【設定面倒】BIND 総合スレッド【DNS】
すんません 教えてください valuedomain使ってるんだけど ns @ 対象のネームサーバ って設定はできないものですか? サブドメインなしのアドレスのネームサーバを 設定したいんですが・・・ >>267 利用されている場所の設定によると思います サイトを見ると、ネームサーバーの変更方法も有るみたいですし 他のサーバーを利用する場合の項目もあるみたいですが BINDなら SOAドメイン名がdomain.jpだった場合 「 NS @」 で domain.jpがDNSサーバーとなります 「 NS sample」 で sample.domain.jpがDNSサーバーとなります 「 NS sample.jp.」でsample.jpがDNSサーバーとなります 指定ドメイン名の最後がピリオドかどうかで、相対か完全かが分かれてたかと (このような場合も、相対・完全と言うか分りませんが) やりたい事は分るのですが、意図が分らない 上位サーバーにマスター・スレーブを登録されているなら分りますが optionsの記述変更は、rndc reloadコマンドだけで適用されますか? reload はゾーンの読み直し。 設定変更するなら rndc reconfig >>267 サブドメインなしのネームサーバーは、そこに定義するのではなく、別画面(NS)。 上位のネームサーバーで回答してもらわないといけないからね。 今月に入ってから所有する複数のサーバーでnamedのエラーが大量に出るようになったんですが、同じような症状の人います? 自動でアップデートするようにはしてないのでアタックなのかと不安なのですが… >>274 Jul 9 16:01:40 ns named[928]: client xxx.xxx.xxx.xxx#2091: error sending response: unexpected error こんな感じのエラーが大量に出ます。 リソース不足になってないか確認してみては? ttps://kb.isc.org/article/AA-00717/0/Why-does-named-log-error-sending-response.html ちょっと前の記事だけど、オープンリゾルバがDDOSの踏み台になってるとの事 http://www.rbbtoday.com/article/2013/04/18/106611.html 外部からの問い合わせは許可しない設定にしましょう bind9.7.3でdkimを設定してもdigで返ってこないんだけど何でだろ。 default._domainkey IN TXT "v=DKIM1; k=rsa; p=MI****" ; をゾーンに追記だけでいいんだよね? 設定のしかたが間違ってるか確認のしかたが間違ってるか、どっちかまたは両方。 その聞き方だと思い当たる可能性が多すぎて、これ以上のことはわからん。 あまり資料が無く困っているのですが、自身が管理しているゾーン(example.jp)をtype stubにして、 別のDNSへ委任させることはできるのでしょうか? この場合、上位(jpドメイン)のDNSでは、特に何もしなくても良いのでしょうか? Windows 2000 から Windows Server 2012に移行しました。 BINDを8から9.10.0-P1.x64に変更して named.confなどはそのままBIND 9に持ってきました。 いざ稼動してみると20分くらいでBINDが落ちてしまいます。 Windows Server 2012でBIND 9が正常に動いている人いますか? Bind設定してやっとエラーもでなくなったんで下みたいにnslookupしてみたんだけど引けない。 nslookup server.com 192.168.1.88 *** Can't find server name for address 192.168.1.88: No response from server Server: UnKnown Address: 192.168.1.88 *** UnKnown can't find server.com: No response from server ログファイル見てみると下のログが延々と並んでる。 netstat -ls すると53番ポートは開いてる。 なにをどうなおせばいいのか全くわからないだれか教えてください。 20-Jun-2014 13:29:37.955 general: debug 1: zone_maintenance: managed-keys-zone ./IN: enter 20-Jun-2014 13:29:38.006 general: debug 1: zone_settimer: managed-keys-zone ./IN: enter 20-Jun-2014 13:29:38.006 general: debug 1: zone_timer: managed-keys-zone ./IN: enter 20-Jun-2014 13:29:38.006 general: debug 1: zone_maintenance: managed-keys-zone ./IN: enter 127.0.0.1は? そしてファイアウォールとかaclとか。 > Server: UnKnown BIND以前の問題だなw なんだか古巣に戻ってきた気分で。 BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 (CentOS6.5) 動かしてます。けれども。 top - 23:58:09 up 6 days, 22:13, 2 users, load average: 1.34, 1.39, 1.36 Tasks: 248 total, 2 running, 246 sleeping, 0 stopped, 0 zombie Cpu(s): 24.9%us, 0.1%sy, 0.0%ni, 74.9%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 12187176k total, 10465200k used, 1721976k free, 286760k buffers Swap: 23568376k total, 16324k used, 23552052k free, 4413928k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 4101 named 20 0 5349m 4.8g 2680 S 100.0 41.3 10564:16 /usr/sbin/named -u named -t /var/named/chroot こんなことになっています。 動作は問題無いけれども、負荷掛かりすぎ?メモリ食い過ぎ? ちょと心配になって。これって異常? ちなみにエントリ数が5.3Mあったりします。 >>288 純粋にキャッシュの増大が原因ならmax-cache-size設定してみたら? アホな質問かもしれませんが、 1台のサーバでマスターとスレーブを設定することってできますか? BINDを使って名前解決できるようになったんだけど、 一部のドメインとレジストラの組み合わせではマスターとスレーブの二台を登録しないと 登録できないみたいで困っとります。 >>290 view使えばできるけど・・・というのは置いといて。 2つのNSレコードが必要なんでしょ。 2つのNSレコードを登録してIPアドレス一緒にして回避するか、 だめなら2つの異なるIPアドレスでネームサーバ立てるしかないでしょ。 >>291 だめなら2つの異なるIPアドレスでネームサーバ立てるしかないでしょ。 一つのネームサーバに2つのIPアドレスでいけるかもね。 >>291 なるほど、2つのNSレコードで対応すればいいんですな。 >>292 上の方法でダメだったらあきらめてVPSでも借りて二台立てます。 しかし、普通みんな普通に2台も立ててんのかな? ネームサーバなんてスパムさえ来なければ全然負荷ないのに…。 >>293 負荷対策って言うより、障害対策って事だと思う。 ありがとう。 NSをもう一つ書いたらレジストラに登録はできたけど、 セカンダリでアクセス出来なかった。 そこでセカンダリDNSに登録したらさくっとできたわ。 無料で提供している所あるんだねっていうか、これ絶対に一定の需要あるよね。 昔は知り合いのところと相互にセカンダリーを引き受けてたよね。 ___ _ ヽo,´-'─ 、 ♪ r, "~~~~"ヽ i. ,'ノレノレ!レ〉 ☆ 日本のカクブソウは絶対に必須です ☆ __ '!从.゚ ヮ゚ノル 総務省の『憲法改正国民投票法』のURLです。 ゝン〈(つY_i(つ http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html `,.く,§_,_,ゝ, ~i_ンイノ ★マインドコントロールの手法★ ・沢山の人が偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い ,,,,, 質問です。 BIND9を使ってます。 netstat などで待ち受け状況を見ると IPv6では *.53 IPv4では 127.0.0.1.53 <自IP>.53 などと、IPv4では持っているIPアドレス毎にbindしているように見えます。 これを *.53の様に「何処からでも待ち受け」にするには、 どのような設定を行えばよいでしょうか。 関係ありそうなものといえば、現在 listen-on { any; }; listen-on-v6 { any; }; としているくらいです。 tcpじゃね? バージョンもなんもかいとらんし判らンゴ >>301 OSなどの種類が分らないと netstatはBINDのコマンドでも無いからね 既にその設定なら何処からでも受け付けていると思うけど それに、 IPv6では *:53 IPv4では 127.0.0.1:53 <自IP>:53 こうでは無いかな? 仮に繋がらないと言うなら FW(linux系ならiptablesとか)が遮断しているのでは無いでしょうか? それともネットワークカードが複数あり全てで待ちうけしたいのかな? BINDは逆に何もしなければ全てのNICで待ち受けしたと思うけど >>303 NICが複数ある状態で使っているのです。 現状を簡単に説明すると、 今使っている環境、仮にインタフェースが3つあってそれぞれIPアドレスを <a>、<b>、<e>とすると <a>.53にbindは成功するけど、<e>.53はbindに失敗するといった状況です。 これ自体は問題ではなくて、権限の話なのでどうでもいいのですが BINDではbindに失敗すると(ややこしいな・・・)エラーログを出し続けます。 これがうっとおしいので、どうにかしたいのです。 わざわざすべてのNIC(<a>、<b>、<e>)に対してbindするのではなく、 0.0.0.0に対してbindすれば解決するんですが、どうにかならないものかと。 ( IPv6では 0に対してbindしてますよね ) >>305 ありゃ。駄目なんですか。 別のアプローチ考えます。。。 情報有り難うございました。 今度IPアドレスが変わるんですが 事前作業としてはDNSサーバーのzoneファイルのTTLを 15分とかにしておけばいいでしょうか? ゾーン転送のリフレッシュタイムを1時間にしました。 質問させて下さい。 DDNS、サブドメイン無しの環境で ホスト名「SV01」固定IP「192.168.1.100」のAレコードを登録している正引きゾーンに対し、 同一のホスト名のDHCPクライアント「SV01」「172.16.1.101」が現れた時に DHCPサーバからのdns updateによる上記レコードの上書きをさせないようにするには どのような手法がありますか? >>311 SV01をサブドメインにして、そのドメインはDDNSでの更新を許可しない。 >>313 update-policyを調べてみたけど、要件は満たしていそうに見える。 ダメな理由は? >>316 >>317 deny sv01.example.jp self sv01.example.jp. A; ではダメなんか? ここは質問スレじゃないから書く奴のご機嫌次第だぞ 1から10まで書かないと理解できないというのなら実装されてないと思って諦めなさい >>341 特定のAレコードを更新禁止にしたいのならupdate-policyで出来そうなんだけど、違うのか? update-policyはoptionsで定義は可能でしょうか? それともzoneでしか書けないのでしょうか? >>350 http://www.zytrax.com/books/dns/ch7/xfer.html#update-policy update-policy only applies to, and may only appear in, zone clauses. zoneの中だけですね。 あえてBIND9でRBLを構築しているのですが、 正引きにおいてうまく返事が返ってこない症状が出ました。 route: 91.121.0.0/16 descr: OVH ISP descr: Paris, France origin: AS16276 このアドレスに対して127.0.0.2を返そうとゾーンファイルを作成したのですが、 あるレンジでは、何も返ってこなくなります。 *.121.91.exsample.net IN A 127.0.0.2 この設定において、正引きしてみたところ、以下のような結果が返ってきました。 > dig 0.0.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.1.121.91.exsample.net @BINDのアドレス +short > dig 0.2.121.91.exsample.net @BINDのアドレス +short : : > dig 0.7.121.91.exsample.net @BINDのアドレス +short > dig 0.8.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.224.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.255.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 123.1.121.91.exsample.net @BINDのアドレス +short > 91.121.1.0-91.121.7.255の間が127.0.0.2と返ってこないのは 何かしらの設定がおかしいのでしょうか? ご意見いただけるとありがたいです。 > named -v BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 バージョンはこちらになります(CentOS6.5) bind9で複数ゾーンの運用中なんだけど、サブドメインの委任をすることになった。 で、nsupdateでグルーレコードはどうやって登録すればいいのかな というか、そもそもグルーレコードは必要なのか 自分のドメインがabc.jpとして、サブドメインがsub.abc.jp、subのネームサーバがns1.ddd.jpとns2.ddd.jpなら、クライアントはグルーレコードが無くてもns1とns2のipを解決できるんじゃないだろか どうだろ? >>355 グルーレコードが必要なのは、それがないと辿れないとき。 クライアントはabc.jpとは関係なく ddd.jp のネームサーバーを知ることができる。 ちなみに abc.jp も ddd.jp も実際にあるっぽい。 >>359 それは例示用に使っていい予約ドメインですよ。 >>359 example.jp、予約されてはいるけど、例で使っていいのは、com,net,orgだけじゃないの? JPRSがexample.jpとかexample0.jp〜example9.jpとかは例示に使っていいよと表明してる。 RFCには載ってないけど。 Q. 例示に使用可能なドメイン名はありませんか? ttp://jprs.jp/faq/use/ 現在allow-update で指定したホストのみupdate受信を許可している状態で、特定のAレコード更新を拒否するのにupdate-policyを追加したらエラーが出てサービスが上がりません。 allow-updateをコメントにするとサービスは上がるのでupdate-policyの記載には問題ないように見えます。 update-policyとallow-updateは同時に使用出来ないのでしょうか? その場合、allow-updateのように許可ホストはupdate-policyで定義するのでしょうか? 実現したいのは 1.特定のホストからのupdate受信を許可 2.特定のAレコードの更新を拒否 です。どなたかご存知の方いらっしゃいましたらご教授願います。 http://www.bind9.net/arm910.pdf 6.2.28.4 Dynamic Update Policies (略) Rules are specified in the update-policy zone option, and are only meaningful for master zones. When the update-policy statement is present, it is a configuration error for the allow-update statement to be present. The update-policy statement only examines the signer of a message; the source address is not relevant. ルールはupdate-policyゾーンオプションで指定され、マスターゾーンでのみ意味を持つ。 update-policy文が存在する場合、allow-update文が存在するとコンフィギュレーションエラーになる。 update-policy文はメッセージ(アップデート要求)の署名者だけをテストし、ソースアドレス(IPアドレス)は無視する。 > update-policyとallow-updateは同時に使用出来ないのでしょうか? 出来ません。使えるのはどちらか一方だけです。 > 1.特定のホストからのupdate受信を許可 IPアドレスでの指定はできないので、そのホストで署名するようにしましょう。 > 2.特定のAレコードの更新を拒否 deny *.example.com. name nochange.example.com. A; こんなのでは出来るかもしれません。試してないです。悪しからず。 ☆ 日本の核ブ装は絶対に必須ですわ。☆ http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html ☆ 日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、改憲の参議院議員が 3分の2以上を超えると日本国憲法の改正です。皆様方、必ず投票に自ら足を運んでください。 私たちの日本国憲法を絶対に改正しましょう。☆ マ イ ン ド コ ン ト ロ ー ル の手法 ・沢山の人が、偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い 靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト 10人に一人は カ ル ト か 外 国 人 「ガ ス ラ イ テ ィ ン グ」 で 検 索 を ! DNS設定に不備があるってJPRSからプロバイダ経由で 注意喚起の通知が来た。 allow-transfer設定してなかったら全て転送可になるんだね。 現在DNSサーバにDDoS攻撃受けてる。udp53に大量のパケット来てるからとりあえず セカンダリのみ許可してあとは破棄してる。 なにか有効な対策はないものか。 >>372 Queryパケット? それともAMP攻撃による応答パケット? 元々bindでdns鯖立ててるんだけど、新しくWindowsServer2012でADサーバ立てた。 で、Win側でAD立てる際にDNSも自動設定したんだけど、そのうち作成されたADに必要なゾーン情報(srvレコードなど)を、既存のbind側で管理させたい。 結構ありそうな状況だと思うんだけど、ネットにあまり情報がないんだよなぁ…。 bindのDNSをADのDNSに移行するっつー逆の情報は少しあるんだけど。 結局、ADの検証したいだけで、Win2012は仮想だから常時起動させてる訳でないのね、だからラズパイで常時起動させてるbindを主のDNS鯖にしたい。 もうちょい自力で色々調べるつもりだけど、降参したら後日詳細書き込みます。 >>375 出来なくは無いがお勧めしない AD(Active Directory)とDNSはセットだし、AD組んでて AD落とせばADの機能使えないし 名前解決だけをDNSに持たせたいなら普通の方法で使えるし MSのDNS独自設定を使うのもあったような気がする 単純な方法はスレーブとすれば良い もしくは設定時に別DNSを使うとかで構築するなど コマンドからDNSの内容を再生成するのもあったと思う どちらにせよ、DNSに自動更新機能無いと無理だと思う >>376 >単純な方法はスレーブとすれば良い WindowsServer側を、って事? てか実は、何とか自己解決できました。 ラズパイのbindで、ADとなるWindowsServerからの動的更新を許可。 ADのDNSで各ゾーンをセカンダリに設定し、プライマリをラズパイのbindに設定。 その後、WindowsServerのコマンドプロンプトで ipconfig/registerdns コマンドを打ったら、上手く既存のレコードとsrvレコードを統合できました。 てっきりsrvレコードは自動では更新されないと思ってたけど、プライマリのDNS側で動的更新を許可してやれば、別のDNSでも更新されるのね…。 srvレコード情報は、ADサーバが定期的に最新情報を発信してくれてる、って感じなんかなぁ。よくわからんが。 私は元創価の会員でした。 すぐ隣に防衛省の背広組の官舎があるのですが、 自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、 学会本部に送っていました。 別に大したものは写っていません。ごみ出しとか奥さんが子供を遊ばせている所とか。 官舎が老朽化して使われなくなってから、 今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、 もう守ってやれないのでこれからは満額申告するように言われました。 納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、 朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ 馬鹿らしくなって脱会しました。 それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。 全部自分の出来心から始まった事で、どこへ訴えると言うわけにもいかないのですが、 なんとかあの人たちと縁を切って新しい始まりを迎える方法はないんだろうか。 「OracleがDNSサーバー管理代行サービスなどを手がける米Dynを買収(中略) 今年10月にはDynが大規模な攻撃を受け」 OracleがDynを買収 | スラド IT https://it.srad.jp/story/16/11/24/0641237/ 2016年11月24日 17時17分 Hyper-V鯖を試食中なんだけどゲストをLinuxで動的メモリONにすると最大値を 大き目に設定しても起動時のメモリ設定以上は使えないみたいな動きに 見えるんだけどそんなもん? ヘルプ見ると起動時のメモリはギリギリ起動する位に絞るべしみたいな事が書かれて いるしLinuxの対応の問題なのかなぁと。 試したのはCentOS6.3とDebian7+Kernel3.8.13のバルーン >>380 DNSなどのOS・サービスの問題ではなく Hyper-V側の制御の問題だと思う OS・サービスから見た場合は、動的・静的は気にしないはずだからね そこが仮想化などの良い部分だし Linux系なら高付加掛けてみると良い メモリある限りスワップ基本使わないから スワップが増えないと思う メモリが足りてなければスワップが増加するはず BINDとは余り関係無いと思う すごくおもしろいPCさえあれば幸せ小金持ちになれるノウハウ 一応書いておきます グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』 QQZU9 Windows10に最新bindだけど、confが別れワケわからなくて、フォワーダーしか動いてない ちなウブンツ そうだよな。 コンテンツ鯖ならnsdでプライマリ作って、 セカンダリはホスティングに丸投げさ… 私たち日本人の、日本国憲法を改正しましょう。 総ム省の、『憲法改正國民投票法』、でググって みてください。拡散も含め、お願い致します。 bindってそろそろオワコンにならないのかな… 小規模ならnsd、大規模ならPowerDNSあたりで良い気がする。 キャッシュなら適当なの結構あるし。 ┌─‐「][] _,ィ ´ ̄`ヽ、  ̄ ̄} | _ /:.ゝ-─‐<> r─' ノ 「Y {´ ̄`ン':.:.:.:.:.:.:.:.:.:.:.:.:}{  ̄ Lハj_, ィ'´⌒⌒ヽ、:.:.:.ィ、ハ [[] 「} _/∠二ニニニ¬、_ハ:.:.:.ヽヽ', rー'_ノ //´ 了~~~⌒~`ヽ.弋゙Tl:.:.:.:_j」 l { { { j} }士ぅ'´:.:_〉| い、__ >、___ __, ィ人 ヽく_:./:.〉ゝ ィ ⌒ >'/ い 〉~~〉T~~T< ヽハ 〈_:.く ( _ イ `7 ハ⊥__j_i___〉 ,}イ 〈_/ ( _) ハ__厶>ー‐一_7 /´ ゝ ___,ノ /ーY):::ノ ` ̄´厶.、/_ {::::::::/ /⌒ー'::::::}  ̄´ {:::::::::;: ィ もはやbindである必要性がない。 10万個レベルのゾーン作って起動すると、 最後のドメインに答えられるようになるまでに30分以上掛かるわ。 その間はパケットフィルタでもしとかないとゾーンはありませんって嘘つくしな。 キャッシュは1.1.1.1や8.8.8.8でいいし、 もしくはそこをforwarderとするヤツをLAN内に置けばいいな。 流石にdjbdnsのままはまずいとは思ってるんだけど何に乗り換えたものかわからなくて困ってる >>393 dnscacheならUnboundやPowerDNS Recursorあたりに乗り換えた方がいいと思うが tinydns/axfrdnsはそのままでも問題ないよ 自分はNSDに乗り換えたけど unbound試用中。 いろいろ覚えることが多い。 unboundって設定ファイル無しでも動くんだな ルートサーバのIPアドレスとかバイナリに含まれてるから、 単に使うだけなら無設定でいける 今時まともなパッケージシステム使ってたらrootもパッケージで入るよ rhel7、chrootで構築して普通に動作できている /var/named/chroot/etcなどにあるファイルも正常。 なのに、 df -haを見ると、なにやらマウントはできてそうなのだが、 /dev/sda3 1111 222 3333 3% /var/named/chroot〜 みたいになる。 なぜにdev sda3??? Bindはソフトのコンセプトとして部分ごとに編集する ブロックエディターというものがあるのですが、これが最悪に使いづらいです。 ブロックの編集窓がパソコンディスプレイの全体幅に対して 50パーセント前後しか確保できておらず、なおかつこの窓のサイズが 変更できないのだそうです。センターに聞いても対応できるかわかりませんが 稟議にはあげておくとかWindowsのズームで見ると文字が大きく見えるとか、 見当違いな返答ばかりしてくるのでデジタルステージには本当に困っています。 なんか他のユーザーさんに聞いてみたくって。すみません。 自分が使い方を知らないだけなのかもしれませんが ブロックエディターの編集窓って、画面端をつかんでドラッグしたり大きくできましたか? ここかなぁ。。。。 ir.nsfc.gov.cn を名前解決すると bind が落ちるって症状、他の人でも発生します? bind は 9.14.4、FreeBSD 12.0R の ports で入れたものです。 DNS初心者で申し訳ないのですが、質問させてください。 CetnOS8、bind 9.11、で構築し名前解決まではできたのですが、 ホスト名のみでの名前解決ができません。どこの設定が必要になりますでしょうか? (ホスト名のみでの名前解決はできないのが普通なのでしょうか?) xxxx.localdomain → 名前解決できる xxxx → できない。 >>403 /etc/resolv.confに追記: domain localdomain >>404 ありがとうございます。 Net上、ちゃんと読めばありましたね。助かりました。 すいません。 ちなみに、Windowsでもおなじことする方法ご存じでしょうか? サフィックス で、できました。 firewalld 開け忘れてました。 いつもは、ActiveDirectoryばかりだったもんで。 お手数をおかけしました。 ローカルDNSサーバーについて質問させてください。 .localとかは使わないほうがいいということで、ムームームドメインで取得したドメインのサブドメインで(sub.example.com)権威サーバーをローカルネットワークで使いたいと思います。 このような用途で 1.ムームードメイン側でsub.example.comのAレコードは追加が必要でしょうか。 2.DNSSECの設定はローカル内でのみ使うDNSサーバーでもした方がいいのでしょうか、キャッシュサーバーは別に用意しています。 1. 必要 必要だが、Aレコードが必要なのはsub.example.comゾーンのNSレコードに対応してしたA。 sub ns ns1.example.com sub ns ns2.example.com ns1 a 192.0.2.53 ns2 a 192.02.153 的な雰囲気。 これをムームー側にも書く。 ムームーがプライベートIPでAレコード書けるかは知らん。 2. どっちでもいい。 お前しかアクセスしないからお前のローカルキャッシュDNSがDNSSEC Validationを使ってないなら誰も参照しない。 あと、キャッシュでforward設定入れないとダメ。 間違えた。 sub ns ns1.sub.example.com sub ns ns2.sub.example.com こっちだな。 BINDでフルリゾルバも兼ねたら1も不要になるよね フルリゾルバを兼用してても、上位ゾーンに設定が不要になるだけで、ゾーン自体は書かないとダメだぞ。 サーバー移転のために、新しいサーバー構築でつまづいています 古い方は稼働中で、ドメインを別にしてテスト構築中です いずれもVPSです BINDでDNSをたてdnscheck.jpでもOK表示 既存のサーバー上でdigを叩くとREFUSEDで結果が返らず なぜかmacのターミナルでdigを叩くときちんと返ってきます ウェブサーバーは、ドメイン名でアクセスOK メールサーバーは、内部の送受信はOKですが 外部からのメールは届きません 送り元のサーバー上ではIPひけないのでqueに残ったまま送信されていません ゾーンファイル見直し(ウェブは引けるのでメールがNGな理由がわからず) Firewalldのdns許可確認 あとは、どこ探ればいいでしょうか・・・ ちなみに既存サーバー側でnslookupすると Non-authoritative answer:とついた上で、一応IPアドレスはひけています read.cgi ver 07.5.4 2024/05/19 Walang Kapalit ★ | Donguri System Team 5ちゃんねる