【設定面倒】BIND　総合スレッド【DNS】

無かったから建てた。
正直webminすごく助かる

BIND9に脆弱性が見つかったぞ。
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html

>>2
いつの話だよ。

BIND9ってopensslを必要とするよね。
./configure --with-openssl=/usr/local/ssl
みたいな感じで。

DNSSECを使わない場合もopensslって必要なん?

>3
失礼。日付を確認してなかった。
jprsのホームページにデカデカと出ていたから勘違いしたよ。

内部用DNSの設定について質問です。

Value-domainでドメイン名を登録して、DDNSで自宅サーバ（ubuntu 9.10）を立てました。

LAN内からWebサーバへアクセスするとき、
(1) ドメイン(hoge.net)でアクセスすると、Webサイトのトップページが見えます。
(2) サブドメイン(sub.hoge.net)でアクセスすると、ルーターの設定画面が出てきます。

ググったら、LAN内でWebサーバにアクセスする場合、内部用DNSを用意すればイイことまで分かりました。
ubuntu bind9 自宅サーバ 内部用 設定 の検索結果 約 2,300 件

ttp://www.miloweb.net/bind.html
ttp://hyamada.ddo.jp/hiki/hiki.cgi?bind9
↑検索で出てきた説明を基に設定しようと思いましたが、どこをいじるのかまだよく分かりません。

内部用DNSの設定をご指導ください。よろしくお願いします。

DNSの本について

DNS、特にBINDについてお勧めの本があればご紹介ください。

Amazon.co.jpでDNS、BINDの本を探したら、
オライリーの「DNS & BIND 第5版」が定番のようですが、これを読破するのはちとしんどいです。（２、３日じゃ読めない？）＞＜
ttp://www.amazon.co.jp/dp/4873113903

BIND9によるDNSサーバ構築
ttp://www.amazon.co.jp/dp/477412947X
↑これ読めば、自宅サーバの内部用DNSを作れるでしょうか？

アドバイスよろしくお願いいたします。

マニュアルを読む。
解説サイトを読む。
キャッシュと内向けだけならそれで十分。
汚染が怖いならキャッシュもなくす。あとはプロバイダのDNSに任せる。

設定なんでググればいくらでも出てくるだろ

BINDは最新使えよ

bindに関しては、googleはおすすめできない。
いいかげんな知識でほんとにそれでいいのかよくわかってないけど
なんとなく動いてるみたいだからそれでいいや、
てな人間が書いたものばっかりひっかかる。

図書館にDNS＆BINDの第4版があったので借りてきました！

>>10
知ったかぶりだけじゃなくていいところと悪いところのURLを書いてみたらどうだい？
自鯖で優越感浸るほどの設定なんて必要ないだろうし、どうせなら自慢の自分の設定さらしてみたら？

BINDってすごいよね〜
セキュリティ的な云々だから〜
なんて手前味噌な都合でchrootみたいな非構造的でユーザビリティとは乖離しきった実装が許されちゃうんだもんね〜
すごいよ。さすが。

しかし初心者にオライリーを勧めるのはちょっとなぁ。

セキュリティー的には /etc/named.conf に allow-recursion を入れることが重要。

これをベースにちょっと書き換えてやればいいだけじゃないの？
ttp://www.cymru.com/Documents/secure-bind-template.html

>>10
っせえ
黙ってろ

とりあえず共有からもってた独自ドメインを自鯖のDNSにうつしたんだけど、
指定事業者の設定でネームサーバの指定をしました。
んで、BINDでバーチャルホストの設定をしたんだわさ。
質問なんだけど、よく変更したら24〜72時間くらいは待てよっていうのは
ネームサーバの変更から？それとも自分がたてたDNSサーバを変更してから？
理屈で考えると、自分のDNSサーバの設定を変更したら、その変更が世界に回るまでに
時間がかかるから、設定をなおしたと思ってもしばらくは意図しない表示になるってことだよね？
家にあるPC数台、どれも表示が違うし、digでwwwつけるのとつけないので
返ってくるIPが違うし(一つは今のIP、もうひとつは共有鯖だったときのIP)

買いました。
このスレの煽りの真偽に興味シンシンです

SRVレコードの動作をチェックする方法ってありますか？

>>19
？

BIND 9 の DNSSEC 検証コードに脆弱性
これって
https://jvn.jp/cert/JVNVU360341/index.html

DNSSECを使ってなければ、関係ないの？
使ってなくても関係あるの？

こういう所の報告って
前提条件とかがよくわからない

つかDNSSEC自体がよくわからん

すいません、質問です

マスター側の/etc/named.confてスレーブ側に同期されますか？

例えばhoge.comを運用しているbindだとして、a.hoge.comのサブドメインを追加する場合は
マスターとスレーブの/etc/named.confを変更して、さらにa.hoge.com.zoneファイルなんか
を用意する必要があるという事でしょうか？

よろしくお願いいたします。

>>23
当然です
楽したければ同期したい部分を別ファイルに切りだして
rsyncするのも手だよ。(ゾーンファイルもな)

>>23
スマソ、一部見過ごしてたよ

サブドメインのゾーンファイルをわけなければスレーブ側は何もする必要はない。

>>19
遅れてすいません．
DNSがWindowsの場合はよく知りませんが UNIX系のBINDでSIPで使う
TLSのサービスを聞く場合を書きます．
以下の様にすればどうでしょうか? 以下のようなコマンドを投入します
これは，SIPのTLSは何処に(A：IP)張ればっていうアプリからDNSに
聴かれるものです．

dig @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE．CO．JP
投入コマンドのエコー部分
; <<>> DiG 9.3.5 <<>> @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE．CO．JP.
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32608
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4
#結果はエラーがなくて
問い合わせ１レコード 解答1レコード DNSのAUTHが３レコード
付加情報が４レコード
;; QUESTION SECTION: DNSが聴いた問い合わせ
;_sipinternaltls._tcp.EXAMPLE．CO．JP. IN SRV
;; ANSWER SECTION: DNSからの返答
_sipinternaltls._tcp.EXAMPLE．CO．JP. 300 IN SRV 0 0 5061 SIP.EXAMPLE．CO．JP.
;; AUTHORITY SECTION:
EXAMPLE．CO．JP. 300 IN NS NS2.EXAMPLE．CO．JP.
省略
;; ADDITIONAL SECTION:
SIP.EXAMPLE．CO．JP. 300 IN A SIPのIP
NS1.EXAMPLE．CO．JP. 300 IN A DNSのIPアドレス
省略
;; Query time: 62 msec
;; SERVER: DNSのIPアドレス(DNSのIPアドレス)
;; WHEN: Sun Feb 21 11:08:45 2010
;; MSG SIZE rcvd: 219

>>21
DNSSEC 検証コードに脆弱性 とありますので，DNSSECを使わなければ
この*問題*はOKのようですが，これ以外に沢山あるようです．
https://www.isc.org/software/bind/security/matrix
ごらんください
2ちゃんねる攻撃もDNSをDDoSされ毒入れをされたと聴いています．
BINDは最新にってことでしょうか?

>>27
毒入れはキャッシュサーバにしかできない

>>28
maido3はプロバイダーだよね キャッシュサーバ無いの？

>>29
仮にあったとしても関係ない
よーく考えよう

>>30
http://www.your.org/dnscache/djbdns.pdf　をみたけど
DJBDNSってまじめだとわかった。
またなぜmaido3がDNSSECをしていないかの理由もわかったきがする
　でもプロバイダって厳しい仕事だね

>>28
キャッシュサーバポイズニングはキャッシュサーバだけだね
当たり前だけど

自前でＤＮＳ立てたんだけど
ドメイン名は引けるけど
digとかで見たら逆引きができません

利用するネームサーバを自前のものに指定して引くと
正・逆共に正しく引けます
広まるまで時間がかかるのかな？とおもって既に３カ月
そんなもの？

dig +trace

大抵はほぼリアルタイムで反映されるはず。
ゾーン名が間違ってるか、ミスで権限委譲されていないのいずれかだと思う。

ゾーン名の記述はISPによって違うので注意。

>>34-35 ありがとう御座います

dig +traceで見てみたら順番に下がってきて ISPのセカンダリーが先に出てきて
最終的に自信はReceivedに出ていませんでした
ただ、ＤＮＳ自信のＩＰを逆引きしたらちゃんと引けて出ました(IPは８つです）

>>35の言うようにゾーン名が変だと思いＩＳＰの情報を色々と物色してみると（ISPはOCN）
こんなのを見つけました ttp://www.ocn.ad.jp/tw/dns_02.html
中には
# // ネットワークアドレス全て(4オクテット)を使ってゾーン名を設定します.
# zone "32.69.168.192.in-addr.arpa" in {
とあるんですが、
うちは
zone "69.168.192.in-addr.arpa" in {
となっていました、

ISPに出ているように
zone "32.69.168.192.in-addr.arpa" in {
に変更して dig @localhost で調べると
今度は自信の 32.69.168.192 以外が引けて
32.69.168.192 が引けなくなりました(契約はIP8）

色々と調べながら１時間ほどして
別のＩＳＰから当該ＤＮＳで管理しているメールサーバーのメールアドレスへ
メールしてみたら全く届かなくなっていたので
これはヤバイ！と思い取りあえず元に戻して寝ました（笑）
（元に戻したおかげで今は正常に届いています）

昼間は流石に触るのが怖いんで週末の夜中にこっそり続きやります

>>36
ゾーンファイルの中身はどうなってるの？

こんな感じです

$TTL 86400
@ IN SOA ns.example.com. postmaster.example.com. (
　 1 ; Serial
　 10800 ; Refresh after 3 Hours
　 3600 ; Retry after 1 Hour
　 604800 ; Expire after 1 Week
　 86400 ) ; Minimum TTL of 1 Day
;
　IN NS ns.example.com.
; Hosts
34 IN PTR ns.example.com.
35 IN PTR host1.example2.com.
36 IN PTR host1.example3.com.
37 IN PTR host1.example4.com.
38 IN PTR host1.example5.com.

因みに
■googleのDNS指定して逆引き したら

; <<>> DiG 9.5.0-P2.1 <<>> @8.8.8.8 -x 192.168.69.35
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3410
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;35.69.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa.

;; AUTHORITY SECTION:
69.168.192.in-addr.arpa. 3600 IN SOA ns.example.com. postmaster.example.com. 2010042341 3600 900 3600000 3600



■ dig +trace @8.8.8.8 -x 192.168.69.35 だと

; <<>> DiG 9.5.0-P2.1 <<>> +trace @8.8.8.8 -x 192.168.69.35
; (1 server found)
;; global options: printcmd
. 2625 IN NS l.root-servers.net.
　　　　　　　　　　　（省略）
. 2625 IN NS d.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 54 ms

192.in-addr.arpa. 86400 IN NS NS4.APNIC.NET.
192.in-addr.arpa. 86400 IN NS NS3.APNIC.NET.
192.in-addr.arpa. 86400 IN NS NS-SEC.RIPE.NET.
192.in-addr.arpa. 86400 IN NS NS1.APNIC.NET.
192.in-addr.arpa. 86400 IN NS TINNIE.ARIN.NET.
;; Received 159 bytes from 128.8.10.90#53(d.root-servers.net) in 237 ms

;; connection timed out; no servers could be reached

>>39
35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa.
訂正
35.69.168.192.in-addr.arpa. 86400 IN CNAME 35.69.168.192.in-addr.arpa.
ですｗ

■ローカルホストで試すと dig -trace @localhost -x 192.168.69.35
;; Warning, ignoring invalid type race

; <<>> DiG 9.5.0-P2.1 <<>> -trace @localhost -x 192.168.69.35
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26998
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;35.69.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
35.69.168.192.in-addr.arpa. 3600 IN PTR host1.example2.com.

;; AUTHORITY SECTION:
69.168.192.in-addr.arpa. 3600 IN NS ns.example.com.

;; ADDITIONAL SECTION:
ns.example.com. 3600 IN A 192.168.69.34

今気がついたんですけど、１行目の
;; Warning, ignoring invalid type race
ってのは・・・何かダメってことでしょうか

>>38
zone "32.69.168.192.in-addr.arpa" が正解だよ。
192.168.69.32の逆引きを設定したいのならば、ゾーンファイルに
@ IN PTR test.example.com.
を追加しとけばよい

ってか、ネットワークアドレスの 32 をホストで使用してるの？

>>42
>ってか、ネットワークアドレスの 32 をホストで使用してるの？
私も引き継いだ時にそうなっちゃってたんで
そのまんまなんですが
やっぱり不味いですよねぇ

そもそもＩＰアドレスベースで他で設定してあるものもあるらしく
勝手に変更するとＰＣ側の設定でえらい事になりそうで
踏み出せずにいます

>>42
確かに、@ IN PTR test.example.com. で
ローカルでは32も引けるようになりました、たぶん大丈夫な気がします
ありがとう御座いました！！

ご指摘のようにネットワークアドレスのＩＰの事を考えると鬱になるんですけどねぇ…
元々の間違いの始まりはドメイン申請の時にNの営業さんが手配してたらしいんですけど
こんな設定にしてる為に凄く困ってることが他にもあるんですが、スレ違いなんでいいです（笑）

>>43
ルータによっては制約があるかもしれませんが、ネットワークアドレスや
ブロードキャストアドレスもNAT用であれば活用可能です。
混乱の元なのでアドレス足りてるなら使わないほうがよいですが。

DNSを変更した時に世界中で反映される時間とかかかれてますが、利用者が利用者のDNSに参照に行った時に
キャッシュの情報が古い場合だけ設定元のDNS情報を参照しに行くと考えてＯＫでしょうか。
だとすれば、どこのアドレスからの参照で何時どのドメインを引いたか知りたいのですがログに残せないものでしょうか

>>46
利用者側の情報は設定された時間を経過すると消去されるので
再度設定元に問い合わせに行く。

ログは簡単に取れるよ。
ttp://www.atmarkit.co.jp/flinux/rensai/bind910/bind910a.html

ログとれたサンクス

自鯖のDNSにnslookupするとサーバ名がIPアドレスになってしまいます。
これをサーバ名にするにはなにを修正すればいいのでしょうか？
教えて、エロい人！

> google.com
Server: 127.0.0.1 ←これをlocalhostしたい
Address: 127.0.0.1#53

Non-authoritative answer:
Name: google.com
Address: 66.249.89.104
Name: google.com
Address: 66.249.89.99

nslookup 使うな。

>>49
$ nslookup - localhost
> google.com
Server: localhost
Address: 127.0.0.1#53

Non-authoritative answer:
Name: google.com
Address: 66.249.89.99
Name: google.com
Address: 66.249.89.104

cnetos 5.5 (x86_64)
bind 9.3.6-4.P1.el5_4.2

service named restart
をすると

Error getting active value for named_write_master_zones

という警告が出るんだけど、再起動は問題なくできている。設定も反映されます。

設定関連はちゃんとできてると思うが、ググってもズバリというようなソース見当たらないので
どういう関連のエラーかわかる方いますか？

このサーバはmasterzoneもslavezoneも持っているので、推測するにmasterから変更があったが、slaveとして書き換えできなかったというエラーなのかな？
selinuxはpermissivなのでそっち関連は大丈夫だと思います。

zonefileに関してはかなりの数があり、全部私が設定してないので問題ないとは自信持って言えないが、出力ログを見る限り、該当するものの詳細は見当たらず。
同様なエラーメッセージに遭遇し、解決した方いらしたら、ご教授ください。

nslookup www.valinux.co.jp

とすると、

connection refused resolving 'fsv.valinux.co.jp/A/IN': 210.128.90.2#53

とmessagesに出てきてしまうんですが、これはどういう意味なのでしょうか？
宜しくお願い致します。

>>53
そのドメインの設定ミスだから気にスンナ。

上位(JPRS)にはvalinux.co.jpのネームサーバの一つとして
ns2.valinux.co.jp(210.128.90.2)が登録されているけど、ns2には
valinix.co.jpの設定がない(もしくは設定ミスの)ため拒否されてるだけ。

>>54
ありがとうございます。
その ns2... って dig valinux.co.jp ns しても出てこないみたいなんですが、
教えて頂けないでしょうか・・？

>>55
$ whois -h whois.jprs.jp valinux.co.jp
$ whois -h whois.jprs.jp ns2.valinux.co.jp

ん・・。ありがとうございます。

bindって色々調べて結果返してるんですね。

NAT環境内でbind9によりDNSサーバを動かしています。
ルータの設定でもbind9用のポートは閉じています。
allow-query,allow-recursionの対象をLAN内のPCのみとしているので
jail化する必要はないと考えていますが、いかがでしょうか？
よろしければご教授下さい。

>>58
allow-*とjailは別々のセキュリティ対策だよ。

外部からの不正な問い合わせを何重もの防御で守りたいのなら、
jailではなくipfwなどで自力でポートを閉じるべきだ。

jailは万が一セキュリティホールが突かれたとき、
システム側に不正な要求を投げさせないのが目的だから、
それはそれで必要性を判断して設定すればいい。

アドバイスありがとうございます。
こちらが言葉足らずでした。

NAT内だけでの運用なので、システムが占拠される心配はないと考えたので
jailは不要ではないかと判断した次第です。
よく、何重にも対策をしておく方が良いと言われますが、労力が割かれてしまう
ので迷う所です。
現状、named.conf.optionsの設定に気を配る程度です。
allow-queryやallow-recursion, version "unknown"辺りでしょうか。

それと、ipfwというものを調べてみましたが、ファイアウォールなのですね。
私はルータをファイアウォールとして使用しています。
webサーバとファイルサーバを外部に公開したいと考えていますが、今のと
ころ未公開です。ポートも閉じています。。

上記を考慮した場合、jail化は必要なのでしょうか？
また、他に推奨のセキュリティ対策など教えて頂ければ幸いです。

bind9.7.1-P2をインストールしようとしているんですが、
下記２点についてうまくいっていません。分かる方助言をお願いします。

1.Microsoft Visual C++ 2005 Redistributableインストール時に
「Command line option syntax error. Type command/? for Help.」
というエラーメッセージダイアログがでてインストール失敗する

2.上記の失敗からか、「C:\Windows\System32\dns」フォルダが作成されない

すみません。環境はWindows 7 Ultimate 64ビットです。

今までCentOS5.4で自鯖立ててて
yum updateで5.5相当にして使ってたんだけど
今回サーバー用ＨＤＤの容量アップのために
クリーンインストールでCentOS5.5入れて自鯖セットアップしなおしたんだけど
bindをどう設定して、bindを起動してもnamed/confにエラーがあると出る
ちなみに再インストール前のbindの設定をバックアップ取ってたので
それをコピペしてみてもダメ
bindの新しいバージョンってなんか設定方法とか変わったの？
named.confの設定はこんな感じなんで
おかしいとこあったらどこがおかしいか教えてください。

options {
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
version "unknown";
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;
query-source-v6 port 53;
allow-query { localhost; localnets; };

forwarders{
192.168.24.1;（プレミアムのCTUのプライベートアドレス）
XXX.XXX.XXX.XXX; (インターリンクのプライマリーDNSのIPアドレス)
XXX.XXX.XXX.XXX; (インターリンクのセカンダリーDNSのIPアドレス)
};
};

view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.xxx.com.zone";
};

view "internal" {
match-clients { localnets; };
match-destinations { localnets; };
recursion yes;
include "/etc/named.rfc1912.zones";
include "/etc/named.xxx.com.zone";
};

view "external" {
match-clients { any; };
match-destinations { any; };
recursion no;
include "/etc/named.xxx.com.zone.wan"

>>63
パッと見、問題なさそうだが、肝心のエラー内容は？

エラーとは直接関係ないはずだけど、これはコメントアウトしろよ。
query-source port 53;
query-source-v6 port 53;

>>63
最後の行は
include "/etc/named.xxx.com.zone.wan"
で終わりなの？

教えて下さい。

DIG で ANSWER SECTION に きちんとＩＰが返ってきているのに、
# dig www.domain.local a

PINGを実行してもUnknown host になってしまうのなぜでしょうか？
# ping www.domain.local

ちなみに ドメインを指定しないと きちんと返ってきます。
# ping www


環境
debian lenny
bind9

DNSを設定したマシン自体にwwwと名前をつけています。
/etc/resolv.conf には nameserver 127.0.0.1 とし、
他のnameserverは設定していません。

他のマシンからは正しくping が通ります。

インフラ詳しくないので、チェックの方法等、助言頂けると幸いです。
よろしくお願いします。

66です。
いろいろ試してみたところ、
bind側ではなく、ＯＳ側に問題がありそうです。

理由は以下の３点です。
１．他のマシンからのpingは通る。
２．dig, nslookup は問題ない
３．設定しているマシンのresolv.confに他のＤＮＳを指定してもFQDNでpingできない

debian板で聞いてみることにします。
ありがとうございました。

友人の所で間借りしてたドメインを自鯖に移したんですが(ムームー)、なぜか1週間以上たった今も
digをすると、前の鯖のIPが出ます。
HPドメインのhogehoge.comだけが前のIPになっていて、サブドメインのmail.hogehoge.com等は
新しいIPに変わってます。
どこが悪いとこうなるんでしょうか？

そりゃそこだけ設定変えてないんだろう

ID更新してないだけとふんだ





なんかruドメインの名前解決が大量にログに残ってて気持ち悪いんだけど何が起きましたか？

winodws版のBINDでちょっと疑問。
8.8.8.8にforwordさせて、ローカルにも保存する場合confにどう記述すれば良いの？
紹介サイトで記述の仕方が違うから理解できない。

>>71
何を保存するの？
そもそも日本のユーザが8.8.8.8を指定してもメリットはないよ

テストする意味で8.8.8.8にして見たけどプロバイダのでも良いんです。
windowsの標準のＤＮＳクライアントみたいにドメイン名とＩＰをキャッシュさせたいです。
もしかすると実はもうキャッシュされているのでしょうか。
named.conf,
named.root.
見よう見まねで記述してるので自信がありません。

プロキシーとか代理応答とかキャッシュとかそういう話？

そういう感じです。

普通に設置してoptionsにforwardersとforward onlyで丸投げでいいんじゃない？
あとrecursion yesとか？

うまくできました感謝

勉強のためubuntu上にてvirt-managerでubuntu10.04のDNSの構築してみてるんだけど
今slaveサーバ設置してゾーン転送させようとしてるとこでうまくいかない
マスター側は192.168.122.11、スレーブ側は192.168.122.12
マスター側のnamed.confのzoneステートメント（とaclステートメント）は
acl "Slave" {192.168.122.12;};
zone "122.168.182.in-addr.arpa"{
type master;
file "122.168.192.rev";
allow-transfer{Slave;};
notify yes;};
スレーブ側は
acl "Slave"{192.168.122.12;};
zone "122.168.192.in-addr.arpa"{
type slave;
file "bak/122.168.192.rev";
masters{192.168.122.11;};
allow-transfer{Slave;};};
コピペじゃないけど再起動もできるので書式のミスは無いはず
スレーブ側bindを再起動すればスレーブ側のゾーンファイルを消しとくとちゃんと転送されるけど
ゾーンファイルがあるとマスター側で更新されててもスレーブ側はbind再起動しても更新されない
よろしくお願いします

小出しで申し訳ないけれど最後の方日本語おかしかったから
つまりマスター側でゾーンファイルを編集保存しただけでスレーブ側にも
反映（ゾーン転送）してほしいのに、編集保存してからマスター側のbindを再起動して、
スレーブ側にある古いゾーンファイルを消したうえでスレーブ側のbindを再起動しないと
ゾーン転送してくれないということ、どうすればいいんでしょか

>>78-79
シリアル更新忘れに1ペリカ

>>78
ゾーンファイルのNSレコードにスレーブサーバを登録してる？

レスありがとうございます
>>80
シリアル更新はしてます
emacsのDNSモードなので編集保存すると自動で変わってくれます
>>81
登録してます

マスターのゾーンファイルを編集してからゾーン転送されるまで普通はどれくらい時間掛かりますか？
僕の頭の中ではSOAレコード第4パラメータの時間＋15分弱です
それとnotify yesはSOAレコード第4パラメータ無視して更新したら15分弱で転送するって認識で合ってますか

今わかりましたがマスター側のbind再起動してしばらく待ってると
スレーブ側はゾーンファイル残して再起動もせずともゾーン転送してくれました
マスター側のbind再起動すればできるってことはマスター側のnamedがゾーンファイルの更新を
監視してくれてないとか、そういうのは無いですか？何々起動しないと監視してくれないとか
てかそもそもゾーン転送以前にbind再起動無しでゾーン情報更新してくれてた気がしない
問題はそこな気がします、どうすればbind起動中にemacsやらでゾーンファイル弄ったのを
シリアルを確認して感知するのか、このシリアルを確認するのはnamedプロセス？namedはしっかり起動しています
ps aux|grep named
bind 3284 0.0 2.0 43892 10432 ? Ssl 07:37 0:00 /usr/sbin/named -u bind
hoge 3302 0.0 0.1 2884 808 pts/0 S+ 08:16 0:00 grep --color=auto named
またですがアドバイスよろしくお願いします

>マスターのゾーンファイルを編集してからゾーン転送されるまで
自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。

話からするとnotifyがスレーブ側に届いていないようなので、>>81だと思うんだけどね。

NSレコードでスレーブ鯖の記述が間違ってないか、
マスタ側でNSレコードをdigしてみて、
それでもダメならマスター側で以下を追加してみてはどうだろうか。
also-notify { slave鯖のIPアドレス; };

>自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。

あぁごめん、一部見逃して書いてた。
マスタ側だけはゾーン情報を更新したらbindの再起動は必須だよ。

>>84
そうでしたか、それならこれで合ってたんですね
ちなみに再起動ではなくHUPシグナル送ったりrndc reloadしたりでも
ゾーン情報更新してくれるみたいです、これで数分以内にはスレーブ側も更新してくれました
ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました
ありがとうございました！！

＞ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました

コンピュータ関係の間違いの大部分を占める「勝手な思い込み」の典型
俺が経験したクレームで「パスワードを変更したらメールサーバにつながらなくなった」ってのがあったが
結局、旧パスワードを削除せずに新パスワードを続けて書いたのが原因
「新しいパスワードをちゃんと設定しましたってば！」
うん、そうだね、したね
でもこっちの質問「どのようにですか？」「パスワードは何文字になってますか？」には頑なに答えてくれなかったね
コンピュータにはピンポイントで肝心な部分の情報を隠蔽させる魔力があるんだろうね

あああ

　

はじめての書き込みです　さっそく
named.conf.options: // forwarders {
というのがあってこれ以下にプロバイダー側のサーバを書くのですが
具体的に何を書くのか分かりません。教えてください。
なお環境としてはglobalIP1
質問１：
候補１　：　回線会社（NT*ですが）のDNS？（使用する地域の接続ポイント）
候補２　：　プロバイダ（Info*****）のDNS
候補３　：　ドメインの管理会社のものでしょうか？

質問２：
ま上記の３つを最低３行を併記しても良いものでしょうか？

＞というのがあってこれ以下にプロバイダー側のサーバを書くのですが
と自分で書いてるんだからプロバイダのDNSでしょ。

＞ま上記の３つを最低３行を併記しても良いものでしょうか？
やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。

NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。
ドメイン管理会社にもDNSは持ってるだろうが、
そこにドメイン情報を設定していないと意味はない。

さっそくども

＞＞というのがあってこれ以下にプロバイダー側のサーバを書くのですが
＞と自分で書いてるんだからプロバイダのDNSでしょ。

プロバイダー側と書いてあるとおりプロバイダーとは限定した質問では
ありませんでした。プロバイダー側の３つからどれかという質問の意図でした。
プロバイダー限定なわけですね。



＞ま上記の３つを最低３行を併記しても良いものでしょうか？
やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。

＞NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。

フレッツはDNSではない接続をしているようですが、そこのDNS達につなぐ
のも手なのかなとも考えたわけです。


＞ドメイン管理会社にもDNSは持ってるだろうが、
＞そこにドメイン情報を設定していないと意味はない。

そこでは保有しているべきものではないのでしょうか？

これ設定しないとドメイン登録できないし・・・
もし、管理会社が登録していないとなるとどこに？
もっと上流のどこかが保存管理しているということな？

同じく
infospher　ですがプロバイダーのDNSは
http://www.sphere.ne.jp/support/guide/dnschange/images/001img01.gif
になるのですか？

>>91
あぁごめん、説明を端折って書いたから余計混乱させてしまったか。

今回bindで設定する意図はキャッシュサーバーを立てる事なのか、
自分が取得したドメインの運用のためかによって話は変わってくるけど、
forwarderはキャッシュサーバーの用途なのでドメインの運用とは関係ないからね。

まだドメインが取得できていないのであれば
お名前.comやValue Domainとかの大手でドメインを取得して
レジストラが用意するネームサーバを利用するといいんじゃないかな。
これらの業者は自分でネーム鯖を用意せずにドメインを運用する事ができるよ。

さすがにレジストラというのはどういう所かくらいは自分でぐぐってね。

>>92
東日本と西日本で違うみたい。
ttp://www.sphere.ne.jp/support/guide/setvalue/#a050

一応補足。
お名前.comやValue Domainというのがレジストラね。国内だと大手だと思う。

レジストラの指定している管理サーバーは　***.***.jp　となっています。
すると　forwarder　には　その***.***.jp　を入れるべきでしょうか？
いまいち分からない。
一応やってみた　restart　すると　[fail]　になる。
だから数字だけしか通用しないようです。あたりまえ？

改めて知りたいですが
「ドメインは取得した、それから内向きのDNSを作る」には
レジストラのDNSを入れるべきでしょうか？
それともそのレジストラのDNSの数字のGIPを入れるべきでしょうか？
それともキャッシュ用のDNSのようにプロバイダー指定のDNSのGIPが良いのでしょうか？


　

基本的にforwarderいらないでしょ
何か目的があってやるにしてもレジストラは関係ない
ISPの指定したDNSに投げればいい

この前　forwarder 使わ無い方式は危ないといわれて　しかたなし使っているのですが
　ところで、４種
１、　forwarder する場合で、ドメインを持っている場合でも　ISPのDNS　にするのですか？
２、　forwarder する場合で、ドメインを持ってない場合でも　ISPのDNS　にするのですか？
３、　forwarderしない場合で、ドメインを持っている場合でも　ISPのDNS　にするのですか？
４、　forwarderしない場合で、ドメインを持ってない場合でも　ISPのDNS　にするのですか？
しつこくてすみません　どうも理解できなくて

自宅にDNS設置してんだろ？
そこに問い合わせるのは誰よ？
レジストラのDNSを利用しろと言ってるのは
自前のドメインの問い合わせ先を自宅じゃなくてそこにすればと言ってるのであって
forwarderはそれらと全く関係ない。
forwarder先は本来別の場所に設置してある自前のDNSにするんだろうが、
そんなものが無いなら、自宅が接続してる一番近いISPのDNSにするだろ。

日本人はバカてす。

JAPAN IS MONKEY PALACE~~~~~
NANANANANANANANANANANANANANA
なななななななななななななななななななななななななななななななな

ばかばかばかばがばかばかばかばかばかばかばかばかばかばがばかばか

ちっしおちっしおちっしおちっしおちっしおちっしおちっしおちっしお

借りているVPSサーバ(CentOS5.5)を使用してプライマリのDNSサーバを構築しようとしています。
LANのIPアドレス（192.168.〜など）が無いのですが、「内向きのゾーン設定」というものは必要になるのでしょうか？
また、必要な場合は127.0.0.1で代用して設定してもよいのでしょうか？
いろいろなサイトを参考に試行錯誤しているのですが、192.168〜なしの設定が見あたらず困っています。

初めてのDNSサーバ構築なのでトンチンカンな質問だったらすみません。
アドバイスをいただければと思います。

>>101
ローカルの逆引きは必ずしも必要ではないから省略しても良いと思う。

自宅鯖と違ってレン鯖はローカルで何かをするって事ができないから、
LANのIPアドレス自体が存在しないこともあるしね。

VPSでも業者によってコンパネが違うと思うので、
レン鯖の住人の方が詳しいかもしれんよ。

>>102
丁寧にありがとうございます。
これから本屋で書籍を探してみようと思います。

プライベートアドレスの逆引きは必須。グローバルの逆引きより必要性が高い。
ローカルの DNS にプライベートの逆引きゾーンが存在しないと、
プライベートなのにグローバルに対して逆引きを聞きに行くことになる。
インターネット上にはちゃんと 192.168.x.x とかの逆引きに答を返す DNS が
用意されてるからグローバルに聞きにいっても問題が起きないけど、
仮にこの DNS が落ちるとプライベートの通信でも異常が起きるし、
実際に1週間ほど止まって世界中でトラブルになったことがある。

逆引き問い合わせをプライベートだけで完結して、外に出さないことが重要なんで、
逆引きゾーンを作るだけでよい。実際のホストは登録しなくてもかまわない。
最近の気の効いたディストリならはじめからその設定サンプルがついてる。
bind でなく unbound だと設定しなくても組込みで設定されてる。

ルータの簡易DNSの用途が分かった気がする

DNSで
www.test.com と www2.test.co.jp
への要求を別サーバへ
（仮に1.1.1.1 と 1.1.1.2）振り分ける設定がわかりません。
ひとまず前者のwww.test.co.jp→1.1.1.1　への正引きはできているものとして

AレコードとかCNAMEあたりはどう設定すればいいんでしょう？
どこかいいサイトとかありませんか？

www.test.com　は www.test.co.jp のタイプミスと仮定して
> www.test.co.jp→1.1.1.1　への正引きはできているものとして
ということは
test.co.jp のzoneファイル中に www A 1.1.1.1という設定があるのでしょう。
同様に www2 A 1.1.1.2 という設定をすればいいです。
サイトなら @it とかですか。

>>107
レス遅くなりましたが
ありがとうございます。

目的の動作ができるようになりました！

debianのlennyでbind9によりDNSサーバを起動しています。
/etc/hostsの全行をコメントアウトすると "ping localhost"を実行したときに
"unknown host localhost"とメッセージがでて、pingが通りません。

因みに

"nslookup localhost"を実行すると
Name:　localhost
Address:　127.0.0.1

"nslookup 127.0.0.1"を実行すると
1.0.0.127.in-addr.arpa name = localhost.

と出力されます。
/etc/hostsは極力使用しないようにしてみたのですがlocalhostの解決は
/etc/hostsで行うものですか？

うん
ループバックアドレスをDNSサーバに問い合わせるなよ

んー、DNS で localhost の名前解決ができるのなら
/etc/hosts になくても ping localhost がコケるはずはないんだが。
getent hosts localhost を実行してみるとどうなるかしらん。

それはともかく、hosts にホストを登録するのは管理が煩雑になるので
DNS を使った方がいいのはたしかだけど、
すでにある localhost を削除するのは推奨しない。

>>111
何も出力されません。
他のマシンは名前を解決できるのですが。
>>110さんも言われてるようにlocalhostはhostsを利用するべきですかね。

getbyhostnameのmanpageによると
> name がドットで終了していなければ、現在のドメインとその親ドメインが検索される。
ということなのでHOST_NOT_FOUNDになると思われる
おそらく ping localhost. と打つと `localhost` そのものが解決される

ローカルループバックアドレスはホストローカルの情報すなわちホストごとにことなる可能性があるため
DNSサーバで集中管理するべきではない

× getbyhostname ○ gethostbyname

JP DNSがdnssecに対応したっぽい。

dnsサーバを建てようと思います。
chrootするのですが、chroot以下のディスク容量をどれ位にすれば良いか迷ってます。
chroot以下が意外と大きくなると聞きましたが実際はどうなのでしょうか？

CNAMEレコードのTTLが0になってしまう現象について質問です。

DiG 9.6-ESV-R1では、
$dig @サーバ host9.example.co.jp a
;; ANSWER SECTION:
host9.example.co.jp. 80 IN CNAME host8.example.co.jp.
host8.example.co.jp. 80 IN A 192.168.24.108

BIND9.2.4では、
$dig @サーバ host9.example.co.jp a
;; ANSWER SECTION:
host9.example.co.jp. 0 IN CNAME host8.example.co.jp.
host8.example.co.jp. 80 IN A 192.168.24.108

という結果になります。ググっても特にバグとかでていません。
また、tcpdump port 53 -n -vvv -X -s 1500 でパケットキャプチャしたところ、
権威サーバ側では、TTL=80でパケットを出力していますが、
問題のBIND9.2.4があるクライアント側ではTTL=0で受け取っています。

どうしてこのような現象になるのでしょうか？

>>117
バグじゃないならDNAME(RFC2672)じゃなイカ？

>>118
調べてみましたが、DNAMEとは違うようです
www.yahoo.co.jpやwww.google.comもCNAMEを使っていますが、
こちらもやはりCNAMEレコードのTTLは0になります。

質問があります。
自分、今Yahoo!のADSLをハブを使って数台でネットを使っています。
で、サーバ構築を勉強しているので試しにパソコン数台をDNSで分けて連携してみたいのですが、自分のような個人のネット環境でも出来るのでしょうか？
特に固定IPアドレスなど申請していないのでモデムによる動的なIPアドレス取得だと思います。
データベースのレプリケーション等もやってみたいと思っています。
DNS自体は簡単にですが学習しましたが、BIND等によるIPアドレスの設定しか書かれておらず、複数のIPアドレスを持っていさえすれば出来るのかと思っているところです。

上記のような場合、どのようにすればサーバ構築が出来るのでしょうか？
ifconfig、ipconfig等で現在のIPアドレスを確認してその値を設定ファイルに書き込むだけで出来るのでしょうか？
モデムの電源を切ったり、切れたりするとIPアドレスは変わってしまうので、その場合数台の設定をまた設定ファイルで書き直さないといけなくなりそうですが。



また、もう一つ本に載っていない疑問があるのですが、ネットに繋がないオフライン環境でもパソコン数台によるサーバ環境は出来るのでしょうか？

書き忘れていましたが、OSはcentOS5.5メインでWindowsXPも使っています

質問の読む限りでは君には無理

>>122
それは自分の環境では出来ないということでしょうか？

>>123
122のような角の立つ言い方は好ましいものではないですね。
ですが、私も今のあなたの知識はDNSサーバーを構築して実験を行いながら知識を深める段階に達していないと思います。
それは用語の間違いからわかります。

DNSについて前にIPアドレスとホスト名(DNS的に言うならドメイン名)の関係について学習することが必要ではないかと思います。
bindの解説から勉強を始めると、DNS有りきが前提になっているかもしれませんので、勘違いを助長するかもしれません。
まずはホスト名とIPアドレスの対応方法について調べ、その一つの解決方法がDNSであり、
DNSを実現するソフトウェアの一つがbindであるという点を確認してみてはどうでしょうか。

>>124
ありがとうございます
まぁ、まだ学習段階なので知識は全然ないのですが、一応自分のYahoo!からのADSLだけでも出来るのかどうかが知りたくて質問させていただきました

オライリーのDNS&BINDでも読めば幾分サーバ構築の知識は得れるでしょうか？
自分は図解でわかる Linuxサーバ構築・設定のすべてという本を読んだのですが、ちょっとコレだけではサーバを構築できるかイメージが沸きませんでした

>>125
内部のマシンだけが参照するのならばできなくはない。
外部にドメインを公開するのは無理。

修得した独自ドメインを入れればBINDを簡単に設定してくれる便利なアプリとかないですか？
設定がいまいちよくわからない

>>127
レジストラなりリセラーが提供するDNSサービスを利用するのではいけないの?
それか、Zoneedit.comとか、ちょっと怪しいけどDomainDNS.comとか。

>>127
どうしても自鯖でってことなら、Webmin使うか、
Smbind ttp://sourceforge.net/projects/smbind/
DNS Control ttp://www.r00tshell.com/dns-control/
ProBind ttp://probind.org/
みたいなツールは?

>>128
レジストラのDNSは逆引きができない仕様になってるので自分でやろうかなと
>>129
ありがとうございます。やってみます。

逆引きはプロバイダが対応していないと出来ませんが、
固定IPを割り当ててもらっていないと無理じゃないかと思います。

自分でやっても逆引きは無理
固定でもプロバイダが委譲してくれないと無理

すみませんがわかる方いたら教えて下さい。
委任設定がうまくいかないのです。
NSレコードに委任するドメインと委任するDNSサーバのURLを記載し、Aレコードに委任するDNSサーバのURLとIPを記載しているのですが、nslookupをすると見つかりません　non-existent となってしまいます。
他に設定項目や確認項目があるのでしょうか。

URLっていうのは http://xxxx/yyy とか ftp://zzz/ のようなものだと思っていたんですが、
ここではドメイン名なりホスト名のことだとしておきます。

example.jp の下に some.example.jp を作り、その DNS が dns1.example.jp だとすると
example.jp のゾーンファイルに

some NS dns1.some.example.jp.
dns1.some A 111.222.333.444
のように書くという方針は合ってます。

シリアルを更新したか、ドットの打ち忘れはないか、リロードしたかのようなところをもう一度確認してみては？

アドバイスありがとうございます。
確認してみます。

編集ページのＵＲＬってどうやって調べるの？

>>134
333.444て・・・
255までだろJK

Windows7のnslookupでFQDN入れてgoogle.comとか引くと
プライマリDNSサフィックスに設定しているhoge.co.jpがついて
google.com.hoge.co.jp
google.com.co.jp
google.com
の順に問い合わせていって2番目のところで
jpドメインのルートサーバ？z.dns.jpに行っちゃうですが
これをルートサーバに行かせない方法ってないものですかね・・・
RHEL5.5/bind

末尾に.付けて検索すればいいのかもですが

>>138
TCP/IP詳細設定でプライマリDNSサフィックスの親サフィックスを追加するチェックを外す
google.com.co.jpをhostsに書いておく

>>138
google.com. を引いてｗ

親サフィックスを追加するを外すのは効果なかったです。
hostsに書くか、末尾にピリオドを入れるしかないみたいですね
ありがとうございました。

--enable-filter-aaaaして何回やっても
/etc/named.conf:18: option 'filter-aaaa-on-v4' is not configured
と出るけどバグ?

--enable-filter-aaaa=yes とか？

すいません。
ソースコンパイルでインストールして新しいBINDを入れようと思うのですが
古いBINDの削除ってどうすればいいのでしょうか？
makeにそれらしいルールは無いのですが・・・・
もしかしてconfigure時にprefixで指定した(指定してなければデフォルトの場所)ディレクトリの削除だけでよかったりするのでしょうか？

はい、ダメ〜（笑）

え〜、ダメなんですかぁ？（汗

@ IN CNAME hoge
って書くと通らない…
@ IN A 192.168.0.1
みたいにAだといいみたいなんだけど
もちろん
hoge IN CNAME fuga
みたいなのはいける

CNAME 以外のものがあるレコードに CNAME は相乗りできない。
@ には SOA や NS が必ず存在しているので、
@ に CNAME は設定できない。

素人にCNAMEは無理ってことだな。

プロ御用達、CNAME

たまにはDNAMEのことも思い出してあげてください。

いやぷー

DNA ME

>>128
今日、DomainDNS.com のドメイン有効期限が切れていたので驚きました。
でWhoisの、
Registrant:
PrivacyProtect.org
Domain Admin (*******@privacyprotect.org)
に連絡してみました。
しばらく放置していたのですがすぐに自動返信が来ていました。

*******@privacyprotect.orgはwhoisを隠すためのサービスのようで、
本人のものでないとメールに記載されていました。
それでもオーナー(本人)に問い合せたい場合はprivacyprotect.org
が用意したフォームを使用して下さいとのこと。
わたしはそのフォームを使用して連絡したところ、
返事は来ませんでしたが、1時間程度で気づいたらしく、
ドメイン期限を10年延長してくれていたのです。
つまり、怪しいながらも連絡は一応通じるということです。

終わり

しばらくDDNSで自鯖でウェブサービス用に使ってたドメインで、
メールサービスだけは Google Apps を使っていました。

このウェブサービスをレンタルホストでやることに切り替えたので、
ドメインホルダーに登録してあったDNS情報を以下のようにしました。
############################################
1). mx aspmx.l.google.com. 10
2). mx alt1.aspmx.l.google.com. 20
3). mx alt2.aspmx.l.google.com. 20
4). mx aspmx2.googlemail.com. 30
5). mx aspmx3.googlemail.com. 30
6). mx aspmx4.googlemail.com. 30
7). mx aspmx5.googlemail.com. 30
8). txt @ v=spf1 include:aspmx.googlemail.com ~all
9). a * WWW.XXX.YYY.ZZZ
############################################
行頭の "数字)." は、分かりやすくするために打っただけで、
実際に記載していません。

で、この 1行目から8行目までは、自鯖からレン鯖に変えた時にノータッチで、
Google Apps に言われた通りの内容をただそのままコピペしているだけです。
自鯖の時にはこれでウェブはウェブで、メールはメールで、ちゃんと利用できていました。

しかし9行目を自鯖からレン鯖へ移行するときに上記のように書き換えたのです。
変えたのはレン鯖の固定IP部分 WWW.XXX.YYY.ZZZ だけなんですが、そうしたら、
メールサービスが一切正しく働かなくなってしまいました。

今まで変動制だったIPアドレス部分を固定IPに変えただけなんですが、
何がいけないのでしょうか？
使っているドメインホルダーは value-domain.com です。

a レコードっていうのがマズいのかなぁ。。
どなたか何かアドバイスいただけませでしょうか。
よろしくお願いいたします。

とりあえず、ゾーン情報を他人に見せるなら共通化した形式で出せ。
俺フォーマットで出すならならどのカラムが何を意味するのかちゃんと説明しろ。

* が ワイルドカードのつもりなら、罠満載だから素人はあんなもん使うな。

>>157 うう。DNS関係よく分かってないもんで。。

* はワイルドカードのつもりです。
ウェブだけ WWW.XXX.YYY.ZZZ というのならワイルドカードにしちゃいけないのかな。
a レコードとか c レコードとかの意味もイマイチ。。

VGスレに移動します。ごめんなさい。

つかこの人BINDの話はしてないね
VDのDNSで設定いじったらおかしくなりましたって話

>>159
スレタイのDNSに反応しちゃったんじゃない？

BIND 9.3.2　on FreeBSD 5.5-RELEASE です。
初めて、Windows 7 (Home Premium 64bit)のノートを買いましたが、DNSがひけません。
コマンドプロンプトで nslookup を行っても駄目です。
mac、XP,vista 　までは問題なくひけてます。

色々、情報をネットで探してみたけど、まだ、見つかっていません。
なにか情報があれば教えていただけないでしょうか？

よろしくお願いします。

そりゃクライアント側の問題じゃないの？
板違いだと思うけど。

DHCPでうまく渡せてないなら、マニュアルで設定してみては？

>>162
マニュアルで設定しても変わらないんです。
ためにしに、外部のプロバイダのDNSを設定するとちゃんとつながるので、
自宅内のDNSのせいかなと推測しました。

コマンドプロンプトの nslookup で確認しているので、クライアントの設定は関係ないと思います。
ちなみに、そのDNSには ping が通ります。

うーん、なんだろね。
IPv6関係とか？
あとググるとVAIOでトラぶってるの多いな。

>>164
はい、ググるとIPv6とVAIOの関係と、ゲーム機関係は見つかります。
今回は、VAIOでもゲーム機でもないので、残るIPv6もクラインとでは無効にしています。
DNSは IPv6 には対応させていません。

Bindのログレベルを上げてもログにはかないのでなかなか掴みようが無いのです。

nslookup は - でサーバ指定してもダメ？
サーバに届いてるのかなあ、、pingはいってるようだけど
ipconfig /flushdns してみるとか。

>>166
色々ありがとうございます。
nslookup は server で指定してます。
外部のDNSはひけるのでクライアントから、要求は出て行っていると思うんです。
やっぱり、bind のせいじゃないんですかね。　
firewall 系を確認してみます。

ログに残らないというのがひっかかるなあ、snoopしてみては？

>>168
その後です。
bindのせいではないようです。
有線LANだと特に問題なく、DNSが引けます。
また、無線アクセスポイントを変えてみたところ、直りました。
まだ、原因がよく分かってはいませんが、どうも、、無線アクセスポイントの設定のような気がしてきました。
なにか、判ればまたここで報告します。

お騒がせしました。

例の件って、本当に脆弱性なのか？

>>169
これってマルチキャストに対応してない無線LANでの、IPv6問題ではないかな。

>>154 だが
最近DomainDns.com のネームサーバーのns2. ns4. ns5. が調子悪かったのです。
タイムアウトになっていたので新規DNS設定のとき、反映しなかったり
してたのだが、154のときと同様にWhoisのアドレス宛にメールしたら、
１日で直してくれました。
※とりあえず、ns4. とns5. がタイムアウトしなくなった。

で、なぜかその数日後、domaindns.com にログインしたり管理画面内で
操作してるとBASIC認証の画面が出て、OKを何度も何度も入れないと
入れなくなったのです。それで我慢ならなくなって、数日後に
さらにwhoisのアドレス宛にメールしてみました。
すると１日後にサイトの左側に[feedback & support]というのが付くようになり、
BASIC認証も出なくなったのです。

どうやら、返事は全くしないものの、しっかり管理する気はあるようです。
おれのエキサイト翻訳のメールを3回もまともに相手して1日で対処してくれたのだから。

とりあえず、信頼して皆つかってみましょう＾＾

ちなみに、
>>154 の続きは >>155 にある

9.9.0がきましたよ〜

ククレカレー

>>174
inline-signingに期待大

ねえ、教えてよ

SOAのシリアル番号って別ファイルに持たせられないの？
たくさんのゾーンの番号を一発で上げたいの

>>177
sed & awk

namedのログが急にmessagesにも残るようになったんだけどこれって普通のこと？
今日recursionを許可するIPに制約を加えたらそうなった

むしろ今までまったく残らなかったのがおかしいのかな？
ちなみにdata/named.runにもほぼ同じ内容が今までどおり残ってる

RHEL6の64bit版（アプリ一切なし）にApacheからなにから自分ですべてインスコしてます
基本はRedHat Networkのレポジトリからyumで入れてる
でもやっぱりないものもあるしトラブることもあって他からも入れざるを得ない状態
なのでどっかで間違った可能性は十分あると思います

設定によって如何ようにもなる。

そこにかかわる設定が変わってないはずなのにそう変わったから不思議なんだけどね

不思議だねぇｗ

ログにかかわる設定は大分前にいじったが、
そのときはbindをリスタートさせていなかった。
のかもしれない。

うーん・・・そもそもログ関連はいじってないんだよなあ

ただchrootの設定をよくわからないままやっていて
webminから設定してると妙な動作をすることがあった
具体的にはコンフィグファイルの書き込み権限がないとエラーになったり
タイミングによってはならなかったり
そのへんが原因なのかもなあ

かもなぁｗ

webmin
ｗｗｗｗｗｗｗｗｗ

わろた

＞最近の女子高生はDNSを使いこなしているらしく、電車の中で「アドレス渡されたんだけど、逆に引くわ！」と言っていた。

9.7.3でフォワードしてくれないんだけど何か特殊な事しないと行けない？
BINDが入ってるサーバーからフォワード先のサーバーへは名前解決できるから
FWなどの問題ではなくBINDの設定だと思うんだけど
optionsに設定入れただけでは上手く行かない？
WEB色々調べてそれらの従ってやったり、サンプルファイルから
書き直してもどうしてもフォワードが上手く行かない

どう設定したのか晒さないということは、
自力で解決するつもりで人に頼る気はない、>>188はただの日記だということでいいよな？

9.7.3の前は何を使っていのか？とか
allow-query とか recursion とかの設定はどうしてるのか、とか
普通は options に正しい設定を入れるだけで上手く行くので
9.7.3だけどうってことは特にないと思われ。

>>190
options に
forwarders{
XXX.XXX.XXX.XXX;
XXX.XXX.XXX.XXX;
};
を追加してるだけなんだけどね

後の設定はサンプルをそのままで下記の項目だけ変えてる
optionsは下記の項目を変更{
listen-on port 53 { 127.0.0.1; xxx.xxx.xxx.xxx; };
//listen-on-v6 port 53
allow-query { localhost; xxx.xxx.xxx.xxx;};
allow-query-cache { localhost; xxx.xxx.xxx.xxx;};
}
loggingはサンプルのまま
viewはinternalのサンプルのみ適応で下記の場所変更

>>191
recursionは？

ミスった再送信
options に
forwarders{
XXX.XXX.XXX.XXX;
XXX.XXX.XXX.XXX;
};
を追加してるだけなんだけどね

後の設定はサンプルをそのままで下記の項目だけ変えてる
optionsは下記の項目を変更{
listen-on port 53 { 127.0.0.1; xxx.xxx.xxx.xxx; };
//listen-on-v6 port 53
allow-query { localhost; xxx.xxx.xxx.xxx;};
allow-query-cache { localhost; xxx.xxx.xxx.xxx;};
}
loggingはサンプルのまま
viewはinternalのサンプルのみ適応で下記の場所変更{
match-clients { localhost; localnets; xxx.xxxx.xxx.xxx; };
}

WEB見てたらoptionsにforwardの設定入れたり入れなかったりで
試してみたけど特に変化無し
viewにforwardersの設定が反映されてない？と思ってview内に書いても見たが変化無し
BINDはcentos6.2からyumでインストール
方向性は間違って無さそうだし、もうしばらく調べてみます
スペースやタブなどが、悪さしてるかも知れないし
それにタグ系まだ全て、どんな意味合いでどんな時に使うか調べ切れてないし
何かセキュリティー周りが色々追加されてるみたいですしね

ちなみに見てるツールによっては半角スペースが表示されてないかも

>>192
recursion yes;
にしてます

外部に公開している訳でも無く内部向けなので
最悪セキュリティー落ちる過去の入れようかな・・・て
逃げてても何も解決しないから、何とかするんだろうな

>>193
ちょっと待って、allow-queryがおかしくないか？
BIND動いているサーバーから、dig google.com @localhosしたら動くんじゃないかい？

>>194
ANSWERが返って来ないですね
念のため問合せ先をフォワード予定のサーバーにすると返って来ます（当然ですね）
色々試して見ます　ありがとう

あ　書き忘れてた
ちなみにSELinuxは無効にしています
SELinuxも使い方覚えないとな

dnssec は？

その１　そのbind9..7.3ではすべてforwardしたいのですか？
その２　forward先のDNSはキャッシュサーバーなのでしょうか？

うちはDebianなんで9.7.3使ってます。
社内のドメインについては、イントラ上の別のDNSへforwardし
その他のドメイン(社外のドメイン)については、上記とは別のDNSへforwardしています。

/etc/bind/named.conf.local で
zone "社内のドメイン" {
type forward;
forwarders { xxxxxxxxx; yyyyyyyy;}};
};

/etc/bind/named.conf.options で
options {
forward first;
recursion yes;
allow-query { any; };
dnssec-validation yes;
forwarders { yyyyyyyyyy; };
}

原因（？）判明
optionsのdnssec-validationをyesにしてると上手く行かない
dnssec-validationをnoにすると上手く行く・・・

と　思ったが>>196でyesのまま動いてるな
dnssec-validationが何する物か調べてnoで問題が無いなら
noのまま使う事にするか

色々ありがとう、一人で考えると変な方向に行く事もあるから
話す事により自分なりにも整理でき、別の見方をするきっかけにもなるね

forward 先の dnssec-validation も yesにしないとダメじゃない。

>>198
見たいですね
これらの設定をyesにした場合、フォワード先のDNSもyesの設定で無い場合
処理が出来ない見たいな事がかかれてますね
私がフォワード先に指定した物がこれらに対応して居ないため
処理が行なえずにエラーになったと考えられます

何となく納得・・・って
この設定が入ってないDNSサーバは設定しているサーバからは参照が出来ないのか？
それはそれで問題が出そうな気がするけど、その辺は上手く何処かで処理されてるのかな？

dnssec validation をしたい人は forward する先のサーバが
dnssec OKかどうか調べて、NGな場合は他のDNSを探すか
forwardしないか、です。

2つviewを作り同名で内容が異なるzoneを両方に設定するのは全くやぶさかはないのですが、
両方のviewに全く同じ内容のzoneを設定するのは、なんと言ったらいいのか「コンチクショウのバーロー岬」です。
viewの外でzoneは定義できませんし、一方のzoneでは自分自身にforwardするのもなんだか厭な予感します。
何かかっちょいい方法はないでやんすか？

>>201
どちらもmasterなら同じファイル指定すれば？

>>201
includeすればいいんじゃない？

残念ながらmasterではないのです。
いつtransferを拒否されるやもしれぬ、しがないslaveサーバーの身なれば。
キャッシュファイルの中身が同じなら、異なるzoneが一つのキャッシュを共有しても大丈夫なのでしょうか。
それが許されるならincludeは超良い感じだと思います。

master の dbファイルはどこに置いてますか?
(a) /etc/bind/ の下
(b) /var/lib/bind/ の下
(c) ベッドの下

>205
(d) chrootしているので、/var/named/etc/namedbの下。

うちのドメインをDNSSECにしてやったのですが、
qmailなんぞを使っていやがる取引先様から
メールがエラーになるでーという連絡があり
俺は涙目です。

>>207
どういう理屈？

http://jprs.jp/dnssec/faq.html#Q19
こういう事情で送信にqmailを使っている取引先が
うちのユーザーにメールを送るとエラーになる。
取引先からは(DNSSECにしていない)第三者のところへは
送れるので、うちのメールサーバーだけが駄目なんだと判断する。
俺が責められる。飲んだくれる。注意力が散漫になる。
裸足でレゴを踏む。すごく痛い。涙目。

足の裏にピングリッドアレイなBCGより1つ1つにLEGOのロゴが入ったBCGの方がマシ。

>>209
業種によって論理的な説明で相手が納得するかも
パッチ出てるみたいだし、相手に適応させた方が良いかも
原因が分かってるなら、説明し易いし
最近はセキュリティに五月蠅くなってるから
相手が少し不安になりそうな言葉入れておけば折れるよ

DNSSEC自体がまだそんなに広まってない気もするが
しかし、IPv6からセキュリティ周りデフォルトで入ってたよな、今後必要なのかね？
キャッシュなどを使った乗っ取り、成りすましには有効そうだが

>>211
俺 -> うちの取引担当者 -> 取引先の担当者 -> サーバー管理業者
ということになるので、対応してもらえるかどうかは怪しい。
管理業者さんに連絡できるのなら、直接説明するのもやぶさかではない、
と伝えていますが、過去の２件は「gmail使うのでいいです」、「当分、メールでの
やりとりはないのでいいです」で終わった。
また、送信を2系統持っている取引先で、片方のqmailだけダメなところもあったのだが、
そこからは2回に1回の割合で送れたり送れなかったりした。
そのときは「送りなおしてもらえば届くのでいいです」で終わった。

教えて下さい。
DNSサーバでnslookupでそのままドメインを引くと問題ないのですが
対話形式でserver指定で同じDNSサーバをホスト名で指定するとIPv6のアドレスに変わってしまって引けなくなります。
server指定でIPアドレスで指定する場合は問題ありません。
BINDに関係ないかもしれませんがどこの設定が関連しているかわかれば教えて下さい。
windows側の問題かと思って別板で質問したのですが、サーバの問題のようで。
サーバはTurboLinux8Serverでbindは9.2.1-7です

>>213
う〜ん、何言ってるか分かんない

>>213
まず、「DNSサーバでnslookupでそのままドメインを引く」とは何をしているのか？
どのコンピューターで実行しているのか？DNSサーバであるTurboLinux8Server上で実行しているのか？
そのまま、とは何がそのままなのか？

「同じDNSサーバを」何と同じなのか？

>>213
自分が設定しているサーバーの名前？
第三者が提供している名前？

仮にaaa.bbb.ccc（FQDN）と言うドメインがあり
端末から「nslookup aaa.bbb.ccc」　と入力するとIPv4の情報を持ってくるが
snlookupを実行して対話モードで入った後に、「server aaa.bbb.ccc」と入力すると
IPv6の情報を持って来ると言う事かな？
それとも、別のDNSサーバーに接続した後、aaa.bbb.cccを問い合わせると
IPv6で返って来ると言う事？

用語が一部混じってるから微妙な所が分からない
ドメイン名とホスト名は別物だし
FQDNがaaa.bbb.cccでドメイン名はbbb.cccでホスト名はaaaと言うこと？

すみません、文字制限があると思ってかなり端折って書いてしまいました。

DNSサーバ(ホスト名:AAA)でnslookupで例えば、yahoo.co.jpを引くとIPアドレスがきちんと引けますが、
DNSサーバ上で、対話形式で、server AAA と自分に切り替えると同じサーバ上でnslookupを行う道理だと思うのですが、
IPアドレスが引けなくなります。
どうもserverコマンドで切り替えたタイミングでIPv6用に切り替わっているように見えます。(AddressがIPv6で返ってきてます)
この後、set type=A等をしても引けない状況です。
これがserverコマンドで切り替えた場合でもIPv4のままになっていればいいのだと思うのですが、BIND関連の設定で
どこか関連している部分がありましたら教えて下さい。

追記
server指定でIPアドレスで行う場合は問題ありません、とは
AAAのホストのIPアドレスを指定する場合は、という意味です。
ですので、DNSサーバでserver　AAAとしたタイミングで、AAAを自動的にIPv6で
指定してしまっているのかもしれません。
ちなみにDNSサーバはIPv6には対応していますが、hostsにはそのような記載はしていません。

/etc/resolv.conf はありますか？あるとすれば、その中身はどうなってますか？
nslookup でサーバーを指定しない場合、resolv.confに書いてあるDNSサーバーに問い合わせます。
もしかすると、そこではIPアドレスで指定してあるかもしれません。
試してにnslookup の server で resolv.confに書いてあるDNSサーバーを指定してみてください。

次に、nslookup で AAA を引いてみてください。
ひょっとしてV6アドレスが返ってくるのではないでしょうか？

その場合、AAAはV6アドレスを持っていますか？またbindはV6アドレスでlistenしていますか？

>>219
resolv.confですが、中身は
domain AAAのドメイン
search AAAのドメイン
nameserver AAAのIPアドレス(v4)
nameserver 別のDNS2のIPアドレス
nameserver 別のDNS3のIPアドレス
となっております。

nslookupでserver AAAのIPアドレスを実施し、
AAAのホスト名を引くと問題なくIPアドレス(v4)が返ってきております。
AAAはv6アドレスは持っておりますが、53番ポートはIPv4のみ開けています。

nslookup が server AAAで指定された AAA をIPに変換するときはresolv.confに従うので
AAA DNS2 DNS3 のどれかに問合せることになりますが、

server AAAのIPアドレス ← これは実験済みですね。
server DNS2のIPアドレス
server DNS3のIPアドレス
で v6 になったりしませんか？

/etc/hosts に AAA のv6アドレスを書いてあったりしませんか？

nslookup が server AAA 時に AAA をv6にしてしまうかもしれません。
そうなっているとv6でbindに問い合わせるので答えが返ってこないですね。

>>221
resolv.confに従うのですね。
DNS2,3ともにIPアドレスでserverコマンドで指定して確認しましたが、
問題ありませんでした。
hostsにはIPv6関連の記載はありません。

ちなみにですが、AAA、DNS2はIPv4、v6対応、DNS3はIPv4のみとなります。
且つ、AAA、DNS2、DNS3は全て同じドメインに属しておりまして、
JPRSの指定はDNS3になっております。

途中で送ってしまいました…。

ですので、DNS2をホスト名で server DNS2 とした場合も同様の現象が発生します。
DNS3の場合は問題ありません。

>>223
v6で問い合わせるのと、v6のアドレスが結果として帰ってくるのとは関係がないんだが、
単にAAAのネームサーバーにAAAとDNS2のv6のアドレスが登録されているのではないですか？

lserverでなくserverでは、名前解決にカレントのネームサーバーを照会するから、
server AAAとやった場合、AAAがAAAのv6アドレスを返したら、次からv6のAAAに照会に行きます。

アドレスを返す他にプリフィックスポリシーだねｗ

>>224
確認が遅くなりましてすみません。
AAAがv6のアドレスを返すのはどこの設定が怪しいでしょうか?
ホスト名で指定した場合、v4を優先的に返す設定にしたいと思っております。

bind は 聞かれたことに答えるので v4のアドレスを聞かれれば v4のアドレス、v6のアドレスを聞かれればv6のアドレスを答えます。
any を聞かれれば両方(それ以外も)を答えるので、v6を問い合わせている、もしくはanyで問い合わせてv6アドレスを採用しているやつがいるはずです。
nslookup は nslookupの機能としてDNSへの問いあわせを行う前に、
server AAA と指定されたとき、標準の方法(libcに組み込まれてる)でAAAの名前解決をします。
そのときにv6アドレスになっちゃっているのが今回の問題点だと思いますが、どうですか？
libcの機能の名前解決でv6とv4が帰ってきたらv4優先にするにはどうするか？
FreeBSDにip6addrctlというコマンドがありますが、Linuxでは何になるんでしょう。

> そのときにv6アドレスになっちゃっているのが今回の問題点だと思いますが、どうですか？

そう思っております。
一度libc関連で調査してみます。

フォワードについて質問です

特定ゾーンだけフォワードしようと思ってるいるのですが、先にルートファイルが読まれてしまいます
rootは上位のサーバからゾーン転送しており、
上位サーバで定義されていないゾーンを管理している別のサーバにフォワードしたいと考えています

option内でforwardの設定を書かずに下記のように書いております

zone "example.co.jp" in {
type forward;
forward only;
forwarders { xxx.xxx.xxx.xxx; };
};

zone "." in {
type slave;
file "secondary/root.zone";
masters { yyy.yyy.yyy.yyy; };
};

下のルート指定をなくした場合は、フォワードが上手く行って名前解決ができるようになります
ルートファイルを読む前にフォワードするにはどうすればよろしいのでしょうか？

yyy.yyy.yyy.yyy はどこのサーバーなのでしょうか？

質問させて貰いましたDNSサーバの所属するネットワークを管理しているDNSサーバで、
各ゾーンのネームサーバの指定などを行っています。
作成したDNSサーバはネットワークの一部のmasterとして下位ゾーンの管理をしています。

下手な図ですが下記のような形です。

�@最上位DNSサーバ(yyy.yyy.yyy.yyy）
　　↓ゾーン転送　　　　フォワード
�A作成したDNSサーバ　　→　　�@が管理していないネットワークのDNSサーバ（xxx.xxx.xxx.xxx）
　↓　↓　↓　↓
�Aが管理するネットワーク

root を slave として設定する例は初めて見たし、
さらにそれを forwarder と組み合わせるなんてアホなことをやるのも初めて見た。

思うに、type forward ではなく、type stub がやりたかったことなのではないか。

>>229
普通ルートには内部で解決手段が無い場合に行くのですが
内部に全体のフォワード設定があればそちら優先ですし
（今回みたいに内部に別途指定があればその部分は指定した方が有効ですが）
記載方法では、example.co.jp（子も含む）当ては別の場所にフォワードしようと見れますが
下の記載がおかしくないですか？
通常 zone "."は 「type hint」になると思いますが（私の知識が浅はかなのかも知れませんが）
ファイル名からルート情報を持っているように見えますが、もしかしてそこで全体のフォワード設定してますか？
と思ったら>>231が続きなのですね
記載の仕方を変更してください
最上位DNSへは全体のフォワード設定として下さい
もし、最上位DNSのスレーブとしてDNSサーバを設計しているならマスターファイルのドメイン名を記載してください

個人的な推測ですが
最上位DNSに設定している複数のマスターファイル及び色んな物を
zone "."で一括で管理して、最上位DNSとDNS間の通信を極力下げようとしているのでは無いでしょうか？
余りそのような設定は聞かないのですが、可能なのでしょうか？仕組み上キャッシュとしては可能だと思いますが
スレーブでは無理なような気がします
ちなみにお使いのDNSサーバーは何を使っているのでしょうか？（BINDかな？）

>>233
＞最上位DNSへは全体のフォワード設定として下さい
こちらの設定で思い通りの動作をしました。
アドバイスありがとうございました

あと使用しているのはBINDでした

>>232
自分自身も「rootをslaveで良いのか？」と思いながら設定してました・・・
ここで書くのもあれですが、研究室が独自に立てたサーバの更新で旧設定からの引継ぎだったんですよね・・・
質問して良いのかどうか迷ってしまいましたが、質問させていただきました（板違いでしたらすみません）

問題となったrootファイルは上位からゾーン転送してきたものをmasterとして設定してたり
（見た感じですと今回forwardする先の情報が、rootファイルから外れたときにslaveから変えたようです）
それをそのまま移植してforwardすればいけないかな？と考えたところが、理解の低さを示してますね・・・
今回、自分がネットワークについて全然分かってないことを思い知りました

拙い文章でしたが、回答していただきありがとうございました

forwardersを設定している場合、
自分が管理しているゾーンで以外だったらクエリを転送すると思うのですが、
自分が管理しているゾーンファイル中で解決できなかった場合でも、
forwardersに飛ぶのでしょうか？

例えば、
ゾーンＡを管理していて、Ａ内にホストやサブドメインa1,a2,a3がある場合、
問い合わせがゾーンＡのa1であれば即時解決、
問い合わせがゾーンＢのb1であればforwardersで転送ですが、
問い合わせがゾーンＡのa4である場合です。

>>235
それグローバルオプションのforwardersが優先されたはず。

サブドメインのセカンダリになるか、配下のサブドメインを個別にforwardersしないと
解決できなかった気がするけど、今ならオプションとかあるのかな。

それはnamed.confでなく、個別のファイルであるゾーンＡファイル内に
「ホストa1〜a3」「（それ以外は）forwardersどこそこ」
という設定するということでしょうか？

>>237
飛ばずに、無いとなると思います
基本、同一ドメイン名は他に存在しないのが原則ですから

例的に言えば管理ゾーンがAAA.BBB.CCCだったで
中に記載されているホスト名はa1・a2・a3とした場合
a1.AAA.BBB.CCCは即時解決
a1.EEE.FFF.GGGはforwarders転送
a4.AAA.BBB.CCCは存在しない

>>237
スマソ、a4を権限委譲したサブドメインと勘違いしてた。

この場合でも1行目は書き間違いで「グローバルオプションのforwardersの
影響を受けてサブドメインの解決ができない」となるけどね。

自分が管理しているゾーンＡにa4の情報はないが、
同じゾーンＡを、例えば外部に設置したBINDも管理していて、そこにはゾーンＡのa4の情報がある場合、
a1,a2,a3は自己解決し、a4は外部設置BINDに飛ばす、
という設定はできないものなんでしょうか。

Webサーバーみたいに、内部と外部で、同じゾーンの同じホストでも
違うIPを記述する例（同一ドメインが他に存在し、記述内容が異なる例）も
あると思うんだけど、何か間違えてるかな？

>>240
DNSの基本構造がおかしくなりますから、無理だと思います
DNSの基本として、マスターは１個ですから
その場合、同一ドメインのマスターが複数あると言う事になりますので
基本に違反する事になります
（※設定によっては、複数のマスターが存在する事も有りますが、双方でレプリケートされ整合性が取れるようになってます）

何故そのような事をしたいのか？しないと行けないのか？など分れば
別の良い方法を提示できる可能性もありますが・・・
（私の知識が古いだけで今は出来たりするのかな？）

>>240
>Webサーバーみたいに、内部と外部で、同じゾーンの同じホストでも・・・
それはアクセスしに来る場所（IPアドレス）により参照先を変更してます
確かセキュリティーゾーンの設定みたいな感じだったかな？
最近のBINDなら設定可能です
それでも、上記のような管理配下に存在しない場合は別のDNSに問い合わせは無理だったかと

で・・・方法は無い訳では有りません
基本設定にそのような項目が無いならソースは公開されてるので、
そのような動作をするようにすれば良いと言う考えも無くは無いですが・・・絶対にお勧めはしない
どうしても必要、他に方法が無いと言う時の悪手の中の悪手の最終手段

CNAMEで別のゾーンに逃げるのがakamaiとかでの定石かな。

あるいはRPZでもいけるか？

それは、ドメインが例えば
a1.AAA.BBB.CCC
a1.EEE.FFF.GGG
に変わった場合のこと？

「あまりお勧めできるものではないけれど」という前置き付きで view 機能を使えばいいんじゃないか。
と、言いたい人は沢山いるんじゃないだろうか。
けれど view はちょっと複雑なケースになると面倒になるのを皆経験しているのじゃないかな。

viewを使うとクライアントのアドレスや、ホストのアドレスやら毎にドメイン情報を区別できます。
例えばあるbindサーバーが、example.jpのマスターだとして、
インターネット向けには www.example.jp A 1.2.3.4 と
イントラネット向けには www.example.jp A 192.168.0.100
という異なるアドレスを返すようにできます。

これだけ見ると、「ああ、それそれ」と思うかもしれませんがやってみると
zoneファイルが2つになるとか、master、slaveの関係とかいろいろ面倒なことがあります。

どうしてもCNAMEのホスト名に @ を指定できないと困る状況なのですが、古いbindとかを使えばなんとかなったりしますか？

去年zoneedit.comでDNS設定した際に、どういうわけかCNAMEのホスト名に @ が指定できたのでそのままサービスを運用していたのです・・

RFC 的に禁止なので、バージョンによってどうにかなるもんじゃないです。

>>246
古い物ほどその辺厳密だと思いますよ
@はユーザーとドメインの区切りでも使われますし（メールとかで）
仮に運用してても不具合や他の問題が出る可能性が考えられるので
登録情報を修正する事をお勧めします
（移行期間を長く儲けていれば混乱も少ないと思います）
一応ソースは公開されているので、自らソースいじれば@も対応可能だとは思いますが
規定外なので何処でどのような問題が出るか分りません

別の件ですが、某携帯会社のメールアドレスに規定外のアドレスが設定できるために
そのアドレスから送られたメールが届かなかったり、送っても届かないとか有ります
フリーで出回ってるメールーサーバーは対応したりしてますが、大多数のサーバーは
未対応で今でも偶にそのような話が上がります

>>247
>>246はそんなことを聞いてるんじゃないと思われ。
DNS の仕様的には @ という文字を使うことはまったく禁止されてないし、
実際 BIND などでも何の問題なく設定できる。@ ではなく \@ と書けばいいだけ。
DNS に問い合わせる側がそういう応答をちゃんと扱えるかどうかはまったく別問題だが。

>>247じゃなくて>>248だた…

>>249
@使えるんだ　と思って試した
今使ってるバージョン（9.6.2 古いバージョンだった）では

ドメイン名に@入れると起動時にエラーで弾かれます。\@に変えても同じでした
エラー出してるのがドメイン下の設定ファイルなので、その辺を上手く設定してあげればいけるかも
設定ファイルの中に@で書いてる場所がありますからそれと当ってるのかな？
（@止めてきちんと書けば・・・）

ホスト名の方に@は認識してくれました。\@にしなくても可能でした（\@でも可能）
しかし、Windows版のping・nslookupでは共にエラー（該当データ無し）
Linux版ping・nslookupではpingエラー・nslookup返り値有り　と言う不安定な結果
何か渡し方が別途あるのかも知れないですが

>>246
と　言う事で
\付けて問題ないバージョンが存在するみたいなので
それを見つけて導入してはいかがでしょうか？
ただ、DNSを利用するソフトによって挙動が変わる可能性がありますので
使う用途によってはテストをしっかりする必要性が有るかと思います
現状運用していて問題が無いのであれば、問題が起きない可能性もありますが

CNAMEを@に使って、NSやSOAはどうするつもりなんだ？

質問させてください。
ネームサーバーを複数登録し、その中の一台が応答すれば名前解決は行われるそうですが、
ゾーンの編集はネームサーバー一台毎に行っているのでしょうか？
たとえば、バリュードメインのゾーン編集を行った場合
NS1-5.valuedomain.comまでを一括で編集するということですか？

すいません。いた違いですね。

内向けLAN内で使うDNS構築は意味ありそうなんですが
外部向けDNSって自分がDynamic DNSをユーザーに提供するような目的じゃないと構築する意味ないですよね？

自分のドメインでメールを受け取ったりWebサーバーを公開したりする人には意味があると思います。

え？外向けDNSなんか構築しなくてもWEBサーバの公開はできるでしょ？
自分のドメインは外部にあるDNS利用させてもらってIPアドレスを通知すればいいし。
ドメインに対して権威あるDNSをわざわざ自前で立てて外部へ向けるんですか？
それでも可能でしょうけどルータのポートを解放してまで外部へ提供するDNSをわざわざ自前で立てるまでもないですよ。

そういうケースでは構築する意味はありません。

>>258
ですよね、

運用次第だろうね
外部DNS利用するが外部のデータ更新は手続きが面倒なため
外部をサブにして自前をマスターにし、データ更新はマスターで行なうとかもあるし
別に無理して使う必要も無い代物だよ

BIND9.7xから設定が難しくなりましたね。
デフォルトの設定ファイルの配置が違いす業て最初からハマります。
何がなんだかです。
biind9.8.2+bind9.8.2-chootでの内向けDNSの設定のやり方がいろんなサイト見てもやり方が違いすぎてどれが本当なのか分かりません。
LAN内の名前解決したいだけなのになんでこんなに難しいんだろう。
やりたいのはwindowsで言うところのhostsファイル書き換え程度なのに。

デフォルトの設定ファイルの配置って、
そんなもん大昔から変わってませんがいったい何の話をしていますか。

たしかにちょっとテストで使いたいとか、LANも含めて小規模のDNS作りたいときに
BIND使うのは大げさでうざくて面倒な感じがする。
一時期自分も使ってたけど、面倒くさくなってプロバイダに委託してしまった。

だれかもそっと簡易なものを作ってくれんかな？

むしろそういう用途こそBINDがラクできるんだが。
BIND以外のものはゾーンを持つものとキャッシュさせるものが別実装なので
それぞれ別個に設定しなきゃいけない。

マジメに運用するときは分離していろいろ考えた構成にする必要があるから
BINDでもそれ以外でもたいして手間に変わりはなくなるが、
外に晒さない内向きの名前解決をさせるだけのことでBINDが面倒ということはないはず。

BIND9.8が遅い
fowardersをルータでなくISPのDNSにした。
ipv6を止めた。
それでも遅い。

>>15をベースにすれば中用外用分離できるし簡単ｗ

すんません
教えてください

valuedomain使ってるんだけど
ns @ 対象のネームサーバ

って設定はできないものですか？
サブドメインなしのアドレスのネームサーバを
設定したいんですが・・・

>>267
利用されている場所の設定によると思います
サイトを見ると、ネームサーバーの変更方法も有るみたいですし
他のサーバーを利用する場合の項目もあるみたいですが
BINDなら
SOAドメイン名がdomain.jpだった場合
「 NS @」　で　domain.jpがDNSサーバーとなります
「 NS sample」　で sample.domain.jpがDNSサーバーとなります
「 NS sample.jp.」でsample.jpがDNSサーバーとなります
指定ドメイン名の最後がピリオドかどうかで、相対か完全かが分かれてたかと
（このような場合も、相対・完全と言うか分りませんが）

やりたい事は分るのですが、意図が分らない
上位サーバーにマスター・スレーブを登録されているなら分りますが

optionsの記述変更は、rndc reloadコマンドだけで適用されますか？

reload はゾーンの読み直し。
設定変更するなら rndc reconfig

>>270
ありがとー

>>267
サブドメインなしのネームサーバーは、そこに定義するのではなく、別画面(NS)。
上位のネームサーバーで回答してもらわないといけないからね。

今月に入ってから所有する複数のサーバーでnamedのエラーが大量に出るようになったんですが、同じような症状の人います？
自動でアップデートするようにはしてないのでアタックなのかと不安なのですが…

肝心のエラー内容は？

>>274

Jul 9 16:01:40 ns named[928]: client xxx.xxx.xxx.xxx#2091: error sending response: unexpected error

こんな感じのエラーが大量に出ます。

リソース不足になってないか確認してみては？
ttps://kb.isc.org/article/AA-00717/0/Why-does-named-log-error-sending-response.html

>>276
英語ダメなんです…。

ちょっと前の記事だけど、オープンリゾルバがDDOSの踏み台になってるとの事
http://www.rbbtoday.com/article/2013/04/18/106611.html

外部からの問い合わせは許可しない設定にしましょう

bind9.7.3でdkimを設定してもdigで返ってこないんだけど何でだろ。
default._domainkey IN TXT "v=DKIM1; k=rsa; p=MI****" ;
をゾーンに追記だけでいいんだよね？

設定のしかたが間違ってるか確認のしかたが間違ってるか、どっちかまたは両方。
その聞き方だと思い当たる可能性が多すぎて、これ以上のことはわからん。

あまり資料が無く困っているのですが、自身が管理しているゾーン(example.jp)をtype stubにして、
別のDNSへ委任させることはできるのでしょうか？
この場合、上位（ｊｐドメイン）のDNSでは、特に何もしなくても良いのでしょうか？

Windows 2000 から Windows Server 2012に移行しました。
BINDを8から9.10.0-P1.x64に変更して
named.confなどはそのままBIND 9に持ってきました。
いざ稼動してみると20分くらいでBINDが落ちてしまいます。
Windows Server 2012でBIND 9が正常に動いている人いますか？

forwardersを設定したら直りました。

了解しました。

Bind設定してやっとエラーもでなくなったんで下みたいにnslookupしてみたんだけど引けない。

nslookup server.com 192.168.1.88
*** Can't find server name for address 192.168.1.88: No response from server
Server: UnKnown
Address: 192.168.1.88

*** UnKnown can't find server.com: No response from server


ログファイル見てみると下のログが延々と並んでる。
netstat -ls すると53番ポートは開いてる。
なにをどうなおせばいいのか全くわからないだれか教えてください。


20-Jun-2014 13:29:37.955 general: debug 1: zone_maintenance: managed-keys-zone ./IN: enter
20-Jun-2014 13:29:38.006 general: debug 1: zone_settimer: managed-keys-zone ./IN: enter
20-Jun-2014 13:29:38.006 general: debug 1: zone_timer: managed-keys-zone ./IN: enter
20-Jun-2014 13:29:38.006 general: debug 1: zone_maintenance: managed-keys-zone ./IN: enter

127.0.0.1は？
そしてファイアウォールとかaclとか。

> Server: UnKnown
BIND以前の問題だなw

なんだか古巣に戻ってきた気分で。
BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1 (CentOS6.5)
動かしてます。けれども。
top - 23:58:09 up 6 days, 22:13, 2 users, load average: 1.34, 1.39, 1.36
Tasks: 248 total, 2 running, 246 sleeping, 0 stopped, 0 zombie
Cpu(s): 24.9%us, 0.1%sy, 0.0%ni, 74.9%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 12187176k total, 10465200k used, 1721976k free, 286760k buffers
Swap: 23568376k total, 16324k used, 23552052k free, 4413928k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
4101 named 20 0 5349m 4.8g 2680 S 100.0 41.3 10564:16 /usr/sbin/named -u named -t /var/named/chroot

こんなことになっています。
動作は問題無いけれども、負荷掛かりすぎ？メモリ食い過ぎ？
ちょと心配になって。これって異常？
ちなみにエントリ数が5.3Mあったりします。

>>288
純粋にキャッシュの増大が原因ならmax-cache-size設定してみたら？

アホな質問かもしれませんが、
1台のサーバでマスターとスレーブを設定することってできますか？

BINDを使って名前解決できるようになったんだけど、
一部のドメインとレジストラの組み合わせではマスターとスレーブの二台を登録しないと
登録できないみたいで困っとります。

>>290
view使えばできるけど・・・というのは置いといて。

2つのNSレコードが必要なんでしょ。
2つのNSレコードを登録してIPアドレス一緒にして回避するか、
だめなら2つの異なるIPアドレスでネームサーバ立てるしかないでしょ。

>>291　だめなら2つの異なるIPアドレスでネームサーバ立てるしかないでしょ。
一つのネームサーバに2つのIPアドレスでいけるかもね。

>>291
なるほど、2つのNSレコードで対応すればいいんですな。

>>292
上の方法でダメだったらあきらめてVPSでも借りて二台立てます。

しかし、普通みんな普通に2台も立ててんのかな？
ネームサーバなんてスパムさえ来なければ全然負荷ないのに…。

>>293
負荷対策って言うより、障害対策って事だと思う。

RFCでMUSTされてなかった？>DNSの二重化

セカンダリDNSサービスで探してみたら？

ありがとう。
NSをもう一つ書いたらレジストラに登録はできたけど、
セカンダリでアクセス出来なかった。

そこでセカンダリDNSに登録したらさくっとできたわ。
無料で提供している所あるんだねっていうか、これ絶対に一定の需要あるよね。

昔は知り合いのところと相互にセカンダリーを引き受けてたよね。

　___　_
　 ヽo,´-'─ 、　♪
　　 r, "~~~~"ヽ
　　 i. ,'ﾉﾚノﾚ!ﾚ〉　　　　☆ 日本のカクブソウは絶対に必須です ☆
　__ '!从.ﾟ ヮﾟﾉﾙ　　　総務省の『憲法改正国民投票法』のURLです。
　ゝﾝ〈(つY_i(つ　http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html
　 ｀,.く,§_,_,ゝ,
　　　~i_ﾝｲﾉ

★マインドコントロールの手法★

・沢山の人が偏った意見を一貫して支持する
　偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法

・不利な質問をさせなくしたり、不利な質問には答えない、スルーする
　誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法


偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い
,,,,,

質問です。

BIND9を使ってます。
netstat などで待ち受け状況を見ると

　IPv6では　　*.53
　IPv4では　　127.0.0.1.53 <自IP>.53

などと、IPv4では持っているIPアドレス毎にbindしているように見えます。
これを *.53の様に「何処からでも待ち受け」にするには、
どのような設定を行えばよいでしょうか。

関係ありそうなものといえば、現在
　　listen-on { any; };
　　listen-on-v6 { any; };
としているくらいです。

tcpじゃね？
バージョンもなんもかいとらんし判らンゴ

>>301
OSなどの種類が分らないと
netstatはBINDのコマンドでも無いからね

既にその設定なら何処からでも受け付けていると思うけど
それに、
IPv6では　　*:53
IPv4では　　127.0.0.1:53 <自IP>:53
こうでは無いかな？
仮に繋がらないと言うなら
FW（linux系ならiptablesとか）が遮断しているのでは無いでしょうか？
それともネットワークカードが複数あり全てで待ちうけしたいのかな？
BINDは逆に何もしなければ全てのNICで待ち受けしたと思うけど

>>303
NICが複数ある状態で使っているのです。

現状を簡単に説明すると、
今使っている環境、仮にインタフェースが3つあってそれぞれIPアドレスを <a>、<b>、<e>とすると
<a>.53にbindは成功するけど、<e>.53はbindに失敗するといった状況です。
これ自体は問題ではなくて、権限の話なのでどうでもいいのですが
BINDではbindに失敗すると(ややこしいな・・・)エラーログを出し続けます。
これがうっとおしいので、どうにかしたいのです。

わざわざすべてのNIC(<a>、<b>、<e>)に対してbindするのではなく、
0.0.0.0に対してbindすれば解決するんですが、どうにかならないものかと。
( IPv6では 0に対してbindしてますよね )

>>304
https://lists.isc.org/pipermail/bind-users/2008-October/073205.html

v6では出来るけどv4では無理っぽい(問題が起きるのでやらないという意味で)。
ntpdも一緒らしい。

>>305
ありゃ。駄目なんですか。
別のアプローチ考えます。。。

情報有り難うございました。

今度IPアドレスが変わるんですが
事前作業としてはDNSサーバーのzoneファイルのTTLを
15分とかにしておけばいいでしょうか？

セカンダリを優先にしたら？

ゾーン転送のリフレッシュタイムを1時間にしました。

>>307
変るのはDNSのIPアドレス？

http://jprs.jp/related-info/guide/019.pdf
http://jprs.jp/tech/material/iw2011-lunch-L1-01.pdf

>>309
近頃はnotify出来るのでリフレッシュタイムはあまり関係ない。

質問させて下さい。

DDNS、サブドメイン無しの環境で
ホスト名「SV01」固定IP「192.168.1.100」のAレコードを登録している正引きゾーンに対し、
同一のホスト名のDHCPクライアント「SV01」「172.16.1.101」が現れた時に
DHCPサーバからのdns updateによる上記レコードの上書きをさせないようにするには
どのような手法がありますか？

>>311
update-policyは？

すみませんが詳しい方のみ回答お願いします

>>311
SV01をサブドメインにして、そのドメインはDDNSでの更新を許可しない。

>>313
update-policyを調べてみたけど、要件は満たしていそうに見える。
ダメな理由は？

>>315
は？

>>315の無能ぶりが凄いな

>>316
>>317
deny sv01.example.jp self sv01.example.jp. A;
ではダメなんか？

ここは質問スレじゃないから書く奴のご機嫌次第だぞ
1から10まで書かないと理解できないというのなら実装されてないと思って諦めなさい

すいませんが詳しい方のみ書き込みお願いします

すみませんが解る質問のみお願いします

というわけで>>311は終了ね。

prereq馬鹿

しかし2chは無能だらけだなぁ

それは誠に残念でした。

>>324
このスレが無能

無能だらけスレ

>>321
こいつ相当アホだよな

>>322
解らないからって悔しがるなよ

>>328
お前には負けるよ

>>330
回答できない無能は黙ってて下さい

すいませんが詳しい方のみ書き込みお願いします

結局なにがしたかったんだ？

DDNSを理解出来ずに騒いでるだけだろう

まともな回答者がいないから荒れる

いや、逆だろ。
Yahoo知恵遅れに行けよ。

まともな回答者が居ないのは事実

まともな質問者もいないけどな

>>338
311 では不満か？

312から315あたりで解決だろう

>>340
は？

>>341
おまえ>>311だろ。
粘着うざい。

>>342
は？

>>341
特定のAレコードを更新禁止にしたいのならupdate-policyで出来そうなんだけど、違うのか？

質問よく読め

もうクローズで良くね？

まともな回答者が居ないから閉じざるを得ない

じゃ、クローズね。

お前の中ではそれでいいんじゃね？

update-policyはoptionsで定義は可能でしょうか？
それともzoneでしか書けないのでしょうか？

>>350
http://www.zytrax.com/books/dns/ch7/xfer.html#update-policy
update-policy only applies to, and may only appear in, zone clauses.

zoneの中だけですね。

あえてBIND9でRBLを構築しているのですが、
正引きにおいてうまく返事が返ってこない症状が出ました。
route: 91.121.0.0/16
descr: OVH ISP
descr: Paris, France
origin: AS16276
このアドレスに対して127.0.0.2を返そうとゾーンファイルを作成したのですが、
あるレンジでは、何も返ってこなくなります。
*.121.91.exsample.net IN A 127.0.0.2
この設定において、正引きしてみたところ、以下のような結果が返ってきました。
> dig 0.0.121.91.exsample.net @BINDのアドレス +short
127.0.0.2
> dig 0.1.121.91.exsample.net @BINDのアドレス +short
> dig 0.2.121.91.exsample.net @BINDのアドレス +short
:
:
> dig 0.7.121.91.exsample.net @BINDのアドレス +short
> dig 0.8.121.91.exsample.net @BINDのアドレス +short
127.0.0.2
> dig 0.224.121.91.exsample.net @BINDのアドレス +short
127.0.0.2
> dig 0.255.121.91.exsample.net @BINDのアドレス +short
127.0.0.2
> dig 123.1.121.91.exsample.net @BINDのアドレス +short
>
91.121.1.0-91.121.7.255の間が127.0.0.2と返ってこないのは
何かしらの設定がおかしいのでしょうか？
ご意見いただけるとありがたいです。
> named -v
BIND 9.8.2rc1-RedHat-9.8.2-0.23.rc1.el6_5.1
バージョンはこちらになります(CentOS6.5)

こちらになりますw

どんなサンプルだよｗ

bind9で複数ゾーンの運用中なんだけど、サブドメインの委任をすることになった。
で、nsupdateでグルーレコードはどうやって登録すればいいのかな
というか、そもそもグルーレコードは必要なのか
自分のドメインがabc.jpとして、サブドメインがsub.abc.jp、subのネームサーバがns1.ddd.jpとns2.ddd.jpなら、クライアントはグルーレコードが無くてもns1とns2のipを解決できるんじゃないだろか
どうだろ?

間違ってageたった
すまん

>>355
落ち着いてよく考えたら分かる話だぞ

>>355
グルーレコードが必要なのは、それがないと辿れないとき。
クライアントはabc.jpとは関係なく ddd.jp のネームサーバーを知ることができる。

ちなみに abc.jp も ddd.jp も実際にあるっぽい。

example.jpも実際にあるからなｗ

>>359
それは例示用に使っていい予約ドメインですよ。

>>359
example.jp、予約されてはいるけど、例で使っていいのは、com,net,orgだけじゃないの？

JPRSがexample.jpとかexample0.jp〜example9.jpとかは例示に使っていいよと表明してる。
RFCには載ってないけど。

Q. 例示に使用可能なドメイン名はありませんか？
ttp://jprs.jp/faq/use/