【設定面倒】BIND 総合スレッド【DNS】
無かったから建てた。 正直webminすごく助かる >>267 利用されている場所の設定によると思います サイトを見ると、ネームサーバーの変更方法も有るみたいですし 他のサーバーを利用する場合の項目もあるみたいですが BINDなら SOAドメイン名がdomain.jpだった場合 「 NS @」 で domain.jpがDNSサーバーとなります 「 NS sample」 で sample.domain.jpがDNSサーバーとなります 「 NS sample.jp.」でsample.jpがDNSサーバーとなります 指定ドメイン名の最後がピリオドかどうかで、相対か完全かが分かれてたかと (このような場合も、相対・完全と言うか分りませんが) やりたい事は分るのですが、意図が分らない 上位サーバーにマスター・スレーブを登録されているなら分りますが optionsの記述変更は、rndc reloadコマンドだけで適用されますか? reload はゾーンの読み直し。 設定変更するなら rndc reconfig >>267 サブドメインなしのネームサーバーは、そこに定義するのではなく、別画面(NS)。 上位のネームサーバーで回答してもらわないといけないからね。 今月に入ってから所有する複数のサーバーでnamedのエラーが大量に出るようになったんですが、同じような症状の人います? 自動でアップデートするようにはしてないのでアタックなのかと不安なのですが… >>274 Jul 9 16:01:40 ns named[928]: client xxx.xxx.xxx.xxx#2091: error sending response: unexpected error こんな感じのエラーが大量に出ます。 リソース不足になってないか確認してみては? ttps://kb.isc.org/article/AA-00717/0/Why-does-named-log-error-sending-response.html ちょっと前の記事だけど、オープンリゾルバがDDOSの踏み台になってるとの事 http://www.rbbtoday.com/article/2013/04/18/106611.html 外部からの問い合わせは許可しない設定にしましょう bind9.7.3でdkimを設定してもdigで返ってこないんだけど何でだろ。 default._domainkey IN TXT "v=DKIM1; k=rsa; p=MI****" ; をゾーンに追記だけでいいんだよね? 設定のしかたが間違ってるか確認のしかたが間違ってるか、どっちかまたは両方。 その聞き方だと思い当たる可能性が多すぎて、これ以上のことはわからん。 あまり資料が無く困っているのですが、自身が管理しているゾーン(example.jp)をtype stubにして、 別のDNSへ委任させることはできるのでしょうか? この場合、上位(jpドメイン)のDNSでは、特に何もしなくても良いのでしょうか? Windows 2000 から Windows Server 2012に移行しました。 BINDを8から9.10.0-P1.x64に変更して named.confなどはそのままBIND 9に持ってきました。 いざ稼動してみると20分くらいでBINDが落ちてしまいます。 Windows Server 2012でBIND 9が正常に動いている人いますか? Bind設定してやっとエラーもでなくなったんで下みたいにnslookupしてみたんだけど引けない。 nslookup server.com 192.168.1.88 *** Can't find server name for address 192.168.1.88: No response from server Server: UnKnown Address: 192.168.1.88 *** UnKnown can't find server.com: No response from server ログファイル見てみると下のログが延々と並んでる。 netstat -ls すると53番ポートは開いてる。 なにをどうなおせばいいのか全くわからないだれか教えてください。 20-Jun-2014 13:29:37.955 general: debug 1: zone_maintenance: managed-keys-zone ./IN: enter 20-Jun-2014 13:29:38.006 general: debug 1: zone_settimer: managed-keys-zone ./IN: enter 20-Jun-2014 13:29:38.006 general: debug 1: zone_timer: managed-keys-zone ./IN: enter 20-Jun-2014 13:29:38.006 general: debug 1: zone_maintenance: managed-keys-zone ./IN: enter 127.0.0.1は? そしてファイアウォールとかaclとか。 > Server: UnKnown BIND以前の問題だなw なんだか古巣に戻ってきた気分で。 BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 (CentOS6.5) 動かしてます。けれども。 top - 23:58:09 up 6 days, 22:13, 2 users, load average: 1.34, 1.39, 1.36 Tasks: 248 total, 2 running, 246 sleeping, 0 stopped, 0 zombie Cpu(s): 24.9%us, 0.1%sy, 0.0%ni, 74.9%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 12187176k total, 10465200k used, 1721976k free, 286760k buffers Swap: 23568376k total, 16324k used, 23552052k free, 4413928k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 4101 named 20 0 5349m 4.8g 2680 S 100.0 41.3 10564:16 /usr/sbin/named -u named -t /var/named/chroot こんなことになっています。 動作は問題無いけれども、負荷掛かりすぎ?メモリ食い過ぎ? ちょと心配になって。これって異常? ちなみにエントリ数が5.3Mあったりします。 >>288 純粋にキャッシュの増大が原因ならmax-cache-size設定してみたら? アホな質問かもしれませんが、 1台のサーバでマスターとスレーブを設定することってできますか? BINDを使って名前解決できるようになったんだけど、 一部のドメインとレジストラの組み合わせではマスターとスレーブの二台を登録しないと 登録できないみたいで困っとります。 >>290 view使えばできるけど・・・というのは置いといて。 2つのNSレコードが必要なんでしょ。 2つのNSレコードを登録してIPアドレス一緒にして回避するか、 だめなら2つの異なるIPアドレスでネームサーバ立てるしかないでしょ。 >>291 だめなら2つの異なるIPアドレスでネームサーバ立てるしかないでしょ。 一つのネームサーバに2つのIPアドレスでいけるかもね。 >>291 なるほど、2つのNSレコードで対応すればいいんですな。 >>292 上の方法でダメだったらあきらめてVPSでも借りて二台立てます。 しかし、普通みんな普通に2台も立ててんのかな? ネームサーバなんてスパムさえ来なければ全然負荷ないのに…。 >>293 負荷対策って言うより、障害対策って事だと思う。 ありがとう。 NSをもう一つ書いたらレジストラに登録はできたけど、 セカンダリでアクセス出来なかった。 そこでセカンダリDNSに登録したらさくっとできたわ。 無料で提供している所あるんだねっていうか、これ絶対に一定の需要あるよね。 昔は知り合いのところと相互にセカンダリーを引き受けてたよね。 ___ _ ヽo,´-'─ 、 ♪ r, "~~~~"ヽ i. ,'ノレノレ!レ〉 ☆ 日本のカクブソウは絶対に必須です ☆ __ '!从.゚ ヮ゚ノル 総務省の『憲法改正国民投票法』のURLです。 ゝン〈(つY_i(つ http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html `,.く,§_,_,ゝ, ~i_ンイノ ★マインドコントロールの手法★ ・沢山の人が偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い ,,,,, 質問です。 BIND9を使ってます。 netstat などで待ち受け状況を見ると IPv6では *.53 IPv4では 127.0.0.1.53 <自IP>.53 などと、IPv4では持っているIPアドレス毎にbindしているように見えます。 これを *.53の様に「何処からでも待ち受け」にするには、 どのような設定を行えばよいでしょうか。 関係ありそうなものといえば、現在 listen-on { any; }; listen-on-v6 { any; }; としているくらいです。 tcpじゃね? バージョンもなんもかいとらんし判らンゴ >>301 OSなどの種類が分らないと netstatはBINDのコマンドでも無いからね 既にその設定なら何処からでも受け付けていると思うけど それに、 IPv6では *:53 IPv4では 127.0.0.1:53 <自IP>:53 こうでは無いかな? 仮に繋がらないと言うなら FW(linux系ならiptablesとか)が遮断しているのでは無いでしょうか? それともネットワークカードが複数あり全てで待ちうけしたいのかな? BINDは逆に何もしなければ全てのNICで待ち受けしたと思うけど >>303 NICが複数ある状態で使っているのです。 現状を簡単に説明すると、 今使っている環境、仮にインタフェースが3つあってそれぞれIPアドレスを <a>、<b>、<e>とすると <a>.53にbindは成功するけど、<e>.53はbindに失敗するといった状況です。 これ自体は問題ではなくて、権限の話なのでどうでもいいのですが BINDではbindに失敗すると(ややこしいな・・・)エラーログを出し続けます。 これがうっとおしいので、どうにかしたいのです。 わざわざすべてのNIC(<a>、<b>、<e>)に対してbindするのではなく、 0.0.0.0に対してbindすれば解決するんですが、どうにかならないものかと。 ( IPv6では 0に対してbindしてますよね ) >>305 ありゃ。駄目なんですか。 別のアプローチ考えます。。。 情報有り難うございました。 今度IPアドレスが変わるんですが 事前作業としてはDNSサーバーのzoneファイルのTTLを 15分とかにしておけばいいでしょうか? ゾーン転送のリフレッシュタイムを1時間にしました。 質問させて下さい。 DDNS、サブドメイン無しの環境で ホスト名「SV01」固定IP「192.168.1.100」のAレコードを登録している正引きゾーンに対し、 同一のホスト名のDHCPクライアント「SV01」「172.16.1.101」が現れた時に DHCPサーバからのdns updateによる上記レコードの上書きをさせないようにするには どのような手法がありますか? >>311 SV01をサブドメインにして、そのドメインはDDNSでの更新を許可しない。 >>313 update-policyを調べてみたけど、要件は満たしていそうに見える。 ダメな理由は? >>316 >>317 deny sv01.example.jp self sv01.example.jp. A; ではダメなんか? ここは質問スレじゃないから書く奴のご機嫌次第だぞ 1から10まで書かないと理解できないというのなら実装されてないと思って諦めなさい >>341 特定のAレコードを更新禁止にしたいのならupdate-policyで出来そうなんだけど、違うのか? update-policyはoptionsで定義は可能でしょうか? それともzoneでしか書けないのでしょうか? >>350 http://www.zytrax.com/books/dns/ch7/xfer.html#update-policy update-policy only applies to, and may only appear in, zone clauses. zoneの中だけですね。 あえてBIND9でRBLを構築しているのですが、 正引きにおいてうまく返事が返ってこない症状が出ました。 route: 91.121.0.0/16 descr: OVH ISP descr: Paris, France origin: AS16276 このアドレスに対して127.0.0.2を返そうとゾーンファイルを作成したのですが、 あるレンジでは、何も返ってこなくなります。 *.121.91.exsample.net IN A 127.0.0.2 この設定において、正引きしてみたところ、以下のような結果が返ってきました。 > dig 0.0.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.1.121.91.exsample.net @BINDのアドレス +short > dig 0.2.121.91.exsample.net @BINDのアドレス +short : : > dig 0.7.121.91.exsample.net @BINDのアドレス +short > dig 0.8.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.224.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.255.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 123.1.121.91.exsample.net @BINDのアドレス +short > 91.121.1.0-91.121.7.255の間が127.0.0.2と返ってこないのは 何かしらの設定がおかしいのでしょうか? ご意見いただけるとありがたいです。 > named -v BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 バージョンはこちらになります(CentOS6.5) bind9で複数ゾーンの運用中なんだけど、サブドメインの委任をすることになった。 で、nsupdateでグルーレコードはどうやって登録すればいいのかな というか、そもそもグルーレコードは必要なのか 自分のドメインがabc.jpとして、サブドメインがsub.abc.jp、subのネームサーバがns1.ddd.jpとns2.ddd.jpなら、クライアントはグルーレコードが無くてもns1とns2のipを解決できるんじゃないだろか どうだろ? >>355 グルーレコードが必要なのは、それがないと辿れないとき。 クライアントはabc.jpとは関係なく ddd.jp のネームサーバーを知ることができる。 ちなみに abc.jp も ddd.jp も実際にあるっぽい。 >>359 それは例示用に使っていい予約ドメインですよ。 >>359 example.jp、予約されてはいるけど、例で使っていいのは、com,net,orgだけじゃないの? JPRSがexample.jpとかexample0.jp〜example9.jpとかは例示に使っていいよと表明してる。 RFCには載ってないけど。 Q. 例示に使用可能なドメイン名はありませんか? ttp://jprs.jp/faq/use/ 現在allow-update で指定したホストのみupdate受信を許可している状態で、特定のAレコード更新を拒否するのにupdate-policyを追加したらエラーが出てサービスが上がりません。 allow-updateをコメントにするとサービスは上がるのでupdate-policyの記載には問題ないように見えます。 update-policyとallow-updateは同時に使用出来ないのでしょうか? その場合、allow-updateのように許可ホストはupdate-policyで定義するのでしょうか? 実現したいのは 1.特定のホストからのupdate受信を許可 2.特定のAレコードの更新を拒否 です。どなたかご存知の方いらっしゃいましたらご教授願います。 http://www.bind9.net/arm910.pdf 6.2.28.4 Dynamic Update Policies (略) Rules are specified in the update-policy zone option, and are only meaningful for master zones. When the update-policy statement is present, it is a configuration error for the allow-update statement to be present. The update-policy statement only examines the signer of a message; the source address is not relevant. ルールはupdate-policyゾーンオプションで指定され、マスターゾーンでのみ意味を持つ。 update-policy文が存在する場合、allow-update文が存在するとコンフィギュレーションエラーになる。 update-policy文はメッセージ(アップデート要求)の署名者だけをテストし、ソースアドレス(IPアドレス)は無視する。 > update-policyとallow-updateは同時に使用出来ないのでしょうか? 出来ません。使えるのはどちらか一方だけです。 > 1.特定のホストからのupdate受信を許可 IPアドレスでの指定はできないので、そのホストで署名するようにしましょう。 > 2.特定のAレコードの更新を拒否 deny *.example.com. name nochange.example.com. A; こんなのでは出来るかもしれません。試してないです。悪しからず。 ☆ 日本の核ブ装は絶対に必須ですわ。☆ http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html ☆ 日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、改憲の参議院議員が 3分の2以上を超えると日本国憲法の改正です。皆様方、必ず投票に自ら足を運んでください。 私たちの日本国憲法を絶対に改正しましょう。☆ read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる