【設定面倒】BIND 総合スレッド【DNS】

[0001 DNS未登録さん 2009/11/19(木) 20:02:38 ID:qhNspXhe]

無かったから建てた。
正直webminすごく助かる

[0167 DNS未登録さん 2011/12/11(日) 15:48:49.02 ID:???]

>>166
色々ありがとうございます。
nslookup は server で指定してます。
外部のDNSはひけるのでクライアントから、要求は出て行っていると思うんです。
やっぱり、bind のせいじゃないんですかね。　
firewall 系を確認してみます。

[0168 DNS未登録さん 2011/12/11(日) 16:24:59.05 ID:???]

ログに残らないというのがひっかかるなあ、snoopしてみては？

[0169 DNS未登録さん 2011/12/18(日) 20:39:53.21 ID:???]

>>168
その後です。
bindのせいではないようです。
有線LANだと特に問題なく、DNSが引けます。
また、無線アクセスポイントを変えてみたところ、直りました。
まだ、原因がよく分かってはいませんが、どうも、、無線アクセスポイントの設定のような気がしてきました。
なにか、判ればまたここで報告します。

お騒がせしました。

[0170 DNS未登録さん 2012/02/11(土) 17:09:17.79 ID:qwuImV1N]

例の件って、本当に脆弱性なのか？

[0171 DNS未登録さん 2012/02/11(土) 20:12:28.11 ID:???]

>>169
これってマルチキャストに対応してない無線LANでの、IPv6問題ではないかな。

[0172 154 ◆oqXRTXh2QY 2012/02/26(日) 20:00:12.04 ID:+vUSLWS2]

>>154 だが
最近DomainDns.com のネームサーバーのns2. ns4. ns5. が調子悪かったのです。
タイムアウトになっていたので新規DNS設定のとき、反映しなかったり
してたのだが、154のときと同様にWhoisのアドレス宛にメールしたら、
１日で直してくれました。
※とりあえず、ns4. とns5. がタイムアウトしなくなった。

で、なぜかその数日後、domaindns.com にログインしたり管理画面内で
操作してるとBASIC認証の画面が出て、OKを何度も何度も入れないと
入れなくなったのです。それで我慢ならなくなって、数日後に
さらにwhoisのアドレス宛にメールしてみました。
すると１日後にサイトの左側に[feedback & support]というのが付くようになり、
BASIC認証も出なくなったのです。

どうやら、返事は全くしないものの、しっかり管理する気はあるようです。
おれのエキサイト翻訳のメールを3回もまともに相手して1日で対処してくれたのだから。

とりあえず、信頼して皆つかってみましょう＾＾

[0173 154 ◆oqXRTXh2QY 2012/02/26(日) 20:01:11.76 ID:+vUSLWS2]

ちなみに、
>>154 の続きは >>155 にある

[0174 DNS未登録さん 2012/03/01(木) 14:21:50.87 ID:???]

9.9.0がきましたよ〜

[0175 DNS未登録さん 2012/03/01(木) 19:37:20.59 ID:???]

ククレカレー

[0176 DNS未登録さん 2012/03/01(木) 23:01:15.76 ID:???]

>>174
inline-signingに期待大

[0177 DNS未登録さん 2012/05/02(水) 01:25:41.31 ID:8K4ksIKX]

ねえ、教えてよ

SOAのシリアル番号って別ファイルに持たせられないの？
たくさんのゾーンの番号を一発で上げたいの

[0178 DNS未登録さん 2012/05/02(水) 07:01:26.73 ID:???]

>>177
sed & awk

[0179 DNS未登録さん 2012/05/24(木) 18:54:30.75 ID:O/RXG8BJ]

namedのログが急にmessagesにも残るようになったんだけどこれって普通のこと？
今日recursionを許可するIPに制約を加えたらそうなった

むしろ今までまったく残らなかったのがおかしいのかな？
ちなみにdata/named.runにもほぼ同じ内容が今までどおり残ってる

RHEL6の64bit版（アプリ一切なし）にApacheからなにから自分ですべてインスコしてます
基本はRedHat Networkのレポジトリからyumで入れてる
でもやっぱりないものもあるしトラブることもあって他からも入れざるを得ない状態
なのでどっかで間違った可能性は十分あると思います

[0180 DNS未登録さん 2012/05/24(木) 19:33:44.27 ID:???]

設定によって如何ようにもなる。

[0181 DNS未登録さん 2012/05/25(金) 06:39:07.83 ID:48eJ6jYj]

そこにかかわる設定が変わってないはずなのにそう変わったから不思議なんだけどね

[0182 DNS未登録さん 2012/05/25(金) 18:11:59.69 ID:???]

不思議だねぇｗ

[0183 DNS未登録さん 2012/05/25(金) 18:16:56.67 ID:???]

ログにかかわる設定は大分前にいじったが、
そのときはbindをリスタートさせていなかった。
のかもしれない。

[0184 DNS未登録さん 2012/05/25(金) 18:21:07.19 ID:48eJ6jYj]

うーん・・・そもそもログ関連はいじってないんだよなあ

ただchrootの設定をよくわからないままやっていて
webminから設定してると妙な動作をすることがあった
具体的にはコンフィグファイルの書き込み権限がないとエラーになったり
タイミングによってはならなかったり
そのへんが原因なのかもなあ

[0185 DNS未登録さん 2012/05/25(金) 18:34:23.48 ID:???]

かもなぁｗ

[0186 DNS未登録さん 2012/05/28(月) 10:13:18.31 ID:???]

webmin
ｗｗｗｗｗｗｗｗｗ

[0187 DNS未登録さん 2012/05/31(木) 06:05:31.02 ID:???]

わろた

＞最近の女子高生はDNSを使いこなしているらしく、電車の中で「アドレス渡されたんだけど、逆に引くわ！」と言っていた。

[0188 DNS未登録さん 2012/06/25(月) 09:58:59.78 ID:???]

9.7.3でフォワードしてくれないんだけど何か特殊な事しないと行けない？
BINDが入ってるサーバーからフォワード先のサーバーへは名前解決できるから
FWなどの問題ではなくBINDの設定だと思うんだけど
optionsに設定入れただけでは上手く行かない？
WEB色々調べてそれらの従ってやったり、サンプルファイルから
書き直してもどうしてもフォワードが上手く行かない

[0189 DNS未登録さん 2012/06/25(月) 13:02:51.10 ID:???]

どう設定したのか晒さないということは、
自力で解決するつもりで人に頼る気はない、>>188はただの日記だということでいいよな？

[0190 DNS未登録さん 2012/06/25(月) 13:42:00.81 ID:???]

9.7.3の前は何を使っていのか？とか
allow-query とか recursion とかの設定はどうしてるのか、とか
普通は options に正しい設定を入れるだけで上手く行くので
9.7.3だけどうってことは特にないと思われ。

[0191 DNS未登録さん 2012/06/25(月) 23:31:02.94 ID:???]

>>190
options に
forwarders{
XXX.XXX.XXX.XXX;
XXX.XXX.XXX.XXX;
};
を追加してるだけなんだけどね

後の設定はサンプルをそのままで下記の項目だけ変えてる
optionsは下記の項目を変更{
listen-on port 53 { 127.0.0.1; xxx.xxx.xxx.xxx; };
//listen-on-v6 port 53
allow-query { localhost; xxx.xxx.xxx.xxx;};
allow-query-cache { localhost; xxx.xxx.xxx.xxx;};
}
loggingはサンプルのまま
viewはinternalのサンプルのみ適応で下記の場所変更

[0192 sage 2012/06/25(月) 23:35:14.93 ID:???]

>>191
recursionは？

[0193 DNS未登録さん 2012/06/25(月) 23:52:03.86 ID:???]

ミスった再送信
options に
forwarders{
XXX.XXX.XXX.XXX;
XXX.XXX.XXX.XXX;
};
を追加してるだけなんだけどね

後の設定はサンプルをそのままで下記の項目だけ変えてる
optionsは下記の項目を変更{
listen-on port 53 { 127.0.0.1; xxx.xxx.xxx.xxx; };
//listen-on-v6 port 53
allow-query { localhost; xxx.xxx.xxx.xxx;};
allow-query-cache { localhost; xxx.xxx.xxx.xxx;};
}
loggingはサンプルのまま
viewはinternalのサンプルのみ適応で下記の場所変更{
match-clients { localhost; localnets; xxx.xxxx.xxx.xxx; };
}

WEB見てたらoptionsにforwardの設定入れたり入れなかったりで
試してみたけど特に変化無し
viewにforwardersの設定が反映されてない？と思ってview内に書いても見たが変化無し
BINDはcentos6.2からyumでインストール
方向性は間違って無さそうだし、もうしばらく調べてみます
スペースやタブなどが、悪さしてるかも知れないし
それにタグ系まだ全て、どんな意味合いでどんな時に使うか調べ切れてないし
何かセキュリティー周りが色々追加されてるみたいですしね

ちなみに見てるツールによっては半角スペースが表示されてないかも

>>192
recursion yes;
にしてます

外部に公開している訳でも無く内部向けなので
最悪セキュリティー落ちる過去の入れようかな・・・て
逃げてても何も解決しないから、何とかするんだろうな

[0194 192 2012/06/26(火) 00:00:07.21 ID:???]

>>193
ちょっと待って、allow-queryがおかしくないか？
BIND動いているサーバーから、dig google.com @localhosしたら動くんじゃないかい？

[0195 DNS未登録さん 2012/06/26(火) 00:28:30.89 ID:???]

>>194
ANSWERが返って来ないですね
念のため問合せ先をフォワード予定のサーバーにすると返って来ます（当然ですね）
色々試して見ます　ありがとう

あ　書き忘れてた
ちなみにSELinuxは無効にしています
SELinuxも使い方覚えないとな

[0196 DNS未登録さん 2012/06/26(火) 12:09:41.36 ID:???]

dnssec は？

その１　そのbind9..7.3ではすべてforwardしたいのですか？
その２　forward先のDNSはキャッシュサーバーなのでしょうか？

うちはDebianなんで9.7.3使ってます。
社内のドメインについては、イントラ上の別のDNSへforwardし
その他のドメイン(社外のドメイン)については、上記とは別のDNSへforwardしています。

/etc/bind/named.conf.local で
zone "社内のドメイン" {
type forward;
forwarders { xxxxxxxxx; yyyyyyyy;}};
};

/etc/bind/named.conf.options で
options {
forward first;
recursion yes;
allow-query { any; };
dnssec-validation yes;
forwarders { yyyyyyyyyy; };
}

[0197 188 2012/06/26(火) 13:40:40.44 ID:???]

原因（？）判明
optionsのdnssec-validationをyesにしてると上手く行かない
dnssec-validationをnoにすると上手く行く・・・

と　思ったが>>196でyesのまま動いてるな
dnssec-validationが何する物か調べてnoで問題が無いなら
noのまま使う事にするか

色々ありがとう、一人で考えると変な方向に行く事もあるから
話す事により自分なりにも整理でき、別の見方をするきっかけにもなるね

[0198 DNS未登録さん 2012/06/26(火) 13:49:10.96 ID:???]

forward 先の dnssec-validation も yesにしないとダメじゃない。

[0199 DNS未登録さん 2012/06/26(火) 14:02:49.76 ID:???]

>>198
見たいですね
これらの設定をyesにした場合、フォワード先のDNSもyesの設定で無い場合
処理が出来ない見たいな事がかかれてますね
私がフォワード先に指定した物がこれらに対応して居ないため
処理が行なえずにエラーになったと考えられます

何となく納得・・・って
この設定が入ってないDNSサーバは設定しているサーバからは参照が出来ないのか？
それはそれで問題が出そうな気がするけど、その辺は上手く何処かで処理されてるのかな？

[0200 DNS未登録さん 2012/06/26(火) 14:13:32.02 ID:???]

dnssec validation をしたい人は forward する先のサーバが
dnssec OKかどうか調べて、NGな場合は他のDNSを探すか
forwardしないか、です。

[0201 DNS未登録さん 2012/07/11(水) 00:51:44.86 ID:???]

2つviewを作り同名で内容が異なるzoneを両方に設定するのは全くやぶさかはないのですが、
両方のviewに全く同じ内容のzoneを設定するのは、なんと言ったらいいのか「コンチクショウのバーロー岬」です。
viewの外でzoneは定義できませんし、一方のzoneでは自分自身にforwardするのもなんだか厭な予感します。
何かかっちょいい方法はないでやんすか？

[0202 DNS未登録さん 2012/07/11(水) 01:17:21.28 ID:???]

>>201
どちらもmasterなら同じファイル指定すれば？

[0203 DNS未登録さん 2012/07/11(水) 08:17:43.46 ID:???]

>>201
includeすればいいんじゃない？

[0204 201 2012/07/11(水) 10:22:14.05 ID:???]

残念ながらmasterではないのです。
いつtransferを拒否されるやもしれぬ、しがないslaveサーバーの身なれば。
キャッシュファイルの中身が同じなら、異なるzoneが一つのキャッシュを共有しても大丈夫なのでしょうか。
それが許されるならincludeは超良い感じだと思います。

[0205 DNS未登録さん 2012/07/20(金) 11:49:04.92 ID:???]

master の dbファイルはどこに置いてますか?
(a) /etc/bind/ の下
(b) /var/lib/bind/ の下
(c) ベッドの下

[0206 DNS未登録さん 2012/07/20(金) 14:09:32.78 ID:???]

>205
(d) chrootしているので、/var/named/etc/namedbの下。

[0207 DNS未登録さん 2012/07/30(月) 00:17:16.51 ID:???]

うちのドメインをDNSSECにしてやったのですが、
qmailなんぞを使っていやがる取引先様から
メールがエラーになるでーという連絡があり
俺は涙目です。

[0208 DNS未登録さん 2012/07/30(月) 23:04:59.23 ID:???]

>>207
どういう理屈？

[0209 DNS未登録さん 2012/07/31(火) 00:16:28.65 ID:???]

http://jprs.jp/dnssec/faq.html#Q19
こういう事情で送信にqmailを使っている取引先が
うちのユーザーにメールを送るとエラーになる。
取引先からは(DNSSECにしていない)第三者のところへは
送れるので、うちのメールサーバーだけが駄目なんだと判断する。
俺が責められる。飲んだくれる。注意力が散漫になる。
裸足でレゴを踏む。すごく痛い。涙目。

[0210 DNS未登録さん 2012/07/31(火) 18:03:45.44 ID:???]

足の裏にピングリッドアレイなBCGより1つ1つにLEGOのロゴが入ったBCGの方がマシ。

[0211 DNS未登録さん 2012/07/31(火) 22:09:36.10 ID:???]

>>209
業種によって論理的な説明で相手が納得するかも
パッチ出てるみたいだし、相手に適応させた方が良いかも
原因が分かってるなら、説明し易いし
最近はセキュリティに五月蠅くなってるから
相手が少し不安になりそうな言葉入れておけば折れるよ

DNSSEC自体がまだそんなに広まってない気もするが
しかし、IPv6からセキュリティ周りデフォルトで入ってたよな、今後必要なのかね？
キャッシュなどを使った乗っ取り、成りすましには有効そうだが

[0212 DNS未登録さん 2012/08/01(水) 01:51:32.84 ID:???]

>>211
俺 -> うちの取引担当者 -> 取引先の担当者 -> サーバー管理業者
ということになるので、対応してもらえるかどうかは怪しい。
管理業者さんに連絡できるのなら、直接説明するのもやぶさかではない、
と伝えていますが、過去の２件は「gmail使うのでいいです」、「当分、メールでの
やりとりはないのでいいです」で終わった。
また、送信を2系統持っている取引先で、片方のqmailだけダメなところもあったのだが、
そこからは2回に1回の割合で送れたり送れなかったりした。
そのときは「送りなおしてもらえば届くのでいいです」で終わった。

[0213 DNS未登録さん 2012/09/18(火) 17:28:55.21 ID:in+YB8j2]

教えて下さい。
DNSサーバでnslookupでそのままドメインを引くと問題ないのですが
対話形式でserver指定で同じDNSサーバをホスト名で指定するとIPv6のアドレスに変わってしまって引けなくなります。
server指定でIPアドレスで指定する場合は問題ありません。
BINDに関係ないかもしれませんがどこの設定が関連しているかわかれば教えて下さい。
windows側の問題かと思って別板で質問したのですが、サーバの問題のようで。
サーバはTurboLinux8Serverでbindは9.2.1-7です

[0214 DNS未登録さん 2012/09/18(火) 21:31:23.84 ID:???]

>>213
う〜ん、何言ってるか分かんない

[0215 DNS未登録さん 2012/09/18(火) 23:19:19.94 ID:???]

>>213
まず、「DNSサーバでnslookupでそのままドメインを引く」とは何をしているのか？
どのコンピューターで実行しているのか？DNSサーバであるTurboLinux8Server上で実行しているのか？
そのまま、とは何がそのままなのか？

「同じDNSサーバを」何と同じなのか？

[0216 DNS未登録さん 2012/09/19(水) 02:07:15.55 ID:???]

>>213
自分が設定しているサーバーの名前？
第三者が提供している名前？

仮にaaa.bbb.ccc（FQDN）と言うドメインがあり
端末から「nslookup aaa.bbb.ccc」　と入力するとIPv4の情報を持ってくるが
snlookupを実行して対話モードで入った後に、「server aaa.bbb.ccc」と入力すると
IPv6の情報を持って来ると言う事かな？
それとも、別のDNSサーバーに接続した後、aaa.bbb.cccを問い合わせると
IPv6で返って来ると言う事？

用語が一部混じってるから微妙な所が分からない
ドメイン名とホスト名は別物だし
FQDNがaaa.bbb.cccでドメイン名はbbb.cccでホスト名はaaaと言うこと？

[0217 213 2012/09/20(木) 15:44:21.84 ID:IMJ0NUQz]

すみません、文字制限があると思ってかなり端折って書いてしまいました。

DNSサーバ(ホスト名:AAA)でnslookupで例えば、yahoo.co.jpを引くとIPアドレスがきちんと引けますが、
DNSサーバ上で、対話形式で、server AAA と自分に切り替えると同じサーバ上でnslookupを行う道理だと思うのですが、
IPアドレスが引けなくなります。
どうもserverコマンドで切り替えたタイミングでIPv6用に切り替わっているように見えます。(AddressがIPv6で返ってきてます)
この後、set type=A等をしても引けない状況です。
これがserverコマンドで切り替えた場合でもIPv4のままになっていればいいのだと思うのですが、BIND関連の設定で
どこか関連している部分がありましたら教えて下さい。

[0218 213 2012/09/20(木) 15:48:27.78 ID:IMJ0NUQz]

追記
server指定でIPアドレスで行う場合は問題ありません、とは
AAAのホストのIPアドレスを指定する場合は、という意味です。
ですので、DNSサーバでserver　AAAとしたタイミングで、AAAを自動的にIPv6で
指定してしまっているのかもしれません。
ちなみにDNSサーバはIPv6には対応していますが、hostsにはそのような記載はしていません。

[0219 DNS未登録さん 2012/09/20(木) 17:18:39.02 ID:???]

/etc/resolv.conf はありますか？あるとすれば、その中身はどうなってますか？
nslookup でサーバーを指定しない場合、resolv.confに書いてあるDNSサーバーに問い合わせます。
もしかすると、そこではIPアドレスで指定してあるかもしれません。
試してにnslookup の server で resolv.confに書いてあるDNSサーバーを指定してみてください。

次に、nslookup で AAA を引いてみてください。
ひょっとしてV6アドレスが返ってくるのではないでしょうか？

その場合、AAAはV6アドレスを持っていますか？またbindはV6アドレスでlistenしていますか？

[0220 213 2012/09/21(金) 11:25:29.60 ID:1iZkgIuH]

>>219
resolv.confですが、中身は
domain AAAのドメイン
search AAAのドメイン
nameserver AAAのIPアドレス(v4)
nameserver 別のDNS2のIPアドレス
nameserver 別のDNS3のIPアドレス
となっております。

nslookupでserver AAAのIPアドレスを実施し、
AAAのホスト名を引くと問題なくIPアドレス(v4)が返ってきております。
AAAはv6アドレスは持っておりますが、53番ポートはIPv4のみ開けています。

[0221 DNS未登録さん 2012/09/21(金) 16:34:49.42 ID:???]

nslookup が server AAAで指定された AAA をIPに変換するときはresolv.confに従うので
AAA DNS2 DNS3 のどれかに問合せることになりますが、

server AAAのIPアドレス ← これは実験済みですね。
server DNS2のIPアドレス
server DNS3のIPアドレス
で v6 になったりしませんか？

/etc/hosts に AAA のv6アドレスを書いてあったりしませんか？

nslookup が server AAA 時に AAA をv6にしてしまうかもしれません。
そうなっているとv6でbindに問い合わせるので答えが返ってこないですね。

[0222 213 2012/09/21(金) 18:09:31.52 ID:???]

>>221
resolv.confに従うのですね。
DNS2,3ともにIPアドレスでserverコマンドで指定して確認しましたが、
問題ありませんでした。
hostsにはIPv6関連の記載はありません。

ちなみにですが、AAA、DNS2はIPv4、v6対応、DNS3はIPv4のみとなります。
且つ、AAA、DNS2、DNS3は全て同じドメインに属しておりまして、
JPRSの指定はDNS3になっております。

[0223 213 2012/09/21(金) 18:12:27.28 ID:???]

途中で送ってしまいました…。

ですので、DNS2をホスト名で server DNS2 とした場合も同様の現象が発生します。
DNS3の場合は問題ありません。

[0224 941 2012/09/21(金) 18:38:21.52 ID:???]

>>223
v6で問い合わせるのと、v6のアドレスが結果として帰ってくるのとは関係がないんだが、
単にAAAのネームサーバーにAAAとDNS2のv6のアドレスが登録されているのではないですか？

lserverでなくserverでは、名前解決にカレントのネームサーバーを照会するから、
server AAAとやった場合、AAAがAAAのv6アドレスを返したら、次からv6のAAAに照会に行きます。

[0225 DNS未登録さん 2012/09/21(金) 19:05:58.54 ID:???]

アドレスを返す他にプリフィックスポリシーだねｗ

[0226 213 2012/09/26(水) 11:03:16.68 ID:87yEh7Qe]

>>224
確認が遅くなりましてすみません。
AAAがv6のアドレスを返すのはどこの設定が怪しいでしょうか?
ホスト名で指定した場合、v4を優先的に返す設定にしたいと思っております。

[0227 DNS未登録さん 2012/09/26(水) 19:35:15.62 ID:???]

bind は 聞かれたことに答えるので v4のアドレスを聞かれれば v4のアドレス、v6のアドレスを聞かれればv6のアドレスを答えます。
any を聞かれれば両方(それ以外も)を答えるので、v6を問い合わせている、もしくはanyで問い合わせてv6アドレスを採用しているやつがいるはずです。
nslookup は nslookupの機能としてDNSへの問いあわせを行う前に、
server AAA と指定されたとき、標準の方法(libcに組み込まれてる)でAAAの名前解決をします。
そのときにv6アドレスになっちゃっているのが今回の問題点だと思いますが、どうですか？
libcの機能の名前解決でv6とv4が帰ってきたらv4優先にするにはどうするか？
FreeBSDにip6addrctlというコマンドがありますが、Linuxでは何になるんでしょう。

[0228 213 2012/09/28(金) 10:55:42.77 ID:nVyq34CI]

> そのときにv6アドレスになっちゃっているのが今回の問題点だと思いますが、どうですか？

そう思っております。
一度libc関連で調査してみます。

[0229 DNS未登録さん 2012/10/08(月) 23:57:14.67 ID:???]

フォワードについて質問です

特定ゾーンだけフォワードしようと思ってるいるのですが、先にルートファイルが読まれてしまいます
rootは上位のサーバからゾーン転送しており、
上位サーバで定義されていないゾーンを管理している別のサーバにフォワードしたいと考えています

option内でforwardの設定を書かずに下記のように書いております

zone "example.co.jp" in {
type forward;
forward only;
forwarders { xxx.xxx.xxx.xxx; };
};

zone "." in {
type slave;
file "secondary/root.zone";
masters { yyy.yyy.yyy.yyy; };
};

下のルート指定をなくした場合は、フォワードが上手く行って名前解決ができるようになります
ルートファイルを読む前にフォワードするにはどうすればよろしいのでしょうか？

[0230 DNS未登録さん 2012/10/09(火) 01:36:27.23 ID:???]

yyy.yyy.yyy.yyy はどこのサーバーなのでしょうか？

[0231 229 2012/10/09(火) 02:25:51.14 ID:???]

質問させて貰いましたDNSサーバの所属するネットワークを管理しているDNSサーバで、
各ゾーンのネームサーバの指定などを行っています。
作成したDNSサーバはネットワークの一部のmasterとして下位ゾーンの管理をしています。

下手な図ですが下記のような形です。

�@最上位DNSサーバ(yyy.yyy.yyy.yyy）
　　↓ゾーン転送　　　　フォワード
�A作成したDNSサーバ　　→　　�@が管理していないネットワークのDNSサーバ（xxx.xxx.xxx.xxx）
　↓　↓　↓　↓
�Aが管理するネットワーク

[0232 DNS未登録さん 2012/10/09(火) 09:40:12.21 ID:???]

root を slave として設定する例は初めて見たし、
さらにそれを forwarder と組み合わせるなんてアホなことをやるのも初めて見た。

思うに、type forward ではなく、type stub がやりたかったことなのではないか。

[0233 DNS未登録さん 2012/10/09(火) 09:56:03.76 ID:???]

>>229
普通ルートには内部で解決手段が無い場合に行くのですが
内部に全体のフォワード設定があればそちら優先ですし
（今回みたいに内部に別途指定があればその部分は指定した方が有効ですが）
記載方法では、example.co.jp（子も含む）当ては別の場所にフォワードしようと見れますが
下の記載がおかしくないですか？
通常 zone "."は 「type hint」になると思いますが（私の知識が浅はかなのかも知れませんが）
ファイル名からルート情報を持っているように見えますが、もしかしてそこで全体のフォワード設定してますか？
と思ったら>>231が続きなのですね
記載の仕方を変更してください
最上位DNSへは全体のフォワード設定として下さい
もし、最上位DNSのスレーブとしてDNSサーバを設計しているならマスターファイルのドメイン名を記載してください

個人的な推測ですが
最上位DNSに設定している複数のマスターファイル及び色んな物を
zone "."で一括で管理して、最上位DNSとDNS間の通信を極力下げようとしているのでは無いでしょうか？
余りそのような設定は聞かないのですが、可能なのでしょうか？仕組み上キャッシュとしては可能だと思いますが
スレーブでは無理なような気がします
ちなみにお使いのDNSサーバーは何を使っているのでしょうか？（BINDかな？）

[0234 229 2012/10/09(火) 23:52:28.50 ID:???]

>>233
＞最上位DNSへは全体のフォワード設定として下さい
こちらの設定で思い通りの動作をしました。
アドバイスありがとうございました

あと使用しているのはBINDでした

>>232
自分自身も「rootをslaveで良いのか？」と思いながら設定してました・・・
ここで書くのもあれですが、研究室が独自に立てたサーバの更新で旧設定からの引継ぎだったんですよね・・・
質問して良いのかどうか迷ってしまいましたが、質問させていただきました（板違いでしたらすみません）

問題となったrootファイルは上位からゾーン転送してきたものをmasterとして設定してたり
（見た感じですと今回forwardする先の情報が、rootファイルから外れたときにslaveから変えたようです）
それをそのまま移植してforwardすればいけないかな？と考えたところが、理解の低さを示してますね・・・
今回、自分がネットワークについて全然分かってないことを思い知りました

拙い文章でしたが、回答していただきありがとうございました

[0235 DNS未登録さん 2012/11/07(水) 21:25:19.15 ID:???]

forwardersを設定している場合、
自分が管理しているゾーンで以外だったらクエリを転送すると思うのですが、
自分が管理しているゾーンファイル中で解決できなかった場合でも、
forwardersに飛ぶのでしょうか？

例えば、
ゾーンＡを管理していて、Ａ内にホストやサブドメインa1,a2,a3がある場合、
問い合わせがゾーンＡのa1であれば即時解決、
問い合わせがゾーンＢのb1であればforwardersで転送ですが、
問い合わせがゾーンＡのa4である場合です。

[0236 DNS未登録さん 2012/11/07(水) 22:27:17.54 ID:???]

>>235
それグローバルオプションのforwardersが優先されたはず。

サブドメインのセカンダリになるか、配下のサブドメインを個別にforwardersしないと
解決できなかった気がするけど、今ならオプションとかあるのかな。

[0237 DNS未登録さん 2012/11/07(水) 23:48:21.75 ID:???]

それはnamed.confでなく、個別のファイルであるゾーンＡファイル内に
「ホストa1〜a3」「（それ以外は）forwardersどこそこ」
という設定するということでしょうか？

[0238 DNS未登録さん 2012/11/08(木) 01:07:44.13 ID:???]

>>237
飛ばずに、無いとなると思います
基本、同一ドメイン名は他に存在しないのが原則ですから

例的に言えば管理ゾーンがAAA.BBB.CCCだったで
中に記載されているホスト名はa1・a2・a3とした場合
a1.AAA.BBB.CCCは即時解決
a1.EEE.FFF.GGGはforwarders転送
a4.AAA.BBB.CCCは存在しない

[0239 236 2012/11/08(木) 02:34:35.95 ID:???]

>>237
スマソ、a4を権限委譲したサブドメインと勘違いしてた。

この場合でも1行目は書き間違いで「グローバルオプションのforwardersの
影響を受けてサブドメインの解決ができない」となるけどね。

[0240 DNS未登録さん 2012/11/08(木) 08:12:50.81 ID:???]

自分が管理しているゾーンＡにa4の情報はないが、
同じゾーンＡを、例えば外部に設置したBINDも管理していて、そこにはゾーンＡのa4の情報がある場合、
a1,a2,a3は自己解決し、a4は外部設置BINDに飛ばす、
という設定はできないものなんでしょうか。

Webサーバーみたいに、内部と外部で、同じゾーンの同じホストでも
違うIPを記述する例（同一ドメインが他に存在し、記述内容が異なる例）も
あると思うんだけど、何か間違えてるかな？

[0241 DNS未登録さん 2012/11/08(木) 09:48:56.94 ID:???]

>>240
DNSの基本構造がおかしくなりますから、無理だと思います
DNSの基本として、マスターは１個ですから
その場合、同一ドメインのマスターが複数あると言う事になりますので
基本に違反する事になります
（※設定によっては、複数のマスターが存在する事も有りますが、双方でレプリケートされ整合性が取れるようになってます）

何故そのような事をしたいのか？しないと行けないのか？など分れば
別の良い方法を提示できる可能性もありますが・・・
（私の知識が古いだけで今は出来たりするのかな？）

[0242 DNS未登録さん 2012/11/08(木) 10:01:30.83 ID:???]

>>240
>Webサーバーみたいに、内部と外部で、同じゾーンの同じホストでも・・・
それはアクセスしに来る場所（IPアドレス）により参照先を変更してます
確かセキュリティーゾーンの設定みたいな感じだったかな？
最近のBINDなら設定可能です
それでも、上記のような管理配下に存在しない場合は別のDNSに問い合わせは無理だったかと

で・・・方法は無い訳では有りません
基本設定にそのような項目が無いならソースは公開されてるので、
そのような動作をするようにすれば良いと言う考えも無くは無いですが・・・絶対にお勧めはしない
どうしても必要、他に方法が無いと言う時の悪手の中の悪手の最終手段

[0243 DNS未登録さん 2012/11/08(木) 12:20:19.28 ID:???]

CNAMEで別のゾーンに逃げるのがakamaiとかでの定石かな。

あるいはRPZでもいけるか？

[0244 DNS未登録さん 2012/11/08(木) 12:53:20.06 ID:???]

それは、ドメインが例えば
a1.AAA.BBB.CCC
a1.EEE.FFF.GGG
に変わった場合のこと？

[0245 DNS未登録さん 2012/11/08(木) 13:42:46.48 ID:???]

「あまりお勧めできるものではないけれど」という前置き付きで view 機能を使えばいいんじゃないか。
と、言いたい人は沢山いるんじゃないだろうか。
けれど view はちょっと複雑なケースになると面倒になるのを皆経験しているのじゃないかな。

viewを使うとクライアントのアドレスや、ホストのアドレスやら毎にドメイン情報を区別できます。
例えばあるbindサーバーが、example.jpのマスターだとして、
インターネット向けには www.example.jp A 1.2.3.4 と
イントラネット向けには www.example.jp A 192.168.0.100
という異なるアドレスを返すようにできます。

これだけ見ると、「ああ、それそれ」と思うかもしれませんがやってみると
zoneファイルが2つになるとか、master、slaveの関係とかいろいろ面倒なことがあります。

[0246 DNS未登録さん 2012/12/18(火) 21:56:42.56 ID:???]

どうしてもCNAMEのホスト名に @ を指定できないと困る状況なのですが、古いbindとかを使えばなんとかなったりしますか？

去年zoneedit.comでDNS設定した際に、どういうわけかCNAMEのホスト名に @ が指定できたのでそのままサービスを運用していたのです・・

[0247 DNS未登録さん 2012/12/19(水) 09:11:44.74 ID:???]

RFC 的に禁止なので、バージョンによってどうにかなるもんじゃないです。

[0248 DNS未登録さん 2012/12/19(水) 10:09:45.04 ID:???]

>>246
古い物ほどその辺厳密だと思いますよ
@はユーザーとドメインの区切りでも使われますし（メールとかで）
仮に運用してても不具合や他の問題が出る可能性が考えられるので
登録情報を修正する事をお勧めします
（移行期間を長く儲けていれば混乱も少ないと思います）
一応ソースは公開されているので、自らソースいじれば@も対応可能だとは思いますが
規定外なので何処でどのような問題が出るか分りません

別の件ですが、某携帯会社のメールアドレスに規定外のアドレスが設定できるために
そのアドレスから送られたメールが届かなかったり、送っても届かないとか有ります
フリーで出回ってるメールーサーバーは対応したりしてますが、大多数のサーバーは
未対応で今でも偶にそのような話が上がります

[0249 DNS未登録さん 2012/12/19(水) 10:29:39.88 ID:???]

>>247
>>246はそんなことを聞いてるんじゃないと思われ。
DNS の仕様的には @ という文字を使うことはまったく禁止されてないし、
実際 BIND などでも何の問題なく設定できる。@ ではなく \@ と書けばいいだけ。
DNS に問い合わせる側がそういう応答をちゃんと扱えるかどうかはまったく別問題だが。

[0250 DNS未登録さん 2012/12/19(水) 10:30:32.35 ID:???]

>>247じゃなくて>>248だた…

[0251 DNS未登録さん 2012/12/19(水) 12:10:40.72 ID:???]

>>249
@使えるんだ　と思って試した
今使ってるバージョン（9.6.2 古いバージョンだった）では

ドメイン名に@入れると起動時にエラーで弾かれます。\@に変えても同じでした
エラー出してるのがドメイン下の設定ファイルなので、その辺を上手く設定してあげればいけるかも
設定ファイルの中に@で書いてる場所がありますからそれと当ってるのかな？
（@止めてきちんと書けば・・・）

ホスト名の方に@は認識してくれました。\@にしなくても可能でした（\@でも可能）
しかし、Windows版のping・nslookupでは共にエラー（該当データ無し）
Linux版ping・nslookupではpingエラー・nslookup返り値有り　と言う不安定な結果
何か渡し方が別途あるのかも知れないですが

>>246
と　言う事で
\付けて問題ないバージョンが存在するみたいなので
それを見つけて導入してはいかがでしょうか？
ただ、DNSを利用するソフトによって挙動が変わる可能性がありますので
使う用途によってはテストをしっかりする必要性が有るかと思います
現状運用していて問題が無いのであれば、問題が起きない可能性もありますが

[0252 DNS未登録さん 2012/12/19(水) 12:31:31.59 ID:???]

CNAMEを@に使って、NSやSOAはどうするつもりなんだ？

[0253 DNS未登録さん 2013/03/01(金) 20:40:20.22 ID:???]

質問させてください。
ネームサーバーを複数登録し、その中の一台が応答すれば名前解決は行われるそうですが、
ゾーンの編集はネームサーバー一台毎に行っているのでしょうか？
たとえば、バリュードメインのゾーン編集を行った場合
NS1-5.valuedomain.comまでを一括で編集するということですか？

[0254 DNS未登録さん 2013/03/01(金) 20:41:22.59 ID:???]

すいません。いた違いですね。

[0255 DNS未登録さん 2013/04/26(金) 23:55:55.89 ID:???]

内向けLAN内で使うDNS構築は意味ありそうなんですが
外部向けDNSって自分がDynamic DNSをユーザーに提供するような目的じゃないと構築する意味ないですよね？

[0256 DNS未登録さん 2013/04/27(土) 00:20:59.17 ID:???]

自分のドメインでメールを受け取ったりWebサーバーを公開したりする人には意味があると思います。

[0257 DNS未登録さん 2013/04/27(土) 01:31:23.95 ID:???]

え？外向けDNSなんか構築しなくてもWEBサーバの公開はできるでしょ？
自分のドメインは外部にあるDNS利用させてもらってIPアドレスを通知すればいいし。
ドメインに対して権威あるDNSをわざわざ自前で立てて外部へ向けるんですか？
それでも可能でしょうけどルータのポートを解放してまで外部へ提供するDNSをわざわざ自前で立てるまでもないですよ。

[0258 DNS未登録さん 2013/04/27(土) 02:07:05.12 ID:???]

そういうケースでは構築する意味はありません。

[0259 DNS未登録さん 2013/04/27(土) 06:10:49.26 ID:???]

>>258
ですよね、

[0260 DNS未登録さん 2013/04/27(土) 16:53:14.00 ID:???]

運用次第だろうね
外部DNS利用するが外部のデータ更新は手続きが面倒なため
外部をサブにして自前をマスターにし、データ更新はマスターで行なうとかもあるし
別に無理して使う必要も無い代物だよ

[0261 DNS未登録さん 2013/04/29(月) 21:55:03.56 ID:???]

BIND9.7xから設定が難しくなりましたね。
デフォルトの設定ファイルの配置が違いす業て最初からハマります。
何がなんだかです。
biind9.8.2+bind9.8.2-chootでの内向けDNSの設定のやり方がいろんなサイト見てもやり方が違いすぎてどれが本当なのか分かりません。
LAN内の名前解決したいだけなのになんでこんなに難しいんだろう。
やりたいのはwindowsで言うところのhostsファイル書き換え程度なのに。

[0262 DNS未登録さん 2013/04/30(火) 09:22:10.72 ID:???]

デフォルトの設定ファイルの配置って、
そんなもん大昔から変わってませんがいったい何の話をしていますか。

[0263 DNS未登録さん 2013/05/02(木) 09:58:42.32 ID:???]

たしかにちょっとテストで使いたいとか、LANも含めて小規模のDNS作りたいときに
BIND使うのは大げさでうざくて面倒な感じがする。
一時期自分も使ってたけど、面倒くさくなってプロバイダに委託してしまった。

だれかもそっと簡易なものを作ってくれんかな？

[0264 DNS未登録さん 2013/05/02(木) 12:47:07.56 ID:???]

むしろそういう用途こそBINDがラクできるんだが。
BIND以外のものはゾーンを持つものとキャッシュさせるものが別実装なので
それぞれ別個に設定しなきゃいけない。

マジメに運用するときは分離していろいろ考えた構成にする必要があるから
BINDでもそれ以外でもたいして手間に変わりはなくなるが、
外に晒さない内向きの名前解決をさせるだけのことでBINDが面倒ということはないはず。

[0265 DNS未登録さん 2013/05/07(火) 02:26:14.00 ID:???]

BIND9.8が遅い
fowardersをルータでなくISPのDNSにした。
ipv6を止めた。
それでも遅い。

[0266 DNS未登録さん 2013/05/07(火) 13:53:00.71 ID:???]

>>15をベースにすれば中用外用分離できるし簡単ｗ

[0267 DNS未登録さん 2013/06/27(木) 01:10:48.97 ID:06FOhXw8]

すんません
教えてください

valuedomain使ってるんだけど
ns @ 対象のネームサーバ

って設定はできないものですか？
サブドメインなしのアドレスのネームサーバを
設定したいんですが・・・