/08/10(火) 00:46:39

>>71
何を保存するの？
そもそも日本のユーザが8.8.8.8を指定してもメリットはないよ

**DNS未登録さん** · 2010/08/10(火) 00:51:55

テストする意味で8.8.8.8にして見たけどプロバイダのでも良いんです。
windowsの標準のＤＮＳクライアントみたいにドメイン名とＩＰをキャッシュさせたいです。
もしかすると実はもうキャッシュされているのでしょうか。
named.conf,
named.root.
見よう見まねで記述してるので自信がありません。

**DNS未登録さん** · 2010/08/10(火) 11:07:15

プロキシーとか代理応答とかキャッシュとかそういう話？

**DNS未登録さん** · 2010/08/10(火) 13:05:47

そういう感じです。

**DNS未登録さん** · 2010/08/10(火) 14:16:27

普通に設置してoptionsにforwardersとforward onlyで丸投げでいいんじゃない？
あとrecursion yesとか？

**DNS未登録さん** · 2010/08/10(火) 14:58:28

うまくできました感謝

**DNS未登録さん** · 2010/08/12(木) 07:14:38

勉強のためubuntu上にてvirt-managerでubuntu10.04のDNSの構築してみてるんだけど
今slaveサーバ設置してゾーン転送させようとしてるとこでうまくいかない
マスター側は192.168.122.11、スレーブ側は192.168.122.12
マスター側のnamed.confのzoneステートメント（とaclステートメント）は
acl "Slave" {192.168.122.12;};
zone "122.168.182.in-addr.arpa"{
type master;
file "122.168.192.rev";
allow-transfer{Slave;};
notify yes;};
スレーブ側は
acl "Slave"{192.168.122.12;};
zone "122.168.192.in-addr.arpa"{
type slave;
file "bak/122.168.192.rev";
masters{192.168.122.11;};
allow-transfer{Slave;};};
コピペじゃないけど再起動もできるので書式のミスは無いはず
スレーブ側bindを再起動すればスレーブ側のゾーンファイルを消しとくとちゃんと転送されるけど
ゾーンファイルがあるとマスター側で更新されててもスレーブ側はbind再起動しても更新されない
よろしくお願いします

**DNS未登録さん** · 2010/08/12(木) 07:43:06

小出しで申し訳ないけれど最後の方日本語おかしかったから
つまりマスター側でゾーンファイルを編集保存しただけでスレーブ側にも
反映（ゾーン転送）してほしいのに、編集保存してからマスター側のbindを再起動して、
スレーブ側にある古いゾーンファイルを消したうえでスレーブ側のbindを再起動しないと
ゾーン転送してくれないということ、どうすればいいんでしょか

**DNS未登録さん** · 2010/08/12(木) 19:23:41

>>78-79
シリアル更新忘れに1ペリカ

**DNS未登録さん** · 2010/08/13(金) 01:27:49

>>78
ゾーンファイルのNSレコードにスレーブサーバを登録してる？

**DNS未登録さん** · 2010/08/13(金) 08:39:18

レスありがとうございます
>>80
シリアル更新はしてます
emacsのDNSモードなので編集保存すると自動で変わってくれます
>>81
登録してます

マスターのゾーンファイルを編集してからゾーン転送されるまで普通はどれくらい時間掛かりますか？
僕の頭の中ではSOAレコード第4パラメータの時間＋15分弱です
それとnotify yesはSOAレコード第4パラメータ無視して更新したら15分弱で転送するって認識で合ってますか

今わかりましたがマスター側のbind再起動してしばらく待ってると
スレーブ側はゾーンファイル残して再起動もせずともゾーン転送してくれました
マスター側のbind再起動すればできるってことはマスター側のnamedがゾーンファイルの更新を
監視してくれてないとか、そういうのは無いですか？何々起動しないと監視してくれないとか
てかそもそもゾーン転送以前にbind再起動無しでゾーン情報更新してくれてた気がしない
問題はそこな気がします、どうすればbind起動中にemacsやらでゾーンファイル弄ったのを
シリアルを確認して感知するのか、このシリアルを確認するのはnamedプロセス？namedはしっかり起動しています
ps aux|grep named
bind 3284 0.0 2.0 43892 10432 ? Ssl 07:37 0:00 /usr/sbin/named -u bind
hoge 3302 0.0 0.1 2884 808 pts/0 S+ 08:16 0:00 grep --color=auto named
またですがアドバイスよろしくお願いします

**DNS未登録さん** · 2010/08/13(金) 17:58:17

>マスターのゾーンファイルを編集してからゾーン転送されるまで
自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。

話からするとnotifyがスレーブ側に届いていないようなので、>>81だと思うんだけどね。

NSレコードでスレーブ鯖の記述が間違ってないか、
マスタ側でNSレコードをdigしてみて、
それでもダメならマスター側で以下を追加してみてはどうだろうか。
also-notify { slave鯖のIPアドレス; };

**DNS未登録さん** · 2010/08/13(金) 18:04:30

>自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。

あぁごめん、一部見逃して書いてた。
マスタ側だけはゾーン情報を更新したらbindの再起動は必須だよ。

**DNS未登録さん** · 2010/08/13(金) 18:17:59

>>84
そうでしたか、それならこれで合ってたんですね
ちなみに再起動ではなくHUPシグナル送ったりrndc reloadしたりでも
ゾーン情報更新してくれるみたいです、これで数分以内にはスレーブ側も更新してくれました
ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました
ありがとうございました！！

**DNS未登録さん** · 2010/08/14(土) 21:35:00

＞ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました

コンピュータ関係の間違いの大部分を占める「勝手な思い込み」の典型
俺が経験したクレームで「パスワードを変更したらメールサーバにつながらなくなった」ってのがあったが
結局、旧パスワードを削除せずに新パスワードを続けて書いたのが原因
「新しいパスワードをちゃんと設定しましたってば！」
うん、そうだね、したね
でもこっちの質問「どのようにですか？」「パスワードは何文字になってますか？」には頑なに答えてくれなかったね
コンピュータにはピンポイントで肝心な部分の情報を隠蔽させる魔力があるんだろうね

**あああ** · 2010/08/19(木) 22:05:24

あああ

**DNS未登録さん** · 2010/08/22(日) 21:21:29

**DNS未登録さん** · 2010/08/22(日) 22:57:12

はじめての書き込みです　さっそく
named.conf.options: // forwarders {
というのがあってこれ以下にプロバイダー側のサーバを書くのですが
具体的に何を書くのか分かりません。教えてください。
なお環境としてはglobalIP1
質問１：
候補１　：　回線会社（NT*ですが）のDNS？（使用する地域の接続ポイント）
候補２　：　プロバイダ（Info*****）のDNS
候補３　：　ドメインの管理会社のものでしょうか？

質問２：
ま上記の３つを最低３行を併記しても良いものでしょうか？

**DNS未登録さん** · 2010/08/23(月) 03:53:38

＞というのがあってこれ以下にプロバイダー側のサーバを書くのですが
と自分で書いてるんだからプロバイダのDNSでしょ。

＞ま上記の３つを最低３行を併記しても良いものでしょうか？
やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。

NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。
ドメイン管理会社にもDNSは持ってるだろうが、
そこにドメイン情報を設定していないと意味はない。

**DNS未登録さん** · 2010/08/23(月) 22:09:54

さっそくども

＞＞というのがあってこれ以下にプロバイダー側のサーバを書くのですが
＞と自分で書いてるんだからプロバイダのDNSでしょ。

プロバイダー側と書いてあるとおりプロバイダーとは限定した質問では
ありませんでした。プロバイダー側の３つからどれかという質問の意図でした。
プロバイダー限定なわけですね。

＞ま上記の３つを最低３行を併記しても良いものでしょうか？
やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。

＞NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。

フレッツはDNSではない接続をしているようですが、そこのDNS達につなぐ
のも手なのかなとも考えたわけです。

＞ドメイン管理会社にもDNSは持ってるだろうが、
＞そこにドメイン情報を設定していないと意味はない。

そこでは保有しているべきものではないのでしょうか？

これ設定しないとドメイン登録できないし・・・
もし、管理会社が登録していないとなるとどこに？
もっと上流のどこかが保存管理しているということな？

**DNS未登録さん** · 2010/08/23(月) 22:12:13

同じく
infospher　ですがプロバイダーのDNSは
http://www.sphere.ne.jp/support/guide/dnschange/images/001img01.gif
になるのですか？

**DNS未登録さん** · 2010/08/23(月) 23:10:53

>>91
あぁごめん、説明を端折って書いたから余計混乱させてしまったか。

今回bindで設定する意図はキャッシュサーバーを立てる事なのか、
自分が取得したドメインの運用のためかによって話は変わってくるけど、
forwarderはキャッシュサーバーの用途なのでドメインの運用とは関係ないからね。

まだドメインが取得できていないのであれば
お名前.comやValue Domainとかの大手でドメインを取得して
レジストラが用意するネームサーバを利用するといいんじゃないかな。
これらの業者は自分でネーム鯖を用意せずにドメインを運用する事ができるよ。

さすがにレジストラというのはどういう所かくらいは自分でぐぐってね。

>>92
東日本と西日本で違うみたい。
ttp://www.sphere.ne.jp/support/guide/setvalue/#a050

**DNS未登録さん** · 2010/08/23(月) 23:16:50

一応補足。
お名前.comやValue Domainというのがレジストラね。国内だと大手だと思う。

**DNS未登録さん** · 2010/08/24(火) 14:58:13

レジストラの指定している管理サーバーは　***.***.jp　となっています。
すると　forwarder　には　その***.***.jp　を入れるべきでしょうか？
いまいち分からない。
一応やってみた　restart　すると　[fail]　になる。
だから数字だけしか通用しないようです。あたりまえ？

改めて知りたいですが
「ドメインは取得した、それから内向きのDNSを作る」には
レジストラのDNSを入れるべきでしょうか？
それともそのレジストラのDNSの数字のGIPを入れるべきでしょうか？
それともキャッシュ用のDNSのようにプロバイダー指定のDNSのGIPが良いのでしょうか？

　

**DNS未登録さん** · 2010/08/24(火) 15:26:27

基本的にforwarderいらないでしょ
何か目的があってやるにしてもレジストラは関係ない
ISPの指定したDNSに投げればいい

**DNS未登録さん** · 2010/08/25(水) 22:13:08

この前　forwarder 使わ無い方式は危ないといわれて　しかたなし使っているのですが
　ところで、４種
１、　forwarder する場合で、ドメインを持っている場合でも　ISPのDNS　にするのですか？
２、　forwarder する場合で、ドメインを持ってない場合でも　ISPのDNS　にするのですか？
３、　forwarderしない場合で、ドメインを持っている場合でも　ISPのDNS　にするのですか？
４、　forwarderしない場合で、ドメインを持ってない場合でも　ISPのDNS　にするのですか？
しつこくてすみません　どうも理解できなくて

**DNS未登録さん** · 2010/08/26(木) 10:17:06

自宅にDNS設置してんだろ？
そこに問い合わせるのは誰よ？
レジストラのDNSを利用しろと言ってるのは
自前のドメインの問い合わせ先を自宅じゃなくてそこにすればと言ってるのであって
forwarderはそれらと全く関係ない。
forwarder先は本来別の場所に設置してある自前のDNSにするんだろうが、
そんなものが無いなら、自宅が接続してる一番近いISPのDNSにするだろ。

**韓国人** · 2010/09/01(水) 13:10:34

日本人はバカてす。

**韓国人** · 2010/09/01(水) 13:14:19

JAPAN IS MONKEY PALACE~~~~~
NANANANANANANANANANANANANANA
なななななななななななななななななななななななななななななななな

ばかばかばかばがばかばかばかばかばかばかばかばかばかばがばかばか

ちっしおちっしおちっしおちっしおちっしおちっしおちっしおちっしお