BIND その2

時々穴が見付かるけど、まだまだ事実上の標準です。

* 公式サイト
http://www.isc.org/products/BIND/

* 前スレ
http://pc.2ch.net/unix/kako/994/994947168.html

* 関連スレ
djbスレッド(2)
http://pc.2ch.net/test/read.cgi/unix/1021727195/l50

* 参考文献
DNS & BIND 第４版
http://www.oreilly.co.jp/BOOK/dns4/

RFC 1912: Common DNS Operational and Configuration Errors
(DNS の運用と設定においてよくある間違い)
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/rfc1912j.html

RFC 2606: Reserved Top Level DNS Names
(説明にはhoge.comでなくexample.comなどの予約ドメインを使いましょう)
http://www.ietf.org/rfc/rfc2606.txt

DNS (Domain Name System) の基礎知識
http://dns.qmail.jp/

BIND 8 から BIND 9 への移行についてのノート
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/migration.html

Secure BIND Template v3.5 Rob Thomas [email protected]
http://www.cymru.com/Documents/secure-bind-template.html

ＤＮＳのＲＦＣ
http://www5d.biglobe.ne.jp/~stssk/dns.html
（注意：※翻訳精度が高くないので参考程度の方が良いです）

いつのまにか前スレ落ちてたのか。

前スレが脈絡なくDAT落ちして一ヶ月。
いつの間にやらhtml化されて読めるようになってたので、単発質問スレ防止も兼ねて次スレを建てました。

新スレ乙

>>1 乙
ワシは今さっき Katjusha で倉庫行きになったのがわかったｗ

IPv6 経由の DNS update、ログが記録されないような・・・

localhostsみたいに、ドメイン部分を略できるようにはできないんですか？
foo→foo.bar.net みたいなかんじで。

>>8
一般アプリからのお話なら /etc/resolv.conf
named.conf なら無理かと
ゾーンファイルなら $ORIGIN

DHCP+DDNSだとドメインが変わっても resolv.confは更新されないんで
何か対処法はないかと思ったのですが。

resolv.confを長くし過ぎると名前解決がおそくなるので。

OpenBSD のソースツリーに BIND 9.2.2rc1 が入ったぞ。
BIND9 がデフォの時代も近い?

BINDの開発で知られるISCのPaul Vixie氏が来日
http://internet.watch.impress.co.jp/www/article/2003/0121/vixie.htm

Paul Vixie って Vixie Cron 作った人とおなじでつか？

>>13
yes

sendmail と　bind　は、セキュリティホールのホームラン王です。

こんにちわ。
私の環境はFreeBSD4.7RでportsからBIND8.3.4を入れたのですが、
その後に関しての質問です。

ndc start
してバージョンを確認しても、元々入っている8.3.3が起動されます。
portsから入れた8.3.4はどこにあるのでしょう？
全スレの470〜480を参考に試しましたが、
全て8.3.3が起動されているようです。

こうなったら、/etc/namedbディレクトリ以下を全て削除して、
新たに8.3.4をportsからではなく、ダウンロードしてきて入れた方が良いでしょうか？

which -a named

>17
そのコマンドを試すと、
-a: Command not found.
/usr/sbin/named
と表示されます。
で、表示されたパスを打ち、ndc statusで確認しても、
8.3.3のまま・・・。

しかし、-a　がCommand not foundというのは一体・・・。
ひょ、ひょっとOSからインストール・・・！？

嘘を (ry

which which で何が出る？
シェルのビルトインだったり /usr/bin/which だったりするけど。

度々ありがとうございます！
結果はこんなかんじです。

which which
which: shell built-in command.

なんかBINDの話と脱線してしまいスイマセン。
グーグル等で調べてみます・・・。

いいかげん *BSD も BIND を標準にすんのやめてほすぃな。
どうせあとでセキュリティホール見つかって update
しなきゃならないんだから。update は ports のほうが楽だし。

BIND こそ BSD!! BINDを抜いたBSDなぞクリープの入っていないコーヒー!!
などと拘ってる香具師が今でもいるんだろうか。

Sendmail よりは抜くのラクそうだな。

質問です。
ダイナミックゾーンをviewで複数に分け、対応するDBファイルも分けている場合に、
そのゾーンに対してクライアント側から動的変更（登録/登録解除）を加えると、
どのDBファイルに更新が入りますか？その選択論理はなんでしょうか？
（目的：クライアント側から動的変更をかける際、明示的に動的変更対象viewを
選択したい）

BINDを使っていると病気になります。

Lionのワクチンはすでに実用化されています。

まず大体、サーバーにするのでもないのに、DNSを動かしている奴がアホ。
クライアントはBINDなんか動かす必要からっきし無し。

bind9 を動かし始めたら...
動かしたサーバーまでは、3M の速度が出るんだけど、クラインアントから
サーバー経由して,ブロードバンドスピードテストすると 600K ぐらいになるの:ぐすん
bind 止めて squid だけにしてスピードテストすると 3M 行くのに...
bind のどのあたりの設定がおかしいか教えてもらえないでしょうか?
ちなみにこんな感じ

ADSL--+ Firewall +--+ DNS +----+ Client
　　　　　3M　　　　　　3M　　　　　なぜか600K
ちなみに Firewall の 53 番はあけて named.conf には
query source address も 53 を設定してるんだけど...

>>28
何のスピードを計っていますか?
BINDはsquidのかわりにはならないし、逆も同じですよね?

>>29
squidは問い合わせたホスト情報をキャッシュしますよ。

一つのホスト名に A レコードを複数書いてラウンドロビンってのは意味あると思うけど、
一つの IP アドレスに PTR レコードを複数書くのって意味あるの？
なんか、百害あって一利無しってきがするんですけど。

実用的な使い方は思いつかないな > 複数PTR
百害あるかどうかは知らないが、特に利点はないかと。

bind-9.2.2 age

なんか、sendmail って起動時に gethostbyaddr() して
IP アドレスとホスト名と別名を Cw に追加するみたいなんですけど、
起動する毎に Cw がランダムに変わるんですよ > 複数 PTR

PTR ｲﾗﾈ
http://www.janog.gr.jp/meeting/janog11/pdf/20030109_rDNS.pdf
http://www.janog.gr.jp/meeting/janog11/log/dns_reverse.txt

メールサーバたてたらネームサーバも立てたほうがいいですか？
（ドメインはレジストラのネームサーバになってますが。。）

>>36
他の諸々の条件に拠ると思われ．

BINDに重大な脆弱性
http://japan.cnet.com/news/media/story/0,2000047715,20052622,00.htm

>>38
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2003/03.html#20030306_bind

rndc必要ないんですけど、
rndc.keyとか作らないと怒られちゃいます。

使わないport開きたくないんですが、みなさんrndc使ってるんでしょうか？

controls {};
を named.conf に入れればrndc使わなくなるよ。
see "BIND 9 Administrator Reference Manual"

どうしてUNIXドメインソケット経由で操作できなくなった
んだろう > BIND9

bind8.2.7を使ってます。
いつも正常に動作しているのですが、急にforwardersの機能が働かなくなりました。
こんな事あった人いますか？
対処方法教えて下さい。

forwardに指定しているNSがこけてんじゃねーの？

あぼーん

forwardに指定しているNSは正常に動作していました。
ちなみにnamedを再起動したら又、正常に動作するようになったのですが、
何が原因なのだろうか？

途中でポートフィルタリングか何かしてない?
SQL Slammer対策の時に問題になったアレじゃないか?

このへん
http://www.rbbtoday.com/news/20030210/10497.html

DNSって53/UDP以外使うの？

>>48
http://www.intac.com/~cdp/cptd-faq/section2.html#ports

forwardersの時は,53/UDPでなく、1024以上を使ってるって事でしょうか？

BIND 8.3.3 でちょっと実験してみたが、
forwarders の時もそうみたい >>50
起動時に 1024 以上の適当なUDPポートをひっ掴んで、
それをずっと使ってる模様。

>>51
ちなみにどのUDPポートを使っているか調べるには
どうしたら良いですか？

>>52
netstat とか?

netstat -anだとforwardersで名前引く瞬間を
表示されるのは難しいかと？

ktraceとかstraceではだめでしょうか

>>55
systemVではtrussだと思うのですが
イマイチ見方が分かりません。
参考URLがあれば紹介して下さい。

FreeBSDならsockstat
Linuxならfstat
Solarisなら pfiles
lsofも使えるね

あとtcpdump

>>54
起動時に一つUDPポートを掴んで、
それをずっと使ってるのでそんなことはないっす

>>56
>>57さんがおっしゃってるtcpdumpで覗くのが一番簡単だと思います。

ｷﾀ━━(ﾟ∀ﾟ)━( ﾟ∀)━( 　ﾟ)━(　　)━(　　)━(｡ 　)━(Ａ｡ )━(｡Ａ｡)━━!!!!

BIND 8.4.0 Beta 1 Release (8.4.0-T1B)

BIND 8.4.0-T1B is a beta development release of BIND 8.

Highlights.
IPv6 transport support for named, named-xfer and ndc.

the distribution files are:

ftp://ftp.isc.org/isc/bind/src/testing/8.3.4-T1B/bind-src.tar.gz
ftp://ftp.isc.org/isc/bind/src/testing/8.3.4-T1B/bind-doc.tar.gz
ftp://ftp.isc.org/isc/bind/src/testing/8.3.4-T1B/bind-contrib.tar.gz

結局BIND8もIPv6しゃべるのかよ!

bind のはき出すログを解析して、
統計情報を ブラウザ経由で遠隔地から見られるようにするツールってありますか？

あぼーん

あぼーん

（＾＾）

質問です。スレ違いだったらすみません。

インターネットでドメインサーバを変更すると、反映されるのに数日かかりますよね。

現在、Aというネットワーク内にDNSとSMTP、WEBサーバーを置いています。
これを、Bというネットワークに全て引越ししたいのですが、
ユーザーがアクセスできない期間をなくそうと思います。

まず、Bに新たなDNSを作成して、レジストラのDNS設定をBのDNSに切り替えます。
BのDNSの設定は全てAにパケットが流れるようにします。
数日後、変更が浸透した段階でAのDNS設定を変更してA内の全てのサーバーを
Bに切り替えようと思いますが、

この計画、どこか間違っていることがあるでしょうか？
失敗した場合のリスクを考えると心配なので、よろしくお願いいたします。

すみません。スレ違いだったみたいです。
自宅サーバー初心者質問総合スレッド
http://pc2.2ch.net/test/read.cgi/mysv/1044150931/
に逝ってきます。

あぼーん

こっちも。

>>61 俺のは、bind4でIPv6できます。

本スレage

>>70
それはbind4がipv6しゃべってるってこと？
それとも単にipv6のアドレス(AAAA)返すだけ？

アドレス返してくれる椰子

BIND 8.4.0 Beta 2 Release (8.4.0-T2B)

ｷﾀ━━━ヽ(∀ﾟ )人(ﾟ∀ﾟ)人( ﾟ∀)人(∀ﾟ )人(ﾟ∀ﾟ)人( ﾟ∀)ノ━━━ !!
BIND 8.4.0-T2B is a beta development release of BIND 8.

Highlights.
IPv6 transport support for named, named-xfer and ndc.

the distribution files are:

ftp://ftp.isc.org/isc/bind/src/testing/8.4.0-T2B/bind-src.tar.gz
ftp://ftp.isc.org/isc/bind/src/testing/8.4.0-T2B/bind-doc.tar.gz
ftp://ftp.isc.org/isc/bind/src/testing/8.4.0-T2B/bind-contrib.tar.gz

IPv6 transportと、AAAAレコード対応ってのは、相当違うと思われ。

ところで OpenBSD の named って BIND4 ベースらしいけど、
IPv6しゃべってたりする?

しゃべってません。それから3.3からはbind9になりますた。

8.4.0-rc1 age

．ＣＯＭ ドメインなんだけど、急に名前解決できなくなって困る。

以前にも同じ現象が起き、数時間経って名前解決できるように戻ったが、

どうしていいかわからないし・・・

>>78 コンサル

>>78
何てドメイン？

>>80
ドメイン名は どうぞごかんべんを

トレースルートしてもなんにも返ってこないです。。。

Dynamic DNSだとしたら笑えるな（ｗ

>>81
ドメイン晒さないならアドバイスしようが無い。諦めろ。

http://www.checkdns.net/
でチェックしる!

>>78
ルートDNSから自分で辿ってみたら？

>>84
チェックしてみましたところ、無事に表示されました。

でも、未だにわたしのところからＷｅｂリクエストも ping も tracert も
まったく返って来ない状況です。

ただ、Ｗｅｂリクエストできているユーザもいるようです。
わたしも直接ＩＰアドレスだったらアクセスは可能なので ssh で接続して
ログを見てみましたら名前解決できているルートもあるようです。

アクセス過程のネームサーバのキャッシュかなにかに問題があるのでしょうか？

>>81
なんで名前解決の話で
traceroute が出てくるんだ?

>>87
ドメイン登録の際に設定しているネームサーバへのトレースルートを

やってみただけのことです。

もしネームサーバに到達できないなら、
ネットワークかネームサーバが悪いんじゃねーの?
まあファイアウォールで囲ってるかもしれないけど。

>>78 の書き方だと、それくらいしかわかんないよ。
実行したことと、その結果を正確に書けよ。

あぼーん

>>89
早朝３：００まではアクセス不能でした。
今朝８：００現在、アクセスできるようになっています。

因みに、ping を打ったときは数十秒から１分ぐらい経過して"Bad IP address"
が返されてきました。
tracert（Ｗｉｎ９５から実行）を打ったらいつまで経ってもレスポンスがない
のでインタラプトで終了させるしかない感じです。
こちらからアクセスできないときでも、ｓｓｈでネットワークにログインすれば
サーバ同士はping が通ります。

>>91
それってこのスレと関係ある話なの?

あぼーん

www.hagehage.comでアクセスできるけど
haehage.comでアクセスさせるにはどうしますか？

>>94
A レコードを書く。

>>95
haehage.com.zone に　米行を追加してもだめです
pai IN A 192.168.1.1
www IN A 192.168.1.2
IN A 192.168.1.2　米
manko IN A 192.168.1.3

どうですか？

>>96
行頭が空白だと左辺は前行と同じ。
ってのは基本だ。

>>97
でもからじゃない・・
>>94みたくはどうやればいいです？

あぼーん

nsとかsoaの次にaを入れてみてください

ぜんぶ書けばいいじゃん。

hagehage.com. IN A 192.168.1.2

つーか、hagehage.com とは別に haehage.com のzone file書きゃいいじゃん

>>102
（ ´,_ゝ｀）ﾌﾟｯ

>>101
できますた！
>>100　101さんの方でやってみます
ありがとうございます
>>99　さっそく注文しました

bind8系と9系って、/var/named以下のファイルの互換性ってあります？

>>105
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/migration.html

>>106さん
早速ありがとうございました。
試行錯誤、四苦八苦しながら頑張ってみます。

age

読み方ビンドでいいのかよ？

>>109
これなんて読むんですか統合スレ＠UNIX板
http://pc.2ch.net/test/read.cgi/unix/1025600265/

あぼーん

>>109
ビントでし

読み方はともかく、bind ってデーモンがどっかにあるんだと一瞬でも考えたことのあるやつぁいねがー?

>>113
ps axuww | grep bind ってやったことが 3回くらいはあるぜ。えっへん。

>>113
bind が存在しないという事実に、今、気がついた。

俺はバインド派

ふつうはバインドだろうな。

ゲルマン民族はビントでし

bind9.2.2でプライマリDNSサーバを立てました。
このサーバのセカンダリDNSを立てようと思って、
ゾーンデータの取得を試みたんですが、どうもうまく行きません。
Win2000のnslookupから、
ls -d ほにゃほにゃ.co.jp.
とかやってみましたが、全く反応が無くなってしまい、
Ctrl-Cで中断せざるを得ない状況に陥ります。
Query refused.等のメッセージも出てきません。
クエリー自体は正常に反応しているようです。

このようなトラブルはbind8の頃では全く経験した事が
無いのですが、どんな原因が考えられますか?
ちなみにプライマリ側でallow-transfer等の制限は掛けていません。

全くの推測だけど、関係あったりして。

http://www.aso.ecei.tohoku.ac.jp/~dais/misc/migration.html#zonetrans
> 16K バイト以上の DNS メッセージを正しく扱えないという
> Windows 2000 DNS サーバに存在するバグのために、
> それらのサーバへのゾーン転送が失敗することがある。
> この問題を解決する hot fix が Microsoft から
> いずれ入手可能になるだろう。
> 現時点では、「transfer-format one-answer;」を設定することで、
> この問題を回避することができる。
> [ 2001 年 5 月 4 日現在、hotfix はまだ準備中である ]。

あぼーん

>>120
OSはRedhatの8です。細かいバージョンは忘れました。

transfer-format one-answer;
の件ですが、>>119では書いていませんでしたが、
明示的に書いてみる方法で既に試していました。すいません。
でもオンラインヘルプを見ると、指定無しだとデフォルトで
one-answerになるとかならんとか・・・本当かどうか怪しいもんです。

redhatってデフォルトだとipchainsが有効じゃなかったっけ?
53/udpしか空いてないとか。

最近linux弄りはじめて、bind使ってみました。
@IT読みながら外からは参照できないDNSサーバーを立ち上げて、
上手く稼動しているのですが、内側のDynamicDNSでつまずきました。

現在RedHat9.0が稼動しているマシンのIPが192.168.1.2
メインで使っているWindowsマシンのIPが192.168.1.3　←コイツを加えたい

named.confにallow-updateを加えたのですがzoneファイルは更新されません。
nsupdateコマンドで追加しても変化は無しです。
RedHatでDHCPサーバーを立ち上げて、DHCP経由でないと駄目なのでしょうか？

念のため、named.confを書いときます。

acl myhome-local {
192.168.0.0/27;
127.0.0.1;
};
options {directory "/var/named";
pid-file "/var/run/named/named.pid";
recursion yes;
forwarders{
xxx.xxx.xxx.xxx;
xxx.xxx.xxx.xxx;};
};
zone "." {type hint;
file "named.ca";
};
zone "localhost" {
type master;
file "local.zone";
};
zone "0.0.127.in-addr-arpa" {
type master;
file "local.rev";
};
zone "myhome.local" {
type master;
file "myhome.zone";
allow-update { 192.168.1.0/24; };
};
zone "1.168.192.in-addr-arpa" {
type master;
file "myhome.rev";
allow-update { 192.168.1.0/24; };
};

bind-9.2.2 なんですが、キャッシングを明示的に無効にしたい場合には
どう設定すれば良いのでしょう？

fetch-glue no; を指定すると、"option 'fetch-glue' is obsolete" と
言われてしまいます。recursion no; を指定すれば自動的に無効になる
と考えれば良いのでしょうか？

>>126
bind9 ではデフォルトで fetch-glue no が指定されたのと同じ動作
をします。で fetch-glue yes に相当する動作はしなくなりました。

>>127
どうもです。

max-cache-size なんてのがあるけどこれを 0 にするとどうなるのだらうか。

大抵の場合、0 を指定すると無限大なのではないでしょうか？

>>129
max-cache-sizeの最低値は2MB

>>123
まさしくその通りでした。
今までFreeBSD使っていて、今回初めてRedHatを使ったんです。
RedHatにこんな仕様があるとは全く知りませんでした。
勉強になりました。
本当にありがとうございました。

>>132
インストール時に選べるはずだけど。

max-cache-ttlってのもあるらしいが、これを 0 にすると何が起こるか
わからんな

キャッシュしたくないというのはどういう場合なんだろうね

>>135
多分、126 宛だと思うのでお返事いたします。

自身はキャッシュしないで権威のあるドメインの問い合わせに
だけ答えるようにしたいのです。無論、allow-recursion も
設定はしていますが。
で、自己解決できない問い合わせは別途キャッシュサーバに
飛ばそうかと思うのです。

目的はセキュリティなんですけど、考え方が間違ってます？

追加です。下記は conf から削除しています。

zone "." { type hint; };

>>134
max-cache-ttlを0にすると、
参照するNSレコードさえも使用前に無効になってしまい、
そのネームサーバが権威を持っているゾーン以外のドメイン名について、
SERVFAILの応答を得る事になります。

だから絶対0にするな
とモノの本にはかいてあるぞなもし。

>>136
なぜキャッシュするとセキュリティ的にまずいのでしょうか

>>139
djb 信者だからです。というのは冗談ですが、bind でも
目的毎にプロセスを分けた方が良いというのはあります。

>>140
目的は違うんでしょうか

http://www.google.co.jp/search?q=bind+%E3%83%97%E3%83%AD%E3%82%BB%E3%82%B9+%E5%88%86%E9%9B%A2&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

http://www.soi.wide.ad.jp/class/20020038/slides/12/index_bar.html

bind やめて djbdns にすれば済む話ですね。

djbってIPv6対応してたっけ？

>>145
さすがに djb は対応してないんじゃないか?

えと、なんか関連リンクを張っていただきましたが、この辺り
みなさんはどう思われますか？　ご意見をいただきたいです。

>>144
いずれは移行も検討していますが、今すぐにというわけには
いかないので、とりあえず対応できる範囲で考えています。

age

あぼーん

>>145-146
http://dns.qmail.jp/IPv6/djbdns-ipv6.html

FreeBSDなら/usr/ports/net/djbdnsでmake WITH_IPV6=yes installでok

./add-host6と./add-alias6もあるから楽勝。

なんだ ipv6 対応って RR だけの話なのか....

まあ、DJB教祖様が教義の中でIPv6を認めてないから・・・。

あぼーん

age

普通
うｄｐ５３ってあけとくの？

>>157
公開 DNS サーバなら最低でも udp 53 は開けておく必要があります。

>>129
max-cache-sizeの最低値は2MB

BIND9で内向けDNSを建てたいのですが、サンプルのほとんどが、192.168.0.0/24の単一セグメントの例でした。

ローカルアドレスによる複数のセグメントで構築する場合、どうすればいいですか？
192.168.0.1 ns.local-site
192.168.1.1 hoge.local-site
192.168.2.1 uge.local-site
※外については、forwardersでISPのDNSに丸投げです。

セグメントを分けて DNS を管理したいのであれば、正引き
逆引き共に zone ステートメントをその数だけ書けば良いかと。

あぼーん

>>161
正引きの分け方どうするのでしょうか？
今はこんな具合でゴチャマゼにしてます。
#local-site.zone
$TTL 86400
@ IN SOA @ root.localhost (
5 ; serial
28800 ; refresh
7200 ; retry
604800 ; expire
86400 ; ttl
)
ns IN A 192.168.0.1
@ IN NS localhost
@ IN A 192.168.0.1
hogeINA192.168.1.1
ugeINA192.168.2.1

逆引きしなくちゃいけないですか？

>>163
追加：
各セグメントの端末からはセグメントを意識することなく
hoge ugeとして利用したいのです。
http://hoge.server.local-site ではなく http://hoge だけです。
よろしくお願いします。

>>164ではないですが、逆引きって設定しないといけないものなのでしょうか？

逆引きできるIPアドレスからのSMTPしか受け付けないメールサーバが
最近増えている気がします。
むこうのメールサーバとSMTPのコネクションを貼った後、
こちら側のIPアドレスを逆引きしようとするDNSのリクエストが飛んで来ます。
DNSサーバにPTRレコードを設定していないのでFQDNを返せないのですが、
そうするとSMTPコネクションがタイムアウトしてしまいます。

なんか非常に困っています・・・

逆引き設定できる立場にあるなら、すればいいじゃん。
DDNSなホストで逆引きは設定できません、という厨は論外だが。

>>167
まーね。まんどくせーけどやるつもり。
でもはじめはなんでSMTPがタイムアウトするのかわからなかったよ。
PMTU部落ﾎｰﾙかと思ったりした・・・

なんかタウンページ（ハローページだっけ？）に
名前と住所を載せてない電話番号からの
電話は受け付けない、みたいでムカツイたよ。それだけ。

自分で逆引き設定できない立場でも、普通プロバイダが逆引き設定してあるよね。
(大抵は意味のない名前がつくけど)

結論: 逆引きが設定されていないことに真っ当な理由なんてない。

プライベートアドレスだからこそ、ルートまで問い合わせない
ために逆引きを設定するのは良いことです。ホスト名は何でも
良くて、設定することに意義がある。

>>163
スマソ。正引きはセグメント意識しないで設定できます。

逆引き不要で、複数のクラスCのセグメントで構成されている内向けはこれでOK?
## named.conf
options {
auth-nxdomain yes;
directory "/var/named/";
forwarders{
ISPのDNS;};
listen-on{
127.0.0.1;
192.168.0.1;};};
zone "." {
type hint;
file "named.ca";};
zone "0.0.127.in-addr.arpa" {
type master;
file "0.0.127.in-addr.arpa.zone"; };
zone "localhost" {
type master;
file "localhost.zone"; };
zone "local-site" {
type master;
file "local-site.zone";
allow-query {
192.168.0.0/16;
127.0.0.1;};
allow-transfer {
192.168.0.0/16;
127.0.0.1;};};

>>171
#そしてセグメントごとにわけないで、まとめた正引きのlocal-site.zone
$TTL 86400
@ IN SOA @ root.localhost (
5 ; serial
28800 ; refresh
7200 ; retry
604800 ; expire
86400 ; ttl
)
ns IN A 192.168.0.1
@ IN NS localhost
@ IN A 192.168.0.1
hogeINA192.168.1.1
ugeINA192.168.2.1

>>172
ISP の DNS が応答しない場合にだけ ROOT に問い合わせる、と
いう設定なのであれば問題ないかと。

>>173
@ がいっぱい入っているのは何故ですか？？？
SOA の ttl は negative-cache なので 3600 ぐらいが妥当です。
NS は localhost じゃなくって、ns.local-site とかにするべき
な気がします。

>>174
こんな具合でしょうか？
$TTL 86400
@ IN SOA @ root.local-site (
5 ; serial
28800 ; refresh
7200 ; retry
604800 ; expire
3600 ; ttl
)
ns IN A 192.168.0.1
@ IN NS ns.local-site
hoge IN A 192.168.1.1
uge IN A 192.168.2.1

$TTL 86400
@　　IN SOA ns.local-site root.local-site (
　　　　　　　　5 ; serial
　　　　　　　　28800 ; refresh
　　　　　　　　7200 ; retry
　　　　　　　　604800 ; expire
　　　　　　　　3600 ) ; ttl
　　　IN NS ns.local-site
ns　　IN A 192.168.0.1
hoge　IN A 192.168.1.1
uge　 IN A 192.168.2.1
unko　IN A 192.168.3.1

>>176
バッチリみたい

BIND-8.3.5もBIND-8.4.0も
Solaris7でビルドできねーＹＯ！
(´･ω･`)ｼｮﾎﾞｰﾝ IPv6って嫌い

こうかな？
solaris7では作ってないので試してちょ
case AF_INET:
inet_ntop(AF_INET, &u.sin.sin_addr, ret, sizeof ret);
break;
+ #ifdef HAS_INET6_STRUCTS
case AF_INET6:
inet_ntop(AF_INET6, &u.sin6.sin6_addr, ret, sizeof ret);
break;
+ #endif
default:

>>179
(´-`).｡ｏＯ(どれに当てればいいんだろう)

>>178
パッチｷﾀ*･゜ﾟ･*:.｡..｡.:*･゜（ﾟ∀ﾟ）ﾟ･*:.｡. .｡.:*･゜ﾟ･*!!!!!　
http://marc.theaimsgroup.com/?l=bind-users&m=105461801021269&w=2

で、どっち使えばいいの？(;´Д｀)ﾊｧﾊｧ

bind の設定を変更後、リスタートを掛けるとタイムラグができてしまいます。
結構頻繁に書き替えがあり、それをプログラムでやっているのですが この
タイムラグ時にアクセスされ、サーバが重いと思われてしまい悩んでいます。

やはり、hosts のほうを書き替えるしかないのでしょうか？
できれば書き替えた分だけを反映させるような方法はないのでしょうか？

あぼーん

あぼーん

>>183
なんで restart などするんだ? reload すれば済むことだろ。

それでも重いんならキャッシュサーバ立ち上げろ。

reloadも結構重いよ…
dynamic updateとかのほうがいいんでない? >>183

SQLやらLDAPとかどうよ？
bind-9.2.2/contrib/sdb

BIND 8.4.1 あげ

8.3.6age

ftp://ftp.isc.org/isc/bind/src/8.3.6/bind-src.tar.gz
ftp://ftp.isc.org/isc/bind/src/8.3.6/bind-src.tar.gz.asc

MD5 (bind-src.tar.gz) = 70687e7d8494c5a9c5d7f4b4754ad53b
MD5 (bind-src.tar.gz.asc) = dad608fc9465b8c354d350671a19e6b7

あぼーん

あぼーん

バインドは、滅びよ！
邪悪な物を使い続けるなら、いつまでも魂が救われることがない。

DJB信者ﾊｹｰﾝ

8.4.x 系列なんて出てきたのか。
あれってどういう位置付けなの?

9xが起きすぎる重過ぎると思う人むけ。
そんな俺は8xが重いので4x

>>196
> 9xが起きすぎる重過ぎると思う人むけ。
ソースきぼんぬ。

> そんな俺は8xが重いので4x
どのくらい違う?
データきぼんぬ。

>>197
ソース=今月号のUNIX USER p.40

>>198
引用きぼんぬ

>>196
いや、8.x 系の中での 8.4.x の位置付けを知りたいんだけど。

立ち読みしてこい。
もしくはPaul Vixie site:www.nic.ad.jpでgoogle

まず、これまでにリリースした「BIND 4」「BIND 8」「BIND 9」のうち、BIND
4についてはすでに開発を終了、またBIND 8についても近く開発を終了すると
の発表がありました。ただし、BIND 8に対するIPv6トランスポート対応機能の
追加は行う予定とのことです。また、BIND 9については今後の開発によりパフォー
マンスの向上を図る予定であり、現在ユニプロセッサ環境でBIND 8の50%程度
であるパフォーマンスを、80%程度に向上させる予定であるとの解説がありま
した。

>>201
ソルトレークシチーで UNIX USER を売ってるところきぼんぬ

だーら、＞＞２０１が
＞もしくはPaul Vixie site:www.nic.ad.jpでgoogle
ってかいてるじゃんかよー。
グぐれない奴ァ ソルトレイクシチーでモルモン音頭でも踊ってろ。

>>204
了解です。『立ち読みしろ』というレスが間抜けだということを
認めていただけ非常に感謝しております。

宗教ネタは危ないから気をつけたほうがよろしいと思いますよ。
特によくわかってないアフォは。(Vixie さん激怒かもなあ。)

これか?
http://www.nic.ad.jp/ja/materials/tech/20030121/20030121-paul.pdf

これか?
http://www.nic.ad.jp/ja/mailmagazine/backnumber/vol063.html

>>205
国内にお友達もいないのですか?
誰かいたら代わりに見てもらうなりスキャンしてもらうなりカンタンですが。

＞＞特によくわかってないアフォは

ンじゃ，モルモンタワーでもおがんでろよ。

>>208
> 誰かいたら代わりに見てもらうなりスキャンしてもらうなりカンタンですが。
カンタン、ですか。わざわざこんなつまらんことやってくれるようなアフォな
友だちはいませんなw

>>209 通報しますた

>>208
じゃあスキャンしてうpしてください。たのんだよ。

http://slashdot.jp/journal.pl?op=display&uid=13812&id=133126

>>206
それだ。

スキャンのうpはまだですか?

8系列に似てグダグダだな

原稿料を支払っている出版社に還元しない奴に「立ち読みは間抜け」という資格は無い。

>>217
ﾏｼﾞｱﾌｫだたのですね。

だれが『立ち読みは間抜け』って言ってるのでしょうか?

さーBIND 8.x同様、こんらんしてまいりますた！！

>>218
205を読む事。

>>220
はあ。で>217と>205の関係は?

さてどこまでいくつもりなのか....

じゃあお望みどおりに煽りに乗ります。
情勢が悪ければ何の返答もしないでOkです。それが2chのノリだし。

BIND9は8より遅いの?ソースキボン
↓
ソースUNIX USER p.40
↓
引用キボンヌ
↓
立ち読みでもしやがれ。ダメでもgoogleでPaul Nixieの元ソースあり
↓
ソルトレークシティーじゃ立ち読みできないよ。
「立ち読み」なんてレスは間抜け
↓
間抜けなんて言う資格はねぇ。googleのキーワードも書いてあるだろボケ

>>222
で、>217はどこですか?

それはそうとスキャンのうpはまだなのかいな。カンタンなことなんだからさっさとしる!

>>223
> で、>217はどこですか?
205です。

>>225
じゃなくて>222には>217がないでしょ?

>218は>217がおかしいと指摘してるのにそれの解説に>217が
抜けてるのはどういうことなんざんしょ。

(´-`).｡ｏＯ(楽しそうだなぁ……)

ぜんぜん楽しくないよ。正直疲れる。

ま、とりあえず、お前らソースを提示するときは役に立つ提示の仕方をしてくれな。
それから自分ができないことを「カンタンだ」などと言わないこと。

>>226
>間抜けなんて言う資格はねぇ。googleのキーワードも書いてあるだろボケ
が217ですけど。

読解力が気の毒な方ですか?　すいませんでした。

>>229
なんとかごまかし通そうとしたいんだね。

> >間抜けなんて言う資格はねぇ。googleのキーワードも書いてあるだろボケ
> が217ですけど。

>217
>原稿料を支払っている出版社に還元しない奴に「立ち読みは間抜け」という資格は無い。

はこれだけど、これとどこが一緒なんだ?

> 読解力が気の毒な方ですか?　すいませんでした。
ついに出ましたな。キーワードが…

「立ち読みは間抜け」という資格が無い。が一緒。
UNIX USER誌に売り上げという貢献をしたり、記事の著者に貢献もするつもりが無いのに「ソースを示せ、で立ち読みしろは間抜けだよね」って言う資格は無い。
と書いたのです。
本当に気の毒だ。

>>231
やっぱり…

一つ教えて欲しいんだが、「立ち読み」というのは UNIX USER 誌に売り上げと
いう貢献をしたり、記事の著者に貢献する行為なのか?

『立ち読みしろというレスは間抜け』>205だというのは『原稿料を支払っている出版社
に還元しない』ということにつながるのか?

(『立ち読み』という行為は出版社に還元しない行為だろうが、『立ち読みしろという
ソースの示し方』と出版社に還元するしないはほとんど無関係だろ。

むしろ『立ち読みしろというレスは間抜けだ』(>205)というのは出版社に還元しない
利用の仕方を戒めてることになるわけだが…

>198 ｸﾝは立ち読みを勧めたわけだが(>201) それと>217 との兼ね合いは
どうなるんでしょかw

>>230
> ついに出ましたな。キーワードが…

> じゃあお望みどおりに煽りに乗ります。
> 情勢が悪ければ何の返答もしないでOkです。それが2chのノリだし。
これもキーワードだね。(情勢悪いのはどっちなんだか...)

UNIX USERというのはきっと本自体には付属CD-ROMのインデックスだけが
載っていて、「立ち読み大歓迎、内容を読みたかったら買ってね」という雑誌
なんでしょう。この場合立ち読みは出版社や著者への還元につながる行為です(藁

UNIX USERは内容も読者もレベルが低いのは一般常識

>>234
だいたいあってるな。

ちゅーかお互いの「立ち読み」に関する定義が違うだけかよ。

p.40に「Paul Vixieの発表によるとBIND9は遅い」ってのが載っているんだよ。
だからソースを示せって言われたら、上記のwww.nic.ad.jpのPDFを書けば済む話。
だけど、そのネタを俺はUNIX USERのp.40の記事で手に入れた訳。
そのままスキャンや引用だとライターさんもUNIX USER誌に貢献できないだろ。
「本屋で立ち読み」ってのは、少なくとも0%以上は売り上げにつながる可能性がある。
だけどパクって2chに書き込みじゃ買わないでしょ?
それが「貢献していない」って意味だよ。

まぁ記事でBINDのベンチを取っている訳じゃないし、結局はnic.ad.jpのURLが書いてあるだけだからgoogleのキーワードも書いたけど。

typo修正
s/ライターさんも/ライターさんにも/

>>237
> そのままスキャンや引用だとライターさんもUNIX USER誌に貢献できないだろ。
なぜ貢献しなきゃいかないのでそか？
このスレには貢献しなくてもよいのでそか

> 「本屋で立ち読み」ってのは、少なくとも0%以上は売り上げにつながる可能性がある。
> だけどパクって2chに書き込みじゃ買わないでしょ?
パクリと引用は別物でありまする。

>>239
>このスレには貢献しなくてもよいのでそか
はい

>パクリと引用は別物でありまする。
はい。
それでは「だけど引用して2chに書き込みじゃ買わないでしょ」も追加します。

そういや、どっかのMLでBIND4/8/9/djbdnsのベンチ見たことがあったなぁ。

>>241
思い出したらポインタｷﾎﾞﾝﾇ

>>240
> >このスレには貢献しなくてもよいのでそか
> はい
了解。「荒らし」容疑を認められたようなので通報しますた。

> >パクリと引用は別物でありまする。
> はい。
> それでは「だけど引用して2chに書き込みじゃ買わないでしょ」も追加します。
出版社やライターにとっては買ってくれることよりも引用されることのほうが
メリットが大きい場合も多い。君のように目先の金だけがメリットではないんだよ。

「貢献」の意味もわからない、知らないようですな。

>>232
あのさ、１９８のわけわか論理をあんたが補完してどうするのさw

見事に食いついたじゃないか >237

あー正確じゃないな。スマソ
>このスレには貢献しなくてもよいのでそか
ってのは「記事の執筆者に貢献>BINDスレに貢献」だな。このスレに貢献しないつもりであればPaul Vixieのネタも書き込まなかった。

>出版社やライターにとっては買ってくれることよりも引用されることのほうが
>メリットが大きい場合も多い。君のように目先の金だけがメリットではないんだよ。
そういう考え方もあるのですね。わかりました。
あなたはそうして下さい。
わたしは基本的に情報のポインタだけ示すことにしますが、そういう意見が望ましいと思ったときはそうします。

突然で恐縮ですが、
options { ... forward only; forwarders { どっかのIP; ... }; ... };
ならば
zone "." { type hint; ... };
は_完全に_不要なんですよね？

あぼーん

>>246
不要かどうかは運用ポリシによるのでは？　hint があれば、
フォワーダが死んだときに自力でなんとかできます。

forward onlyなので、ひたすらforward先に聞きにいきまふ。
forward first(デフォルト)なら、forward先から返答なければ
hint使います。

forwardは物事を複雑にするんで嫌いです。本当に必要ですか?

>>246
必要、というか、ルートネームサーバに
パケット飛ばしたくないから、
forward only にしたんじゃないんですか?

>>248,249
回答ありがとうございます。
「forward onlyの時にzone "."は不要」
という断定的な記述をマニュアル等に発見する事が出来なかったので、
ひょっとして例外的なケースでもあるのかしら…と不安に思った次第であります。

ちなみに、自宅のADSL環境なので
- ルートのトラフィックを煩わす事なく
- ISPのDNSと共倒れでもOK
という脆弱な運用ポリシーです。

bind9.2.1をソース展開してインストールしました。
nslookupでテストを行なったのですが、
自ゾーンすぐに答えますが、管理外のゾーンについては、
タイムアウトになり失敗します。
一度名前解決できたドメインでもちょっと間するとタイムアウトとなります。
各ゾーンファイルに$TTL 86400と書いています。
使用OSはFreeBSD4.8です。
よろしくお願いします。

252です。ちなみにnamed.confは下記のようになっております。
key "rndc_key" {
algorithm HMAC-MD5;
secret "Jk8nslSTpHspZQCLb2AuFnB+rq+wHsumEZWEYMxa9lI=";
};
controls {
inet ::1 allow {
::1;
}
keys {
"rndc_key";
};
inet 127.0.0.1 allow {
127.0.0.1;
1.2.3.4;
5.6.7.8;
}
keys {
"rndc_key";
}; };
options {
directory "/etc/namedb";
auth-nxdomain yes;
pid-file "/etc/namedb/run/named.pid";
forwarders {
127.0.0.1;
}; };

252です。ちなみにnamed.confは下記のようになっております。
zone "." {
type hint;
file "named.root";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "0.0.127.in-addr.arpa.zone";
};
zone "test.co.jp" {
type master;
file "test.co.jp";
allow-transfer{5.6.7.8;};
};
zone "3.2.1.in-addr.arpa" {
type master;
file "3.2.1.in-addr.arpa.zone";
allow-transfer{5.6.7.8;};
};

9.2.2 に上げてから、もう一度書き込んでください。

というより
> dig any test.co.jp

; <<>> DiG 8.3 <<>> any test.co.jp
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUERY SECTION:
;; test.co.jp, type = ANY, class = IN

;; ANSWER SECTION:
test.co.jp. 59m46s IN NS ns01.hitmail.ne.jp.
test.co.jp. 59m46s IN NS ns02.hitmail.ne.jp.

なのだが。

>>252
FW なりルータなりのパケットフィルタリングは問題ない?

>>255-256
タイムアウトの件と直接の関係はなさそうだな。

>>253
forwarders {
127.0.0.1;
};
って無限ループしないの？

結論： つっこみどころ満載。

> forwarders {
> 127.0.0.1;
> };

どういうわけか、こう書くヤツ結構いる。何で?
resolv.conf と混同しているんだろうが…

末端ゾーンの場合、allow-recursion を自ホストにだけ許す、
という設定で問題ないでしょうか。
というかそれが普通ですか？

| % dig www.2ch.net. @ns11.nifty.ad.jp. A
|
| ; <<>> DiG 8.3 <<>> www.2ch.net. @ns11.nifty.ad.jp. A
| ; (1 server found)
| ;; res options: init recurs defnam dnsrch
| ;; got answer:
| ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
| ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 0
| ;; QUERY SECTION:
| ;; www.2ch.net, type = A, class = IN
|
| ;; ANSWER SECTION:
| www.2ch.net. 1D IN CNAME 2ch.net.
| 2ch.net. 1D IN A 64.71.145.43
|
| ;; AUTHORITY SECTION:
| 2ch.net. 1D IN NS ns2.he.net.
| 2ch.net. 1D IN NS ns3.he.net.
| 2ch.net. 1D IN NS ns1.he.net.
|
| ;; Total query time: 361 msec
| ;; FROM: signal.local. to SERVER: ns11.nifty.ad.jp. 202.248.20.155
| ;; WHEN: Tue Jun 17 00:42:14 2003
| ;; MSG SIZE sent: 29 rcvd: 116

ns-jp.nic.ad.jp. などと比べると、こういうのは性善説の DNS サーバなのかな？

8.4.1-P1

age

一般的に、コンテンツサーバが動いてる
ホストのresolv.confが別のキャッシュサーバに向いていれば
自分に対してさえallow-recursionする必要はない。

プライマリDNSサーバーは、単一ドメイン上に幾つ立てても問題ないの？

問題はないけどプライマリ同士じゃ連携できないので意味がないです。

>>265
なんでそんなことしたいの?

patch-p1.ascの署名が不正とか言われるし(⊃д`)

Windows 2000 Serverに付属のMicrosoft DNS Serverについてなのですが、
このスレにいる方達のほうが詳しそうなので質問させてください。

BINDでは当然できることなのですが、MS DNS Serverでは
ゾーンごとに異なるForwardersを設定することができないのでしょうか？

社内LAN(192.168.1.0/24とします）のローカルDNSサーバ(192.168.1.10)に
MS DNS Serverを使用していたのですが、
あるCOMドメイン(example.comとします）に対する社内のPCからのリクエストを
LAN内にある他社のDNSサーバ(192.168.1.20)にフォワードする必要があり、
結局MS DNS Serverではそうした設定ができないということがわかり、
BINDのDNSサーバを使って解決しました。
クライアントPCがWindowsの場合、ローカルDNSサーバにMS DNSサーバを
使うケースは少なくないと思いますが、そういう場合どうしてるんでしょうね？

>>269
板違い。

あぼーん

/etc/hosts に CNAME で複数の名前をもつホストの記述は、

111.222.333.444　　name1.domain.jp　　cname2.domain.jp

でいいんでしょうか。

こんなサイトあるよ♪

http://www2.free-city.net/home/angelers/page008.html

>>272
前提条件(「何がしたいか」)が分からないんで、「いい」かどうかも
わからんが、その書き方なら、
name1.domain.jpでもcname2.domain.jpでも
111.222.333.444を引けるようになるよ。
ただ、DNSに登録しているのにhostsに書く
意義はあまりないと思うけど。

/etc/hostsに書いてるのは、自分自身と、
localhostくらいかなぁ。

罪と罰のゲーム、皆さんもやりませんか？
http://gekiya77.jp/cgi/
以下から、新規登録出来ますので。
http://gekiya77.jp/cgi/ore_reg.cgi

<注>私は管理人ではなく、ただの利用者です。

>>274
これでもよかたんですね。
hostsに書いた方が、
早くて負荷が少ないのかと勝手に思ったものですから・・・。

アドレスの付加をしないようにbindで設定できますか？

>>277
どういう意味?

説明不足ですみません
名前解決できない問い合わせに対して自ドメイン名を付加している
ようなのですが、そんな動きをしないようにしたいのです。

>>279
man resolv.conf

>>279
お前は>>277の質問で意味が通じると思っていたのかと、小一時間云々。

options {
directory "/etc/namedb";
allow-transfer {192.168.1.2;};
allow-transfer {205.166.226.35;};
allow-transfer {205.166.226.38;};　　};
こんな感じに下二行を付け加えると
[281]: /etc/namedb/named.conf:4: options allow-transfer
acl already set; skipping
Aug 1 10:41:44 www named[281]: /etc/namedb/named.conf:5: options allow-transfer
acl already set; skipping
ってなるんですが、コレエラーではないですよね？今ひとつ訳が理解できない
messageにJul 31 12:04:10 www named[69]: denied AXFR from [205.166.226.35].2029 for "lolero.com
" IN (acl)　って出てたんで許可したかったんです。これは登録してるセカンダリDNSの方から来てると思います。
上の２行は書かなくてもよいのでしょうか？どうですか？

allow-transfer { x.x.x.x; y.y.y.y; };
のようにスペースで区切ってまとめ書きしてください。
見にくいようなら途中に改行を入れてもオケーでつ。

あぼーん

>>283ありがとうございました

& nslookup -q=mx mail.pipipixxx.net
Server: mail.pipipixxx.net
Address: 192.168.1.2

pipipixxx.net
origin = www.pipipixxx.net
mail addr = root.pipipixxx.net
serial = 2003080201
refresh = 28800 (8H)
retry = 14400 (4H)
expire = 3600000 (5w6d16h)
minimum ttl = 86400 (1D)
っとなってMXレコードｎ情報が出てこないんです。　pipipixxx.net.zoneファイルは

; pipipixxx.net.zone
$TTL 86400

@ IN SOA pipipixxx.net. root.pipipixxx.net. (
2003080201 ;erial
28800 ;refresh
14400 ;retry
3600000 ;expire
86400 ) ;minimum

IN NS www.pipipixxx.net.
IN NS ns2.granitecanyon.com.

IN MX 10 mail.pipipixxx.net.
www IN A 192.168.1.2
mail IN A 192.168.1.2

となっています。どこかおかしいとこはありますか？
Thrid Party Relayで調べてみると
MXレコードが設定されていない。あるいはMXの設定を間違えています。となります
すいませんが。アドバスください　

二行目は
Server: www.pipipixxx.net
でした

何度もすみません　こうしたらでました
www# nslookup -q=mx pipipixxx.net
Address: 192.168.1.2

pipipixxx.net preference = 10, mail exchanger = mail.pipipixxx.net
pipipixxx.net nameserver = www.pipipixxx.net
pipipixxx.net nameserver = ns2.granitecanyon.com
mail.pipipixxx.net internet address = 192.168.1.2
www.pipipixxx.net internet address = 192.168.1.2
ns2.granitecanyon.com internet address = 65.102.83.43

でもThrid Party Relay　の結果は同じです
>>287 は
@ IN SOA pipipixxx.net. root.pipipixxx.net. (
下が正しいです
@ IN SOA www.pipipixxx.net. root.pipipixxx.net. (
宜しくお願いします

>>286
NSレコードの先がプライベートアドレスのAとか、
pipipixxx.net自体が*.gtld-servers.net に登録されていないとか
突っ込みどころは沢山あるが、とりあえず
http://www.dnsreport.com/ でチェックしる

>>290　今テストしてみましたら
Getting MX record for mail.pipipixxx.vg... No response received.
This should be treated as an ERROR (per RFC974), and the E-mail delivery should be retried later.
でした。ちなみにLAN内のPCからはメールの送信はできました
gtld-servers.netの登録は時間の問題でしょうか？

今度はpipipixxx.vg?? pipipixxx.netじゃないのか?
ちなみにどちらもレジストリのwhoisサーバにも存在しないよ。

恥ずかしいんで、そこは変えてましたpipipixxx.netです　これは適当にかえました
DNS ReportでWARNとFAILが多数でてました
もう一回試すとFAILが増えてたりします
BINDの設定をはじめからやり直してみます

BIND 9.2.2で
Aug 3 21:36:44 www named[70]: couldn't open pid file '/var/run/named.pid': Perm
ission denied
となって困っています。。
chown bind named.pid としてみましたが結果は同じです
なぜでしょうか？すいませんが教えてください

/var/runのパーミッションも関係かもしれません

>>295 thx

あぼーん

>>294
killだとオイラも出たような。

ｷﾀ━━━ヽ(∀ﾟ )人(ﾟ∀ﾟ)人( ﾟ∀)人(∀ﾟ )人(ﾟ∀ﾟ)人( ﾟ∀)ノ━━━ !!

BIND 9.2.3rc1 is now available. This is release candidate for
BIND 9.2.3, which is a maintenance release of BIND 9.2. It contains
no new features.

BIND 9.2.2rc1 can be downloaded from

ftp://ftp.isc.org/isc/bind9/9.2.3rc1/bind-9.2.3rc1.tar.gz

300ｸｴﾘｰ

bindを勉強し始めたばかりのおじさんからの質問です。
bind9のインストールにはopensslが必須のようですが、
opensslは何に使われてるんですか？
ゾーン転送？それとも問い合わせへの返答？
何を暗号化してるのでしょうか？
あちこち検索しましたが、
インストールにはopensslを使うとしか出てません。
その辺の記述があるページでも教えていただけませんか？
宜しくお願いします。

>>301
> bind9のインストールにはopensslが必須のようですが、
必須ではないよ。

> opensslは何に使われてるんですか？
./configure --help 読んでみ。

>>301
とりあえずインスコしてみればいいじゃん。壁にぶつかってから悩め。
ちなみに、デフォルトで明示的に --with-openssl しない限りは
OpenSSL は組み込まれないです。漏れは SSL 使ってない。

>>302
読んでみました。
DNSSECのために使うんですね。
TSIGも絡んでそうですなぁ。
DNSSECをあんまり良く理解し切れてないので、
いま少し学習してみます。
>>303
インストールはしてみたんですよ。
--with-openssl=/usr/local/ssl使って
ただ、キャッシュネームサーバとしてしか動作させてないので、
セカンダリサーバもなければ、ゾーン転送もないし、
何にopensslが効いてるんだろうと思ったんです。
ただ、暗号化するなら問い合わせに対してか、
ゾーン転送時しかないですよね？
で、302さんのアドバイスのおかげで、DNSSECとTSIGって
キーワードが出てきたので、これを調べて見ます。
この辺のセキュアな機能に興味があるんで、ちいとまた勉強です。
お二方とも貴重なアドバイスありがとうございました。
おじさんがんばる。

失礼、sage忘れてました。
だけど、opensshとかopensslの暗号化ってのは
どこまで安全なんですかねぇ。
zlibのがんばりなんでしょうが、
これを見破ってハック出来てしまう人もいるんでしょうか？
スレ違いなことを、ほざいてしまいましたな。
ところで、bind9の日本語manどこかにないですかねぇ？
ご存知の方いらしたら、宜しくです。
bind-8．2．3のはあったんですけどね。
私も引き続き探すんですが、知ってるよって方がいましたら、
レス宜しくです。

>>305
計算量的安全性，だっけ．
スレ違いなのだが，どこのスレに誘導したものやら．
とりあえずくだ質へどうぞ．

素因数分解が速攻で出来れば安全じゃないんだっけ？
今の所、鍵が十分に長ければ平気じゃん？

bindに正引きの問合せがあった時、
ある特定のユーザからの問合せに対してのみ回答し、
そうでないユーザからの問合せには回答したくない場合、
どのように設定すればよいのでしょうか？
あるいは、そんなことはどう設定しても不可能なのでしょうか？

>>308
acl使え

あぼーん

>>308
ユーザはどう特定するの?

DNS パケットの中に問い合わせ元ユーザの情報なんて入ってないもんなぁ。
サーバ側ではなくクライアント側でどうにかするしかないでしょ。

ipfw add deny all from me to {DNSサーバのIPアドレス} 53 uid hoge

そもそもなんでそんなことをしたいと思ったのか知りたい。

DDNSを使ってあるシステムを開発しようとしています。
現在、２パターンについて考察中です。それぞれ別物として考えてください。

パターン１、ホスト（ユーザ）自身の正引きレコードをDDNSにnsupdateで登録。
→インターネット上で誰でも正引き可能。ホスト以外は変更不可能。

パターン２、ISPが、ホスト（ユーザ）の正引きレコードをDDNSにnsupdateで登録。
→ISPとホスト（ユーザ）のみ正引き可能。ISP以外は変更不可能。

あぼーん

頭を悩ませているのは、１の「ホスト以外は変更不可能」。
これは、以下のようにACLを使うと、複数のホストが変更可能になってしまうので、厳密にはダメですが、一応解決・・?!
update-policy{
grant example.jp wildcard *.example.jp. A;
};
そして、２の「ISPとホスト（ユーザ）のみ正引き可能」のやり方が不明です。これが、>>308の質問です。
「ISP以外は変更不可能」。これは、以下のようにACLを使うと、解決できそうです。
update-policy{
grant example.jp name isp1.example.jp. A;
};

>>315
allow-query{ host; isp; }; って話？ (host, isp は適当に)
# 斜め読みで見当違いだったらスマソ

>>316
レスありがとうございます。
host1について正引きする場合の設定として、allow-query{ host1; isp; };を、
host2について正引きする場合の設定として、allow-query{ host2; isp; };を、
･･･（以下略）
という具合に、それぞれのホストについて行う方法はあるのでしょうか？

BIND開発団体、VeriSignのリダイレクトサービス無効化パッチ提供へ
http://www.zdnet.co.jp/news/0309/17/ne00_bindverisign.html

>>318
kluge. 悲しいけど。

BIND 以外ではこの手の対応は出てるのかな？

>>320
http://tinydns.org/djbdns-1.05-ignoreip2.patch

>>317
BINDじゃー無理じゃない？（djbdnsは知らんけど…）
漏れはそういうやり方は聞いたことないでつ

>>317
host1 と host2 を別の zone にしたらできないのかな？
やったことないし、そこまで詳しくないので間違っているかもしれんが

>>323
それも考えたのですが、host1〜host200まであるので
zoneを200個つくるのもどうかと思いまして。
zone１つにhost１つしか登録しないのは贅沢すぎです罠･･･。

BIND 9.2.3-rc3
BIND 9.2.2-P2
BIND 9.1.3-P2

age忘れた。

delegation-onlyってどう指定するの？

zone "com" in {
type delegation-only;
};
としたら、unexpected とかいわれる・・・

>>327

'in'はいらんだろ

'in' をとってもﾔﾊﾟｰﾘ

config: /etc/named.conf:98: 'delegation-only' unexpected

と言われるよう…･ﾟ･(ﾉД`)･ﾟ･

>>329
まさか bind 9.2.3rc3 じゃ無いというオチ？

え、delegation-only　って 9.2.2-P2 でもつかえるよね？
root-delegation-only が 9.2.3rc3 だけ、だと思ってたけど。

使えるのが、9.2.2-P2.
(もうP3も出たけど)
rndc reloadとかじゃなくて、namedのプロセスを上げなおすたでしか？
で、digとかnamed -vでは、なんてバージョンが出るんでしか

ｺﾞﾒﾝ
9.1.3がP3で、9.2.2はまだP2どまりだね
パッチ当たってるのかな。
9.2.2r2かr3じゃだめ？

9.2.3r3、、、首つってくる

>>332
named -v で 9.2.2-P2 て出ますが、どうやら再起動じゃなくSIGHUPしてた様子・・・
今確認のため一旦落としてからだったら、delegation-onlyいけますた。
初心者ミス…･ﾟ･(ﾉД`)･ﾟ･

ちゃんと、
dig @localhost www.naidesuyo.com
とかしても verisign のIPは無視してます〜ﾔﾎｰｲ

あ、9.2.2-P3 今日出たみたいでつね。
ウェブのほうには記載無いけどftpに置いてありましたん。
ftp://ftp.isc.org/isc/bind9/

ありゃ、やぱまだだめです、bind patch。
naidesuyo.com がひけないのはいいのだが google.com も引けなくなる…
もうちょい待つか・・・(´･ω･`) ｼｮﾎﾞｰﾝ

首つったけど紐切れた

ftpに9.2.3rc4と9.2.2-P3ありますね

プライマリ DNS(BIND9.2.2) をプライベートネットワークにおき、
外からの問い合わせはセカンダリ(8.3.4)でのみ受けつけるように設定しました。
こういう場合、SOA レコードに書くmaster サーバの名前はどうすればいいんでしょうか。

本物の master サーバはプライベートにあるので名前を出したくないです。
slave サーバを master と偽って SOA に書くと、master 側でゾーンを更新しても
notify が無視されて、refresh 間隔が過ぎるまでゾーン転送が発生しないようです。
どちらでもない名前を書いちゃっていいものなんでしょうか。

ちょっと設定で質問させてください。
普通NSレコードを多重させるときは
in NS a.domainname
in NS b.domainname
A a.domainname x.x.x.x
A b.domainname y.y.y.y
としますが、
in NS ns.domainname
A ns.domainname x.x.x.x
A ns.domainname y.y.y.y
とするのは不味いですよね？（＾＾；

>>338
viewで検索したあと首つって氏んで下さい

>>340
外に master と slave を置くのではなく、slave 2台を置き、
内にある master からゾーンファイルをもらってくるということです。
同じゾーンを内と外で違う見せ方をさせるわけじゃないので、
view は関係ないと思うんですがどうでしょう。

>slave サーバを master と偽って SOA に書くと、master 側でゾーンを更新しても
>notify が無視されて、refresh 間隔が過ぎるまでゾーン転送が発生しないようです。

ちょっと違うみたいでした。SOA に書いた値に関係なく、
slave1 は notify を受け取るとすぐに AXFR を要求してくるが、
同じ設定なのに slave2 は notify を無視してるようです。
なぜ slave2 が notify を無視するのか追及せねば…。

>>338
漏れ、ほとんど同じことしてるよ。でも notify は使ってない。
refresh にお任せ。SOA には外に出してる slave を書いてる。

最近気が付いたんだけどbindのソースを拾って来ると
コンパイルオプションにデバッグ情報付きにする-gが付いてる。
これ外すとバイナリサイズがかな〜り小さくなるけど
外すとなんか弊害あるんかな？

デバッグの時に gdb 使うのが不便になる。
動いたら strip すりゃいいじゃん。

>>343
通は env CFLAGS=-O2 ./configure

>>344
サンクス
とりあえずデバッグはしないからstripして運用してみる
>>345
bindにconfigureはないんですが

>>346
9系ならあるでしょ。

つーか gmake install-strip

bind9 を使っています。
頻繁に Dynamic DNS のアップデート要求がかかる環境なのですが、
バックエンドに何らかのデータベースを使うことは出来るのでしょうか？

http://idsa.irisa.fr/cgi-bin/bind/http/source/contrib/sdb/pgsql/
何気なく検索したらあった…

Debian の bind9 パッケージには含まれているのだろうか

Debian なら PowerDNS が収録されてるんじゃないか？

>>351 が〜ん、bind しか知らなかった…

でも PowerDNS って RFC 2136 の Dynamic Update をサポートしてないような。
直接 SQL を触ればいいんだろうけど。

>>353 が〜ん、いま Debian の pdns, pdns-doc パッケージを入れて
ドキュメント読み始めたところだよ… Dynamic DNS についてはもちょっと調べてみます。
http://www.powerdns.com/products/powerdns/index.php
って、スレ違い？

DNS およびそのサーバプログラム一般の話題って、どこがいいんでしょう？

A couple of alternative DNS servers
http://lwn.net/Articles/19954/

BIND に代る DNS サーバは無いだろうか、DJB 以外で、ってのは
BIND ユーザに共通する思いだろうから多少はいいんじゃない？

k.root-servers.net は BIND ではなく NSD とやらで動いているらしい。

>>357
http://www.nlnetlabs.nl/nsd/
どんなライセンスボリシーなんだろね？ GPL or BSD License?

ちょっと見たら BSD Licenseっぽかった

オランダ人が作るものはなんだか好きだな。
さっぱりした小さなプログラムでとてもわかりやすい。

Serialではなくて、cronでupdateするんで驚いた。
Zoneをコンパイルするみたい。

ライセンスはBSDだよね

nsd,powerdnsの他のサーバーとしてはこんなのがあるみたい:
http://www.maradns.org/
http://mydns.bboy.net/
http://posadis.sourceforge.net/

nsdはうちで使ってるよ。
かなりコンパクトなんだけど、コンテンツサーバーしかできないので、
名前解決させたいならbindやらdnscacheなんかと併用することになる。

# uname -r
4.8-RELEASE-p13
# ps auxc | grep nsd
dns 150 0.0 0.1 1008 748 ?? Is Sat05PM 0:00.01 nsd
dns 155 0.0 0.1 1008 752 ?? I Sat05PM 0:00.17 nsd
dns 156 0.0 0.1 1008 748 ?? I Sat05PM 0:00.00 nsd

とりあえず bind + dlz 試してみることにしました。
http://bind-dlz.sourceforge.net/

DNS Resource Records
http://www.dns.net/dnsrd/rr.html
にはいろんな RR の一覧があります。

これって、ゾーンファイルで hoge IN A 192.168.0.1 などと書く場合の
IN のあとのものの一覧ですよね？

で、そのときの IN は省略することができますが、
IN 以外には何かあるのでしょうか？

IN というのはインターネットプロトコルのことなので、
IN でないものは IANA の管轄外だということでしょうか？

3.2.4. CLASS values

CLASS fields appear in resource records. The following CLASS mnemonics
and values are defined:
IN 1 the Internet
CS 2 the CSNET class (Obsolete - used only for examples in
some obsolete RFCs)
CH 3 the CHAOS class
HS 4 Hesiod [Dyer 87]

3.2.2. TYPE values

TYPE fields are used in resource records. Note that these types are a
subset of QTYPEs.

TYPE value and meaning

A 1 a host address
NS 2 an authoritative name server
MD 3 a mail destination (Obsolete - use MX)
MF 4 a mail forwarder (Obsolete - use MX)
CNAME 5 the canonical name for an alias
SOA 6 marks the start of a zone of authority
MB 7 a mailbox domain name (EXPERIMENTAL)
MG 8 a mail group member (EXPERIMENTAL)
MR 9 a mail rename domain name (EXPERIMENTAL)
NULL 10 a null RR (EXPERIMENTAL)
WKS 11 a well known service description
PTR 12 a domain name pointer
HINFO 13 host information
MINFO 14 mailbox or mail list information
MX 15 mail exchange
TXT 16 text strings

まぁ RFC 1035 は Nov. 1987 なので、
>>364 ではもっとたくさんの RR が提案されていますね。

CLASS の方はこれ以上増える予定は無いんでしょうかね。

>>361
Posadis は ISP の DNS キャッシュサーバが腐ってたときに Win 98 SE で
ローカルキャッシュとして使ってた。BIND for Win32 は NT/2000/XP でしか動かないので、
フリーな選択肢としては Posadis しかなかった

最近会社で部署が変わった。
メールアドレスも変わった。

で、ふと思ったんだが、メールアドレスの別名も DNS に登録できたらなぁ…
CNAME レコードじゃなくて、 MCNAME レコードみたいな感じで。

MX では不満か?

>>370 個別のメールアドレスまで制御できれば便利かな、と。
昔はゾーン情報の更新なんて管理者にしか関係なかったから、

メールアドレスの @ の前の部分（ドメイン部じゃないほう）に関する情報を
DNS が管理するなんていうのはばかげたことだったかもしれないけど、
いまや Dynamic DNS があるわけだし。

それができるとどううれしいんだ?

送信する前に、お引越ししたかどうかがわかる。

携帯電話の番号ポータビリティに伴う
携帯メールのアドレス変更について考えてた。

ポーの一族

>>375 それは初耳だなぁ。詳しく聞きたい。

これ最強の設定

dig axfr shachihata.co.jp @onan.shachihata.co.jp

これに勝てるとこないだろ ｗ

>>373
DNS じゃなくて、SMTP に新機能で追加すればいい気がするな。
MAIL TO hoge に対して、変更先を応答するような感じで。
DNS がメールアドレス管理ってお門違いだろうし。
亀レスすまそ。

>>378 SMTP にそういう機能があればいいなぁ、という点にはすごく同意。

本当はなにかしらのディレクトリサービスがあればいいと思うんだけど、
たとえ「メールアドレスの引越し先」が LDAP のスキーマに定義されていたとしても
そのためだけにわざわざ LDAP サーバにアクセスするのも面倒だし。

ただ DNS がメールアドレス管理ってお門違い、という点にはちょっと不同意。
（不同意、ってことばあるのか？）

DNS って
「権限委譲によるツリー構造で管理されている名前←→なにか」
の一方向写像なので、「FQDN←→IP Address」だけかかわるものではないと思います。

実際、>>364 の RFC 群ではたとえば地理情報とか
mailbox domain name なんてのもあります。experimental ですけど。

このあたりは、Record Class, Record Type ともにより Experimental なものを
実験しやすくするフレームワークがあってもいい気がします。
TCP/UDPポート番号みたいに、Well Known でないものもアリ、で、
Well Known なものへの昇格は IETF や IANA が行う、という感じで。

＃TXT レコードに近況報告を書いていたりするのは漏れだけ？

TXTレコードは、
ふつー「Powered by djbdns - http://cr.yp.to/djbdns.html」だろ

>>379 一方向写像だから
「権限委譲によるツリー構造で管理されている名前→なにか」 だね。

>>380 ほう、djbdns ではそれがデフォルトなのか？

>379
DNS の仕組みはいろいろ活用できていいはずなんですよね．
www server の負荷分散などは現状では DNS round robin や
L4/7 switch などで行っているのが多いと思いますが，
個人サイトとかだと mail での MX みたいに優先順位設定をつけて
緊急時のバックアップなどが出来れば良いのになぁ，と思うことも．

>>382
デフォじゃないよ。わざわざ書く。
それ系の人のドメインをチェックしてみるとおもろいかも。

>>378
postfix では独自に実装してます。
RCPT TO: <引っ越したアカウント>
に対して、引っ越し先のメールアドレスを返すように設定可能。
ステータスコードいくつを返すのかは忘れた。
まあ、この応答を見て引っ越し先に自動で送信しなおすわけではないので
中途半端ではあるんだけど。

>>383
禿同

MAIL TO じゃないよ・・・RCPT TO だね。。。（自滅）

>>379
ホスト単位までが DNS の守備範囲で、それより細かいのはホスト内で
処理してね、ってイメージを持っていたので。FQDN/IP Addressだけじゃ
ないのは分かっているけど。

>>385
ほう、postfix にはあるんですね。SMTP に取り込まれれば、自動で
転送?されて便利なのに。。。ちゃんとユーザにその情報を伝えないと、
古いアドレスをず〜っと使い続けられることにもなりそうだがｗ

じゃあメールも HTTP で送れ。

以前、DNS がどこまでをカヴァーするべきか、なんていう話が
ニュースグループや IETF のメーリングリストなんかで交わされていたと思うんですが、
なにか結論みたいなものが出たんですかね？
そのあたりのアーカイブってどこかにありますか？

>>387 なんてのはどうだろう…
以前シスコのなんとかプロトコルっていう月間チラシで紹介されていて、
結構面白いとオモタ。

# BIND とあまりにも無関係なので sage

>>385
それならsendmail でも出来るんだが・・・

Current release

BIND Version 9.2.3 (Released: October 23, 2003)

今日？

sendmailなら何でもできそう。sendmail.cf で
書かれたtic-tac-toe(○×ゲーム)があるって聞いたことがあるが、
都市伝説?

質問です

　ＢＩＮＤでプライマリからゾーン転送でもってきて
　一部だけ書き換えるとかできないかな？

たとえば
　proxy IN A 192.168.0.200

をプライマリからもってきてセカンダリでは

proxy IN A 192.168.0.203

　ていう風に変更して提供する

　ＲＡＳとかでつないできたユーザに対して別のproxy鯖を割り当てたいのよねー

>>393
そのホストだけ自分をプライマリとする別ゾーンに追い出して
別管理にしてしまえばそっちが優先される。
正しい使い方かどうかは知らん。

>>393

それでできます？
ちょっとやってみたんですがうまくいきません・・・

別ゾーンに追い出しても２つあるゾーンファイルの片方しか
見てくれないっぽいです

ゾーン変えちゃうと（aaa.domain1.co.jp →bbb.domain1.co.jp )当然引けなくなるし・・・

うちではできてるけど…。

>　ＲＡＳとかでつないできたユーザに対して別のproxy鯖を割り当てたいのよねー

view を使った方がいいのでは。

DNS入れるマシンって、/bin、/sbinなんかに何のへんてつも無くディフォルトで入ってくる
あらゆるソフトをもう一回洗いなおして、必要ないと判断したときは削除&再構築した方が良いのかな?

>>397
何言ってんの?

>>397
そんなあなたにお勧めコマンド

# rm -Rf /bin /sbin

>>397
newfsでもしとけ。
頭の中モナー

>>397
外部に公開する事になるサーバーなら DNS に限らずそうするらしいですね。
ファイルの実行権限落とすより、不要ならば削除までしてしまう、とか。

マジレスすると -t で chroot できる罠。
漏れの場合、/usr に入ってる関連ファイルはすべて削除して、/usr/local/bind/ にインスコ。

>>397
まあ、BIND chrootで検索してみな。

質問があります。
yahooなどに正引きで名前解決をした際複数のアドレスを返すことがあると
思うのですがその設定方法がわかりません。(BINDで良いのか同かも含めて)
初めはzoneファイルに複数のアドレスに対して同じ名前で定義(ラウンドロビンでいいのかな？)
すればできるのかと思ってたのですがうまくいきません。　またどこかのサイトで /etc/host.confに [multi on]
と設定すれば候補すべてを帰すと書いてあったのですがそれでもうまくいきませんでした。
もしこの設定がBINDによるものでしたらどなたかご教授お願いいたします。
ちなみにnslookupを実行しているマシンはsparc版Solaris8でDNSを立ててるのはIASolarisのBIND８です。

>>404
普通に A レコード複数書きゃいいんでないの?
www IN A 192.168.2.3
www IN A 192.168.2.4
www IN A 192.168.2.5
みたいに。

>405さんありがとうございます。
まったくその通りで動くと(nslookupで複数帰ってくると)思ってたのですが
なぜかうまくいってくれませんでした。
それでなにかBINDのバージョンやプラットフォーム、に依存する部分もあるのかな？
って思ったんですよ。

質問があります。BIND8で複数ドメインを割り当てる場合ですが、
hoge.com と　hoge2.netを同じホスト名のネームサーバーに割り当てるやり方がわかりません。
ここ3日間検索の結果だと、１つのDNSサーバーに複数ドメイン割り当てる場合は、すべて
１つのDNSの中に割り当てる分だけのホストが存在することになりますよね、
たとえばwww.hoge.comのNSは、ns.hoge.comでwww.hoge2.netのNSはns.hoge2.netで1つの
DNSサーバーに同居させるという感じで。それだと、割り当てた分だけのホスト名のルートサーバーへの登録と
セカンダリサーバーが必要で、手間がかかるのですべて同じホスト名で割り当てたいのですが。
いっていることが、根本的にアホなこといっていたらごめんなさい。

>>406
> なぜかうまくいってくれませんでした。
どううまくいかないのか書いてよ。

>>407
hoge2.net の NS を ns.hoge.com にできないの?

>406さんすいませんでした
どううまくいかなかったというと単純にひとつしか解決できなかったと
答えるしかないのですが、
ただ、ゾーンファイルに複数設定してあるもののうち
一番最後に設定してあるアドレスを解決していました。
(ちなみに私の質問はBIND関連でよろしいのでしょうか？)

>>409レスありがとうございます。
それをしたいのですが、ゾーンファイルで定義すれいいのでしょうか？

>>410
> (ちなみに私の質問はBIND関連でよろしいのでしょうか？)
ここでいいよ。

>>411
委譲元でも設定が必要だろうな。

>>404
/etc/host.conf は名前をひく側の設定ファイルだよ。

>412さんありがとうございます。
ほかにさしあたって原因がつかめていません。
また、これがほんとにラウンドロビンの設定のみで動くと仮定した上ですが
実際問題ラウンドロビンの設定のみでできるのでしょうか？

>413さんありがとうございます。
もちろんクライアントでためしました。(やけになってサーバ側でも。。)
host.confファイルが怪しいとはおもってたのですが、windowsからでも
複数解決することは可能なのでやはりこの問題はサーバ側の設定でしょうか・・・

んー、わかんね。
あとは誰か頼む。

とりあえずdig使えよ

>416さんありがとうございました。

>417さんすみません。
複数定義してある事実が知りたいのではなくどうやって設定してあるのか
知りたいのです。

>418
やりかたは>>405の方法で良いハズ。
ちなみに名前を引いてる端末ではhosts.confで該当ドメイン名を優先指定してないよね？

>>412
ありがとうございます。hoge2.netのゾーンファイルのMX NS ns.hoge.comで定義すればいいのでしょうか？
そうなると、hoge2.netのIN SOA の後の部分はそう記述すればいいのでしょうか？

>>420
なんで MX が出てくるの?

> そうなると、hoge2.netのIN SOA の後の部分はそう記述すればいいのでしょうか？
そうって、どう?

>>421
ごめんなさい、MXでなくINでした。
そうなるとっていうか、ごめんなさい。
hoge2.netのNSをns.hoge.comにで運用するときは
hoge2.netのゾーンファイルのSOAの後は、どのように記述すればいいのでしょうか？
ns.hoge.comになるのでしょうか？

>419さんありがとうございます。
405さんが提示してくれた方法でよいということは
>>hosts.confで該当ドメイン名を優先指定してないよね？
これの可能性があるということですよね？
もうしわけないですが優先指定とは何でしょうか？
hosts.confはてっきりzoneファイルの指定と少々の権限の設定ができるもの
ぐらいの認識しかなかったです。私の中で優先といったらMXレコードの優先順位
ぐらいしか思いつきません。ご教授よろしくお願いいたします。

>420
ごめ。てっきり>>404だと思ってたんだけど、>>407の人なの？
DNSラウンドロビンしたいんなら単に同一ホストのAレコードを複数書いて、それぞれにIPアドレスをしていするだけ。
NSとかMXレコードは関係ない。

>>422
どのようにって、いつもどおり
マスターゾーンファイルを持ってるサーバを書けばいいのでは。

まぁでも、あれってほとんど使われることがないから
テキトーに書いてもあんまり問題にならなかったりはする。

数字でいいからコテハン名乗ってくれよ……。

改行数で怒られた…

>>407の人の場合
異なるドメインのネームサーバーを同一ホストで割り当てたいなら
NICなどで指定して運用すているネームサーバーのゾーンファイルのNSレコードに
運用しているネームサーバーのIPアドレスをそれぞれ書くだけ。
> 割り当てた分だけのホスト名のルートサーバーへの登録と
> セカンダリサーバーが必要で、手間がかかるのですべて同じホスト名で割り当てたいのですが。
ここらへんの解釈がイマイチなんだけど、管理しているドメイン名のネームサーバー登録で代表のDNSサーバー名を登録してあげればいいだけの話じゃない？
んで、代表のドメイン名のNSレコードにDNS運用しているIP書いて、他は代表のドメイン名で設定したネームサーバーのホスト名を書く。

NSレコードとかにホスト名指定するのは資源の無駄とか色々とよろしくないみたいだけど、とりあえずこれで管理できないかな？

>>426
スマン。

>>423
優先って言うのは、語弊。ごめんなさい。
端名前を引く端末のhosts.confで指定されたドメイン名は、DNSサーバー側での情報より優先されたハズ…
サーバー側でいくら変更してもクライアント側でそのドメイン名の指定があって反映されねぇって悩んだ経験談より…

だから実行する端末のhosts.confに今いじってるドメイン名の指定が無いか確認しただけ。

>>428
おっと失礼。
要コテハンは質問者の方。

教えてくれてる皆様ありがとうございます。
ご指摘通り今後[404複数解決]とのらさせてもらいます。
407さんと重複してしまったようなので一度整理して書かせてもらいます。
私の場合は名前解決時に正引きで複数のアドレスを返す設定の仕方
(クライアントなのかサーバなのか、プラットフォームやバージョンに依存するのか)
を知りたい方です。
よろしくお願いいたします。

>428さんありがとうございます。そしてすいませんでした。
423で私はおろかなことを書いてしまっていました。
自分の中でnamed.confとhosts.confを(さらにC/Sまで)逆に考えてました。

つまりクライアントのマシンでhosts.confで静的に定義してある名前を
見に行ってるのではないか？ということですね。
hostsで設定してあるファイルには存在しないアドレスを名前解決するように
してますので、そこは大丈夫です。
まことに申し訳ありませんでした。

>>427
わかりづらい文だな。

> NSレコードに
> 運用しているネームサーバーのIPアドレスをそれぞれ書くだけ。
NS レコードに直に IP アドレス書けたっけ?

>>432
おいおい、無理だぽ
Aレコードだべ。CNAME書いてる奴も氏ね

>ご教授してくださっている皆様方
ちなみに以下のような解決ができるDNSの設定がしりたいです。
nslookup www.yahoo.co.jp
Server: aaa.bbb.com
Address: xxx.xxx.xxx.xxx

Name: www.yahoo.co.jp
Addresses: 210.152.236.52, 210.140.200.15, 210.140.200.16,

>>434
普通は >>405 でいいはずだよ。
そういう解決ができない DNS の設定の方が知りたい。

>>426
自分も含めてかと思ってました(汗

>>431
SOA宣言のあとの各レコードを書く所に
www　IN　A　xxx.xxx.xxx.xxx
www　IN　A　yyy.yyy.yyy.yyy
www　IN　A　zzz.zzz.zzz.zzz
みたいに書くだけで実現できるハズだけど。
前にDNSラウンドロビンをやったときには出来てたけど。
けど、nslookupじゃなくてdigで引いて確認してたから「複数のアドレスを返す設定」だともっと別の方法かも？

>>432
スマン。嘘書いた。
出来ないね。
> NSレコードとかにホスト名指定するのは資源の無駄とか色々とよろしくないみたい
これはCNAMEの場合だった。

cyclicとか明示的に書いてなきゃ関係無いだろうが
order fixed;

>436さんありがとうございます。
この書き方で一軒ずつ(xxxもyyyもzzzも)逆引きで引いてちゃんと
名前解決はできたのでzoneファイルの書き方にはまちがってはいないと
思います。

>>438
え?
なんで逆引きが出てくるの?

>435 さん順番が逆転してもうしわけないです。
435さんはこの書き方で運用の実績があるというわけですね
だとするとやはりこの書き方であってるのでだから
私の設定ミスと考えるべきなんのでしょうか？

>>440
そゆときゃdumpdbしてみりゃエエんでないか？

named.confとゾーンファイルとmessagesを全部張れば
30秒で解決する悪寒

>438さん言葉足らずでもうしわけないです。そして私の間違いです。
自分も同じやり方で試してならなかったからゾーンファイルの書き方が
まちがっているかも知れない可能性を表現したかったのですが、
逆引きの場合だとPTRで定義するので関係ないですね
もうしわけありませんでした。

>>410
> ただ、ゾーンファイルに複数設定してあるもののうち
> 一番最後に設定してあるアドレスを解決していました。
複数のレコードの順序を変えても、最後のが返ってくる?

>440
実際にbind9で設定して、Win2kのnslookupで確認してみた。
Yahoo同様に複数の返答が得られているので、「複数のアドレスを返す設定」もこの方法で問題ないでしょう。

ただ、それでも上手くいってない場合は、Aレコードの書き方以前に>>437さんが言ってるトコとかbind全体の設定の見直しかと。

ちなみに>>439さんも言っているけど、逆引きは関係ないよ？
今、暫定的に試したのも逆引きまでやってないし。

>441さんありがとうございます。
dumpdbってndcのやつでキャッシュの内容を見るやつですよね？
その情報から今回の解決の糸口はみれるのでしょうか？

どっかにキャッシュされてるのかな。

>442ほんとうに申し訳ないです。
今自宅なのでその情報を入手できません
質問しているのに必要な情報を揃えていないことの
愚かさを痛感いたしました。

nscdが掴んでるかもしれんな
ぁゃιぃならbindに直接聞けばいい
dig @x86.sol8 a www.example.jp

>>446
複数書いてるのがちゃんと読めてるかぐらいは確認できるだろう

>449さんありがとうございます。
つまりキャッシュが覚えてるから見に行かないでキャッシュを
参照しているから１つしか帰さないという可能性があるということですね
その路線はまったく考えもしませんでした。
ただ、一通りzoneで定義してある順番を変えて全部のアドレスで表示
させているのでキャッシュには３通りのこってるとは思うのですが、
やってみる価値は大ですね

>441さんありがとうございます。
わかりました、推測だけでは確かになんとも言えないところもありますね
確認してみたいと思います。

>皆さんありがとうございます。
ここから先は確認して聞きたいおおもいます。
最後にひとつだけお願いします。
>435さんは実際に私の望む設定をでき人のようですが、ほかの方も実際に
こういった複数のアドレスを解決する設定での運用はありますか？
(ためしでも)

とりあえず今日は寝ろ。

>all
ありがとうがいました　
おやすみなさい。
m(_ _m

--named.conf
options{directory "/var/bind"; recursion no; };
zone "example.test." IN {type master;file "example.zone";};
--example.zone
$TTL 86400
@ IN SOA ns1.example.test. hostmaster.example.test. (
2001062501 21600 3600 604800 86400 )

IN NS ns1.example.test.
server.example.test. IN A 192.168.0.1
server.example.test. IN A 192.168.0.2

これだけでWindows付属のnslookupから、
Name: server.example.test
Addresses: 192.168.0.2, 192.168.0.1
という出力は取れるよ。

>456さんありがとうございます。
実例があるほど心強いことはないです。
もうしわけないですが、456さんが構築された環境を教えてもらえないでしょうか
実際に自分でも試してみようと思います。
クライアントは普通のwindwos2000プロフェッショナルでよろしいですよね
サーバ側はSolarisもしくはWindowsですか？
それと使用されたソフトはBIND8もしくはそれ以外のDNSですか？
本当に痛み入ります

新しく、DNSにゾーンを追加したら(xxx.com)反映されるまで、時間がかかるのでしょうか？
それとも、リアルタイムに繁栄されるのでしょうか？
現在　ns.hoge.comがネームサーバーでこれに、hoge2.comというドメインを追加しましたが
ブラウザでhoge2.comと入力しても検索中とでてサーバーが見つかりませんとでます。
ちなみに、hoge2.comに対応する1stDNS,2ndDNS情報は１週間前に、レジストラに
追加済です。whois にも繁栄されています。

>>458
DNS のしくみを基礎から勉強しなおしてください。

> ブラウザでhoge2.comと入力しても
なんでいきなりブラウザで試験するんだろ。

半日まてば、反映されますよ。
ゾーンファイルのリフレッシュレイトにもよりますが。
whoisでネームサーバー情報が反映されているのならば。
ただ、それぞれのDNSのキャッシュにゾーン情報がなければ、再キャッシュ
されるまで、時間がかかります。

>>458

xxx.com も hoge.com も hoge2.com も全部他人のドメインだと思われるが
勝手に手元の DNS に登録して何の得があるの?

hoge2.com は日本人か。
ちゃんと登録していて hoge.com を借りているんだったらごめんね。

xxx.com は違うと思うが。

>>461-462
つまんねー揚げ足とんな馬鹿。

>>458
dig か nslookup したときにIPかえってくんの？

traceroute すればどこからつながってるかわかるだろ。

>463

まぁ、そうカリカリするな。
一応そういうときの例示に使うためにexample.comとかexample.co.jpが
わざわざ取り置きしてあるんだということを知らせるのも悪くはないぞ。
教えない上にいやみな言い方をする方もどうかとは思うけどな。

rfc2606だな。

hoge2.com はWWWサイトもあるし、ちゃんと使われているようだけどね。

勝手に変な登録されたら迷惑だろうが。

教えてるとしてもいやみな言い方をするのはどうかと思うけどな。

>467

ならば
「hoge2.comは実在のドメインだ。例として出したのだろうが
そういう時は実在のドメインではなくexmaple.comを使うように。」
と書けばいいのではないのか?
なんでそんないやみったらしい書き方するんだ?

>469

人に言っておきながら自分が書き間違えている。鬱だ。

× exmaple.com
○ example.com

もう寝るわ。

>>469
そういう回答が欲しいんなら最初から2chになんか来んなよ氏ねバカ

>471

はいはい、よかったね。睡眠不足は身体によくないぞ。

釣られんなよ。

>>458
反映に時間がかかるのではない
以前のものを忘れるのに時間がかかる

つーか、なんでnslookup使わんの？

458 再降臨きぼんぬ

release age

ちょっと変則的な使い方での質問です。

初級ネットのなんでも質問スレから誘導されてやって来ました。
w2kをノートパソコンで使っています。
Air Hがとてもふん詰まりであちこち見て回れないので、
せめてもの手段としてBINDをDNSキャッシュとして導入してみました。

質問ですが、
１　ブートファイルのoption の書式が日本語でまとまってる
ページは無いでしょうか。
２　キャッシュデータベースをディスクに書き込んだり読み込んだりは
可能でしょうか？
３　キャッシュする量(割り当てるメモリ）を指定してやることは可能でしょうか。

よろしくお願いしまーす。

>>477
板違い。

メモリ上にしかキャッシュを持たないBINDをノートPCで動かしても、
あまりご利益はないと思われ。

http://www.google.co.jp/search?q=%8B%C1%91%AC+DNS+%83L%83%83%83b%83V%83%85
か、Webのキャッシュデータを大量に持ち歩いた方がまだましなのでは。

おれの場合、自宅サーバで squid を動かして、AirH" ではそれ経由でアクセスしてる。
HTTP/FTP を使ってるかぎりは DNS への問い合わせ自体がなくなる。
これよりも squid で動く広告フィルタや SSH の圧縮トンネルによる
効果の方がずっと大きいけど。

まったく BIND と関係ないな。

オフトピックだけど、
もれも帰省してADSLとか光とかしてない実家でダイアルアップで繋いでたころは>>480さん
と同じ方法で高速化してたな。
画像が入ると圧縮の効果がなくなるからw3mでテキストのみを見てた。

>>479-481

なーるほど。
自宅にはxDSLを引いてるからそうした方法を使うと、出先でも
有効活用していることになるなぁ。

自宅のWindowsマシンはほんと　家電的デスクトップ環境　でしかないことを
確認した気分。
レン鯖にぶち込んだら転送量が問題になるだろうなぁ。
UNIX使いになったらまた来ます。

Air H の不快適さ加減はノートでBINDでも、断然違ってきますよ。

いろいろありが�dです。

BIND-8.4.3 破棄かよ((( ；ﾟДﾟ)))

───────────────────────────−──────―
────────‐───────────−────────────―─‐
─‐────────────‐────────‐∧＿∧ ───‐──―──‐
─────‐∧ ∧,〜　────────────‐（； ´Д｀） ────―─‐──‐
──−──‐( （⌒￣ `ヽ─── ───────‐ / 　　 /─―/ヽ────―─‐
──―───‐＼　 ＼　`ー'"´ -'⌒ヽ──────‐ | | 1 ‐─‐ /| | ─────―
―‐――──‐ /∠＿,ノ　　　 _/_───‐―──―─‐| |　 /─―/　| |―────―‐
─────‐ /（　ノ　ヽ､＿/´ 　＼―────‐──‐∪ ./──,ｲ　∪ ────―─
────‐ ､（ 'ﾉ（　　　　　く　　　　 `ヽ､ ―────―‐| /−─/||　| ──−───―
───‐‐／`　―＼＿＿＿_>＼＿＿_ノ ──────‐|/──/ ||　| ────‐─―‐
───／───―‐/＿_〉.───`､＿_>.―‐―───‐─―‐|　||　| ─────―─
──／──‐──────────────―−───‐（＿)＿)─────―─
─／────────−────────────‐──────────―‐
───────────────────‐─────────―─────‐

ｱｯﾋｬｯﾋｬ!ヽ(ﾟ∀ﾟ)ﾉｱｯﾋｬｯﾋｬ!

Whereis BIND 8.4.3?

Due to an unfortunate bug in BIND 8.4.3, ISC has pulled this version.
The bug is not security related but triggers BIND do generate lots of
nnecessary additional queries under some circumstances with a potential
for operational impact.

BIND 8.4.4 will be available soon as a replacement.

If you have downloaded a copy of BIND 8.4.3, do not use it in a production environment.

BIND8使い続ける理由って何かあるの?
ほとんどの場合、BIND9に設定ファイルもっていっても問題ないと思うんだけど。
BIND9で消されたオプションでも使ってるのかな...

ndc start(ぉ

named-xfer

>>487
rndcだと秘密鍵とかの設定書かないといけないから面倒かも(--;

>>488
namedに統合されてないですか?

９もちょくちょくセキュリティホール見つかってるし。
書き直した割には、あんまり進歩してないんじゃないか？

>>489
手動でチェックしたいときもあるのよ。

ふつ〜dig axfr

ふつー djbdns

http://www.isc.org/

BINDの配布元ってここだよね???
Apacheのテストページになっているんだけど・・・

あ、戻った・・・
Apacheの入れ替え中だったのかな。

>>495
ご迷惑おかけしました。

>>495
|HTTP/1.1 200 OK
|Date: Fri, 12 Dec 2003 14:20:10 GMT
|Server: Apache/1.3.28 (Unix) PHP/4.2.3
|X-Powered-By: PHP/4.2.3
|Connection: close
|Content-Type: text/html

Apache 1.3.xの最新は1.3.29でPHP4.xの最新は4.3.4だけど

BINDの設定について質問です。
あれこれ調べたんですが、よくわからなかったのでよろしくお願いします。

example.co.jpというドメインを取得して、それをホスト名とするマシンで
DNSサーバを立ち上げたとします。
つづいてnamed.confに次のようなゾーンを設定するとします。

zone "example.co.jp" {
type master;
file "example.co.jp.zone";
};

で、example.co.jp.zoneの記述についてなのですが、

@ IN SOA example.co.jp. root.example.co.jp. ( .....(省略)...... )
　　IN NS example.co.jp.
　　IN MX 10 mail.example.co.jp.
　　IN A xx.yy.zz.ww
ns　IN A xx.yy.zz.ww
www　IN A xx.yy.zz.ww
mail　IN A xx.yy.zz.ww

上記の１行目と２行目を

@ IN SOA ns.example.co.jp. root.example.co.jp. ( .....(省略)...... )
IN NS ns.example.co.jp.

と変えることによって、なにか動作（名前引くときとか）の変化はありますでしょうか？

ご教授をお願いします・・・・。

ゾーンのネームサーバ名が変わったという点では変化あると言えるし、
単に名前が変わっただけで実質変化はないと言えば無い。質問の意図は?

どちらの方法でも
example.co.jp, ns.example.co.jp, mail.example.co.jp, www.example.co.jp
のIPアドレスを問題なくひけますよね？

で、実際外部からこのホストのDNSを使用するとき、
名前解決に使用するDNSサーバ名として
example.co.jp, ns.example.co.jp, mail.example.co.jp, www.example.co.jp
のどれを指定してもつかえますか？（実質すべて同じIPアドレスなので）
↓のように
ex) host yahoo.co.jp example.co.jp
host yahoo.co.jp ns.example.co.jp

できるかと。つーか、やってみればいいじゃん。
上位ゾーンの設定変更もわすれずにね。

ありがとうございました

ABC.bbc.comのIPを1.2.3.4とした場合

クライアントからABCをnslookupで引いたら1.2.3.4が返るようにしたい。
クライアントがWindowsの場合どうすりゃ良い？

nslookup -type=SOA bbc.comで
dnsサーバー調べて、Windowsクライアントの
dns設定にそのIP入力汁

質問の仕方が不味かった。nslookupが目的ぢゃないんよ。
ドメインを省略したbindの設定が知りたい。
クライアントならresolv.confにsearch bbc.comを追加すれば
良いけど、サーバ側での設定がわかりゃん（ ´・ω・）

んじゃ、nslookup -type=SOA bbc.com
でDNSのIPしらべて、bindのnamed.confで
forwarders {
X.X.X.X;
};

ひょっとしたら、質問者は、クライアントで、 nslookup ABCとやって
サーバのnamedに"ABC"というクエリーが飛んだあと、
named側でbbc.comを付加した検索結果(1.2.3.4)を返すような
bindの設定が知りたいのでは？

>>505
設定なんて必要か?

>>507
うーむ、おいらにも、なにがしたいか良くわからんが
どうしてもっていうんだったら、Windowsが参照する
DNSサーバにbbc.comのゾーン切って、ABCのIN A登録
するのが一番だな。

>>507
resolv.confのsearchとかいってるんだから
「ホスト名だけで引いた時にドメインを付加したい」
といいたいんじゃ

>>505
でこれはサーバ側のお仕事ではありませんよね

>>503
> ABC.bbc.comのIPを1.2.3.4とした場合
この前提の時点すでに何を言いたいのかわからない。

それはクライアントにやらせたほうがよいのではないのかな？
WindowsのTCP/IPの詳細設定で、
DNSサフィックスを登録して追加させるとか

罵倒レスが無いのはUNIX板故なのか。
>>507
そそ。
ドメイン無しのホスト名だけでIPを引きたいだけ。
Windows側のhostsに書けば良いけど、台数が増えると面倒。

鬱陶しいことにWindowsはADにdomain参加しているので、
DNSサフィックスなどは弄りたく無い。
WindowsのDNS指定はADサーバ上のDNSで、bbc.comはAD上のDNSでは
解決せずに、bindにFWする仕組み。

余計に訳が分からなくなったかな？説明が下手でｽﾏｿ（ ´・ω・）

自己補足デス
＞Windows側のhostsに書けば良いけど、台数が増えると面倒。
ABC　1.2.3.4　と書けば解決なんだけどね

＞WindowsのDNS指定はADサーバ上のDNSで、bbc.comはAD上のDNSでは
＞解決せずに、bindにFWする仕組み。
運用ルールでADのDNSにはマシンの実IPしか記述出来ない・・・
ABCは実はサービス用の仮想IPデス

zone（ドメイン）の無いbindの設定は出来ないと思っているのが駄目なの鴨

すいません，教えてください．Debian woody + bind9 9.2.3 です．
この頃，こんなメッセージが syslog に出るようになりました．
> client 127.0.0.1#34201: query '3.1.168.192.in-addr.arpa/IN' denied
せめてエラーの意味がわかれば調べられるのですが，
どのタイミングで出てるのかもよくわかりません．
そもそも，これは害のあるエラーなんでしょうか？

ADSL モデム内蔵ルータ内の LAN 環境で，bind マシンは 192.168.1.10 です．
LAN 内には適当なドメイン名(hoge.local など)を振ってあります．
DNS は外部に公開していません．

'3.1.168.192.in-addr.arpa -> 192.168.1.3 はなぁに？

>>516 さん
ありがとうございます．
192.168.1.3 は LAN のクライアントの1台(Windows)です．
他のクライアントの IP アドレスが出る場合もあります．

という意味で合ってますか？

解決しました．

zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.192.168.1";
allow-transfer { 192.168.1.0/24; };
allow-query { 192.168.1.0/24; };
};
allow-* に 127.0.0.1が入ってなかったのが原因みたいです．
allow されてないんだから deny されますよね…．
くだらないミスですいませんでした．

"バッタ本"でぐぐったら、ちゃんとオライリージャパンが
ヒットしてちょっと感心しますた。
I'm feeling luckyだったらアマゾンに飛んだけど。
すれ違い気味スマソ。

スレ違いだが、昔に比べてfeeling luckyで商用サイトに放り込まれてしまう
確率が随分上がったような気がする。
googleのヒット順位は金で買えるというのは本当らすい。

スレ違い。

2log.netって委譲関係おかくね？

日本語JPナビ（仮称）の検討について
http://jprs.jp/info/notice/jpnavi-proposal.html

一攫千金の夢なほ捨て切れず。

bind9、なんで起動しても設定したゾーンファイルの内容が有効にならないで
SERVFAIL とか NXDOMAIN 返すんだー
仕方ないので log オプション設定しまくって、
-dオプションで named.run のログも作成したりしても一向に原因が分からない。
あるとき、そういえばゾーンファイルの設定内容をチェックするユーティリティが
あったようなと思って、named-checkzone というのを発見、
チェックしてみるとエラーが大量に。（なぜかコメントとして # 使ってたり）
無事正常にゾーンを解決出来るようになった。
でもなんで、named-checkzone 以外でログにエラー残らないんだよぅ…

>>525 頭悪そうな文章ですね。うまく動作しない原因は恐らくあなたの知能のせいです。

>>525
自分の目で見てエラー発見しろよ。（ｗ

>>526
最終的にうまく動作したのでﾓｰﾏﾝﾀｲですよ
>>527
シェルスクリプト等は # がコメントなんで見落としてのよ　

文法エラーはsyslogなりログファイルに出ない? 手元の9.2.2では出るぞ。

8.4.4ｷﾀ━━━ヽ(∀ﾟ )人(ﾟ∀ﾟ)人( ﾟ∀)人(∀ﾟ )人(ﾟ∀ﾟ)人( ﾟ∀)ノ━━━ !!

BIND 8.4.4 is a maintenance release of BIND 8.4.

Highlights.
Maintenance Release.

isc.org、いつ名前変わった？
前は Internet Software Consortium だったよねぇ

http://www.isc.org/about/press/?pr=2004012700
━━━━ヽ(　´_ゝ｀)ﾉ━━━━!!

named.root 更新されますた。

>>533

それも、公式な事前アナウンスなしで＞B

http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/01.html#20040130__b

2年くらいの猶予はあるみたいだけどね。
もれは念のためにアップデートしたけど。

外部のダイナミックDNSサービスで取得したFQDNと内部ネットワーク用のFQDNを
共存させるにはどのように設定すればいいのでしょうか？

現在aaa.localと言う名前のwwwサーバに、ダイナミックDNSで取得したxxx.zzz.netという
名前でアクセスできるよう、ルータでスタティックルーティング設定を
行っているのですが、mozilla等のブラウザでIPアドレスではアクセスできるものの、
xxx.zzz.netではアクセスできません。

telnet xxx.zzz.net 80
> GET HTTP/1.1

ではアクセスできるため、HTTPヘッダのホスト名をみてapacheがはじいていると
(勝手に)推測しているのですが、BINDの設定でうまく回避する方法はないでしょうか。

長文で申し訳ありませんが、よろしくお願いします。

apache付属のhttpd.confを少し改造するだけな場合
そんなんでエラーにはならん。

＞xxx.zzz.netではアクセスできません。
No route to host なのか 40x/50x エラーなのか
TCP RST/Closed by peer での切断なのか
まずはエラーから示せ。
dig xxx.zzz.net の結果も検討しろ。

すみません。bind、apacheのせいではありませんでした。

どうもzaurus搭載のnetfrontのみxxx.zzz.netでhttpパケットがwwwサーバにすら
届かないみたいです。(mozillaではアクセスできました)

bindを立てる前はアクセスできていたのに…(T-T)
理由はさっぱりわかりませんが、お騒がせしましたm(_ _)m

質問です

複数台のDNSキャッシュサーバでキャッシュの
共用ってできる？

DNSキャッシュサーバを冗長化したいのよね

bindのDNSキャッシュはメモリに入っている。
ソースに手を入れて共有できるような形にすれば出来なくは無い。

でも意味無いから、単純に複数台のDNSキャッシュサーバーを立てておけ。
多少非効率でも単純なほうがいい。

bind-9.2.3の起動についての質問です。
bindを起動すると起動ログに以下のようなwarningが出るんです。
DNSとしての動作に関しては問題ないようなのですが・・・

Feb 18 17:14:26 hostname named[3017]: [ID 873579 daemon.warning] zone 'xxxx.co.jp' allows updates byIP address, which is insecure

ちなみにnamed.confのこのzoneの記述部分はこうなってます。

zone "xxxx.co.jp" in {
type master;
file "db.xxxx.co.jp";
allow-update { 172.16.102.201; 172.16.116.200; };　←slave name server;(DHCPサーバも兼ねてます）
notify yes;
};

allow-updateサブステートメント関係っぽいのはわかるんですが
どうしてwarningが出るのかわかりません。
よろしくお願いします。

in・secure
━━ a. 安全でない; （地盤が）堅固でない; 危なっかしい, 心配な; 自信がない ((about)).
三省堂提供「EXCEED 英和辞典」より


http://www.atmarkit.co.jp/flinux/rensai/bind907/bind907c.html

>543
ありがとうございました。参考になりました。

普通に使ってて急に特定のドメインだけ
名前がひけなくなるなんてことある？

その特定のドメインの NS が死んだとかそこへの経路障害とか。

なるへそ。

# 遅レス気味。
>>545
GlueRecordの無いドメインが最近蔓延している。
こういうドメインに遭遇すると、手元のnamedを再起動すると引きなおせるから
相手は自分が悪いと思わない、という不幸になる。
dotJPなドメインに多い。

具体的に挙げるのはやめておくが、.comなDNSサーバを使っている腐れドメインで
よく起きる。
ウチで遭遇したときは相手が「.comなNSはJPRSがGlueRecordを登録してくれない
（ってこれはBINDの制約ではあるよな）から登録していません」などと、タワケた
回答をよこした。

なんでだー
ポートも開いてて設定も間違ってないしサービスも立ち上がってるのに
nslookupでNon-authoritativeがでるし逆引きでサーバが見つからないって出るよー

BフレOCNI/IP8でDNS立てた人助けてください〜ぃぃ

質問アゲ

>>549
金払ってコンサル雇え

nslookupを使いDNSのIPを調べたところ

*** dns.hogehoge.com can't find aaa.bbb.ccc.ddd: Server failed

とエラーが出てしまうのですが逆引き設定ファイルがおかしいですか？

動いたー！

一時期本気でコンサルタントを雇おうかと思いましたよ。

fedoraの入れた覚えの無い　redhat-config-bind　が悪さをしていたみたいで、
いくらnamed.conf以下ゾーンファイルをきっちり設定しても駄目だったようです。

redhat-config-bind、bind　を一度アンインストールし、再びbindを入れなおしたら
無事今までの設定ファイルで動くようになりました。

(´-`).｡ｏＯ(なんで Linux 板で聞かないんだろう？)

(´-`).｡ｏＯ（linux板のDNS、Bind関係は糞スレしかなかったんだもん…

最初はfedoraのせいじゃなくてbindのせいだと思ってたって言うのもあるんですけどね
すみませんでした

おまえのせいに決まってるだろ馬鹿

一週間前にDNS情報を書きかえたのですが、
新鯖に繋がるようになったかと思うと、
また旧鯖に繋がるようになったりします。
しかも、まだ旧鯖に繋がる時間の方がかなり多いです。
接続元は同じなのに、
なぜ旧鯖に繋がるように戻ってしまうのでしょうか？

ちなみに、携帯やAirH"からは
新鯖に繋がります。
自宅のADSLで上記の現象が起こっています。

>>557
シリアル番号は上げた？　スレーブに情報が伝わってないんじゃないの？
もしくは、TTL が大きくて、古いのがキャッシュされ続けているとか。
違ったらスマソ。

>>548
> GlueRecordの無いドメインが最近蔓延している。
> こういうドメインに遭遇すると、手元のnamedを再起動すると引きなおせるから
> 相手は自分が悪いと思わない、という不幸になる。
> dotJPなドメインに多い。

JPNIC が NS レコードごときで変更手数料なんてもんをとるからいけない。

ttp://djbdns.qmail.jp/djbdns/notes/glue.html
一応貼っておくね。

>>560
JPNICというかJPRSは要らん。存在そのものが悪だ。（汗

>>559
バリュードメイン付属のDNSなので、
シリアル番号は自分では書きかえてないです。
ログを見ると、
旧鯖に繋がっているのはY!BBからだけのようです。
Y!BBのキャッシュだけがしつこいということでしょうか…

allow-transfer { 127.0.0.1; };
allow-recursion { 127.0.0.1; };
としてあっても、たとえば dig axfr 2ch.net @127.0.0.1 が蹴られます。
これが 2ch.net の NS に蹴られるのはしかたないっつーか、
まともな DNS ならあたりまえなんですが、そうではなくそこにたどりつく以前の
ローカルの DNS に蹴られるのが気に食わないっす。
結果として蹴られてもいいから、non-authoritative answer でもいいから、
自分に権威のないゾーンでも AXFR 要求を受け付けるようにすることってできますか？

バージョンは BIND9.2.3 です。

>>563
自分でゾーンファイルを作って
zone "2ch.net" {
　type master;
　file "ゾーンファイル名";
};
をnamed.confに追加すれば出来ますよ。ははは。おばかさん。

うーんと、具体的に。
DNS サーバ A から B にゾーン転送したいんですよ。
が、A と B はネットワーク的につながってないので、
間にある X というホストを経由して情報を取りたい、と。

A:
allow-transfer { X; };
zone "example.com" { type master; };

X:
allow-transfer { B; };
zone "example.com" { type forward; forward only; forwarders { A; }; };

こう設定して、B から X に対して example.com に関する情報を問い合わせると、
A に forward されてちゃんと応答が返ってくるんだけど、
AXFR を要求した場合に限って、X は A に forward することなく拒絶してしまう。
X が権威を持たないのは承知してるけど、とりあえず転送だけはしてくれないかなー、
ということなんでが。

X を type forward ではなく slave にすればできることはできるんですが、
そのためだけに slave にするのはアレです。
なんとか forward のままでできる方法はありませんか？

いまだに特定のプロバイダからは、旧鯖に繋がり続けます。

http://example.com
だと旧鯖に繋がり、
http://example.com.
とFQDNで指定すると、必ず新鯖に繋がります。

そこで思ったのは、
旧鯖（webarena suite2）用のDNSは、まだ旧鯖を指示しているので、
特定環境ではTLDの階層まで問い合わせをせず、
旧鯖用DNSに問い合わせて、
返されたIPをキャッシュし続けているのではないか…ということです。

だとすれば、契約が切れてwebarenaのDNSが抹消された時点で、
上位階層まで問い合わせが行き、
やっとキャッシュが新しくなるのでは、と予想していますが、
この予想は妥当でしょうか？
長くてｽﾐﾏｾﾝ。

社内テスト環境でApacheの設定を
VirtualDocumentRoot "/usr/local/www/data/%-2+/www"
という感じにしています。
www.yahoo.co.jp.shanaiにアクセスすれば、/usr/local/www/data/www.yahoo.co.jp/www以下にアクセスされて便利です。

さて、今まではBINDを使って
www.yahoo.co.jp.shanai. IN A 192.168.0.100
www.naver.co.jp.shanai. IN A 192.168.0.100
という感じで全てのホスト名について設定していました。非常に面倒です。
****.shanaiのクエリがあった時に、全て192.168.0.100を返すようにしたいのですが、どうすれば良いでしょうか？
ゾーンの設定はどうすれば良いのでしょうか。
ご教授お願いします。

＊の呪文を使え

568>>
出来ました。ありがとうございます。
以下報告
---shanai.zone---
@INSOAshanai. root.shanai. ( 2004042301 8H 2H 1W 1D )
INNSshanai.
shanai.INA192.168.0.100
*.shanai.INA192.168.0.100
---検証---
nslookup shanai => 192.168.0.100
nslookup a.shanai => 192.168.0.100
nslookup a.b.shanai => 192.168.0.100

9.3が出たらしいね。

正確にはbind9.3.0beta2やね
今んところcurrentは9.2.3

MLに流す香具師ｳｻﾞ

>572 板違い。せめてまとめろってね。

助けてください。
LAN上のマシンにBIND9.2.1入れて設定し、
そのマシン上でdigやnslookupで名前の解決ができていることを確認。
ルーターのTCP&UDPの53を開けて、そのマシンにマッピング。
他のネームサーバーでAでns1.example.netにうちのIPを与え、その名前が解決できていることを確認。
example.comのレジストラで指定するネームサーバーにns1.example.netを指定する。
だが、外からはexample.comが見えないのは、ZONEの転送ができていないからなんですか？
それとも、開放するポートは53だけではだめなのですか？

ちなみに、外のWINマシンのネットワークの設定で、DNSをns1.example.netのIPにすると、
example.comの解決ができるようになります。

よろしくお願いします。

ヨソのノードのIPアドレス(ドメインもってない)に
ウチのDNSでドメイン名ふってあげるのって、アリ?

>>575
技術的にはぜんぜんアリ。
モラル的には、向こうが了解してればアリ。
じゃなきゃビミョー。

>>576
ありがトン。向うは了承してマス。

ただねー、正引きは簡単なんだけど逆引きがヨクワカンネ。
zoneファイルは向うのノードのDNSに置くもののよーな気がするんだけど(チガウ?)、
それはムリだし。
逆引きなんか知らん、ってのはアリ?

>>577
どこに書くかは場合によるので
向こうの管理者 (とか上位 ISP) と相談すれ。
逆引きが必要かどうか、どのホスト名を返すべきかは
どういう場面でどういう用途に逆引きが使われるのか
を一つ一つ考えて自分で答えを出せ。

>>578
ありがトン。
とりあえず今回の場合逆引は必要ないんだけど、
「オマエのこのドメインは違うネットで逆引も出来ん。RFC違反じゃゴラー」
とかどっかから言われるとコワイと思って。でもRFCとか調べるの面倒だし。

必要ないから逆引きは知らん、とか
自分で答を出していいものかどうかが知りたかったンス。

じゃいいわけね? じゃ逆引きは知らんっ。

名前1→IPアドレス1→名前2→IPアドレス2
みたいに正引き逆引きを繰り返したとき、

名前1 ≠ 名前2 は全然アリ。
でも、IPアドレス1 ≠ IPアドレス2 だとあんまりよくない。

いやいや。あまりよくないどころか、
正引きした結果と矛盾したらそりゃアウトだろ。
逆引き自体はどこのだれでも好きなのを名乗れるんだから。

>>581
別に矛盾してても問題ない。
複数のAをもつIPだってRFCでも認められてる

間違いでないというだけで、実用上は問題ありだと思うぞ。

>>583
どんな問題?

つーかもう逆引きなくそうよ。
IP アドレスの素性を知るのに
自己申告の DNS 逆引きを使うのはナンセンス。
traceroute で上位 ISP さがすとか
whois でひくとかで十分。

>>583
どこら辺が?
IPアドレスの逆引きで出てきた結果で正引きしてあわないとparanoid checkに
ひっかかるが、正引きを逆引きしたものと一致しなくてもまったく問題ないと思うが。

それがまずいとSMTP ServerとWWW Server、FTP Serverを同一マシンで公開する
ときに通例的につけられている名前をつけることができなくなってしまうぞ。

>>585
そのために逆引きしたのを正引きできるか調べるわけで。
まあ、whoisしたほうがより利用者を特定できる情報が得られるのは
事実だがね。

どのたか知っていたら教えて頂きたいです。
bind8.3.7以前のverでネガティブキャッシュに関するバグがあります。
そこで、8.3.7などを入れれば解決するらしいのですが
実際に内部的にはどのようにして解決しているのかわかる方はいないでしょうか？

>>588
ソースのdiff見れば分かるよ。

>>589さん
それがdiffを見てもどこを修正したのかわからず、、、
それで、どなたかすでに特定できればと思ったのですよ。

全てのbugはソースに明記されている。

>590
if (diff を見て判らない){
// ソースを読めない人 => それ以上説明しても無駄
pass;
}
となぜ気づけないのですか?

釣りでつか

whois検索されても、自分の素性が特定されない
方法ありませんかね。
何者から自分のドメインをもとに物理的な住所から
電話番号までわかってしまうのは何か気持ち悪いよな。

ちなみに、IPは固定です。

>>594
to ドメイン取れ。
あそこは匿名だ

マジ？
一回ドメイン取得したら自前でDNS用意して/.のような掲示板を運営したいです。勿論、月々のドメイン管理費用払いたくないし、鯖は全て自前で構築します。

Whois情報を匿名で(レジストラのものなどで)登録させてくれる業者は
探せばいくらでもあろうに
2ch ISPでもやってるらしいぞ→ http://dom.isp.2ch.net/

つーか板違いだろ。

db.なんとか

を編集してbindを再起動したら
どのくらいで名前が有効になりますか？

|<------------------これくらい------------------->|

|>------------------これくらい-------------------<|

602の方が長い!

ﾜﾛﾀ

8.3のキャッシュってどうやってクリアしたらいいんでしょうか？
調べてみたら9.xのrndcにはflushというオプションがあるようなのですが、8.3のndcには無いようで。

>>605
ndc execかndc restartでわ？

ご教授お願いします。
Ver:FreeBSD5.2.1-p6
自前のDNSを立ち上げました。
一つの問題に悩んでいます。
/resole.confでは、127.0.0.1が一番に並んでいます。
$ping 127.0.0.1
$ping localhost
いずれも問題ありません。
ただし、dig を@localhostに指定して、問い合わせると、
;; connection timed out; no servers could be reached が出てきます。
@127.0.0.1 だと,問題ありません。
bindバージョン(digとも)は9.2.3です。
別にこれで困っているわけではないですが、
原因を知りたいです。
因みに、FreeBSD4.9のマシンで同じ設定していますが、まったく問題ありません。
dig @localhost でちゃんとレコードなどを検索できます。

すいません、

192.168.1.0/24
とかそういう表現の意味がわかりません。
解説しているサイト教えてください。

２４は２４ビットだよ
つまり、３バイトってことだ
頭から３バイトは固定と考える（つまり192.168.1 部分まで）
結果、192.168.1.0〜192.168.1.255 までの２５６個のＩＰをまとめて表現
してる。

>>609
レスありがとうございます。
サブネットとのかねあいがよくわからなくて、
各種鯖の設定でいきづまっています。

ネットで勉強中ですが、まだ、わかった！ってのがないです。

>>607
まず localhost が指す IP アドレスを確認せよ。

>>611
ローカルは
192.168.1.1から7まででサブネットは255.255.255.0
です。
これを
192.168.1.0/8 127.0.0.0/24

とかそういう感じで表現出来るというのも丸おぼえです。
この間の理屈が理解できないのです。

>>612
君はBINDの事は忘れなさい。

漏れもまるおぼえで理屈はしらんけど、
こんな感じだろかテスト
いつIPV6になるのかテスト

10000001.00000000.00000000.00000000 127.0.0.1 ローカルループバック
-----------------------------------
11000000.10101000.00000000.00000000 192.168.0.0/24 ネットワークアドレス
11000000.10101000.00000000.00000001 192.168.0.1 最下位8ビット1-254までホストに使用可
11000000.10101000.00000000.11111111 192.168.0.255 ブロードキャスト

-----------------------------------
11111111.11111111.11111111.00000000 255.255.255.0 サブネットマスク
(ビットが1の部分をネットワークの識別に使う)

>>614
チミもこの板の事は忘れてくれ。

丸覚えとか言っている香具師、端から間違っているから書かないでくれ。

自分でいろいろ調べてまなびます。
お騒がせしました。
別段難しいことではないと思うんですが、わからないものにとっては
やっぱり難しいです。

誰か偉い頭のいい人が簡単な説明してくれないか希望を持って
ここにきたんですが、世の中そんなに甘くないようで。
おあとがよろしいようで。

でも、教える自信がある人はおしえてね。

やっぱり女は数学的脳みそがたらないのかなあ・・・・

>>607
/etc/hosts で localhost のアドレスがどう指定されているのかってことよ。＜>>611
grep localhost /etc/hosts の結果を晒してみるとか。

>>618
レスありがとうございます。
こうなっています。


127.0.0.1 redhat localhost.localdomain localhost

dig, host, nslookup って /etc/hosts を見なかったような。
@localhost とした場合、まず resolv.conf で指定された DNS に
localhost の A レコードを聞きにいき、次にその IP アドレスに対して
指定した問い合わせを実行する、という動作だったような。

よーするに、localhost という名前が DNS からちゃんと得られているかどうか。

ブラウザでlocalhostとすると、自分のアパッチのページが出るんですけど。
どうでしょう

>>621
脳が膿でしょう

>>611
>>618
今の/etc/hostsです。ドメイン名はmydomain.comに変えてあります。
::1 myhost.mydomain.com localhost
127.0.0.1 myhost.mydomain.com localhost myhost
222.222.222.222 myhost.mydomain.com myhost
(3行名のIPは変更済みですが、今のグローバルのIPとのことです）
$ ping localhost
PING myhost.mydomain.com (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.209 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.197 ms
...
$ traceroute localhost
traceroute to myhost.mydomain.com (127.0.0.1), 64 hops max, 40 byte packets
1 tech (127.0.0.1) 0.425 ms 0.510 ms 0.313 ms

619はなりすましです、こんな暇な人いるなんて、
なんていったらいいか...
>>620
localhost.zone/revは作ってあります。
一番目のDNSは127.0.0.1なので、dig localhostの結果は以下通りです。
# dig localhost

; <<>> DiG 9.2.3 <<>> localhost
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7668
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;localhost. IN A

;; ANSWER SECTION:
localhost. 86400 IN A 127.0.0.1

;; AUTHORITY SECTION:
localhost. 86400 IN NS localhost.

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun May 23 08:13:02 2004
;; MSG SIZE rcvd: 57

初めまして。

Solaris8上でBind9.2.3を使っています。
ときたまNamedプロセスが死んでしまうので、デバッグモードで起動しようとしています。

手順は
　１．一度NamedをKillする
　２．Namedを起動するときに　-d　オプションをつけて起動する
ですが、-dオプションには[0 - 99]までのモードがある事を突き止めました。

このモードの違いって何がご存知ないでしょうか？

ご教授の程、お願いします。

>>625
-g でテストしてみたら？
変にLog漁るよりは効率良いかもしれん。

>>625
プロセスが膨れすぎてメモリを圧迫してない？

ローカルキャッシュサーバ作ってみたが
rndc: connect failed: host unreachable
＿|￣|○
localhostの953番はlistenになってるし、フィルタにかかってるわけでも無さそう…
これってnamed.confやrndc.confは関係無いよね…？
options {
default-server localhost;
default-key "rndc-key";
};

server localhost {
key "rndc-key";
};

include "/etc/namedb/rndc.key";

localhostに届いてないってことですか…？？

named.conf晒せ

>>628
namedがrndcの設定前に立ち上げられてたりするとイカンのだが、この点は大丈夫？
あとはnamed.confとrndc.confの問題だね。

ところで、rndc restartが無いっのって、寂しくない？
漏れ的には不便というか面倒というか、イマイチな感じなんだがどう思う？

>>630
aliase rndcrstrt="service rndc stop; service rndc start"

include "/etc/namedb/rndc.key";
controls {
inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
　 inet ::1 allow { localhost; } keys { "rndc-key"; };
};
acl hoge {
127.0.0.1;
192.168.0.0/24;
};
options {
directory "/etc/namedb";
pid-file "/var/run/named/pid";
　　 forward only;
forwarders {XXXXX};
listen-on{
127.0.0.1;
192.168.0.1;
};
allow-query{hoge;};
};
残りはローカルのzoneだけなので省略…
>>630
named止めてみてもﾀﾞﾒでした
named自体は問題なく動いてるのでこのままでも害があるわけではないのですが…

>>632
詳しくないのにレスしてすまんが、
controls の中にある localhost をそれぞれ 127.0.0.1 と ::1 に変えたらどうだ？

つか、v6使ってるんか？
rndcは-Vつけろ

>>633
ダメっす＿|￣|○
>>634
namedをrestartして
rndc -V status
create memory context
create socket manager
create task manager
create task
create logging context
setting log tag
creating log channel
enabling log channel
create parser
get key for server
get config key list
decode base64 secret
status
post event
using server localhost (::1#953)
create socket
connect
rndc: connect failed: host unreachable

あ、あとV6使ってるのには特に意味は無いです

DDNSを運用したいぞｺﾞﾙｧ〜！
だからおすすめのページを教えてください
ってかBINDでやるしかないんですかねぇ？

現行のbindはゾーン情報をファイル以外になにで持てますか？
参考サイトでも結構です。

教えてください。

BIND-9.2.3+MySQLで*を使って、CNAME設定ししました。
それを別のDNSサーバーに浸透したのを見計らって、
４〜５個プロバのネームサーバーで確認してみました。
すると、*をワイルドカードと認識するネームサーバー（ぷららやIIJ）と、
*をそのままの文字で認識するネームサーバー（OCIやINTERLINK）があります。
本体は*を文字だと認識しているようです。

全てのサーバーで*をワイルドカードと認識させる方法はありますか？

>>638
ここ見て試してみれば？
ttp://www.atmarkit.co.jp/flinux/rensai/bind915/bind915a.html

>>628
refuseされてるってえと、rndcがバインドしてる
アドレスに繋げてないと見た
keyが違う云々ならばsyslogに何か出るはず

default-server localhost;
^^^^^^^^^^^ 127.0.0.1にしてみれ

>>641
できました…特に問題も無かったので放置してたのですが大感謝！
でも何故localhostで繋がらなかったのかが理解できないヘタレな私＿|￣|○

なぜうちのbind9君はxfer-{in,out}のログを吐いてくれないのかね(´･ω･`)
昔はちゃんと吐いてたのに…。

bind9 って少し寡黙になった気はする。
その割には、エラーに敏感なんだよなぁ…

>>644
あぁ、それは思う。

ちなみに漏れが悩んでるxferのログだが、debugにしても
何もでないのよね。何かがおかしい…。
9.0.xぐらいの頃はinfoでもログ出てたのになぁ。
他にそんな人いない？みんなログ取れてるのかな。

man named.conf
してloggingのところをみてみて。

>>644
エラーに敏感って、named.confの? 俺としてはもっと厳しくなってほしいかな。
エラーチェッカが無いかと"apt-cache search bind lint"で探してみたら、

dlint - Checks dns zone information using nameserver lookups
nslint - Lint for DNS files, checks integrity

というのがあるらしい。この辺使ってる人いるかな?

この辺をとりあえずやってみるべし。

named-checkconf
named-checkzone

ログの取り方も面倒というか内容が bind8 のほうが分かり易かった気はする。
まぁもう９で運用厨なのでどうでもいいけど。

>>647
いや、個人的には zone ファイルの方。

>>648
> named-checkconf
> named-checkzone

これ使ってるけどさ、「パーザを通るか」程度のチェックしかしてないような。
つまり、文法ミスはチェック出来るけど、zoneファイルや設定が正しいかどうかまでは
見てない気がする。

>>649
書き方が悪かった。
たとえば「CNAMEをMXにするな」とかはチェックしてくれないんでは、ということ。

>>650
そもそも、そうい（りゃ

>>651
うむ、そもそもそういうやつがlintかけるわけがない、と。
でもねえ、知らなかったことがぼろぼろ出てくるかもよ?

http://www.dnsreport.com/
http://www.checkdns.net/quickcheck.aspx
http://www.squish.net/dnscheck/

>>653
ぼろぼろ出てきた。ありがとう。

named-checkconf ってさ、chrootしてるときに…
チェックできるんじゃん…orz
知らなかった。

>>646
named.conf(5)はBIND8だった…orz
BIND 9 Administrator Reference Manual を読んでみたけど、
関係ありそうな記述はなかったなぁ。manじゃないとダメなのか。
スマンがもう少し細かくポイントして下さらんか。

example.comのプライマリDNSがns1.example.comだった場合どうやって
ns1.example.comの名前解決は行われるのですか？

ネームサーバの名前解決はドメイン登録する際にネームサーバのＩＰ設定
するからドメイン登録先で解決される。

>>656
.comを管轄するサーバーにNSレコードを登録しなかったか？

>>657
> ＩＰ設定
UNIX板で、しかもbindのスレッドでこんなのを見るとは思わなかった……。

UNIX板に幻想持ちすぎ

http://www.atmarkit.co.jp/fnetwork/dnstips/015.html

自己解決しました。
レベル低いですね、ここ。

>>661
657が書いてるんだが……。
# 「IP設定」はやばいけど。

656だけが自分のレベルの低さを自覚したんだから何の問題も無し。

>>662
「IP設定」はおくにしてもまあ不正確だな。
たまたま聞くタイミング悪くて馬鹿しかいなかったんだよ。

LAN内のマシンにbind入れて,
クライアントが使うDNSの指定をbindの入ったマシンにして,
bindの入ったマシンでLAN内のマシンの名前解決するとき,
foobar.lanみたいな適当なドメイン名みたいなのつけても良いのでしょうか?

suzuki.foobar.lan #鈴木のPC
sato.foobar.lan #佐藤のPC
dns.foobar.lan #bindの入ったPC

って感じで

>>665
ｵｹｰ

>>665
RFC2606

>>666
>>667

了解です
ありがとうございます

RFC2606 は「例示のために」予約されてるドメイン名であって、
それをローカルの用途で常用するのはなんだかなー、という気が。

>>669
でも他にないし。

OSX のらんでぶーが勝手に使ってる .local あたりでええんじゃないかと思う。

mDNSの5353/UDPとDNSの53/UDPで混在させてもOk？

自社のDNSで、特定のドメインが引けないという症状が出ています。
nslookupの結果が

　Note: nslookup is deprecated and may be removed from future releases.
　Consider using the `dig' or `host' programs instead. Run nslookup with
　the `-sil[ent]' option to prevent this message from appearing.
　Server: 127.0.0.1
　Address: 127.0.0.1#53
　
　** server can't find (問題のアドレス).: SERVFAIL

となるか、タイムアウトしてしまいます。

問題の、引けないドメインを下記のサイトで調べてみましたが、
警告がいくつか出たもののFAILはありませんでした。
http://www.dnsreport.com/

また、セカンダリで使用している、回線業者のDNSでも正しく引けました。
なので自社のDNSサーバの設定に問題があると考えているのですが、
どこから調査したらよいか見当がつきません。
ここの設定見てみろ、などありましたらご教授願いますm(_ _)m

環境は
redhat7.1
bind9.1.0
です

>>673
おまえのredhat7.1がクラックされてるから。

>>673
> 自社のDNSで、特定のドメインが引けないという症状が出ています。

仕事で必要ならコンサルタントを雇いなさい。

>>673
自分の仕事のおとしまえくらい自分でなんとかしろっての
自分の手に負えなければ金払って雇え

防火壁の外=特定のドメイン…か

自分の仕事のおとしまえどころか、失踪者の尻拭いですよ。
DNSサーバなんて立てたことないです orz
しかし、気が動転して方法を誤ってました。手におえなきゃ人を雇えというのはもっともな話ですよね。
何より参考になるレスでした。ありがとうございますm(_ _)m

>>677
さすがにそれは・・
ベタな例しか出てきませんが、yahooやgoogleは引けますよ。
引けないドメインはわかっている範囲で一つだけでした

スレ汚し失礼しました。

>>667
の件ですが、そんな事がありえるんですか？

ほんとに自社のDNSが悪いんですかねぇ…

識者の方いらっしゃったら、教えてください。
私は667ではないんですが、私も知りたい。

まずはそのドメインを晒せ、話はそれからだ。

>>679
RFC2606 がどうかしたか?

どうかしたんだろうな。

それはともかく、nslookup なんていまさら使うなよ。

たまにはいじらないと忘れてしまうな…

たまにでもいぢるところはいぢればすぐ思い出す。
いぢるところじゃないところをむしろ忘れる。

おいらはきっと、物理的なネットワークの障害だと思うんだけどなぁ

BIND 9.2.3rc4の設定を
auth-nxdomain no
に変更したら、今まで引けなかったアドレスが解決するようになった。
昔はyesにしておけと言われたが、もうnoでいいのか？

max-ncache-ttl 300;
max-cache-ttl 3600;
lame-ttl 600;
の方がいいかも。

助けてください。
誤って、シリアル番号を一桁ふやして再起動したら大事になりました。
"0"に戻して再起動しましたけど、、、、

セカンダリのゾーンファイルを全部削除して再起動すればいいじゃん。
シリアルは好きな数字に戻せるし。

>>688
ケタ溢れでマイナス値って事かい？
それだったら、ケタ戻して適当にインクリメントさせるだけで大丈夫だと思うんだが。

＃慣れないウチは「YYYYMMDDhhmmss」なんてシリアルにしてたっけなぁ :-)

お騒がせしました。
どうやら解決したようです。

戻す方法もあるからGoogleしとけ……
って既に解決済みか。
しかも、どう解決したか書いてないし。

しょうがないだろ、ガキなんだから

>>688
RFC1912

質問です。

プライベートマシンからはレスポンスがあるのにルーターを経由すると
レスポンスをしないなんてことあるんでしょうか？

○DNSサーバー環境:vine2.6r4 + named 8.3.1

○プライベート

C:\>nslookup www.example.net 192.168.0.5
*** Can't find server name for address 192.168.0.5: Non-existent domain
Server: UnKnown
Address: 192.168.0.5

Name: www.example.net
Address: 111.111.111.111

○ルーター経由（＝インターネット）

nslookup www.example.net xxx.xxx.xxx.xxx

(time out )


ちなみにxxx.xxx.xxx.xxxはhttp(=www)ではアクセスできます。
ルーター(buffalo BBR-4HG)のポートマッピングの設定は
５３ポートは設定したLinuxマシンに飛ぶようになっています。

>>695
> プライベートマシンからはレスポンスがあるのにルーターを経由すると
> レスポンスをしないなんてことあるんでしょうか？
あります。ルーターの設定がわるければ。
具体的にルーターにどういう設定をしたか列挙してみましょう。

ほかにもLinuxのnamed.confやiptablesで、
アクセス制限をかけてる可能性もありえます。

>>695
まずはサーバ側でtcpdumpしてみなよ。
あと、TCPとUDPの違いぐらいは判るよな？

お願いします。
Bind9.2、クライアントはWindows2000で長く問題なく使っていました。
最近クライアントをWindowsXPに上げ同じような設定で使い始めましたが
朝一番や1時間程度席を外した後IEで外部に接続すると名前解決で10秒位
待ちになる現象が出ます。

　ISPの用意したDNSサーバーだと問題が起こりません。MSに質問したところ
2000とXPでは若干違うとの事で幾つかXPのパラメタを調整しましたが
変化しません。Windowsクライアントの名前解決はWindowsサーバーで
行わせるのが普通、といった意見も含めてアドバイス頂けませんでしょうか。

Windowsのnslookupでいろいろ名前引きしつつ、
bindのログを眺めてればだいたいわかんじゃない？

bind9.2.3-MySQLで使ってるんだが、
SOAのシリアルを更新して、rndc reloadしてもスレーブにゾーン更新を送信しないんだよね。
rndc stopしたあと、起動しなおすとスレーブに送信するんだけど、
rndcでゾーンを転送させるのに何か特別な設定ってあるのですか？
それとも、MySQLが悪さしてるのかな？？

>>698 たぶんまたIPv6がわるさしてる。

皆さんレス有難う御座います。

699さんの言われるnslookupを試した所最初の1回目はTimeoutになります。
これは”Windowsの”nslookupだから発生していて他社のUnixでのnslookup
だと発生するかどうかは未だ検証できていません。現在はメーカーの
サポートに投げていますがいつ解決するかどうか今の所不明です。

お気付きの点が有ればご指摘ください。

２ちゃんのスレで仕事の問題の解決を図ろうとする奴

>>24 が気になるんだけどさ、いくら調べてもできる気がしないんだけど
どうなんだろ？MyIP の固定 IP で外部向けに動的グローバル IP を
公開しようと思ってるんだけど、内部のクライアントに関しても
DHCP+DynamicDNS で動的登録をしてるから
違う view に同じドメインがあって両方に nsupdate かけたいわけだけど...
内部向けのドメインを変えたほうがいいのかな？なんかそれも違うような気がするけど...

特定のドメインの名前解決が出来なかったのですが、
digで+norecを指定して、再起問い合わせを行わなければ解決できました。

何が悪いのでしょうか？

RedHat9 bind9.2.3 DiG 9.2.1です。
よろしくお願いします。

>>705
その特定のドメインの管理者の頭が悪い。

NSD - Name Server Daemon
http://pc5.2ch.net/test/read.cgi/unix/1092799781/l50

お願いします。

# rndc dumpdb
でBindのキャッシュを見る所まで来ました。
ロードバランスしているサイト等は決まってTTL値が10分位です。
これだといつもルートネームサーバーに問い合わせに行って
結果レゾルビングがしばしば遅いということになります。
皆さんのDNSサーバーはそう言った問題は起こりませんか。

>>708
レコード単位で TTL を設定できるのは知っていますか？
それぞれ 86400 ぐらいにしておいて、ラウンドロビンしたい
A レコードだけ 600 とかにしてみると良いです。

NS レコードだけでも大きくしておけば、少なくとも上流に
迷惑を掛けることはなくなります。

終わってると思った。yahoo.com はマトモなのにね。
dig @dnsg01.yahoo.co.jp -c in -t a www.yahoo.co.jp

お答え有難うございます。

質問でお返しするのも失礼かとは思いますが
自分のサイトでなく、アクセス先のwww.yahoo.co.jpのTTL値を変える事が
できるのでしょうか。

なんかWindows XPからドメイン名込みで
nslookup hostname.domain.com
とかやると
hostname.domain.com.domain.com
って返ってくる

>>712
* とか使ってる?

bind 9.2.3をFreeBSD 4-STABLEで使用しています。

namedが53番、953番以外のポートでudpをlistenしているようなのですが、
これってなんのポートなのでしょうか?

# FreeBSDのsocksstatコマンドの結果の一部
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
bind named 33131 35 udp46 *:4447 *:*

namedを起動するたびにポート番号は変わります。
named.confのoptionsのlisten-onでは、53番以外設定しておらず、
IPv6も使っていません。
ご存知の方がいらっしゃいましたら、教えていただけないでしょうか?

tcpdump でそのポートを観察してみればわかるよ。

参考 http://jpinfo.jp/topics/030207.html

>>714
UDPにはListenするという概念がありません。

>>715
ありがとうございます。
tcpdumpではパケットが飛んでいなかったのですが、
大きなヒントになりました。

named.confでの設定は、
query-source address * port 53;
だけだったところに、
query-source-v6 address * port 53;
も入れたところ、53番を使うようになりました。
v6は使っていないのですが…。

>>716
恥ずかしい…。

--disable-ipv6
で作った？

>>711 できません。DNS キャッシュ鯖の仕様によってはできる鴨。

>>718
わざわざどうもです。
--disable-ipv6はつけていません。

FreeBSDのportsから入れていて、
configureのスイッチ指定するのがめんどくさそうなので、
まぁ、いいかなと。
軟弱者です。

>>719
www.yahoo.co.jp だけのゾーンを自前で持てばいいのでは。
yahoo.co.jp ゾーンから委譲されないけど、それで困るのは自分だけだし。

>>721 困りすぎるので却下。www だけじゃないし。

すいません、ちょいと教えてください。

--- ZONE example.com ---
@ IN SOA ns.example.com. root.example.com. { 0 1h 1h 1h 1h }
@ IN NS ns.example.com.
@ IN CNAME foo.bar.example.com.
ns IN A w.w.w.w
bar IN NS ns.bar.example.com.
ns.bar.esample.com. IN A x.x.x.x

--- ZONE bar.example.com ---
@ IN SOA ns.bar.example.com. root.bar.example.com. { 0 1h 1h 1h 1h }
@ IN NS ns.bar.example.com.
foo IN A y.y.y.y

としたとき(適当に書いたので多少不適切なものもあるでしょうが)、
exsample.com を引くと最終的に y.y.y.y のＡレコードを引くことが
できますでしょうか？
ローカルに実験してみるとできるようなのですが、やっていいものか、
正しく動くことが保障されているのか、調べても判断つきませんでしたので
ご存知の方、教えてください。

間違った設定をして正しく動くも何も無いもんだ。

>>723
> @ IN SOA ns.example.com. root.example.com. { 0 1h 1h 1h 1h }
> @ IN NS ns.example.com.
> @ IN CNAME foo.bar.example.com.
この時点でだめだろ。
http://bonz.squares.net/~dais/misc/rfc1912j.html#cname

>>723
example.comを引いた時に y.y.y.y のAレコードを返したいなら、
example.comゾーンに @ IN A y.y.y.y を追加しろよ。
前にもおまえ同じ事聞いてなかったか？学習しない奴だな。

>>725
CNAMEは他のレコードと共存できない、というのがすべてですね。
ご教授ありがとうございました。

>>726
example.com をひいたときに、example.com の ZONE 以外が管理している
Aを引かせたかったのです。現状はexample.com.にAレコードがあるのですが、
どうにか別のZONEから引けないかと考えたわけでして。
普段、CNAMEなんて使っていなかったので、使い方がまったくわかっていない
ようでした。ご教授ありがとうございました。

>>719
>>712
>>722
レス有難う。幾つか解決策を検討したのですが

a.市販の爆(?)速なんとかというソフトはPC上でDNSキャッシュを持つ
らしいのですがこのソフト自体あまり評価がよくない。

b.Win2000に戻す。Win2000の仕様としてキャッシュを持っていたのでは
ないか。MS社は否定してますが。

c.dnsサーバーをなんとかする。とりあえず上位ネームサーバーに
フォワードする設定にしました。現在これで様子をみてます。

他に何かありませんでしょうか。

FreeBSD5.2.1 に Bind9.2.3 入れてます。
nsupdate で server 127.0.0.1 とかやると
incorrect section name: server
とか言われてしまう。server なんてコマンドねーよ、と言われているらしいんだけど
man ページにはあるんだけどなぁ...
>>704 の問題のために、自分自身のグローバル IP あてに nsupdate をかけたり
したいんだけどな...
server コマンド普通に使えますかい？

>>729
bind-8 なヤツだとそういう返事をするナ。
ちゃんと bind-9.2.3 の nsupdate を起動してる？

BIND-9.2.1　でローカルにドメインを作成しています。外部には出ていかず、
テスト用のローカルドメインです。

このローカルドメインの環境で、dig m.root-servers.netとかやると、しばらく
考え込んだ後、ホスト名が解決できないと言われて失敗します。
ローカルドメインでもとりあえずこのルートの解決ができるようにしたいん
ですが、どのように設定したら良いでしょうか？m.root-server.netの
ゾーンをダミーで作れば良いんでしょうか？

>>731
. のゾーンファイル作って
マスターサーバになっちゃえば?

ルートサーバー消しちゃったんですけどどうしたらいいでしょう

どう考えても「Root Servers」を消す事は出来んと思うぞ（ｗ

/usr/bin/dig @m.root-servers.net ns > named.ca

脳内からきえてしまったのでせう

>>734
dig: Couldn't find server 'm.root-servers.net': Name or service not known

「でせう」なんて言うやつまだいたんだ。

てふてふ

工場見学

>>736
そのまま外界と遮断されていた方が幸せだと思う。

>>730
遅レスすまんです
その通りでした。FreeBSD の ports でシステムの bind 置き換え設定で Bind9 入れたら
/usr/bin/nsupdate に Bind9 のものが
/usr/sbin/nsupdate に以前の Bind8 のものが
残っていて path が sbin 優先なので Bind8 の物を使ってますた。

server コマンドでグローバル IP あてに nsupdate かけたら外部向けの
view に対して nsupdate かけることができますた。これで DHCP + DynamicDNS を
内部 LAN で利用しつつ外部に動的グローバル IP を通知できるようになりますた。

BIND 9.3.0
BIND 9.2.4
ウプｷﾀｷﾀｷﾀｷﾀ━━━(ﾟ∀ﾟ≡(ﾟ∀ﾟ≡ﾟ∀ﾟ)≡ﾟ∀ﾟ)━━━━!!

ついでに 8.4.5 も公開age

2004/09/23付けで 8.x, 9.2.x, 9.3.x 一斉公開ってカーンジ

ageるの忘れた　（ｗ

rndc statusの出力がかわた.
clientの数が見える.

bind-9.2.3 -> bind-9.3.0

BIND8とBIND9、入れるならどっちがいいかな?

9でええやろ、もう。

もしかして、.orgのサーバ落ちてる？
軒並ひけないのだが。

あぼーん

どうせならもっと現実味のある餌にしないと釣られないよ。

bind-9.3.0のhostコマンドなんだけど

ほげ IN A ふが
       IN MX ふがふが

こんなレコードがあるとき

% host ほげ
こんな風に打つとMXレコードまで表示されてしまう。

% host -t a ほげ
Aを指定してもMXもだしてしまう

そこでdnsipですよ

bind 9.2.3をつかって
1IPで２ドメインの運用を考えています。

zoneファイルをコピーして、別のドメインのものをつくりました。

ところが、一方（追加したドメイン）が外部から、ホスト名を引けないのですが、
どこに原因があるか教えてもらえないでしょうか？

内部からのアクセスでは、問題ないです。


もちろん、最初に登録してあるドメインの方はちゃんと引けています。

delegate されてるの？

>>753
Viewを使って内側と外側に分けていて
named.conf の
内側viewには zone "新しいドメインのゾーン"{...}
を追加したけど、外部には追加し忘れてる、とか?

多分 named.conf と grep named /var/log/messages の結果を晒すのが
解決の早道と思われ。

いろいろやっているうちに、外からもきちんと引けるようになりました。
おさわがせしました。

親ＤＮＳのＴＴＬが永かったみたい。

TTLの設定はとりあえずサイトにあった値にしましょう。

C言語でプログラムしたいんですけども、

ドメイン名からIPアドレスを得るのに
gethostbyName()関数を使うとゆうことは
わかってるんでけど、

DNSサーバーをいろいろ変更して
取得をしたんです。
nslookupでゆうところの、
【server ○○○.co.jp】
に該当するプログラムをC言語では
どのようにすればいいのでしょうか？

BINDのライブラリルーチンを利用しようと
思って説明書をよんでも
さっぱりわかりません。

わかる方、助言お願いします。

日本語の勉強をした方がよさそうな気もするが、それはさておき、

> nslookupでゆうところの、

ならnslookupの該当個所を参考にするのが早道。

>>758
考えているとおり、gethostbyname()あたりじゃ無理。
自前でUDP(TCP)の通信をするか、適当なライブラリを使うのがいいだろう。
bindのライブラリに目をつけたのはなかなか良い。
でも訳分かんないなら、あきらめて他のライブラリを探そう。
でも >>758 の文章のレベルから察するに、プロトコルさえ理解してなさそうだから、
まずそこから始めた方が良いんでないかな。

mxレコードで10だ20だと優先順位がかけられる。
これをAレコードでも同じようなことしたいと思ってます。
理由は同コンテンツのWebサーバー二台（主・副）が
たってて主がダウンしたら副を見に行って欲しいなーと。

知識が少ないんでとりあえず「これはBindだろ」と思ってます。
明後日の方向に向かっているようなら誰か修正お願いします。。。

>>761
> 知識が少ないんでとりあえず「これはBindだろ」と思ってます。
> 明後日の方向に向かっているようなら誰か修正お願いします。。。

修正

>>761
できません。理由は自分で考えるように。

>762-763
了解
thanks

＞優先順位

DNSラウンドロビンで近い事は出来る。
引き当て回数を調整したいんだったら、Aレコードをズルズル並べて適当に。

ただし「フォルト・トレランス」じゃなく、あくまでもラウンドロビンね。
FTしたきゃ、ClusterにするかFT対応の負荷分散系を使うのが一番。
WindowsだったらNLB一発だけど。

localhostにbindでキャッシュ専用鯖を立てて、resolv.confで
127.0.0.1を参照するようにしたとします。この状態でも良いのですが、
このホストが落ちた場合などに、またキャッシュを地味に育てて
いかないといけない問題が発生します。

そこで、localhostとは別にもう１個キャッシュ鯖を作っておいて、
自分のキャッシュに存在しないものを検索するには、そっちを見る
ようにできたら・・・と思っています。これを実現するには、
named.confで制御するのか、もしくはnamed.rootファイルに、その
キャッシュ鯖のアドレスだけを書いておくのか・・・。どちらが
良いのでしょうか？

具体的に何をしたいのか・・・となりますが、たくさん存在している
Webフロントエンドサーバにlocalhostキャッシュ鯖をインスコしたい、
というのが目的です。リクエストのある度に最寄のキャッシュ鯖に
聞きに行くの避けたいのです。

>>766
named.conf で forwarder 設定しとけ。
あるいは dnscache 使え。

FreeBSD5.3, bind9.3 を使ってます。
chroot で bind 起動時に以下のエラーがでます。

# /usr/local/sbin/named -u bind -t /usr/local/etc/namedb -c /named.conf

errno2result.c:109: unexpected error:
unable to convert errno to isc_result: 6: Device not configured

ぐぐってみたりしてるんですが、どうやら、dev/random の問題のようですが、
以下の通り mknod しても解決しません。

# mknod random c 2 3 ; chmod 644 random； chown bind:bind random
# ls -l random
crw-r--r-- 1 bind bind 46, 0 Nov 11 15:43 random

アドバイスお願いします。

>>767 やっぱ forwarder でいいんですね。サンクスコ。

>>766-767
forwarders設定すると、毎回そっちに聞きに言ってローカルのキャッシュを見なくなるような？

>>770
正解！

BINDはforwarders経由で覚えたデータも
ちゃんとTTLの分だけキャッシュするよ。


ただし、どういうWebフロントエンドなのかは
知らんけど、リブートしてキャッシュが消えてしまうのが
どれほど問題なのか検討したほうがよい。
大量のメールを送信するスマートメールサーバでもない限り、
最近ならほとんどのアプリでは問題になることはないと思う。
forwardersを書くということは、マシン間の依存性を増やす
ことになり、その分可用性は落ちるし管理が面倒になる。

>>768
多分、/usr/local/sbin/namedというパスからして、
ソースからインストールしてる思うけど、
FreeBSD 5.3には、BIND9.3が付属しているので普通はその必要はない。
起動スクリプトもうまくできていて、デフォルトでchrootしてくれる。
→ http://www.freebsd.org/releases/5.3R/relnotes-i386.html#RC-SCRIPTS

ちなみに、FreeBSD 5からはdevfsが標準になって、
デバイス番号が固定じゃなくなるんで、
/dev/randomをmknodするやりかただとうまくいかない。
詳細は /etc/rc.d/named を参照のこと。

> 773
たしかによく出来てますね。

たとえば、
普通に/etc/namedbの下でmake-localhostして、
/etc/rc.confでBINDが起動する設定をする。

で、起動すると、
/var/named以下にmtreeで環境を作って、chrootで動作する。
初回起動時にrndc.keyとかも作ってrndcまで使える。

rndc reloadしたらどうなるんだろ。これから慣れるしかないかな。

>>772
えーと、ロードバランサの下にたくさん転がってる Web フロントエンドです。
難しい処理としているバックエンドは mod_proxy で DB に繋がってます。

フロントエンドはクライアントを逆引きします。これはこのシステムの仕様ですね。
逆引きする際に、root-server に迷惑は掛けたくないし、引いている待ち時間による
パフォーマンス低下も避けたいです。そこで、localhost にキャッシュを置いて、
トラフィックの軽減を実現したいのです。ここまでは恐らく正常なアプローチだと
思います。

懸念しているのは、この鯖が落ちた場合に、localhost のキャッシュが消えて
しまうことです。キャッシュを育てるのに、また root-server まで聞きにいくのも
気が引けるので、ここでは LAN 内の最寄りのキャッシュ鯖に聞きにいければ
解決するであろうというのが狙いです。逆引きする手順として、localhost の
キャッシュを検索、見つからなければ LAN 内のキャッシュ鯖に聞く、という風に
できれば良いなぁと思いました。

メール鯖と違って、Web 鯖はリアルタイムなレスポンスが必要なため、キャッシュが
消えたらもう一度ゼロから育て直すのは苦だと思います。

どんなもんでございましょうか？

フロントエンドでの逆引きは必須なの？

逆引きする作りになっているだけで、本来リアルタイムに逆引きする必要がないなら、
内部rootを個別に持たして嘘の回答をさせれば良いのでは？

bindで、特定ドメインを引くときだけ、キャッシュをつかわずに、
そのドメインのネームサーバに常に聞きにいくには
どういう設定をすればいいですか？

778 get!

779 get!

Vixieたんがご機嫌斜めな件について
http://www.circleid.com/article/774_0_1_0_C/

複数のＮＩＣをもつマシン上で、各ＮＩＣ（各ネットワーク）
から来る名前問い合わせに返答するようにしようとした場合、
namedは、zoneファイルで各インターフェース毎の
名前情報を登録しておくだけで良いのでしょうか？

view使え

BINDを使って、一枚のNICで複数のプライベートIPを
使用することはできるでしょうか。
また、どのような機能を使えば実現できるのか、
よろしければ簡単なキーワードを教えていただけ
ないでしょうか。

以上、よろしくお願いします。

BIND 9 を使って、一枚のNICで複数のプライベートIPを
使用することはできるでしょうか。
また、どのような機能を使えば実現できるのか、
よろしければ簡単なキーワードを教えていただけ
ないでしょうか。

以上、よろしくお願いします。

二重書き込みしてしまった…申し訳ない

>>784
何が問題になってるの？普通に nic に alias 切るだけじゃ listen してくれないの？

>>786
その alias というのが何なのかよく分からないので調べてみましたが、
http://www.bekkoame.ne.jp/~flyman/linux/nat.html
の、下のほうにある解説で正しいのでしょうか?

>>787
OSによっては設定ファイルを書き換えるだけでおｋ

>BIND 9 を使って、

うーむ。

>>789
そこについては放置しましょ。

784です。どうやら ifconfig の設定追加だけでうまくできそうです。

多くのご回答、ありがとうございました。

>>791
ifconfigだけでやると再起動したら終わっちゃうヨー。

そうそう、BINDを使わないと

FreeBSD4.10で、2004年12月18日にkernelをRELENG_4に上げたら、
bind9.3.0が外に問い合わせしてもtimeoutになる症状が出ていました。
結局、kernelを4.10-RELEASE-p5に下げたら、正常に動くようになった。

問合せ先にqueryは発行するけど、timeoutになる。
次々createclientsしてrecycleしても、みんなtimeoutになってdestroyする。
まるで、戻りのパケットをフィルタされて受け取れないような動作でした。
自分のZONEを聞かれた場合は、結果をsendできてた。？？？

>>794
とりあず tcpdump 汁

質問です。
イントラ内にNTPサーバが立っていて、みんなにはそこ使うように言っているのですが
なかなか設定変更をしてくれない人が多いみたいで、各端末からtime.windows.comや
話題の福岡大学を見に行っているのが結構います。

イントラ内のDNSで、例えば

　time.windows.comを正引き　→　部門内NTPサーバのIPアドレスを返す
　それ以外のwindows.comを正引き　→　まっとうな（正規の）IPアドレスを返す

なんて事はできるのでしょうか？
DNSの階層構造から外れた使い方ではありますが。

bindのバージョンは現在は8.4.5ですが、このバージョンからなら可能というのがあれば
バージョンの変更は可能です。

ご存じでしたら。

変な事せずにルータで遮断しろよ

正しい解決法は>>797

このスレ的には一応↓のような方法もある。ただし、
time.windows.com以下にサブドメイン
(例: www.time.windows.com)が存在しない
ことが条件。激しく推奨しない。

// named.conf
zone "time.windows.com" {
type master;
file "time.windows.com.zone";
};
-------------------------------
; time.windows.com.zone
;
$TTL 86400
$ORIGIN time.windows.com.
@ IN SOA ns.enample.com. postmaster.example.com. (
2005012401 10800 3600 604800 300 )
IN NS ns.example.com.
IN A 192.168.0.1

おっと先頭の空白が消えちゃった。
↓の全角空白は半角空白にしてね。

; time.windows.com.zone
;
$TTL 86400
$ORIGIN time.windows.com.
@ IN SOA ns.enample.com. postmaster.example.com. (
　2005012401 10800 3600 604800 300 )
　IN NS ns.example.com.
　IN A 192.168.0.1

>>797
いや、ごもっとも！
最初はルータやFW管理している部門に、弾くかredirectしてくれと掛け合ったんですが
手前のところは手前で利用者にアナウンスしろやとソデにされてしまいまして..
(それはそれでごもっともなんですけどね)

>>798
あ〜〜〜〜〜〜〜！time.windows.comでゾーンにするのか！
なんでこれ気付かなかったんだろ俺 orz
暫定的にこれで運用してみることにします。ありがとうございました。

BIND 8／9にDoS攻撃につながる脆弱性
ttp://www.itmedia.co.jp/enterprise/articles/0501/26/news041.html

って事で、8.4.6と9.3.1β2がリリースされた模様。

>>801
β2がリリース？

>>801
どちらもほとんど誰も使ってないバージョンにのみ影響する問題だな。

>>802 は生きてる価値も無い馬鹿。

>803
げ
9.3.0ってみんな使ってないの？

djbdns 使ってる

稲！

dnssec 使ってないからいいべ

ログを少々加工してからファイルに記録したいのですが、
どう設定すればログをプログラムにパイプできますか？

>>808
named -g |

-g Run theserverin the foreground and force all logging to stderr.
ってやつですか。
ありがとうございます。

ま、根本的な解決方法じゃないけどな。
もし本当にどうにかしたいんだったら、named.confでlogの設定掛けて、それをscriptに食わせた方が良いだろうね。
外部script等で日時rotateさせて、その際に加工。

FreeBSDのsyslogdはpipeでプログラムにログを渡せるが、
他のUNIXのsyslogdには無いっぽいね。
tail -f /var/log/xxxx | program、という手も考えたが、
ログがrotateするとダメ。tail -F はこれまたFreeBSD専用か。

>>812
って、漏れ、長い間、FreeBSD 使ってるけど、-F なんてあるの
しらんかった orz ありがと。

GNU tail なら、
tail --follow=name --retry /var/log/xxxx | program
でいけるみたいね。

>>798
家庭内LANからアクセスする時は自宅サーバーのプライベート
アドレスが返るように応答内容を変えられないかな？と試行錯誤
してたんだが、やっぱりBINDだと苦しいのか…

これだけならdnsmasqで可能だけど、そうすると今度はDNSサーバと
しての他の機能が足りないし、困った。

>815
BIND9ならview

>>815
Bind9 なら余裕

え、できる？viewつかっても特定ホストのAレコードの応答だけ
変える、という技はやっぱり>>798の方法にならない？viewだけでは
問い合わせ元アドレスで別々の設定を使えるようになるだけだから。
でもできるなら嬉しいのでもっかいマニュアル読んでみます。

こういうことじゃないの？

// named.conf
//
acl "mynet" {
　{ 192.168.0.0/24; };
};

view "internal" {
　match-clients { mynet; };
　zone "." {
　　type hint;
　　file "named.root";
　};
　zone "time.windows.com" {
　　type master;
　　file "time.windows.com.zone";
　};
};

view "external" {
　match-clients { any; };
　zone "." {
　　type hint;
　　file "named.root";
　};
};

>>813に同じく。　(ﾟ∀ﾟ)ｱﾋｬ
ありがとー、>>812

ここ数日間、
check-names warning　4*.17*.9*.21*.in-addr.arpa/PTR/IN
なる、警告が出ているんだが、named.caファイルがいけないのだろうか、、、

>>821
これに該当していないか？
BIND9.3.1rc1のCHANGESより：
　1749.　[bug]　'check-names response ignore;' failed to ignore.
　　　　　　　　[RT #12866]

BIND初心者です。
http://www.atmarkit.co.jp/flinux/rensai/bind914/bind914a.html
こちらの記事を読んで、SRVレコードというのの存在を知ったのですが、
これは大変便利そうですが、記事の最後にサポートしているクライアントが
ごくわずかであるということが書いてありました。
現状ではSRVレコードをHTTPサービスなどで使うことはできないのでしょうか。

>823
自分でクライアントを作るなら気にする意味もあるが、、、
SRV を見る奴なんて特に明記されているクライアント以外にはいないよ。
(HTTPに限らない)

>>824
そうなんですか。残念。
これが普通に使えるととても便利だなと思ったんですが。

HTTPでMXレコードのようにプライオリティをつけて投げることって
できないのでしょうか。
ロードバランサーとかを使わないとダメでしょうか。

ロードバランサーですむ問題だし。
BINDで解決しようとしてもネームキャッシュの問題で穴ができるだよ。

9.3.1ｷﾀﾜｧ*･゜ﾟ･*:.｡..｡.:*･゜(n‘∀‘)ηﾟ･*:.｡. .｡.:*･゜ﾟ･* !!!!!
9.2.5ｷﾀﾜｧ*･゜ﾟ･*:.｡..｡.:*･゜(n‘∀‘)ηﾟ･*:.｡. .｡.:*･゜ﾟ･* !!!!!

リコンパイルせずに.conf等に何か書き足してIPv6を無効にすることはできないでしょうか？

>>828
バージョンによるけど
named -4

>>829
BIND9.2.2ではダメでした。トホホホ。

試してないけど、
options { listen-on-v6 { none; }; };
でダメかしらん？

//named.conf10行目
acl local-net {
192.168.1.1/24;
127.0.0.1;
};

このnamed.confの↑の部分で、1/24の部分をもっと範囲広げるにはどうすればいいですか？

鯖機のPrivateIPが192.168.1.59なんですが、1/59や、他の数字を入れても
check-confで見ると、
/etc/named.conf:10: invalid prefix length '59'
というエラーが出て無理なんですorz

どなたかお助けくんなすって。。。

すいません。とんでもない無知を晒してしまいました。

その後調べてたところ、0.24は *.*.*.0〜*.*.*.255までの
ネットワークの事を指すことが分かりました。

てっきり*.*.*.0〜*.*.*.24までかとばっかり思ってました。

もっと勉強してきます。。

だ、だ、だ、だ、大丈夫か？
そんな知識で DNS 触るのは危険だぞ

大丈夫じゃないだろな。大丈夫じゃなくても気にしないだけで。

>>832
IPv6 ?

この程度の話は、少なくとも、ネットワーク初心者(2時間)でも
理解できると思うのだが、、、

1/59を見て、発狂しそうになった。

postfix スレにもすごい DQN が湧いているし… やっぱり春ですなぁ。

>>830
ウチは FreeBSD 5.3R の BIND を使ってるけど、named -4 でイケてるっぽい。
ちなみにバージョンは 9.3.0 です。

やっぱ、みんな↓の PDF を見て気になってるってトコ？
http://www.janog.gr.jp/meeting/janog14/src/200407janog14-dns-demystified.pdf

>>840
多分そうだろう。
漏れは、IPv6 を使っているから関係ないけど。

>>840
私も、数ヶ月前にその資料を見て、9.2.4を“--disable--ipv6”を付けて作り直しました。
で、数日前に9.2.5を同じようにコンパイルして、現在、順調？に稼働中。

こういう本来なら発生しなかった無駄な作業のコストは全部IPv6厨に負担して欲しいね。

ipv6使うメリットは？

> 844 今はない

>>844
「技術習得」と「ノウハウの蓄積」と言ってみる。

トラブルシューティングの技術と役に経たないバッドノウハウなら身に付くだろうな。

IPv6いじってて身に付くのは人に嫌がらせする技術だけ

と、>>848 が嫌がらせしておりましゅ

>>848 は「厭味」。
>>849 みたいなのが「嫌がらせ」。

>>844
亀が踊る
自己満足
将来的には移行しなきゃいけないのは明白なので、経験値稼ぎ

今経験値を稼いでも実際導入する時に忘れてるがな

nsupdateをwebからやりたいけどなにかツールってありますか？
nsupdateするだけだから作った方が早いかなぁ...

試してないし、てきとー書くけど
Webminで間にあいそう。

CNAMEって必要なの？
"BIND CNAMEの必要性" などでぐぐったが、"使わねばならない状況" は見当たらなかった。

Aレコードだけで事足りるしな。

必要ないよ。

bind8までは、ラウンドロビンっぽいことをするために、CNAME使うんじゃね？

Aレコードでいいじゃん。

逆引きの時に使うぐらいだな。

サブドメインをたくさん作っても結局それはすべて同じアドレスを指してるときとか。

Aレコードでいいじゃん。

* IN CNAME @

Aレコードでいいじゃんとか言ってるやつ、アホだろ

じゃ、AAAA。

まじでわからんのですが A レコードで何がまずいの?

>>864
>>860 以外で A レコードで代替不能な例の
ゾーンファイル書いてみてよ。

ﾊﾞｯﾀ嫁

>>868
どの版の何ページあたり?

読んでも結局、精神論だけだよね。

代替不能とまではいわずとも CNAME 使うのが望ましい場面がわからん。

自分で管理してないサーバへドメインを別名（バーチャルホストなど）として割り当てるとき。
ＩＰアドレスではなくホスト名にＣＮＡＭＥしとくと、
ＩＰアドレスが変化してもホスト名が変わらなければ大丈夫。

すまない、バッタ本読んでも分からなかったので教えてくれ。

俺しがないＤＮＳオペレーターなんだけど、客から
127.0.0.1のＡレコードをzoneファイルに設定するように
頼まれたんだよ。
え？何でローカルホストのアドレスを？
と思ったので色々調べてみると、

C:\>dig localhost.yahoo.com
; <<>> DiG 9.3.1beta2 <<>> localhost.yahoo.com
;; QUESTION SECTION:
;localhost.yahoo.com. IN A
;; ANSWER SECTION:
localhost.yahoo.com. 1800 IN A 127.0.0.1

とか

C:\>dig localhost.google.com
; <<>> DiG 9.3.1beta2 <<>> localhost.google.com
;; QUESTION SECTION:
;localhost.google.com. IN A
;; ANSWER SECTION:
localhost.google.com. 86395 IN A 127.0.0.1

とか、yahooとかgoogleでもやっている。
この、
localhost IN A 127.0.0.1
って、何のためにやっているかが不明。
普通はnamed.confに設定するもんで、
そこで解決するするはずなんだけど・・・
教えて下され。

>>872
つ RFC1912

RFC1912 って守るべきなの？
今となっては古い情報に基づいてると思うのだけど。

>>874
どの辺がだめ?

ネガティブキャッシュのトリガってAuthority付きのNXDOMAINだけなんでしょうか？
bind-9.2.1なんですけど、
存在してる(NXDOMAIが返されることは無い)はずのRRを
ネガティブキャッシュしてることがあって、そのトリガが何かを調べてます
NXDMAINを受け取った時以外のトリガってあるんでしょうか？

>>872
ドット無しホスト名になんでもかんでもサーチドメインを付与する
アホな実装のクライアントがlocalhost.***を聞きにくることの対策だから
アホ実装のマシンがこの世から消えるまでは守ってあげるべき
それをやることにデメリットが無いですし

BIND 9 がネガティブキャッシュするトリガは正確には知らないが、
A は存在するけど AAAA が存在しないような
レコードに対して AAAA を問い合わせを受けたときに
NODATA じゃなくて NXDOMAIN 返す DNS コンテンツサーバの実装が
あるみたい。その(正しくない)NXDOMAINを聞いたキャッシュは
そのレコードをネガティブキャッシュしてしまう。
(キャッシュのその動作自体は間違いではない)

FreeBSD みたいにデフォルトで最初に AAAA を引く
クライアントが配下にいるキャッシュサーバは、
そういう変な実装のコンテンツサーバが管理する
ゾーンを速攻でネガティブキャッシュしてしまうことが
考えられるね。

Micrsoftの説明が分かりやすい
http://support.microsoft.com/default.aspx?scid=kb;ja;815768

これを悪用したDoSがあるよ、というのが↓
http://xforce.iss.net/xforce/xfdb/11629