【設定面倒】BIND 総合スレッド【DNS】
無かったから建てた。 正直webminすごく助かる
>>341 特定のAレコードを更新禁止にしたいのならupdate-policyで出来そうなんだけど、違うのか? update-policyはoptionsで定義は可能でしょうか? それともzoneでしか書けないのでしょうか? >>350 http://www.zytrax.com/books/dns/ch7/xfer.html#update-policy update-policy only applies to, and may only appear in, zone clauses. zoneの中だけですね。 あえてBIND9でRBLを構築しているのですが、 正引きにおいてうまく返事が返ってこない症状が出ました。 route: 91.121.0.0/16 descr: OVH ISP descr: Paris, France origin: AS16276 このアドレスに対して127.0.0.2を返そうとゾーンファイルを作成したのですが、 あるレンジでは、何も返ってこなくなります。 *.121.91.exsample.net IN A 127.0.0.2 この設定において、正引きしてみたところ、以下のような結果が返ってきました。 > dig 0.0.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.1.121.91.exsample.net @BINDのアドレス +short > dig 0.2.121.91.exsample.net @BINDのアドレス +short : : > dig 0.7.121.91.exsample.net @BINDのアドレス +short > dig 0.8.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.224.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 0.255.121.91.exsample.net @BINDのアドレス +short 127.0.0.2 > dig 123.1.121.91.exsample.net @BINDのアドレス +short > 91.121.1.0-91.121.7.255の間が127.0.0.2と返ってこないのは 何かしらの設定がおかしいのでしょうか? ご意見いただけるとありがたいです。 > named -v BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 バージョンはこちらになります(CentOS6.5) bind9で複数ゾーンの運用中なんだけど、サブドメインの委任をすることになった。 で、nsupdateでグルーレコードはどうやって登録すればいいのかな というか、そもそもグルーレコードは必要なのか 自分のドメインがabc.jpとして、サブドメインがsub.abc.jp、subのネームサーバがns1.ddd.jpとns2.ddd.jpなら、クライアントはグルーレコードが無くてもns1とns2のipを解決できるんじゃないだろか どうだろ? >>355 グルーレコードが必要なのは、それがないと辿れないとき。 クライアントはabc.jpとは関係なく ddd.jp のネームサーバーを知ることができる。 ちなみに abc.jp も ddd.jp も実際にあるっぽい。 >>359 それは例示用に使っていい予約ドメインですよ。 >>359 example.jp、予約されてはいるけど、例で使っていいのは、com,net,orgだけじゃないの? JPRSがexample.jpとかexample0.jp〜example9.jpとかは例示に使っていいよと表明してる。 RFCには載ってないけど。 Q. 例示に使用可能なドメイン名はありませんか? ttp://jprs.jp/faq/use/ 現在allow-update で指定したホストのみupdate受信を許可している状態で、特定のAレコード更新を拒否するのにupdate-policyを追加したらエラーが出てサービスが上がりません。 allow-updateをコメントにするとサービスは上がるのでupdate-policyの記載には問題ないように見えます。 update-policyとallow-updateは同時に使用出来ないのでしょうか? その場合、allow-updateのように許可ホストはupdate-policyで定義するのでしょうか? 実現したいのは 1.特定のホストからのupdate受信を許可 2.特定のAレコードの更新を拒否 です。どなたかご存知の方いらっしゃいましたらご教授願います。 http://www.bind9.net/arm910.pdf 6.2.28.4 Dynamic Update Policies (略) Rules are specified in the update-policy zone option, and are only meaningful for master zones. When the update-policy statement is present, it is a configuration error for the allow-update statement to be present. The update-policy statement only examines the signer of a message; the source address is not relevant. ルールはupdate-policyゾーンオプションで指定され、マスターゾーンでのみ意味を持つ。 update-policy文が存在する場合、allow-update文が存在するとコンフィギュレーションエラーになる。 update-policy文はメッセージ(アップデート要求)の署名者だけをテストし、ソースアドレス(IPアドレス)は無視する。 > update-policyとallow-updateは同時に使用出来ないのでしょうか? 出来ません。使えるのはどちらか一方だけです。 > 1.特定のホストからのupdate受信を許可 IPアドレスでの指定はできないので、そのホストで署名するようにしましょう。 > 2.特定のAレコードの更新を拒否 deny *.example.com. name nochange.example.com. A; こんなのでは出来るかもしれません。試してないです。悪しからず。 ☆ 日本の核ブ装は絶対に必須ですわ。☆ http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html ☆ 日本国民の皆様方、2016年7月の『第24回 参議院選挙』で、改憲の参議院議員が 3分の2以上を超えると日本国憲法の改正です。皆様方、必ず投票に自ら足を運んでください。 私たちの日本国憲法を絶対に改正しましょう。☆ マ イ ン ド コ ン ト ロ ー ル の手法 ・沢山の人が、偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い 靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト 10人に一人は カ ル ト か 外 国 人 「ガ ス ラ イ テ ィ ン グ」 で 検 索 を ! DNS設定に不備があるってJPRSからプロバイダ経由で 注意喚起の通知が来た。 allow-transfer設定してなかったら全て転送可になるんだね。 現在DNSサーバにDDoS攻撃受けてる。udp53に大量のパケット来てるからとりあえず セカンダリのみ許可してあとは破棄してる。 なにか有効な対策はないものか。 >>372 Queryパケット? それともAMP攻撃による応答パケット? 元々bindでdns鯖立ててるんだけど、新しくWindowsServer2012でADサーバ立てた。 で、Win側でAD立てる際にDNSも自動設定したんだけど、そのうち作成されたADに必要なゾーン情報(srvレコードなど)を、既存のbind側で管理させたい。 結構ありそうな状況だと思うんだけど、ネットにあまり情報がないんだよなぁ…。 bindのDNSをADのDNSに移行するっつー逆の情報は少しあるんだけど。 結局、ADの検証したいだけで、Win2012は仮想だから常時起動させてる訳でないのね、だからラズパイで常時起動させてるbindを主のDNS鯖にしたい。 もうちょい自力で色々調べるつもりだけど、降参したら後日詳細書き込みます。 >>375 出来なくは無いがお勧めしない AD(Active Directory)とDNSはセットだし、AD組んでて AD落とせばADの機能使えないし 名前解決だけをDNSに持たせたいなら普通の方法で使えるし MSのDNS独自設定を使うのもあったような気がする 単純な方法はスレーブとすれば良い もしくは設定時に別DNSを使うとかで構築するなど コマンドからDNSの内容を再生成するのもあったと思う どちらにせよ、DNSに自動更新機能無いと無理だと思う >>376 >単純な方法はスレーブとすれば良い WindowsServer側を、って事? てか実は、何とか自己解決できました。 ラズパイのbindで、ADとなるWindowsServerからの動的更新を許可。 ADのDNSで各ゾーンをセカンダリに設定し、プライマリをラズパイのbindに設定。 その後、WindowsServerのコマンドプロンプトで ipconfig/registerdns コマンドを打ったら、上手く既存のレコードとsrvレコードを統合できました。 てっきりsrvレコードは自動では更新されないと思ってたけど、プライマリのDNS側で動的更新を許可してやれば、別のDNSでも更新されるのね…。 srvレコード情報は、ADサーバが定期的に最新情報を発信してくれてる、って感じなんかなぁ。よくわからんが。 私は元創価の会員でした。 すぐ隣に防衛省の背広組の官舎があるのですが、 自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、 学会本部に送っていました。 別に大したものは写っていません。ごみ出しとか奥さんが子供を遊ばせている所とか。 官舎が老朽化して使われなくなってから、 今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、 もう守ってやれないのでこれからは満額申告するように言われました。 納得がいかないと言うと、君は自業自得で餓鬼地獄へ落ちる、 朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ 馬鹿らしくなって脱会しました。 それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。 全部自分の出来心から始まった事で、どこへ訴えると言うわけにもいかないのですが、 なんとかあの人たちと縁を切って新しい始まりを迎える方法はないんだろうか。 「OracleがDNSサーバー管理代行サービスなどを手がける米Dynを買収(中略) 今年10月にはDynが大規模な攻撃を受け」 OracleがDynを買収 | スラド IT https://it.srad.jp/story/16/11/24/0641237/ 2016年11月24日 17時17分 Hyper-V鯖を試食中なんだけどゲストをLinuxで動的メモリONにすると最大値を 大き目に設定しても起動時のメモリ設定以上は使えないみたいな動きに 見えるんだけどそんなもん? ヘルプ見ると起動時のメモリはギリギリ起動する位に絞るべしみたいな事が書かれて いるしLinuxの対応の問題なのかなぁと。 試したのはCentOS6.3とDebian7+Kernel3.8.13のバルーン >>380 DNSなどのOS・サービスの問題ではなく Hyper-V側の制御の問題だと思う OS・サービスから見た場合は、動的・静的は気にしないはずだからね そこが仮想化などの良い部分だし Linux系なら高付加掛けてみると良い メモリある限りスワップ基本使わないから スワップが増えないと思う メモリが足りてなければスワップが増加するはず BINDとは余り関係無いと思う すごくおもしろいPCさえあれば幸せ小金持ちになれるノウハウ 一応書いておきます グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』 QQZU9 Windows10に最新bindだけど、confが別れワケわからなくて、フォワーダーしか動いてない ちなウブンツ そうだよな。 コンテンツ鯖ならnsdでプライマリ作って、 セカンダリはホスティングに丸投げさ… 私たち日本人の、日本国憲法を改正しましょう。 総ム省の、『憲法改正國民投票法』、でググって みてください。拡散も含め、お願い致します。 bindってそろそろオワコンにならないのかな… 小規模ならnsd、大規模ならPowerDNSあたりで良い気がする。 キャッシュなら適当なの結構あるし。 ┌─‐「][] _,ィ ´ ̄`ヽ、  ̄ ̄} | _ /:.ゝ-─‐<> r─' ノ 「Y {´ ̄`ン':.:.:.:.:.:.:.:.:.:.:.:.:}{  ̄ Lハj_, ィ'´⌒⌒ヽ、:.:.:.ィ、ハ [[] 「} _/∠二ニニニ¬、_ハ:.:.:.ヽヽ', rー'_ノ //´ 了~~~⌒~`ヽ.弋゙Tl:.:.:.:_j」 l { { { j} }士ぅ'´:.:_〉| い、__ >、___ __, ィ人 ヽく_:./:.〉ゝ ィ ⌒ >'/ い 〉~~〉T~~T< ヽハ 〈_:.く ( _ イ `7 ハ⊥__j_i___〉 ,}イ 〈_/ ( _) ハ__厶>ー‐一_7 /´ ゝ ___,ノ /ーY):::ノ ` ̄´厶.、/_ {::::::::/ /⌒ー'::::::}  ̄´ {:::::::::;: ィ もはやbindである必要性がない。 10万個レベルのゾーン作って起動すると、 最後のドメインに答えられるようになるまでに30分以上掛かるわ。 その間はパケットフィルタでもしとかないとゾーンはありませんって嘘つくしな。 キャッシュは1.1.1.1や8.8.8.8でいいし、 もしくはそこをforwarderとするヤツをLAN内に置けばいいな。 流石にdjbdnsのままはまずいとは思ってるんだけど何に乗り換えたものかわからなくて困ってる >>393 dnscacheならUnboundやPowerDNS Recursorあたりに乗り換えた方がいいと思うが tinydns/axfrdnsはそのままでも問題ないよ 自分はNSDに乗り換えたけど unbound試用中。 いろいろ覚えることが多い。 unboundって設定ファイル無しでも動くんだな ルートサーバのIPアドレスとかバイナリに含まれてるから、 単に使うだけなら無設定でいける 今時まともなパッケージシステム使ってたらrootもパッケージで入るよ rhel7、chrootで構築して普通に動作できている /var/named/chroot/etcなどにあるファイルも正常。 なのに、 df -haを見ると、なにやらマウントはできてそうなのだが、 /dev/sda3 1111 222 3333 3% /var/named/chroot〜 みたいになる。 なぜにdev sda3??? Bindはソフトのコンセプトとして部分ごとに編集する ブロックエディターというものがあるのですが、これが最悪に使いづらいです。 ブロックの編集窓がパソコンディスプレイの全体幅に対して 50パーセント前後しか確保できておらず、なおかつこの窓のサイズが 変更できないのだそうです。センターに聞いても対応できるかわかりませんが 稟議にはあげておくとかWindowsのズームで見ると文字が大きく見えるとか、 見当違いな返答ばかりしてくるのでデジタルステージには本当に困っています。 なんか他のユーザーさんに聞いてみたくって。すみません。 自分が使い方を知らないだけなのかもしれませんが ブロックエディターの編集窓って、画面端をつかんでドラッグしたり大きくできましたか? ここかなぁ。。。。 ir.nsfc.gov.cn を名前解決すると bind が落ちるって症状、他の人でも発生します? bind は 9.14.4、FreeBSD 12.0R の ports で入れたものです。 DNS初心者で申し訳ないのですが、質問させてください。 CetnOS8、bind 9.11、で構築し名前解決まではできたのですが、 ホスト名のみでの名前解決ができません。どこの設定が必要になりますでしょうか? (ホスト名のみでの名前解決はできないのが普通なのでしょうか?) xxxx.localdomain → 名前解決できる xxxx → できない。 >>403 /etc/resolv.confに追記: domain localdomain >>404 ありがとうございます。 Net上、ちゃんと読めばありましたね。助かりました。 すいません。 ちなみに、Windowsでもおなじことする方法ご存じでしょうか? サフィックス で、できました。 firewalld 開け忘れてました。 いつもは、ActiveDirectoryばかりだったもんで。 お手数をおかけしました。 ローカルDNSサーバーについて質問させてください。 .localとかは使わないほうがいいということで、ムームームドメインで取得したドメインのサブドメインで(sub.example.com)権威サーバーをローカルネットワークで使いたいと思います。 このような用途で 1.ムームードメイン側でsub.example.comのAレコードは追加が必要でしょうか。 2.DNSSECの設定はローカル内でのみ使うDNSサーバーでもした方がいいのでしょうか、キャッシュサーバーは別に用意しています。 1. 必要 必要だが、Aレコードが必要なのはsub.example.comゾーンのNSレコードに対応してしたA。 sub ns ns1.example.com sub ns ns2.example.com ns1 a 192.0.2.53 ns2 a 192.02.153 的な雰囲気。 これをムームー側にも書く。 ムームーがプライベートIPでAレコード書けるかは知らん。 2. どっちでもいい。 お前しかアクセスしないからお前のローカルキャッシュDNSがDNSSEC Validationを使ってないなら誰も参照しない。 あと、キャッシュでforward設定入れないとダメ。 間違えた。 sub ns ns1.sub.example.com sub ns ns2.sub.example.com こっちだな。 BINDでフルリゾルバも兼ねたら1も不要になるよね フルリゾルバを兼用してても、上位ゾーンに設定が不要になるだけで、ゾーン自体は書かないとダメだぞ。 サーバー移転のために、新しいサーバー構築でつまづいています 古い方は稼働中で、ドメインを別にしてテスト構築中です いずれもVPSです BINDでDNSをたてdnscheck.jpでもOK表示 既存のサーバー上でdigを叩くとREFUSEDで結果が返らず なぜかmacのターミナルでdigを叩くときちんと返ってきます ウェブサーバーは、ドメイン名でアクセスOK メールサーバーは、内部の送受信はOKですが 外部からのメールは届きません 送り元のサーバー上ではIPひけないのでqueに残ったまま送信されていません ゾーンファイル見直し(ウェブは引けるのでメールがNGな理由がわからず) Firewalldのdns許可確認 あとは、どこ探ればいいでしょうか・・・ ちなみに既存サーバー側でnslookupすると Non-authoritative answer:とついた上で、一応IPアドレスはひけています read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる