BIND その3

前スレ落ちたので建てます。

* 公式サイト

ISC BIND
http://www.isc.org/products/BIND/


* 前スレ

BIND その2
http://pc8.2ch.net/test/read.cgi/unix/1042989999/

BIND全般
http://pc.2ch.net/unix/kako/994/994947168.html

* 関連スレ

djb(3)
http://pc8.2ch.net/test/read.cgi/unix/1047117464/

NSD - Name Server Daemon
http://pc8.2ch.net/test/read.cgi/unix/1092799781/

ダイナミックDNSについて語ろう Part5
http://pc8.2ch.net/test/read.cgi/mysv/1110922552/

* DNS 診断サイト (おかしいな、と思ったら)

DNS Report
http://www.dnsreport.com/
ドメイン名を入力すると、設定の診断をしてくれる。

CheckDNS.NET
http://www.checkdns.net/
同上。

Squish
http://www.squish.net/dnscheck/
ルートサーバから目的のドメイン名が解決されるまでの詳細過程を追跡。

* 参考文献

DNS & BIND 第4版
http://www.oreilly.co.jp/BOOK/dns4/

RFC 1912: Common DNS Operational and Configuration Errors
(DNS の運用と設定においてよくある間違い)
http://bonz.squares.net/~dais/misc/rfc1912j.html

RFC 2606: Reserved Top Level DNS Names
(説明にはhoge.comでなくexample.comなどの予約ドメインを使いましょう)
http://www.ietf.org/rfc/rfc2606.txt

DNS (Domain Name System) の基礎知識
http://dns.qmail.jp/

BIND 8 から BIND 9 への移行についてのノート
http://bonz.squares.net/~dais/misc/migration.html

Secure BIND Template v3.5 Rob Thomas [email protected]
http://www.cymru.com/Documents/secure-bind-template.html

DNS Resources Directory
http://www.dns.net/dnsrd/

ＤＮＳのＲＦＣ
http://www5d.biglobe.ne.jp/~stssk/dns.html

>>1
乙

ほ

即死回避

http://www.isc.org/products/BIND/
「BIND4/BIND8 Unsuitable for Forwarder Use」
ってあるけど、これって
(任意のキャッシュサーバ) → BIND4or8
というforwardの仕方はダメ
(「任意のキャッシュサーバ」の設定に
forwarders {xx.xx.xx.xx};
に相当するものを書いたとき、xx.xx.xx.xxはBIND4/8だとダメ)
っていうことですか?　それとも逆?

あと、なんかキャッシュ破壊が可能とか恐ろしいことが
書かれているんですが、修正の予定はあるんでしょうか。

>>8
BIND のことは知らないが、英語的なヒントを:

・ employee
【名】従業員｛じゅうぎょういん｝、会社員｛かいしゃいん｝、使用人｛しよう
にん｝、被雇用者｛ひこようしゃ｝、奉公人｛ほうこうにん｝
・ employer
【名】使用者｛しようしゃ｝、雇用主｛こようぬし｝、雇用者｛こようしゃ｝
・ I'd like to work for him because I hear that he's a good employer. よ
き雇い主という評判なので彼のもとで働きたいものだ。
【レベル】3、【発音】emplｏ'iэ(r)、【＠】エンプロイア、エンプロイヤー、
【変化】《複》employers、【分節】em・ploy・er

トレーナー
トレーニー

>>8
逆じゃない方。
それどころか /etc/resolv.conf に書かれるサーバが
BIND4/8 でもだめ。

……っておれは読んだんだけど、あってるかな……。

誘導されました。LinuxでBindです。webで色々勉強中なのですが、
逆引設定で腑に落ちない事があります。：Bind9-3-1
[A.B.C.246〜グローバルアドレス8個割り当ての例として下さい。]
named.conf へ逆引用の zone "1.168.192.in-addr.arpa" IN 〜
file "1.168.192.in-addr.arpa.db"; と書いてファイルを作ると説明するやつと
zone "hoge.co.jp" 〜file "hoge.co.jp.db"と正引き用ファイルの中へ 10.1.168.192.in-addr.arpa
と書き込む説明の人がいます。どちらが正解? 前者っぽい気がしますが。
また、どこも(書籍も含めて)ローカルアドレスの例が多く、グローバルアドレスを8個等と
いった参考例がなく、自分と合いませんので起動失敗で設定に2、3日すぐ消費してしまいます。
A.B.C.246/29〜8個 (サブネットあってる?)等といった場合でもあまり気にしなくてもいいの?。
唯一合った説明サイトではネットワークアドレスの A.B.C.246 なんてのがネームサーバーに
なってたりして混乱しております。A.B.C.246/29 を逆にしてzone は作れるのですが、
246/29.C.B.A.in-addr.arpa.rev というファイル名が/を含むので作成できませんよね。
ファイル名は何でもいいので、しかたなく 246.C.B.A.in-addr.arpa.rev にしてもみましたが。
逆引zone名は 246/29.C.B.A.in-addr.arpa なのか、実際に問い合わせの248.C.B.A.in-addr.arpa
なのでしょうか? 自分の理解では 246/29 を使い、fileの中で 248 IN PRT を書くって
思ってます。246:ネットワークアドレス、247:ルータ、248:サーバー ってことでお願いします。
情報誘導でも構いません、ポインターでもあれば教えて下さい。

>>12
グローバルアドレスの逆引きを宅内 DNS に設定するという局面なら、ISP から
何かしら資料が提供されているはずだが？

ていうか ISP によって設定が違ってくるので、ズバリの回答は恐らく誰も出来ない。

>>12
http://www.atmarkit.co.jp/flinux/rensai/bind904/bind904b.html

12です。すいませんでした。OCN 光 IP8です。
受け止め書類はIPアドレスと契約者情報の書類があるだけで
設定などの情報はありません。以前、isdnエコノミーの時は
IP16で設定のページとかをネットで紹介していたのですが、
今OCNを覗いても無いんです。とにかく、社内の事なのですが、
前任者(旧にクビ)になった後をいきなりマシンを交換されベンダーは
適当になってくれてるみたいなのでヘコんでます。
(テレビ会議ベンダーは無断でルータ交換して適当だし、後から来た
データベース屋が、また自分の得意なルータに変えてVPN構築しやがるし)
OCN だとネットワークアドレスをひっくり返してファイル名にする。って
ことが定番とは聞いてました。(適当ではいけないらしい)
BINDの勉強のため、リンクを辿っていったら、
ttp://www.ocn.ad.jp/tw/dns_01.html 見つけました。ちょっと出直して来ます。
すいませんでした。ひとつだけ教えて下さい、confファイルの中で view "lan"
ってのがありますが、view "localnet" と紹介している人もいます。同じ様に
wanを outsideって書く人がいます、どちらも正解ですか?

>>15
ちゃんと FAQ とか載ってんじゃん。

> どちらも正解ですか?
正解っつーか、ただの名前なんで
自分がわかりやすいのをつけていい。

bind9 で、今まで管理していたドメインを廃止にした場合、

named.conf の
zone "example.jp"
{
}
の部分を削除し、bind を再起動したのですが、

dig example.jp を行なうと、example.jp の情報がかえってきます。

このネームサーバーから example.jp が一切なかった事にするには
上記の方法ではだめでしょうか？
アドバイスお願いします。

>>17
そのネームサーバから example.jp は消えてるかもしれんが、
別のサーバには存在してるかもね。

dig example.jp @そのサーバ +norec
だとなんて返ってくるの?

ありがとうございます。

bind を restart した直後の
dig example.jp @そのサーバ +norec の結果は、

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60836
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 5, ADDITIONAL: 0

;; QUESTION SECTION:
;example.jp. IN A

;; AUTHORITY SECTION:
jp. 172779 IN NS A.DNS.jp.
jp. 172779 IN NS B.DNS.jp.
jp. 172779 IN NS D.DNS.jp.
jp. 172779 IN NS E.DNS.jp.
jp. 172779 IN NS F.DNS.jp.

と返ってきました。これは当サーバーからは情報は消えている、という
認識で、後は時間が解決してくれるという事でいいのでしょうか？

>>19
サーバには特に何も残ってないように見えるけど。

> dig example.jp を行なうと、example.jp の情報がかえってきます。

このときは別のサーバに問い合わせていたとかではない?
AUTHORITY SECTION や ADDITIONAL SECTION も確認したほうがいい。

あと、どっからの情報を見てるか確認するために
BIND9 の dig で dig +trace example.jp してみたらいいんじゃないかな。

ありがとうございます。
自サーバーのゾーンはきれいに消えているようですが、
セカンダリ初め他のサーバーにはキャッシュされているようです。

ちなみに、プライマリDNSのゾーンを削除すれば、セカンダリ他の
ネームサーバーからはいずれ情報が消えていくと思っていればいいの
でしょうか？

いずれ、そのうち、、ってあやふやすぎ。
serial,refresh,retry,expire,minimum

あげ

さくらの専用サーバでBINDで独自ドメインを使えるように設定中です。

FreeBSD5.4 BIND9.3.1
IP:111.222.333.444（仮） ドメイン名:hoge1.com（仮）
ドメインのネームサーバーにはあらかじめ ns1.hoge1.comを、ns1.hoge1.comに

IP:111.222.333.444を登録してあります。

etc/resolv.confの内容
domain hoge1.com
nameserver 127.0.0.1

ゾーン設定などいろいろしてサーバ内のnslookupとhostを見ると
このように引けています。

www# nslookup hoge1.com
Server: 127.0.0.1
Address: 127.0.0.1#53

Name: hoge1.com
Address: 111.222.333.444

www# nslookup 111.222.333.444
Server: 127.0.0.1
Address: 127.0.0.1#53

444.333.222.111.in-addr.arpa name = ns1.hoge1.com.
444.333.222.111.in-addr.arpa name = www.hoge1.com.

www# host hoge1.com
hoge1.com has address 111.222.333.444
www# host 111.222.333.444
444.333.222.111.in-addr.arpa domain name pointer www.hoge1.com.
444.333.222.111.in-addr.arpa domain name pointer ns1.hoge1.com.

しかし、外部からのnslookupに反映していません。

>nslookup hoge1.com
*** Can't find server name for address 192.168.2.1: Non-existent domain
*** Default servers are not available
Server: UnKnown
Address: 192.168.2.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

外部に反映させるためには、どこをいじればいいでしょうか？ヒントくださいお願いし

ます。

>24
allow-query
liston-on

どうですかね？

>>27
named.confの

listen-on{ 127.0.0.1; };
を
listen-on { any; };
として
allow-query { any; };
を追加。

これで外部からもlookupできるようになりました。
大変助かりました。的確なご指摘、ありがとございました。多謝。

おーーー。
お役にたてましたか。よかった、よかった。

つい先日、liston-on で２，３時間ハマりましたｗ
allow-query は、設定してるから脳内では無問題。


しかし、liston-on って必要なのかな？
アホな私には、わかりませんｗ

　WindowsXPにてWEBサーバを稼働しています。LAN内のWindowsマシンからWEBサーバをアドメイン名でアクセス
するためにｈostファイルにて対応していたのですが、その設定を出来ない端末（PDA）からのアクセスを可能にする
ために内向きDNSサーバをWEBサーバと同じマシンにBIND9.3.1にて導入しました。

　サーバマシン自体では無事に動いているのですが、別のWindowsマシンからnslookupを試してみると

*** Can't find server name for address 192.168.11.200: Timed out

となり、セカンダリDNS（プロバイダのDNS)が使われます。

設定ファイルなども見直してみたのですが、解決できずに悩んでおります。どなたかご教授願えませんでしょうか?

>>30
なんでセカンダリなんて設定するんだよ。
それと、win版のdig使った方がいいぞ。

セカンダリDNSを指定しないと一切のページが見えなくなったもんで。
win版dig入れてみようと思います。

>>32
ってことは、プライマリが有効じゃないってことじゃんｗ
だめだこりゃ

なぜか自宅内のDNSサーバが、
*** Can't find server name for address 192.168.11.200: Timed out

とエラーを吐くわけです。BIND自体は動作しているようでサーバマシンでは普通に
動いているようなのですが。

なぜ、LAN内のマシンからDNSサーバを参照できないのかが判りません。

>>34
内向けのDNSなのに参照できないとは。
DNSサーバ自身でも名前解決できなかったりしてｗ

DNSサーバ自身では、LAN内外ともに名前解決は出来ております。
しかし、他のマシンでDNSサーバを使えない訳です。

>>36
パケットダンプでもしてみれ

XP...Windows firewall?

DNSポートが閉じてるとか？

誠に申し訳ない、FWで止まってました。FWを切ればnslookupも動いてます。
しかし、ローカルのWEBサーバにアクセスするとルータの設定画面が出るので
なんの解決にも至っておりません。

もうしばらく格闘してみます。ありがとうございました。

うちも、ちゃんと引けてるのにそうなることあるよ。
フレッツスクエアを見たいときに優先DNSをBBRに変更してみてるんだけど、見終わったら元にもどしてる。

で、次の日にローカルのWEBにアクセスできない。そして、ルータの設定画面がでる。
クライアントのDNS設定をわざと更新して、少し放置しておくと解決してるｗ
なんで直るのか不明ｗ
今日もなったｗ

>>41
フレッツのゾーン作れば切り替える必要ないだろ。
キャッシュの概念も勉強しる

>>41
同じような状況になっております。先ほどの書込のあとにルータ、DNSサーバ、別のマシンの3台をリセットして
まずはDNSサーバマシンでテスト。名前解決は出来るのにWEBブラウザに見えるのはルータの設定画面。
もう一台のマシンを立ち上げてみても、同じような状況。で、しばらくBINDの設定ファイルを調べたりした後、
別マシンの方でブラウザ開いてみると、きちんと表示されてる。サーバマシンでも同じく表示される。

なぜか、しばらく時間が経てば見えるようですが。余計に謎が深まりました。

てす

たろっさ

named.confの設定でApahceのバーチャルホストの設定等を
外部のファイル(conf.d/*)から取り込む様にnamed.confへ定義することはできますでしょうか。

自分なりに　bind　include　などのワードでググッたのですがヒントになりそうなものが見つからなくて･･･(´･ω･`)
ご伝授お願いします。

>>46
変換するスクリプトでも自作すればできんじゃね?
そんなことするより
http://httpd.apache.org/docs/2.0/vhosts/mass.html
みたいにした方がいいと思うが。

スミマセン。後で自分で読み返して誤解を招く表記だと痛感しました（；
Apacheがconf.dディレクトリへ作成した定義ファイルを取り込む様に、

bindでもゾーン設定を書いた定義をnamed.cnofへ取り込む様な設定をすることは可能でしょうか。
例えば、

zone "hogehoge.hoge" IN {
type master;
file "hogehoge.hoge.db";
allow-query { any; };
};

のようなゾーン情報を別に　named_zone.conf　みたく別名で作成したファイルへ設定し、
それをbindへ読み込ませると言うことです。

長文スミマセン。よろしくお願いします。

>>48
ぐぐる前に man named.conf

BIND9のnamed.conf(5)には、
どういうわけかinclude文が載ってないな
ARMには載ってるが

仮になかったとしても起動スクリプトで cat *.conf > named.conf とすればいいだけ。
あたりまえだが BIND に限らず有効。

named.confで指定してるゾーンファイルを修正した場合
bind自体を再起動させなきゃ更新されないのでしょうか？

そんなはずは無いと思っていたのですが、実際に試してみたら
bindをいちいち更新させなきゃなぜか反映されません。
slaveとかmasterの仕組み考えても
（ゾーンファイルがslaveにコピーされる毎に再起動することになってしまうので）
こんなはずはないと思うのですが、
ご教授お願いします。

シリアルって聞いたこと無い？

ルータみたいに複数のIPアドレスを持っているコンピュータでは
複数のIPアドレスに同じ名前を振るのが普通なのでしょうか。

そしたら名前でping打ったときとかにリゾルバがラウンドロビンさせて
しまって訳分からなくなってしまいそうな気がするのですが、
皆さまはどうされているのでしょうか。

やってもいいけど、別の名前を付けてる人のほうが多いと思う。
pingはIPアドレスで打てば良いだけの事。

そもそもルータに名前でアクセスする必要がない。

>>54
目的毎に名前を付ければいいんじゃないですか？
機種名とか、セキュリティ的によくない名前はやめてね。
以下みたいな抽象的な感じでどうかしら。

rt01-lan01
rt01-lan02

ルータ番号＋ネットワーク番号

>>55-57 thx。それぞれ別の名前を付けることにします。

view使ってわけれ

>>53
シリアル更新して無いとしたら、
スレーブを再起動してもゾーン転送起こらないんじゃ？

>>52
refresh 時間待っても転送起こらないってこと?

>>59
こういうときもview使うの…?

>>61
使う方法もあるし使わない方法もある。
使うかどうかはサイトのポリシーによる。

すみません
昨日　BINDの設定して起動してみたのですが
まったく言うこと聞いてくれません！
どこがおかしいのか　教えていただけませんか？
よろしくお願いします。

options {
directory "/var/named";
// query-source address * port 53;
};

//
// a caching only nameserver config
//
zone "." {
type hint;
file "named.ca";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "named.local";
};

zone "*****.jp" {
type master;
file "/var/named/****.jp";
};
zone "***.***.***.***.in-addr.arpa"{
type master;
file "/var/named/***.***.***.***.in-addr.arpa";
};

server ***.***.***.*** {
transfers 8;
};

$TTL 86400
@ IN SOA postmaster.*****.jp. (
2005110804
28800
1440
360000
86400
)

IN NS dns1.*****.jp.
IN MX m2
localhost IN A 127.0.0.1
dns1 IN A ***.***.***.***
;;aliases
www IN CNAME dns1.*****.jp.
m2 IN CNAME dns1.*****.jp.

$TTL 86400
@ IN SOA postmaster.*****.jp. (
2005110805
28800
1440
3600000
86400
)
　 IN NS dns1.*****.jp.
　 IN NS ********.jp. →プロバイダのDNS
122 IN PTR dns1.*****.jp.

>>63
> まったく言うこと聞いてくれません！
それじゃわからん。

あと
ps -A |grep name
527 ? 00:00:01 named
で起動はしてるようでした
あと　何か必要なデータってありますか？

どういう設定にしたいのか。
どうやって動作を試したのか。
その結果どうなることを予想したのか。
実際はどういう結果になったのか。

えっと
nslookupの返答が
> dns1.*****.jp
Server: 127.0.0.1
Address: 127.0.0.1#53
** server can't find dns1.*****.jp: SERVFAIL

IPでやっても　同じく　SERVFAILでした。

; <<>> DiG 9.2.1 <<>> @dns1.*****.jp
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16141
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13

;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 511719 IN NS E.ROOT-SERVERS.NET.
. 511719 IN NS F.ROOT-SERVERS.NET.
. 511719 IN NS G.ROOT-SERVERS.NET.
. 511719 IN NS A.ROOT-SERVERS.NET.
. 511719 IN NS B.ROOT-SERVERS.NET.
. 511719 IN NS C.ROOT-SERVERS.NET.
. 511719 IN NS D.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:
A.ROOT-SERVERS.NET. 598119 IN A 198.41.0.4
B.ROOT-SERVERS.NET. 598119 IN A 192.228.79.201
C.ROOT-SERVERS.NET. 598119 IN A 192.33.4.12
D.ROOT-SERVERS.NET. 598119 IN A 128.8.10.90
E.ROOT-SERVERS.NET. 598119 IN A 192.203.230.10
F.ROOT-SERVERS.NET. 598119 IN A 192.5.5.241
G.ROOT-SERVERS.NET. 598119 IN A 192.112.36.4
H.ROOT-SERVERS.NET. 598119 IN A 128.63.2.53
;; Query time: 1 msec
;; SERVER: ***.***.***.***#53(dns1.*****.jp)
;; WHEN: Tue Nov 8 18:59:44 2005
;; MSG SIZE rcvd: 436

という形で　なにも返答を帰してくれないのです
digがなぜ　ルート鯖を出してきたのかも　ちょっと不明ですし
nslookupでも　自分のIPなのにSERVFAILなのかも　わからないのです。

スレ汚しですみません　orz

Nov 8 19:18:35 dns1 named[527]: shutting down
Nov 8 19:18:35 dns1 named[527]: no longer listening on 127.0.0.1#53
Nov 8 19:18:35 dns1 named[527]: no longer listening on ***.***.***.***#53
Nov 8 19:18:35 dns1 named[527]: no longer listening on 192.168.1.254#53
Nov 8 19:18:35 dns1 named[527]: exiting
Nov 8 19:18:35 dns1 named: named shutdown succeeded
Nov 8 19:18:35 dns1 named[1532]: starting BIND 9.2.1 -u named
Nov 8 19:18:35 dns1 named[1532]: using 1 CPU
Nov 8 19:18:35 dns1 named[1532]: loading configuration from '/etc/named.conf'
Nov 8 19:18:35 dns1 named: named startup succeeded
Nov 8 19:18:35 dns1 named[1532]: no IPv6 interfaces found
Nov 8 19:18:35 dns1 named[1532]: listening on IPv4 interface lo, 127.0.0.1#53
Nov 8 19:18:35 dns1 named[1532]: listening on IPv4 interface eth0, ***.***.***.***#53
Nov 8 19:18:35 dns1 named[1532]: listening on IPv4 interface eth1, 192.168.1.254#53
Nov 8 19:18:35 dns1 named[1532]: none:0: open: /etc/rndc.key: file not found
Nov 8 19:18:35 dns1 named[1532]: couldn't add command channel 127.0.0.1#953: file not found
Nov 8 19:18:35 dns1 named[1532]: zone 0.0.127.in-addr.arpa/IN: loaded serial 20011211
Nov 8 19:18:35 dns1 named[1532]: dns_rdata_fromtext: /var/named/***.***.***.***.in-addr.arpa:7: near eol: unexpected end o
f input
Nov 8 19:18:35 dns1 named[1532]: zone ***.***.***.***.in-addr.arpa/IN: loading master file /var/named/***.***.***.***.in-addr
.arpa: unexpected end of input
Nov 8 19:18:35 dns1 named[1532]: dns_rdata_fromtext: /var/named/*****.jp:7: near eol: unexpected end of input
Nov 8 19:18:35 dns1 named[1532]: zone *****.jp/IN: loading master file /var/named/*****.jp: unexpected end of input
Nov 8 19:18:35 dns1 named[1532]: running

あとlogです

>>73
いろいろ出てるじゃん。
ちゃんと読んでみ。

file not foundって出てますけど
これってkeyがないからですよね

keyは入れないでって　プロバイダから言われたのですが
いれないとだめなのですかね？

すみません　ありがとうございました
@ IN SOA postmaster.*****.jp. (　が　ちょっと足りなかった　みたいで
自己解決しました　
スレを汚してすみませんでした

何だ何だ？　今のは地震だったんか？

CNAMEを設定してlocalhostからhostコマンドを行うと
重複した結果が返ってきてしまうのですがこれは正常な動作なのでしょうか。
無駄な問い合わせが発生しているのか気になって気持ち悪いです(- -)

bindを設置しているサーバーからhostコマンド実行
# host www.example.jp
www.example.jp is an alias for sv.example.jp.
sv.example.jp has address 111.222.333.444
www.example.jp is an alias for sv.example.jp.
www.example.jp is an alias for sv.example.jp.

他のサーバーからhostコマンド実行
# host www.example.jp
www.example.jp is an alias for sv.example.jp.
sv.example.jp has address 111.222.333.444

zoneファイルは
sv IN A 111.222.333.444
www IN CNAME sv
のようにして極シンプルにして検証しました。

# rpm -qa bind
bind-9.3.1-14_FC4

>>78
無問題

CNAME ってそういうもんだし。
二度引きさせたくないならどっちも A にしる。

なんか漏れのレスは的外れだった（ｐｇｒ

ご返信頂きありがとうございます。
ずうずうしくももう一点質問があるのですが、俗に言うセカンダリサーバーですが
当方では万が一プライマリが落ちたときにセカンダリが代行して
くれると考えていたのですが、実際にはプライマリ、セカンダリの分け隔ては無く、
ラウンドロビンのような物になり例えばセカンダリが落ちたときには
半々の確率ぐらいでセカンダリサーバーに問い合わせが行き、
結果としてバックアップサーバーという認識のセカンダリが落ちた
だけなのにアクセスに影響が出るというような状況になっています。
つまり10台セカンダリサーバーを用意していると仮定すると
常に10台全てのサーバーが全て生存していなければ100%の問い合わせを
保証できない事になります。
これでは負荷分散という観念からは効果があるでしょうが対障害性は
逆に低下してしまうのではないでしょうか。
私の設定が悪いのか、そもそもそういうものなのかどちらなんでしょうか。

>>82
設定が悪い

例えば、プライマリが正常動作していてセカンダリが落ちている場合も、
ゾーン転送などプライマリ、セカンダリ間の動作以外は問題ない。

dnsの設定を確認してくれるサイトがあるから、googleして試してみ？

bind9.3.1をインストール中なのですが、
named-checkconfを実行すると、unknown option 'zone'とエラーがでます。
zoneオプションがないなんてありえるのですか？

zoneオプションなんて聞いたことも見たことも書いたことも無い

/etc/named.conf
内で
zone "localhost" in {
type master;
file "localhost.zone";
};
とか使用しません？

#named -u named -c /etc/named.conf -g

starting BIND 9.3.1 -u named -c /etc/named.conf -g
loading configuration from '/etc/named.conf'
/etc/named.conf:19: unknown option 'zone'
/etc/named.conf:24: unknown option 'zone'
/etc/named.conf:29: unknown option 'zone'
/etc/named.conf:34: unknown option 'zone'
/etc/named.conf:39: unknown option 'zone'
/etc/named.conf:44: unknown option 'logging'
/etc/named.conf:55: '}' expected near end of file
configuration: unexpected token
exiting (due to fatal error)

>>86
それはzone文。zoneオプションは存在しない。これでもまだわからんか？

言葉の使い方が間違っていましたね。ありがとうございます。
エラーから/etc/named.confの記述に誤りがあると思うのですが、
間違ってるとこありますか？

options {
directory "/var/named";
pid-file "/var/run/named/named.pid";
allow-transfer {
123.456.789.111/29;
};
version "Error";
};

key rndc_key {
algorithm "hmac-md5";
secret "******************";
};

controls {
inet 127.0.0.1 allow { 127.0.0.1; } keys { rndc_key; );
};

zone "." in {
type hint;
file "named.root";
};

zone "localhost" in {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
type master;
file "0.0.127.in-addr.arpa.rev";
};

zone "domain.com" in {
type master;
file "domain.com.zone";
};

zone "111.789.456.123.in-addr.arpa" in {
type master;
file "111.789.456.123.in-addr.arpa.rev";
};

logging {
channel "default_syslog" {
syslog daemon;
severtiy dynamic;
print-time yes;
print-severity yes;
print-category yes;
};
category queries { "default_syslog"; };
};

以上です。

inet 127.0.0.1 allow { 127.0.0.1; } keys { rndc_key; );

84 = fushianasan

どこらへんが節穴なのか教えてください。
間違ってるとこありますか？
そもそもエラーの解釈が間違っているとか。
レスくれていることには感謝しています。ありがとうございます。

俺は >>92 >>93 じゃないけど、ちゃんと >>92 が指摘してる。
こんな単純なミスが見つけられないから、>>93 が指摘してる。

/etc/named.conf:55: '}' expected near end of file
せっかくエラーが出てるんだから気づけよ。
わからなかったら、素直に >>92 を 1000回嫁

vimを使えば間違いを指摘してくれる。

レベル低杉

これはひどい

5.4 から 6.0 に upgrade したのですが dhcp 経由で
IP アドレスが upgrade 後、取得できなくなってしまいました。
OS ブート後、手動で dhclient re0 と入力すると正常に
IP アドレスが割り当てられます。
/etc/rc.conf の内容は、5.4 のまま使用しており、
dhcp サーバは corega のブロードバンドルータで変更
ない状態です。
おかしい部分を特定する方法はないでしょうか？
よろしくお願い致します。m(_ _)m

# uname -a
FreeBSD yejin 6.0-STABLE FreeBSD 6.0-STABLE #1: Wed Nov 9 22:26:16 JST 2005 root@yejin:/usr/obj/usr/src/sys/GENERIC i386

rc.conf　の内容
hostname="yejin"
ifconfig_re0="DHCP"
keymap="jp.106"
linux_enable="YES"
moused_enable="YES"
sshd_enable="YES"
usbd_enable="YES"
sendmail_enable="NO"
ntpdate_enable="YES"
ntpd_enable="YES"
#gdm_enable="YES"

こめんなさい。すれ間違えました。

改めて見直したら、間違いだらけでした。
すいません、ありがとうございました！

うわ、馬鹿すぎるな…

bindのすべてを学べる良書はありませんか？

すべてとか安易に言うな

すべてを学ぶんだったら
つ bind-9.3.1.tar.gz

中級者向けの良書を教えてください

中級者なら自分で選べよ。

DNSレコードで

* 14400 IN A 192.168.0.1
abc 14400 IN A 192.168.0.2

のような記述方法って問題ありでしょうか？
・複数のサブドメインを使用したい
・極力DNSレコードは弄りたくない(apacheの設定変更だけで済ませたい)
・でも特定のサブドメインだけは別サーバに接続させたい
という状態です。わがままですが・・・。

>>108
やっちゃいけないってことはないけど、問題起こしやすい。
RFC1912 よく読んどけ。

>>109
早速調べてみました。
理解できました、ありがとうございます。

大変恐縮ですが、さらに質問があります。

example.jp. 14400 IN A 192.168.0.1
example.jp. 14400 IN MX 0 example.jp.
test1 14400 IN A example.jp

この設定で [email protected] というメールアカウントを
192.168.0.1で作成しています。
[email protected] にメールを送ると問題なく、
192.168.0.1で受信できてしまいます。
example.jpに関してはMXが設定してあるものの
test1.example.jpにはMXが設定されていないのに
なぜ受信できてしまうのでしょうか？

>>110
A レコードがあるから。
RFC2821 の 5. Address Resolution and Mail Handling

ん、ちょっと違うか。

>>110
> test1 14400 IN A example.jp
なんで右辺が IP アドレスじゃないんだ?

>110
test1.example.jpのMTAが受信するから
BINDの話じゃなくてMTAの話でしょ?

あれ?
メール送る側の話じゃないの?

大混乱！大混乱状態ですぞーw

>>110
混乱してるから、わかりやすく書いて。

>>110はどこ行った？

masterとslave2台のDNSを立てました。
slaveサーバにDNSレコードファイルがいつまでたっても
コピーされないのですが、何か特別な設定は必要でしょうか？
master側でallow-transferも設定してますし、
slave側でmastersの設定もしています。

>>118
特別つったって、何もない。
藻前が書いたnamed.confがタコいんだろ。
以上。

>>119
それ以外に思いつかないのか、レヴェル低いなｗ

>>120
なぜなら彼もまた、特別な存在だからです

>118
シリアルはアップした？

53/tcp を閉じていた業者を見たことがある。

53を閉じるのは普通にあるでしょ

>123
それいうなら 53/udp　じゃねーの？

>>125
53/tcp と 53/udp の使われ方の違いをご存知で？

UDP は開いてた。TCP が閉じていた。
HTTP で名前ベースのバーチャルホストをやるのに、
なぜか A だけでなく PTR にも10個とか20個とか名前をつけていたアホ業者。
たいていはちゃんと問い合わせに答が返ってくるんだけど、
一部に応答が512バイトを越えるぐらい大量の PTR がついてたものがあったらしく、
UDP で逆引きできなかった。TCP も閉じてるので結果として逆引きできず。

この例とは関係ないけど、要するにゾーン転送は TCP を使うので
プライマリサーバで 53/tcp を開けておくのを忘れるな、と。

>>127
うほ。そりゃアホ業者じゃ。

しかし、512バイト制限何とかならんかな？

一時期、IPv6 がらみで話題だった気がするが
その後何か動きがあったんだっけ？

なるほど。
業者といってもピヨピヨレベルの管理者が管理していることも普通にあるからね。

逆引きランドロビンｗ
漏れも見たことあるよ・・・

今頃気が付いたorz　s/ランド/ラウンド/

プライマリサーバにnslookupでアクセスして問い合わせると
Server:  xxxx.com
Address:  xxx.xxx.xxx.xxx
と正常に帰ってくるのですが、セカンダリサーバにnslookupでアクセスして問い合わせると下記のような
反応が返ってきます。can't findという反応であれば、正常に作動していないと言うことは分かるのですが
このようなメッセージは何を意味しているのでしょうか？

Name:    xxxx.com
Served by:
- A.ROOT-SERVERS.NET

- B.ROOT-SERVERS.NET

- C.ROOT-SERVERS.NET

- D.ROOT-SERVERS.NET

- E.ROOT-SERVERS.NET

- F.ROOT-SERVERS.NET

- G.ROOT-SERVERS.NET

- H.ROOT-SERVERS.NET

- I.ROOT-SERVERS.NET

- J.ROOT-SERVERS.NET

xxxx.comは売りに出されてはいるが実在のドメイン

>>132
BINDは知らないドメイン名（下位委譲先サーバも知らないと見込まれる）の
問い合わせを受けるとある条件でルートネームサーバへのreferralを返す。
条件は忘れたが、多分それでしょ

JPRSの人が喋ってたのを思い出した
http://jprs.jp/tech/material/IW2003-DNS-DAY-dns-comparison-morishita.pdf
「権限を持たないゾーンに対する問い合わせ」のあたりね

外向けとLAN内向けに別の設定を行いたいのですが、どのように設定すればよいのか分かりません。
参考になるサイトがあれば教えてください。

つSecure BIND Template

DNSレコードのシリアルって他のDNSレコードのシリアルと被ってもモウマンタイ？

ゾーン毎のシリアルですから。

「DNSレコードのシリアル」ってなんだ

>140
半年ROMってろ

>>141
>>140 の言っていることは間違ってないが。

ヒント：138=141

なんつーかアレだな、
notifyとalso-notifyをよく調べろ。

ラウンドロビンで負荷を分散させる際、googleのようにネットワークの距離が一番近いところに
誘導するにはどうすればよいのでしょうか？

3DNS使うとか。要は金払えと。

このたびなんとかdnsサーバーを新規でたてました。今primaryとして動作中
ですが、色々疑問があります。

例えばＯＳはfreeBSD 5.4-RELEASE p8なのですが、p7からbind9.3をportsでは
なく、ＯＳ付属のcontoribで利用できるとのことなので、それを利用しました。

その場合、例えばportsから導入した場合は
# mv rndc.conf.sample rndc.conf && chmod 400 rndc.conf
# /usr/sbin/rndc-confgen -a -b 512 -r /dev/urandom -u bind
としてkeyの生成を行うよう、だいたいどの参考ページにも書かれています。

しかし、今回のOSのものを使った場合、そもそもrndc.conf.sampleというものは
見当たりませんし、最初からrndc.keyがあるような気がします。この環境下
（freeBSD 5.4-R p8)ではrndcの設定は特におこなわなくてもいいという
ことなのでしょうか？（named.confにもinclude "/etc/namedb/rndc.key";の
記述は必要ない？）

すいませんがrndcについて少しご解説いただければ幸いです。
よろしくお願いします。

馬鹿が馬鹿馬鹿しいOSを使っていらん苦労をしておるな。

そんなこといわずに教えてくださいよ。
参考リンクでも頂ければ見ますから。

荒しに反応すんなよ

>>147
サーバはもう公開されているのでしょうか？

FreeBSD5.4はnamedを初回に起動するときにkeyを作るよ。
/etc/rc.d/namedみれ。
chrootもできるけど、起動時にファイルがどうなるのかはちゃんと確認すること。
named.confにかぎらずキーの扱いがわからなかれば外にサーバ立てちゃだめだよ。
controls {
inet 127.0.0.1 allow { localhost; } keys { "rndc.key"; };
};

社内LANで bind-8 が動いています。
このbindでは
* LAN外部への問い合わせ中継
* LAN内部の名前解決
を行なっています。

メールサーバ ***@dokokano.co.jp を外部業者でホスティングして運用しています。

今回、dokokano.co.jp の管理を、外部業者Ａから外部業者Ｂに移行したところ、
社内LANのbindが "時々" 古い外部業者ＡのIPアドレスを返すようになりました。

「キャッシュをクリアする」という作業を実施するために、bindが動いている計算機
の電源から再起動することもしてみましたが、状況に変化は無く、時々外部業者Ａの
IPアドレスが返ってきます。

named.conf の中で
　options{
　　...既存の設定...
　　max-ncache-ttl 30;
　　max-cache-ttl 60;
　　lame-ttl 45;
　};
といった行を加えて、キャッシュの生存時間(？)を一時的に短時間にすれば
クリアできるかとも考え実行してみましたが、これも効果がありませんでした。

どのような箇所のどのような情報を確認すれば原因を詰めることができるので
しょうか。
お助け下さい。

その社内LANのBINDだけで起こっているのか？
他のキャッシュサーバではどうなのか？

いつまで経っても古いアドレスが現れる障害でまず疑われるのは、
どこかのネームサーバが保持しているゾーン情報に誤りがあること。
（よくあるのは、上位ネームサーバで古い情報が更新されずに残っているとか）
http://www.squish.net/dnscheck/ を使うと、ホスト名の解決に
かかわるすべてのネームサーバがリストアップされるので、
そいつら全員に問題のホスト名を聞いていけばいい。
間違った（古い）答えを返してるやつが犯人。

>152
ありがとうございます。

>FreeBSD5.4はnamedを初回に起動するときにkeyを作るよ
みたいですね。5.xからは必要ないと言われました。

どうも自分の中ではrndcとrndc.keyをごっちゃにしていた
ようです。ローカルな環境で制御する分には、rndcは必要ないけども
bindの設定にはrndc.keyは必要というような理解でいいんでしょうか？

サーバーは公開されていますが、実際の最終設定・チェックはちゃんと
知識ある方が行ってますので大丈夫です。私は初期導入・設定を行いました。
ただ、自分なりに疑問な点を少し調べたかっただけです。

>152

>FreeBSD5.4はnamedを初回に起動するときにkeyを作るよ。
>/etc/rc.d/namedみれ。

keyを作るのは見てわかったけども、例えば

#/usr/sbin/rndc-confgen -b 512 -r /dev/urandom > /etc/namedb/rndc.conf
して、できたrndc.confの
# key "rndc-key" {
# algorithm hmac-md5;
# secret "2Hpw5NsWk4yro86m+lYr1DF9Z6FmMnKkm37lQDG4fg9LiiSdt3FXISQyIKvIKSwHjbrFJ1F9kmzsHb8IO6HHcg==";
# };
#
# controls {
# inet 127.0.0.1 port 953
# allow { 127.0.0.1; } keys { "rndc-key"; };
# };
をnamed.confに今までのように貼り付ける必要はあるの？
これも、もうしなくていいの？

includeするんじゃね？

rndc って、remote name daemon control の略だと思うんだけど、
127.0.0.1からコントロールする場合にも、
自分のキーとサーバのキーが合致してる必要がある、
って考えてみたらどうだろう。

> ローカルな環境で制御する分には、rndcは必要ないけども

っていうけど、ローカルからでも、
# rndc reload example.com
とかのコマンドを発行できたほうが便利だと思わない？

はぁ？

>ローカルからでも、
># rndc reload example.com
>とかのコマンドを発行できたほうが便利だと思わない？

については、わたしの先生の意見ではnamedをきちんと
殺してからstartするほうが確実なので、# rndc reloadは
あえて使用しないとかいうことです。

freeBSD5.Xで
#/etc/rc.d/named start
した段階でrndcは有効になってますので、普通にrndc reloadとか rndc status
なども使えます。includeも5.Xから必要なくなったのかどうかが今の疑問です。
(´д｀;)聞けば色々教えてくれるんですがあまりにこざこざ小さいことは
聞きづらいのでつ。。。includeいるかどうか教えてください〜。

いや、自分的には先生がいうようにrndcは使うことはないと思うのですが
純粋な疑問です。なんか解決しないとスッキリしなくって。

reload は stop→start でもいいけど
refresh はだめだよ。

flushやflushnameもrndcだけのお楽しみだからな

ローカルでrndc reloadができるFreeBSD5.4だけど、
named.confで、
include "/etc/namedb/rndc.key";
してるんじゃないの？

FreeBSD5.4のnamed.confでは、
includeしなくてもrndcエラーでないね。はて。

>164

そうなんですよね。だから5.4にはnamed.conf側には特別な記述は
もういらないのかなっていうのがあたしの疑問点なんですけども。

なんでこの一点が数日も気になるのか変なんですが。

でも、使えるってことはいらない、ってことなんでしょうけどもね。

ためしに7.0-currentで、
chrootでautoupdeteであげて、
どんなファイルを作るか見てみたら、
rndc.confすら作らないけど、、でも動くねぇ。

localhostでrndcを使いたいだけだったら

rndc.keyが適切な場所にあれば

named.confに特別な記述は必要ありません(controlもincludeも)。
rndc.confを作成する必要もありません。

>167さん
ありがとうございます。そう言い切っていただいてつかえがとれました。

>166さんも検証してくださってありがとうございます。

2chでこんな親切に教えていただけるなんて初めてなので感激です。
どうもでした。

viewで内/外のクエリに対し別応答（同一ゾーン名）させ、尚且つ
ゾーン転送にて内/外用の各レコードを同期させたいのですが
可能でしょうか？

//
// BIND9 named.conf
//

view "local" {
　match-clients{ 192.168.0.0/24; };
　・・・
　zone "foo.org" {
　 type master;
　 file "local/db.foo.org";
　};
};

view "global" {
　match-clients{ any; }
　・・・
　zone "foo.org" {
　 type master;
　 file "global/db.foo.org";
　};
};

この場合Notifyが同一ゾーン名になるので、rsyncするしかないですか？

BIND4時代から引きずってる内/外用で別のDNSをマージしようと考えています。
外側DNS書き換えたら内側DNSも修正・・・ﾏﾝﾄﾞｸｻｲ(´Д｀)です・・・
(内外で同一ドメイン使うな！腐れ設計が！って事なのですが)

>>169
66.113.130.220

>>170
はい foo.org はレジスト済みですね、それと global で ";" 抜けて行ありました
いいアイディアありませんか？ドメイン解体は無理ﾎﾟ・・・

>>171
>>170 = >>4

>>154
遅くなりましたが教えていただいた方法で解決しました。
digで片っ端から問い合わせた結果、変な応答を返してくる
ノードが特定できました。

いまは常時正しい応答が得られています。
ありがとうございました。

BINDってCで書かれてるの？

自分で見てみれば?

なんでdjbのやBINDよりセキュアーって言われてるの？
教えてエロイ人！

PowerDNSはdjbやBINDよりはるかにセキュアです！


すいません嘘です。

>>177
う・そ・つ・き！

いやdentsこそ世界一セキュアなDNS実装である！

おれセキュアじゃなくてもいいから NSD 使うよ。

おまえら俺様のMara DNSでみぞおちまで突き上げられてみないと判らないみたいだな。

HP-UX 11iでbind9を使用しています。

プライマリDNSで、ゾーンファイルを変更した後、「kill -HUP `cat /var/run/named.pid`」
コマンドで設定ファイルの再読み込みを行いました。
その後、セカンダリDNSサーバ4台で「kill -HUP `cat /var/run/named.pid`」コマンドを
投入し、設定ファイルの再読み込みを行ったところ、4台中2台はプライマリDNSサーバと
同じシリアルのものを読み込んでいましたが、残り2台は古いままでした。
ps -efコマンドで見るとプロセス自体は再起動されています。
しばらく待つことで解決はしましたが、原因がわからなくて気持ち悪いです。

タイミングの問題だと片付けられればよいのですが、
これまで何度も設定変更をしてきてこのようなことがなかったので
説明できなくて困っています。
kill -HUPコマンドで再読み込みを行うという方法自体が間違っているのでしょうか？
namedの再起動ができればよいのですが、なかなかやりづらい状態なのです。

初歩的な質問なのかもしれませんが、どうかご教授のほどお願い申し上げます。

>>182
同期されなかった２台はゾーンにNSなくてセカンダリしてるってことない？
BINDがnotify送るのはなにも指定しなければNSのホストだけ。
他にセカンダリしてて、同期したければalso-notifyに指定する。

フルーツメール
無料登録で懸賞なども応募できます。サイトにアドレスをはるだけでOK
お小遣い程度に○万は稼げます。
一回行ってみて！！
登録はこちら→http://www.fruitmail.net/my/p.cgi?introduce.html

>>182

> 「kill -HUP `cat /var/run/named.pid`」コマンドで設定ファイルの再読み込みを行いました。

“rndc reload”でイイじゃん。rndcコマンドないの？

どうもありがとうございます。レスが遅くなってしまって申しわけございません。
>>183
also-notifyの指定はすべてのサーバで行っています。
>>185
“rndc reload”でも構わないのですが、これまでのシステムで「kill -HUP」を使用しているので・・・。
“rndc reload”だと、このような問題は起きないのでしょうか？

いや、すべてのサーバにalso-notifyは必要はない。
必要なサーバに正しい設定を入れればいい。

http://www.dns.jp/ncache-ja.html

現状のminimumで弊害があるのが明らかというのなら
わかるが、（あるのならきちんと説明すべき）
DNSのような重要なインフラを実験目的でいじるのは
ちょっと安易じゃないか？

設定値が有名無実かもしれないってのは歴とした実害だし、
その旨きちんと説明してあるでしょ。
いきなりネットワークダウンするような実験ならともかく、
負荷調査程度は別段問題とは思わないな。

問題があるとすれば、通知が遅すぎるという一点に尽きる。
前日通知ってのはどう考えても非常識。

より良い値に変更すること自体に文句は言わない。
実験というのが気に入らんです。
重要なインフラなんだから、動いているものは
いじらないのが基本的な考え方だと思う。

各実装の挙動や、各ISPの設定値を調べて、
シミュレーションして、あるべき設定値を考えた上での変更なのか？
あるいは、直ちに設定変更をしなければならない具体的な障害の発生や、
障害の可能性があって、そういう事前調査をしている
暇が無いとかいうならわかるが・・・

必要ならばいじる。不要ならいじらない。それだけだ馬鹿。
盲目的にいじらない触らないのはおまえがDNSをよく理解していないだけの事だろう。

んで、必要なのかね。

>>189
> 設定値が有名無実かもしれないってのは歴とした実害だし、
なんで実害なのかわからん。
説明してくれ。

とりあえず>>192がこの世に必要とされていないのはわかった

新しいのまとめてｷﾀｺﾚ
http://www.isc.org/sw/bind/

9.3.2
rndc dumpdbの書式が説明されるようになったみたい。

dumpdb [-all|-cache|-zones] [view ...]
Dump cache(s) to the dump file (named_dump.db).

% sudo /usr/pkg/etc/rc.d/named9 start
Starting named.
Shared object "libcrypto.so.300" not found
とか言われたよ。orz

ついでに最新版で作り直すか。

command channelってなに？

レコードファイルのシリアルって
他のレコードファイルと重複してもモウマンタイでしょうか？
たとえば hogehoge1.domain というファイルのシリアルと
hogehoge2.domainのレコードファイルのシリアルをしてもOK?

「レコードファイル」とは?
「シリアルをする」とは?

>>198
超解釈だけれども問題なし

保守

社内用にサブドメイン切りたいんだけど、いい名前が浮かばずに困ってる。
local, intra, inside, private などが候補に上がったんだけど、もっと短か
くて、もっとズギャっとくる名前はないかな?

p

>>203
短かいのはいいね。でもそれじゃズギャっとこないよ。

lan

3 文字ってのは確かに魅力的だけど『社内』って雰囲気がないなぁ。
あそこやここにある『lan』って感じだもんね。難しいね。
社内から離れて、裏庭とか、広場とか、コミュニティみたいな
イメージで連想したほうがいいのかなぁ。

patio

社内ってのもなんかそのうち破綻しそうな区切りだな。
そのうち事業所とかごとにサブドメインつけたくなるんじゃないの?

>>207
それ nifty にもあったね。懐しいな。個人的にはいいと思うんだけど、
それほど一般的な単語じゃないかもね。何それ? って質問されそう。
それと、自分から『広場』なんて言っておいてあれだけど、ビジネスの
雰囲気がなくなっちゃうのが微妙なところだね。

>>208
今のところ事業所ってないんだけど、仮にできたとしたら、vpn で本社の
イントラにそのまま繋げる構成にしたいな。事業所でドメイン切るような
要件が持ち上がったら、社内のサブドメインで行く。

public: foo.com
private: intra.foo.com
branch: osaka.intra.foo.com

みたいな感じで。まあ、大阪事業所が巨大になったら osaka.foo.com を
public にして intra.osaka.foo.com みたいに隔離することもあるかもね。
でもたぶんあと 100 年は大丈夫 ;-)

>202
sha-nai

>>202
sub

sage

>211
bara

MXレコードは必ず記述しないと行けないのでしょうか？

メールがほしかったらな。
SOAレコードの連絡先にメールが来る訳で、

>>214
しなくてもメール以外は機能する。
んでも、マナーとしてはやっておいた方が後々のトラブルが
少ないと思うよ。別ゾーンの鯖でも良いから入れとけ。

そんなマナーないよ。

ありがとうございます。もう一つ質問なのですが、
メールサーバが書くサブドメインごとに違う場合、MXレコードはどのように書けばよいのでしょうか？

>>218
一つのゾーンファイルでサブドメインも管理しているなら
そのサブドメインごとにMXレコードを並べればいいし、
サブドメインは別ゾーンファイルに分けているなら親ゾーンと考え方は一緒

NS レコードをサブドメインに委譲して、新規にサブドメインのゾーンを作るか、
もしくはサブドメインだけのMXレコードを書いても動く。

sub IN MX 10 mx.sub.example.net.
mx.sub IN A 192.168.0.32

こんなんで動くんじゃない？　適当に書いたから間違ってるかもですが。

横から質問ですが

　 　　　IN MX 10 mx.sub.example.net. 

と

＠　　　IN MX 10 mx.sub.example.net. 

は同じものですか？

>>221
違う。
http://www.atmarkit.co.jp/fnetwork/dnstips/031.html

全角じゃなくて半角な。

>>221
それぞれの上の行がどうなっているかで
同じ動作だったり、違う動作だったり変わってくる。

質問です。管理するゾーンが一つの場合、
NSレコードって書かなくてもいいよな気がするんですが、
どうしてNSレコードを書くのでしょうか？

必要だからです

LAN内のローカルなゾーンがひとつだけで、
インターネットから参照されないのなら
NSレコードがなくても動くよ。

>>224
ゾーンが一つだからっつーか、
移譲される側の NS レコードが必要なのかって話だよね。
それ、おれも疑問だ。
移譲する側にさえあればいいと思うんだが。

>>227さん
表現げ下手ですいません。
まさに>>227さんと同じで、移譲する側にさえあれば
NSレコードを書かなくてもいいように思うんです。

勝手に他人のサーバを指したら犯罪ですか？

プロバイダでホームページサービスを借りているのですが、
そこを自分の独自ドメインでもアクセスできるようにしたいのですが。

>>229
別に問題なし。
ただしHTTPの場合バーチャルホストだと動かないかもよ？

技術的には問題ないが、道義的には問題では?
自分以外のユーザもそのプロバイダのページも独自ドメインのURLで
見えてしまうわけで。

それのどこが問題?

>>231
HTMLで無断リンク貼っただけでも怒りそうだな。

ttp://www.atmarkit.co.jp/flinux/rensai/bind904/bind904a.html

ここを参考にキャッシュ専用DNSを立てたんだけど一つ疑問。
aclって単なるリスト化であって、それ単体では意味をなさないから
allow-query { example-net; };
が必要になるはずですよね？
上のサイトは有名だけどaclだけしか記載がないんですが。

似たような質問で申し訳ないのですが、
キャッシュサーバに特化させる場合は、
allow-recursion
allow-transfer
も加えた方がセキュリティ的には良いのでしょうか？

たとえば、example.comという組織内で、
resolv.confのdomain(またはsearch)に example.comと書いてある状態で、
ショートネームの hoge というホストを参照すると、
hoge.example.com という名前で問い合わせられるので、
組織内のDNSサーバーで名前解決して、問い合わせが外に漏れることはありませんが、

hogeをタイプミスしてhageになると、
まず hage.example.comを問い合わせて、それが組織内に無いため、
次に hage. などの名前でインターネット上に問い合わせが漏れてしまいます。

ショートネームの問い合わせについては、
domainを付加した名前でしか問い合わせをしない、
言い替えると、「.」をひとつも含まない名前の問い合わせは、
インターネットには問い合わせないように
組織内DNSサーバーを設定するには、どうすればいいでしょうか?

>>234
設定がないと効かない。

>>235
設定しておいたほうが吉。

>>236
漏れるとなんかまずいの?

>>235
ゾーン持ってないなら
allow-transfer はあってもなくても同じじゃない?

>>236
hage. が本当に存在したらどうするんだ？

>>238
組織内で使っている、外部に公開していないホスト名に似た名前の
問い合わせが外部に漏れることになるのでセキュリティ的にまずいのと、
無駄なトラフィックが増えたり、タイムアウトに時間がかかって
利便性が悪いので改善したいのです。

>>240
TLDだけのホストはインターネット上には存在しません。
(localhost.とかは内部で名前解決してますし)


で、わかる方、やりかたを教えてください。

>>241
ヒント:ワイルドカード

>>241
世界中の禿に悩む人々が集まってIANAだかどっかに申請して通るという可能性は無視ですか？
そうですか。

>>243
仮に通ったとしても、hage. だけのホストが存在することはない。
com. や net. や org. のホストが存在しないのと同様。

named.conf内のinclude構文で*って使えないのでしょうか？
sub.*.confを全部インクルードしたいのです

DNSキャッシュサーバーで、
自分とこに権威が無いゾーンの一部のレコードに付いて、
レコード情報を書き換える、みたいなことをやりたいんだが、
どうやればいい?

勝手にnamed.confにtype master;を書いちゃうと、
そのゾーンを全部置き換えてしまうし、
全部じゃなくて、一部だけ置き換えたいんだが。

あ、置き換えるホストのみ/etc/hostsに書くと言うのは無しの方向で。
あくまでDNSキャッシュサーバー上でフィルターみたいなことをしたいんだが。

置き換えるホストごとに1ゾーンにすればいいでしょ
ＤＮＳ鯖 総合スレッド　（ＢＩＮＤ）
http://pc8.2ch.net/test/read.cgi/mysv/1045662104/104-110

>>247
回答サンクス。
ちょっと質問の書き方が下手でした。そうじゃなくて、
同じホストの、特定のレコードだけを置き換えたいんです。
同じ、www.example.com の、
Aレコードは元のまま引かせるけど、MXレコードだけ置き換えるとか、
そういうことをやりたいんですが、やりかたあります?
置き換えるMXレコードのゾーンファイルを書いちゃうと、
同じホストのAレコードも書かなければならなくなってしまいますが、
これは書かずに、普通に引かせたいのです。

>>247
横レスですが、たとえホスト単位での置き換えでも、
置き換えるホストごとに1ゾーンにする方法では、
aa.example.jp と bb.example.jp が存在する状態で
bb.example.jp だけを置き換えることはできるけど、

aa.example.jp と aa.bb.example.jp が存在する状態で
bb.example.jp だけを置き換えることはできないのではないでしょうか?
(置き換えたbb.example.jpのゾーンにaa.bb.example.jpも含まれてしまうから)

>>236 >>242
resolv.confの ndotsのデフォルトは ndots:1だけど、
この状態でも、"."を含まない名前の問い合わせが、
domainを付加した問い合わせより「後」になるだけで、
domainを付加しない問い合わせがなくなるわけではないというのが問題なのかな。

もし、ndots:1の仕様が、「後」じゃなく「問い合わせない」だったら、
キャッシュサーバーにワイルドカードを使って
適当なダミーホストのIPとして解決させる必要はなかったのかも。

forwarderとして利用しているのですが、各サーバから送られてきた有効期限以上に情報を保持することはできないでしょうか？

forward onlyで建ててるnamedで、
クライアントがAAAAを引いてきてもforwardせずに、
NODATA(で合ってます?)を返す方法はありませんか?

chrootを入れている場合の、directoryの書き方ですが、

directory "/var/named/chroot/var/named";
のように本当のルートを含めた形で書くのでしょうか、それとも
directory "/var/named";
のように書くのが正しいのでしょうか？

named.confだとするとchroot後に読むのだから後者。

再帰検索というのは簡単に言うとどういうことですか？

>>255
自分の権限がある(自分が管理する)ドメイン以外の問い合わせにも答えてあげること。

>>255
ルートサーバーから繰り返し検索をかけて目的のレコードを取得すること。
例えば目的のレコードが「hoge.jp.」の場合、
(1) 「.」に問い合わせて「jp.」レコードを取得する
(2) 「jp.」に問い合わせて「hoge.jp. 」レコードを取得する
って感じ。

>>257
それだと forwardersに投げる場合が含まれない。
>>256 が書いてるので正解。

メールサーバがAレコードで指定しているものと同じアドレスの場合、
Aレコードがあれば、MXレコードがなくてもメールは届くのでしょうか？
今のところ届いているのですが、正式な方法なのかどうか調べてもよくわかりませんでした。

>>259
Aレコードさえあれば届く。Solarisとか、MXレコードを嫌っていたOSでは、
もともとAレコード(というかNISによる名前解決)のみでの配送がメインだった。
ただし、念のためMXも登録しておくことが推奨されてはいる。

MXがないからA見て送ってくれる。
MXがなかったらそのまま放置する馬鹿もいる。

RFC かなんかに書いてあったっけ。

ただ、MXが無いと、毎回 MXの問い合わせのトラフィックが増えるから、
MXを書いておいた方が(他サイトのDNSキャッシュによって)
DNSのトラフィックは減るから、MXを書いておいた方が良い。
(ネガティブキャッシュのTTLは短い)

>>259
RFC1912的にはMXも書いたほうが良いとされる

chrootの導入方法を教えてください

OSについてなかったら諦めろ

forward only
を指定しない場合、問い合わせは上位サーバ以外にもいくとありますが、どのような場合に、上位サーバ以外に問い合わせに行くのでしょうか？

>>267
自分で管理していないゾーン、つまり、ほとんどのDNS名について、
rootサーバーからたどって順に名前解決するようになる。
ただし、キャッシュに残っている場合はそれが利用される。

ありがとうございます。
そうすると、forward onlyを指定しない場合、実質上位サーバは使われないということでよいのでしょうか？

取得したドメインを使ってレジストラで
ns.*******.com
ns2.*******.com
をそれぞれホストとして登録したんですが、
1週間経ってもそれぞれのIPアドレスにつながりません。
*******.com 自体のネームサーバーも
ns.*******.com
ns2.*******.com
に変える必要があるのでしょうか？

>>270
は？
レジストラのサポートに問い合わせろ。BIND自身には何の関係もない。

270や271のような無知は恐いな

>>272
やっぱそうだよな、>>270-271 がトンデモないこと言ってる気がしてるのは
俺の勘違いじゃないんだよな？

こんなんで問い合わせを受けるレジストラも可哀想……

俺が説明時に良く使う例え話
========================
レジストラへの登録→電話帳への登録
ホストを立ち上げる→電話回線に電話機を取り付ける

これ、もっとうまい説明が無いもんかな？ 確かに、知らない人に説明する
のは苦労するんだよねえ。

たとえなくていいよ。
かえって混乱する。

logファイルの場所はどのように指定すればよいのでしょうか？

>>275
named.confのloggingで

zone "example.com" {
type master;
file "zone/example.com";
};

zone "hoge.example.com" {
type master;
file "zone/hoge.example.com";
};

named.conf には上のように記述し、zone/example.com ファイルに
hoge.example.com. IN A 192.168.0.1
と書いている場合、
実際に hoge.example.com の問い合わせが来た場合に
zone/example.com 、 zone/hoge.example.com、
どちらへ参照することになるのでしょうか？

そういう書き方しちゃいかんよ。

>>277
敢えてそう書いた場合は zone/hoge.example.com の方が参照される。
より長く一致した名前のmasterが使われる。

ラウンドロビンでTTLを小さくした方がより負荷分散される理由を教えてください

そういう時は普通TTLを大きくしたらどうなるか考えてみないのか？

たとえばgoogleの場合

Non-authoritative answer:
Name:    www.l.google.com
Addresses:  64.233.161.147, 64.233.161.99, 64.233.161.104

となっていますが、この3つをクライアントがランダムに選択するわけではないのでしょうか？

>>282
普通は一番最初のにアクセスするんじゃないかな。
逆に DNS サーバ側がランダムな順番で答えてきたり
問い合わせごとに回転させたりする。

>>282
リゾルバーにもよるが、ふつうはその1番最初のIPしか使われない。

google.comのdefault TTL は 60秒になっていますが、nslookupで5秒ごと調べてみると、
毎回先頭のIPアドレスが違うのですが、これは、Windows側が並べ替えているのでしょうか？

>>285
Windows のリゾルバの質問なら板違い。

>>285
最寄りの DNS キャッシュが並び替えているのかも？
どういう風にコマンドを打っているのが書いてくれんと分からん。

lame server resolving がIPアドレスからホスト見つけれなかった場合のログ
ということはぐぐって分かったのですが、
lame server resolving 'example.com.example.jp' (in 'example.jp'?)
とかいうログは何を表しているのでしょうか？
example.com は探しているホストで、example.jp というのは
自身のホスト名なんです。

メール送信の際に2分くらい時間がかかるため、
ログを調べていたのですが、どうも上のことが原因のような気がします。
（一応2分後にメールは正しく送信されているようです汗）
識者のかたお助けください

>>288
/etc/resolv.conf がおかしいとか
DNS で * 使ってるとかそんなんじゃね。

forward onlyを書かずにforwardersを書いた場合、forwardersを参照し、それで解決できない場合は
自分で引くのでしょうか？それとも、forwardersは自分で引けない場合のみ使われるのでしょうか？

>>290
forward firstと書いた場合は、先にforwardersを参照し、
それで回答を得られない場合のみ自分で(rootサーバーから順に)引きに行く。
firstを省略してforwardとのみ書いた場合も、
デフォルトでforward firstの意味になるので上と同じ。

forwardのキーワード自体書かずに、forwardersを書いた場合、
man named.confの記述だとはっきり書かれていないなぁ。
forward firstと同じになるのか、それとも
先に自分で引きにいった後にforwardersに問い合わせる
(forward secondになる)のか?

include "/etc/rndc.key";

は何の設定をしているのでしょうか？

/etc/rndc.key を include している。

>>292
BIND

>>293 すごく的確な答えですねｗｗｗ

まぁアレですよ。１つの設定ファイルに記述できるものでも、
わざわざ別ファイルにしておくことで意味付けができるし、
rndc.key を named.conf に直接書くとさ、ファイルが
あぼーんしたときにキーも一緒にあぼーんするじゃん。
別ファイルにした方が管理面で安全だと思ったからじゃない？

分離してあるのはパーミションの問題。

named.confでもrndc.confでもkeyステートメントは同じという点は無視ですか。そうですか。

>>297 ああ、そうか、なるほど。キミ頭いいねｗ

どうでも良いけど、漏れの巡回時間が時間ぴったりなのは自己びっくり。

rndc.keyをインクルードしなくても動く件について

>>300
FreeBSD?

狂いBSD

rndcはroot権限なくても使えるから、keyをBINDのオペレータ
が読めるようにしとけばrootでBIND関連の操作をする必要は
なくなる。
BIND使ってるのはオメーみたいな自宅サーバ野郎ばかりではない
ってこと。

167あたりの話じゃね？

こんなの出てますNe!
http://www.jpcert.or.jp/at/2006/at060004.txt

キャッシュもviewごとになったのはいつからだっけ？

>>305
zone "." {
type hint;
file "/dev/null";
};
は知らんかった。

チラ裏スマソ。

DNSってTCPも通さなきゃダメなのね．．．
UDPのみファイヤーウォールで通してたんだけど、外からのメールが届かなかった。
セカンダリDNSもマスターと同じに手動で書いてたからいらないと思ってた

チラ裏だとわかってるなら書くなよ。

ゾーン転送以外の普通のクエリでTCPに落ちるのは問題ありだと思うが

バーチャルドメイン宛のメールがRejectされたのでした。
>>310 さんの言う通り、問題アリだと思いますので、もう少し調べてみます。

>>305 の対策でキャッシュサーバとコンテンツサーバの分離を
してみた所、1C未満の逆引きをISPに委譲してもらっているんですが、
ISPのCNAMEを辿らずにクエリーを投げてくるDNSがいます。

うちのIPが仮に192.168.1.0/28だとして、
ISPからCNAMEで
0.1.168.192.in-addr.arpa IN CNAME 0.0/28.1.168.192.in-addr.arpa.
1.1.168.192.in-addr.arpa IN CNAME 1.0/28.1.168.192.in-addr.arpa.
　　　　　　・
　　　　　　・
15.1.168.192.in-addr.arpa IN CNAME 15.0/28.1.168.192.in-addr.arpa.

みたいな形で、逆引きの委譲を受けているのですが、うちのDNSに
1.1.168.192.in-addr.arpaについて聞きに来ます。

相手はbind8.3.7みたいなんですが、この動きって正しいんでしょうか。

BIND9.3.2をwindows Server 2003にインストールして走らせたのですが
zone;12 near eol; unexpected end of input
とエラーが出ます
BINDを使うのは初めてなものでエラー内容がわかりません
どのようなエラー内容なのかどなたか教えてください

>>313
ここはUNIX板。スレ違い。
英語も読めんのか。エラーメッセージの通り。
設定ファイルの構文エラー等で、
zoneが完結せずにファイルが終ってしまったというエラー。
{ } の対応が合ってないとかでこうなる。

「板違い」な。

>>314
すみませんBINDでググってやってきてしまいまして
UNIX板だということに気づきませんでした
エラーの内容教えてくださいましてありがとうございました

まあ、WindowsでもBINDを使ってるが、インストールしてしまえばWindowsだから
独特ってのは無いんじゃない？

再帰問い合わせというのは、どういうことなのでしょうか？

>>318
http://www.google.com/search?q=DNS+%E5%86%8D%E5%B8%B0%E5%95%8F%E3%81%84%E5%90%88%E3%82%8F%E3%81%9B

ダイナミックDNSの設定で参考になるサイトがあったら教えてください。
環境はFedora5とbind9です。
"dynamic dns bind"や"ダイナミックDNS bind"などのキーワードでググっていくつかのサイトを
見てみたのですが、なかなか良いものが見あたりません。

どこもallowupdateで更新できるホストを制限していますが、
自分としては、すべてのIPアドレスからリクエストを受け付けて、制限は認証で行いたいのですが。

nameサーバー立てようと思ったんですが、
ここ（http://www.fkimura.com/bind9-5.html）を見て設定した結果、
下記のエラーがサーバ側で出ました。

Apr 26 18:02:14 xxxx named[847]:transfer of 'xxx.jp/IN' from 192.168.xx.1#
53: failed to connect: connection refused

どこを直せばいいんでしょうか？
情報が不足な場合は言ってください。宜しくお願いします。

>>321
どこの誰とも知れない奴のページを見てそっくり真似しようとする怠惰な姿勢を直せ

@ITのページ(http://www.atmarkit.co.jp/flinux/rensai/bind902/bind902a.html)を参照しながら再構築・・・・・
今度は

Apr 28 21:49:57 xxxx named[778]: /etc/namedb/named.conf:183: unexpected end of input
Apr 28 21:49:57 xxxx named[778]: loading configuration: unexpected end of input
Apr 28 21:49:57 xxxx named[778]: exiting (due to fatal error)

ってエラーが出た・・・・・・。
どこがいけないのか回答下さいorz

183行目がおかしい

unexpected end of inputの場合、
その行よりもかなり前におかしい原因があるのが普通。
だから183行目がおかしいわけではない。

この手の馬鹿はそっくり真似する事すら出来ないんだよな。

named.confの最後の行が184行。
ということは全部おかしいねってことですねorz
最初から設定してみます。
回答ありが�d。

>>327
全部じゃなくて、どこかがおかしいってこと。

改行コードとかではまってたりして。

セミコロンじゃないの？

中を見てみないことにはなんとも。

ttp://www.isc.org/sw/bind/arm93/ が一番わかりやすいだろ。
これに手を出せないならあきらめた方がいいな。

設定コピ猿は絶滅収容所に入れないとな。

すいません、BINDでDNSの設定をしてみたんですが、
エラーがないかの確認方法はどうすればいいんでしょうか？
LAN内からはpingを飛ばしても届きませんでしたし・・・・・設定ミスでしょうか？

# ps -ax | grep named
294 ?? Ss 0:00.02 /usr/sbin/syslogd -l /var/run/log -l /var/r
355 ?? Ss 0:00.01 /usr/sbin/named -u bind -t /var/named

上記の通りBIND自体は起動しています。
回答お願いします。

> LAN内からはpingを飛ばしても届きませんでしたし・・・・・設定ミスでしょうか？
は？

便りがないのはなんとかの証拠って言うじゃん。

>>334
すいません。LAN内から飛ばないのは当たり前ですね。
正しく動作しているか確認するにはどうすればいいんでしょうか？
お願いします。

>>336
dig @server 云々

>>336
> すいません。LAN内から飛ばないのは当たり前ですね。
は？

>>337
# dig @127.0.0.1 google.co.jp www.google.co.jp
を実行した結果、GoogleのIPアドレスを取得できました。
念のために/etc/resovl.conf内のnameserverに127.0.0.1のみを記入し、
# wget -r http://www.yahoo.co.jp
をしたらYahoo!のページを取得できました。
これで外部DNS(Web鯖を独自ドメインで公開)を使用するにはどうすればいいんですか？
回答お願いします。

>>336
DNS のチェックは dig コマンドで実行すればいいとして (ちゃんとマニュアル見とけよ)、ping が LAN 内から
飛ぶかどうかってのは、貴方のサイトのネットワーク構成のポリシーによりますので、ping が外部に飛ばな
いのが当たり前かどうかは誰にも分かりません。あしからず。

こういう教えて君のリダイレクト先は、どの辺が適切なんですかね？やっぱりグーグル先生？

>>339
(´･ω･`)知らんがな

>>339
言ってる意味がわからん。

DNSを公開したいのならレジストラ。

>>341
「バッタ本を買って読みなさい」でいいんじゃないか？
>>339
というわけで>>1-4読め

>>342
それです。回答ありが�d

>>340
質問の意図すらわかんない場合は、お金払って業者に頼め、でいいんでない？

あれだ、電波ですな。
なんか勝手に自己解決したっぽいし。

キャッシュとコンテンツサーバの区別がつかん奴がビンディ使いにはおおい。

週末はどこも魂の小学生ばかりだな

ビンディ!
ビンディ!

スレーブ鯖のzoneファイルってマスターが更新していたらすぐに反映されるもの？
（リフレッシュ時間は一時間に設定）
リフレッシュ時間が過ぎても更新されないのは、設定ミス？

yes

即座に反映されないが
いつの間にか反映されている場合
どんなミスが考えられますか？

知恵が無いのにBIND使ってるという致命的なミス

無い知恵を絞って答えてくれて、ありがとう

どうして頭の悪い子って>>354みたいに自分でそれを証明してしまうんだろう

解決したけど、教えない

本質的な問題は全く解決されていない。
350の頭が悪いという問題は。

最近、BIND9の設定をいじってて気がついた。

bind9(.2.5)のhostもしくはnslookupで逆引きやると
% host aa.bb.cc.dd
dd.cc.bb.aa.in-addr.arpa is an alias for dd.SUB???.cc.bb.aa.in-addr.arpa.
dd.SUB???.cc.bb.aa.in-addr.arpa domain name pointer nanashi.dokoka.or.jp.

と言う風に、変にaliasがかかって表示される。
ていうか、自分が管理しているところ(BIND9.2.5)がそうなんだけどorz

BIND8系のnslookupと思われるSolaris8のnslookupでは出なかったので
全然気がつかなかったのよね・・・・・

で、ちゃんとしているところは
% host ee.ff.gg.hh
hh.gg.ff.ee.in-addr.arpa domain name pointer trip.kotehan.ne.jp.
こんな感じで出るから、自分の所の設定に問題があるっぽい。

(つづく)

(つづき)
原因は恐らく

zone "SUB???.cc.bb.aa.in-addr.arpa" {
type master;
file "dokoka.rev";
}

の、逆引きzone名で、個人的な予想としては

zone "cc.bb.aa.in-addr.arpa" {
type master;
file "dokoka.rev";
}

と設定すれば、解決する気がする。
(つづく)

(つづき)
で、ここからが本当の問題なんだけど
自分の所はもらっているアドレス範囲がaa.bb.cc.128/25で128個・・・
つまり4バイト目が半端。
aa.bb.cc.0/24と、256個もらっていれば、堂々とSUB???な書き方しなくても
済むと思うのだけど、そうじゃない場合は、どうすればいいのだろう・・・
もし、SUB???を入れない場合、aa.bb.cc.*を使っている別のゾーンの人たちと
ゾーン名が重複した時にトラブルにならないだろうか・・・

現状では実害が無いからまだいいけど、今後を考えるとこの疑問は解決しておきたい・・・
どうすればいいでしょうか？

>>360
そういう問題を避けるために SUB??? が導入されている。
詳細は RFC2317 参照。

>>361
なるほど・・・・『あえて』なんですね・・・・
RFCは後で見てみます。

これどうよ？　と思ったのでageてみます。

http://mysql-bind.sourceforge.net/

暇があれば色々と検証とかしてみたいけどねぇ。
仕事柄、管理ゾーンが万単位であるので；；

>>363
こんなのもあるぞ。
両方組み合わせられれば楽しそうだけどな。
http://bind-dlz.sourceforge.net/

セカンダリサーバに変更をすぐに反映させる方法はありますか？

ググレ

すぐって具体的に何秒以内？

>>365
通常は、すぐに通知が行き、変更が反映されるはず。
http://www.atmarkit.co.jp/fnetwork/dnstips/033.html

DNS Operator's Group, Japan
http://dnsops.jp/

>>369
名前ひけないよ

引けるけど?

Name: dnsops.jp
Address: 219.101.45.218

>>369
代表がKDDIで、DNSオペレーターズグループだと?
そんなことやってるヒマがあったら、
DNSBLに載ったテメーの会社のIPをなんとかせいやｗ

>>372
interop で DNS BoF がやってたちょうどその隣りの会場で
迷惑メール対策 BoF をやってたんだけど、
そこでやってたのが spam を送ってないのにリストに載せたり
解除申請したのに解除してくれないくそったれな RBL をどうするか、
という話題だった。

話がDNSBLになっているんでちと質問
domainやIPで記載されているのは知っているんだけど
[email protected]で記載されているところってありますか?

>>374
こっちでやったら?

Internet Mail System 総合スレ 3
http://pc8.2ch.net/test/read.cgi/unix/1128256415/

MXレコードは設定しないと行けないのですか？

設定しなくてもメールは届く。
しかしメールサーバとして運用するのなら必ず設定すべきだ。
これからやるならついでにSPFレコードも追加しとくといい。

設定しなくても届くのになんですべきなの？

まず MX をひいてなかったら A をひくので
MX がないとムダな問い合わせが入る。
A だけだと優先度が書けない。

そもそもAを引いてくれるのはおまけ。

おまけではないだろ。Aを引くことの方が歴史的には最初。
MXは後から追加された。

以前質問したら、
MXがある事でそのドメインの正規のメールサーバだと「見る人」がわかる
という解答だったな。複数のMTAが無ければMXは不要だけど、
皆がMXを設定しているのだから皆の真似をしておくのは悪い習慣じゃない。
自分だけが稀なケースのバグにひっかかると悲しいぞ。

それとspam送信ツールがRFCに完全には従ってない事が多いのを逆手にとって
MXを使ってspamだけブラックホールに誘導するなんてテクニックもあったな。

>>382
> MXを使ってspamだけブラックホールに誘導するなんてテクニックもあったな。

kwsk

たいしたもんじゃないよ。
spam送信ツールはMTAにエラー返されたらリトライしない事が多いので
優先度最高のMTAは必ず5xxを返すダミーで、二番目のMTAが本物とか、そんなの。
いきなりMXの二番目を狙ってくる奴が増えた今では有効じゃないかも。

エラー返しても平気でコマンド送ってくるのも多いよなあ・・・

あー、レスポンスをまるっきり見てないし待ちもしない奴ね。
sendmailには対抗手段が入ったらしいねぇ。

質問です。
zone "sub.sample.ne.jp" IN {
type forward;
forward only;
forwarders {
xxx.xxx.xxx.xxx;
};
};
と、設定している場合
www.sub.sample.ne.jpは、xxx.xxx.xxx.xxxから情報が引けるのですが
なぜか、www.sample.ne.jpまでxxx.xxx.xxx.xxxから
引けるようになってしまうのは、なぜでしょうか？
最初のうちはルートから引いてくれてるんですが
いつのまにか、sample.ne.jp全部をforward先に問い合わせているようです

続き
取りあえず、困ってしまうので
zone "sample.ne.jp" IN {
type forward;
forward only;
forwarders {
プロバイダとかのDNS;
};
};
とすることで、回避しているのですが
わけがわかりません。

普通はそんなこと無いはず
optionsの中にforwardersの設定がありませんか?

mac os xでbindを起動するにはどのようなコマンドを打てばよいのでしょうか？

named &

このerrorの意味と対策を教えてください。
process `named' is using obsolete setsockopt SO_BSDCOMPAT
bindのバージョンは9.3.2です。

>>392
くだらねえ質問はここに書き込め！Part127
http://pc8.2ch.net/test/read.cgi/linux/1150458219/

BSD初心者から誘導されてきました
OSXserver10.4.7　BIND9.2.2です
よろしければ添削おねがいいたしいのですが


正引きです
//xxxxx.co.jp.zone
$TTL 86400
xxxxx.co.jp.　　　　　　IN　SOA　ns.xxxxx.co.jp.　info.xxxxx.co.jp.　(
　　　　　　　　　　　　2006062812　;　serial
　　　　　　　　　　　　3h　; refresh
　　　　　　　　　　　　1h　　　; retry
　　　　　　　　　　　　1w　　　; expiry
　　　　　　　　　　　　1d　　　 ) ; minimum
xxxxx.co.jp.　　　　　　　IN　NS　ns.xxxxx.co.jp.
xxxxx.co.jp.　　　　　　　IN　NS　xxxxx.ocn.ad.jp.
xxxxx.co.jp.　　　　　　　IN　MX　10　mail.xxxxx.co.jp.
xxxxx.co.jp.　　　　　　　IN　A　200.xxx.xxx.xx2
ns.xxxxx.co.jp.　　　　　IN　A　200.xxx.xxx.xx2
www.xxxxx.co.jp.　　　　　IN　CNAME　ns.xxxxx.co.jp.
ftp.xxxxx.co.jp.　　　　　IN　CNAME　ns.xxxxx.co.jp.
afp.xxxxx.co.jp.　　　　　IN　CNAME　ns.xxxxx.co.jp.
dav.xxxxx.co.jp.　　　　　IN　CNAME　ns.xxxxx.co.jp.
mail.xxxxx.co.jp.　　　　　IN　A　200.xxx.xxx.xx2
fileserver.xxxxx.co.jp.　　　IN　A　210.xxx.xxx.xx2 //支店を追加
fileserver.xxxxx.co.jp.　　　IN　CNAME　ns.xxxxx.co.jp. //支店を追加
最後の行がBSD初心者で変だっていわれた、私もなんとなくそうおもう。
でもクックブック何回もよみなおしてみたけど、同じような例がみつけられなかった

逆引きです
//xx0.xxx.xxx.200.in-addr.arpa.zone
$TTL 86400
240.165.110.220.in-addr.arpa.　　　IN　SOA　ns.xxxxx.co.jp.　info.xxxxx.co.jp.　(
　　　　　　　　　　　　　　　　2006062812　; serial
　　　　　　　　　　　　　　　　3h　; refresh
　　　　　　　　　　　　　　　　1h　; retry
　　　　　　　　　　　　　　　　1w　; expiry
　　　　　　　　　　　　　　　　1d　 ) ; minimum
xx0.xxx.xxx.200.in-addr.arpa.　　　IN　NS　ns.xxxxx.co.jp.
xx0.xxx.xxx.200.in-addr.arpa.　　　IN　NS　xxxxx.ocn.ad.jp.
xx2.xx0.xxx.xxx.200.in-addr.arpa.　　IN　PTR　ns.xxxxx.co.jp.
xx0.xxx.xxx.210.in-addr.arpa. 　 IN NS fileserve.rxxxxx.co.jp.　//支店を追加
xx2.xx0.xxx.xxx.210.in-addr.arpa. IN PTR fileserve.rxxxxx.co.jp.　//支店を追加。この書き方でいいのかな？

支店はOCNじゃないです、USENです、私が選んだんじゃないし、入ってるビルがそれしかないし、怒らないで
Lan型のDHCPで固定を8つもらってます、「USEN　逆引きの設定」でググってもほとんどヒットしないし、わからなかった
USENのHPでは、迷子になって、結局なにもわからなかった。電話したら契約者本人ですか？ってきかれて違いますっていったら
本人に変われっていわれました、社長に言ったら何のためにやとったんだとかいわれて首になるかもだから言えない；；

xx2にfileserverって名前で立てる予定です
この書き方ででいいのか誰か添削していただけませんか？
ってocnにPTRかかなくていいの？あれ？？？いままでこれでうごかしてた；；書くべきですよね？

210側にはローカルホストのゾーンしかないのですが、fileserve.rxxxxx.co.jp.zoneを追加すればいいのですか？

長文および、教えてちゃんばっかりで申し訳ございません
でも外に出すのを試しにって怖くてできないし、やっちゃだめって聞いたことあるし
よろしくおねがいします

ぎゃぎゃぎゃ、IPつぶし忘れてる
見逃してくださいませ

管理人さんのスレみつかんない；；どうしよう；；

ゾォンファイルのコメントは ; でねぇの？

>398
ありがとう、アップルスクリプトばっか書いてるから間違えました；；
viで本当に書くときはちゃんと書きます
ところで管理人さんのいる場所しりませんか？入社３ヶ月で首になるのやだよー：：

関西マカはネットから出てけ

その割には大量に使ってるような

USEN 逆引きの設定
よりも素直に
BIND 設定
の方が設定の仕方が大量に出る。そもそも検索キーワードに助詞を入れるなｗ
その結果だけでわからないようならDNS自体を勉強してくだちぃ。

技術担当の久岡さんに聞いたら?

>>394のfileserver.xxxxx.co.jpと>>395のfileserve.rxxxx.co.jpてのは
単に打ち間違いだよね?
>>394の最後のCNAMEの行はいらない。

あと、そもそもファイルサーバの逆引きなんて世間一般から見える必要は
なくて会社組織から見えるだけでいいんじゃないの? だとすればISPの
逆引き委譲はどうでもいいんで、(会社組織だけから見えるviewを作った上で)
自前でPTRレコードを出しちゃえば?

自分なりに考えてみたのですが
正引き
fileserver.xxxxx.co.jp.　　　IN　A　210.xxx.xxx.xx2 ; 支店
fileserver.xxxxx.co.jp.　　　IN　CNAME　ns.xxxxx.co.jp. ; これはいらない、行ごと削除
逆引き
xx0.xxx.xxx.210.in-addr.arpa. 　 IN NS fileserver.xxxxx.co.jp.　; これは要らない行ごと削除
xx2.xx0.xxx.xxx.210.in-addr.arpa. IN PTR fileserver.xxxxx.co.jp.　; 支店、書き方検索中
>>402
「BIND 設定　逆引き　usen」で今いろいろ見てる最中です。それでも大量すぎ；；
USENのローカルルールが書いてあるとこがまだみつかりません。ocnとかkddiならいっぱいあるのに

>>404
はい、打ち間違いです
>(会社組織だけから見えるviewを作った上で)自前でPTRレコードを出しちゃえば?
今から調べてみます

ocnの逆引きに関しては
xx0.xx0.xxx.xxx.200.in-addr.arpa.　　　IN　PTR　xxxxx.ocn.ad.jp.
でいいんかな？でもクックブックには指定するようにあるけど、ocnのHPのサンプルには書いてありません
いろんな人のHPみてたら書き方はxx0.xx0.でいいみたいですね

東京のサーバにゾーンつくっちゃだめですね、ローカルホストだけでいいみたいですね
まだ、根本が全然わかってない；；
>>403
社長に聞いたら教えてくれるけど、私の存在意義がなくなるし、自分なりに勉強してみろといわれるだけです
実際にテストできるのならやってみて試すのですが；；
もちろんサーバを書き換える前には、社長が見てくれると思いますけど、直されると悔しいので！！！

みなさまありがとう、がんばります！！！

>>405
ttp://www.gate02.ne.jp/service/option/index.html
「逆引き委譲」をしてもらうような契約になってるの?

>>404.405様
馬鹿ですね、私。usenにドメイン預けてないんですよね、IP固定でもらってるだけで
アドレスありがとうございます、目を通しておきます

社長からメールの返事きました、お客さんのなら大事だけど、うちのなら問題なしって
で、どこいるの？って聞かれたけど恥ずかしいからこの板言わなかった

正引きです
//xxxxx.co.jp.zone
$TTL 86400
xxxxx.co.jp.　　　　　　IN　SOA　ns.xxxxx.co.jp.　info.xxxxx.co.jp.　(
略
xxxxx.co.jp.　　　　　　　IN　NS　ns.xxxxx.co.jp.
略
fileserver.xxxxx.co.jp.　　　IN　A　210.xxx.xxx.xx2 ; 支店を追加

逆引きです
//xx0.xxx.xxx.200.in-addr.arpa.zone
$TTL 86400
xx0.xxx.xxx.200.in-addr.arpa.　　　IN　SOA　ns.xxxxx.co.jp.　info.xxxxx.co.jp.　(
略
xx0.xxx.xxx.200.in-addr.arpa.　　　IN　NS　ns.xxxxx.co.jp.
xx0.xxx.xxx.200.in-addr.arpa.　　　IN　NS　xxxxx.ocn.ad.jp.
xx2.xx0.xxx.xxx.200.in-addr.arpa.　　IN　PTR　ns.xxxxx.co.jp.
xx0.xx0.xxx.xxx.200.in-addr.arpa.　　　IN　PTR　xxxxx.ocn.ad.jp. ; ocnのポインタ追加
xx2.xxx.xxx.210.in-addr.arpa. 　 IN PTR fileserver.xxxxx.co.jp.　; 支店サーバマシンを追加、プロバイダのローカルルールは無視

「会社組織だけから見えるviewを作った上で」がわかりません、
支店のマシンにfileserver.xxxxx.co.jp.zoneを作るということでしょうか？
またまた教えてちゃんです、こまったちゃんになりかけですね、、、ってもうなってるって

>>407 「view」は関係なかった、忘れてくれ。

> xx0.xx0.xxx.xxx.200.in-addr.arpa.　　　IN　PTR　xxxxx.ocn.ad.jp. ; ocnのポインタ追加
これは必要ないやろ、新しいサーバはUSENちゃうんか。

> xx2.xxx.xxx.210.in-addr.arpa. 　 IN PTR fileserver.xxxxx.co.jp.　; 支店サーバマシンを追加、プロバイダのローカルルールは無視

いや、たとえば新しいサーバのIPアドレスがA.B.C.Dとするやんか。
まずnamed.confに
zone "D-C-B-A.in-addr.arpa" {
file "D.C.B.A.reverse";
allow-query { theta-networks; };
}

みたいなんを追加して、そんで D-C-B-A.revを編集すんねん。
D-C-B-A.revには
1. SOA
2. 俺がD-C-B-A.in-addr.arpa
3. D-C-B-A.in-addr.arpaのPTRレコードはfileserver.xxxxx.co.jp

あれ、「お客さんのじゃないから逆引きは設定しなくていい」ということ
なら、何で逆引きの設定してんの?

>>408
うわ、、後だしになっちゃう、ごめんなさい
BSD初心者で書いたからすっかり情報書くのわすれてました

はじめから書き直します。
東京の拠点がファイルサーバ入れ替えたいということから始まりました
社長は今まで通りアドレス叩けばいいんじゃない？っていったんですが、
東京側がどうせなら名前で叩きたいftp://fileserver.xxxxx.co.jpと
で、それを受けたのがわたしだったので、練習にやって見ようと独断で始めました
社長は東京とはVPNは結びたくないといってたので、BINDでどうにかかけないかな？
と、張り切って始めたのはいいのですが；；
新マック→BSD初心者→ここです
OCNに関しては最初に書いた逆引きにレコードがなかったのです；；恥ずかしい

逆引きの設定に関しては、正引きはCNAMEのところ以外いけてるみたいだけど、
逆引もかかないとねって言われました

がっこでならったことなんて、何も通用しないって、この世界入って実感してます；；
だめかな、もう

会社のファイルを使ってるんじゃなくて、一から全部ひとりで書いてる途中です
火曜の朝までになんとか書いて、わたしにもできるんだぞーって見せたくて；；

いままで逆引きに関して調べていました
東京にはうちからだけじゃなく、他のお客さんも入ってくるのでやっぱり設定いるのかな？
一応書いてみました、でももっと調べないと、おなかへった；；

「お客さんのじゃないから大丈夫」って言葉は、2chにうちのアドレスを出しちゃったことに関してです；；
はずかしいよー

;;大阪のnamed.confに追加
zone "xx2.xxx.xxx.210.in-addr.arpa." IN {
　　　file "xx2.xxx.xxx.210.in-addr.arpa.zone";
　　　type master;
　　　　allow-query { any; };
　　　　 allow-transfer {
200.xxx.xxx.xx0/x;
210.xxx.xxx.xx0/29;
中略
　　　　 };
};

;;大阪のnamed.confに追加したxx2.xxx.xxx.210.in-addr.arpa.zone逆引きファイル
$TTL 86400
xx2.xxx.xxx.210.in-addr.arpa.　　　　　IN　SOA　ns.xxxxx.co.jp.　info.xxxxx.co.jp.　(
中略
xx0.xxx.xxx.200.in-addr.arpa.　　　　　IN　NS　ns.xxxxx.co.jp.
xx0.xxx.xxx.200.in-addr.arpa.　　　　　IN　NS　xxxxx.ocn.ad.jp.
xx2.xxx.xxx.210.in-addr.arpa.　　　　　IN　PTR　fileserver.xxxxx.co.jp.

これで、xx0.xxx.xxx.200.in-addr.arpa.zoneに足した最終行を消せばいけるかな？
だめだ、、、、クラスCから外に出ただけでもう、めちゃくちゃ。
でも、がんばる。localhostだって外じゃないか、わたしが意味理解できてないだけ

とりあえずもちつけ

394さん、まだいるかな？そこまで行ったら動かしてみるしかねーんじゃね？
やばげには見えないが外に出すの怖かったら、ローカルでやりゃいいじゃん
named起動さすだけだったらマシン壊すことも無いし

MacOSXクライアントあるんなら、その中でテストできるし、Unixや
Linux用意できなくてもwin上でも、ある程度テストできると思うし。

ftp://ftp.isc.org/isc/bind/contrib/ntbind-9.3.2

ざくっと読んだ、プロバまたいだ通信はプロでも試行錯誤する
そこ以外はクリアできているのならばだが、とりあえず394の最後の行を消して動かして見ろ
逆引き考えるならそのあと、ターミナル叩いてるだけじゃいつまでたってもおわらんぞ

ルータの設定確認もわすれるなよ（分かってると思うが念のため）

>>415
Apple関係のプロはその程度ですか。死ねばいいのに。

>>416
MacOSのプロだからネットワークのプロじゃないんでしょ。

Mac OSのプロ市民とか

>>410 あ、社内サーバじゃなく公開サーバにして、逆引きもどうしても出したい
ってんなら、>>411の方法の偽ゾーンを使う方法じゃだめだ。DNSは上位ドメインに
権威のあるサーバから「委譲」されるしくみになっていて、それは正引きも逆引きも
同じだから。>>411の方法だと、社内からは逆引きがちゃんとfileserverを向くけど、
外から見た場合はUSENのデフォルトの逆引きになっちゃう。

今の場合逆引きの「上位ドメイン」はUSENなので(ファイルサーバもUSENから
もらったIPアドレスを使うんだよね?)、OCNのネームサーバは一切関係ない
(だから>>411の「IN　NS　xxxxx.ocn.ad.jp.」の行は変)。

で、「gate02 逆引き」で調べると、「チランサーバ運用マニュアル？」
というページがヒットしたのでそれを参考にしたらどうかな
(というか、どのみち今逆引き委譲してもらってるかどうかを確認する必要が
あるんだし、クラスC未満の逆引き委譲はいくつか流儀があって確認しないと
どうしょうもないんだから、その時にUSENのサポートに「どんなDNSのレコードを
出せばよいですか」ぐらい質問してもいいだろうよ)。

>>415
プロがその程度で試行錯誤するかボケ

Apacheでもそうだけど、いくらOSがいつもと違って使えないとは言っても、
BINDやApacheは同じだからな。OSが初心者なんて言い訳は話にならん。

会社名から何から全部ばれちゃってるんだからもう密告されてるよな。

>>419
>...
>クラスC未満の逆引き委譲はいくつか流儀があって確認しないと
>どうしょうもないんだから、...

資料的には、こういうのは参考にできるのかな？

ttp://www.geocities.jp/w_engineer_m/dns.htm
ttp://jprs.jp/tech/material/IW2002-DNS-DAY-morishita.pdf

CIDR方言は240っぽいが?
dig -x X.X.X.241 ると
241.X.X.X.X.in-addr.arpa. 86400 IN CNAME 241.240.X.X.X.in-addr.arpa.
とある。

zone "240.x.x.x.x.in-addr.arpa" IN {
file "xxxxxx":
type master;
略
};

でええがな

>>424
xが1個多かった&.抜けたorz
zone "240.x.x.x.in-addr.arpa." IN {
だ。

>>394

で、マニュアルは読んだの？

https://www.gate02.com/dns_tecweb/top.htm

この流れを読んでいると、25や80で逆引きがマトモに設定できていない
ホスト/ネットワークからのアクセスを拒否するってのは正解だと思う。

サンプル1つだけでよくそんなこと言えるなぁ

>>428
メーリングリストをいくつか購読してると、俺がググっただけで解決できたような事を
有名メーカーの看板を背負って質問してくる奴とか見かけるからなぁ。

自分で動かないで他人の力を借りるような志向の人間が有名メーカーに入れるわけだからな。
それは仕様なので仕方がない。

>>410

調子はどうですか？

>>419
>(というか、どのみち今逆引き委譲してもらってるかどうかを確認する必要が
>あるんだし、クラスC未満の逆引き委譲はいくつか流儀があって確認しないと
>どうしょうもないんだから、その時にUSENのサポートに「どんなDNSのレコードを
>出せばよいですか」ぐらい質問してもいいだろうよ)。

>>426
>https://www.gate02.com/dns_tecweb/top.htm

正引き、逆引きのプライマリは自分のとこでやるんだろうけど、
セカンダリをどうする予定なのか？例に出てくる「xxxxx.ocn.ad.jp」
は何なのか？気になります、named.confやns の登録などに
影響するのか。

マニュアルにはUSENの場合の逆引きの設定について出てるんですね。
契約者本人以外のたとえば、技術担当のような形でのUSENへの
問い合わせは無理なのかな。だめなら、USENと直接話さないと
はっきりしないとこと、自力で対応したとこを整理して、
はやめに社長に相談できるといいんだけど（そこまで調べてまとめていれば、
アピールできるんでは？）

>>394

とりあえず、正引きは勝手dnsサーバの範囲では以下で動いたよ（TTLなどは、短めになってる）。

# cat example.com.zone
$TTL 900
example.com. IN SOA ns.example.com. info.example.com. (
2006071702 ; serial
1200 ; refresh
600 ; retry
1209600 ; expire
1200 ) ; minimum

example.com. IN NS ns.example.com.
example.com. IN A 192.168.0.6
example.com. IN MX 10 mail.example.com.

ns.example.com. IN A 192.168.0.6
;www.example.com. IN A 192.168.0.6
;ftp.example.com. IN A 192.168.0.6
;afp.example.com. IN A 192.168.0.6
;dav.example.com. IN A 192.168.0.6
mail.example.com. IN A 192.168.0.6
;fileserver.example.com. IN A 192.168.0.11

www.example.com. IN CNAME ns.example.com.
ftp.example.com. IN CNAME ns.example.com.
afp.example.com. IN CNAME ns.example.com.
dav.example.com. IN CNAME ns.example.com.
fileserver.example.com. IN CNAME ns.example.com.

あと、>>426が言ってるようUSENのマニュアルを見た方がよさそう。
メニュー項目からだとわかりにくい気もするけど、以下？
・プライマリー・セカンダリーDNSサーバー共にお客様自身
https://www.gate02.com/dns_tecweb/gyakubiki_ex_ba1.htm

>>429

> 有名メーカーの看板を背負って質問してくる奴

有名メーカーは看板だけだって
腕がいいのは有名メーカーの外注先

逆引きはなんとかなったようだけど
apacheのversionが1.3.33で古いよ。
ついでにmod_sslも2.8.24->2.8.27、opensslも0.9.7i->0.9.7jにしておいたほうが吉。

結局みんなﾒﾁｬﾒﾁｬ優しいな...

DNSって、独学は難しいし、挑戦する人も少ないし、
聞く先も少ないし、せっかくがんばってるんだったら、
うまくいって欲しいよね。

？普通独学だろ。挑戦する人なんていっぱいいるだろ。何言ってんだか。

BINDに限れば書籍も結構あるし、
レジストラ関係以外は自分のマシンで試せるじゃん。

みんながどうやって独学したかは分からないけど、
漏れは、擬似的にルートDNS立てて最終的に
使いたいドメイン作って試したりしてた。

時間も対してかからないしね。

DNSを言葉の意味位しか知らない状態の人には
チャレンジかもね。

自分のレベルの低さをアピールしなくてもいいよ。

レベルがどうのこうのの問題より、DNSを素人レベルのまま運用されることが怖い。

DNS以上のレベルを要求されるSMTPの方がもっと怖い。

素人がやってもスパマーに悪用されるかメール送信が出来ないぐらいだろ。
DNSの方がよっぽど怖いと思う。

DNSを失敗しても他人には迷惑かかからんだろう？
そいつのドメインが引けなくても俺には関係ないし
SPAMの温床になると世界中で迷惑かかるからそっちが重要

あり、基本は委譲だから被害はドメインがパァになるだけで終わるんじゃないの？

と書いてる間にorz

DNS ampに使われてしまうとかじゃない?

資料めっけしたけど、すげぇなそれぉぃｗ

>445,446
いまどきSMTPのSPAMなんざ、対策ソリューションなんざいくらでもあるし、
BlackListへの登録も迅速に行われてるので迷惑なサーバがいても周囲が
それを排除する仕組みが出来上がっていて昔ほど問題じゃない。

それに対し448も言ってるけどDNS経由でのSmurf Ampは被害が大きい上
に大元の迷惑サーバでどうにかしてくれないと現状では対処のしようがない。

これ結構まとまってると思う
http://www.cyberpolice.go.jp/detect/pdf/20060711_DNS-DDoS.pdf

>>450
>いまどきSMTPのSPAMなんざ、対策ソリューションなんざいくらでもあるし、
>BlackListへの登録も迅速に行われてるので迷惑なサーバがいても周囲が
>それを排除する仕組みが出来上がっていて昔ほど問題じゃない。
じゃ、現在SPAMが膨大に配信されている現状をどう考えるんだ？
俺の場合NIC情報とかに公開してるアドレスには1:999以上の割合でSPAMが多く配信されてる、
もちろんSPAMフィルター入れたりグレーリスト使ってるけどそれでも完全に撲滅出来ないし必要メールがSPAMフィルターにかからないか等の定期的なチェックも必要
もちろんトラフィックを消費されてる事も困った問題

SPAMは１人が放置するだけでその他の人間に膨大な対策コストを押し付ける重大な迷惑行為

>>452
どっちも迷惑、でいいじゃん

>452
頭悪い奴だな。　ここはBINDスレだ。
お前の言うとおりにすればDNS ampが減るとでもいうのか？
SPAMのことしか書かないんだったら他にいってやれ。

BIND9を使って独自ドメインを運用し始めたのですが、
コマンドライン上から、DNSレコードをDDNS風に更新できませんか？

手動でゾーンファイル等を書き換える（（ホスト情報の追記or上書き）→シリアル番号の更新
→rndcでリロード）

↑の方法で今はDNS情報を更新しているのですが、↑の手順を
コマンドで一発で出来たりする方法はないでしょうか？

例えば、#xxxx <hostname> <種類> <Address>みたいに・・・。

>>455
質問の意味がよくわからんが
sedやawkとか使ってxxxxを書きゃいいんでねえの?

nsupdate

>>455
そのぐらい、ちゃっちゃっと sh やら perl やらで作って
自分専用ツールとするのが本来のサーバ管理者だよ。
最近は GUI がないと出来ないような香具師が増えたがね。

で、そのくらいわざわざ shやら perlやらつかって変なスクリプト書くよりも、
>>457 が言うようにせっかくDDNSなんだから nsupdateでアップデートするのが
本来のサーバ管理者。

nsupdateの文法があっさりしすぎだからツールで冗長化するのが

vi でばーっと書いて nsupdate にくわせりゃいいじゃん

>>459
×　本来のサーバ管理者
○　並のサーバ管理者

吉牛食いたくなった

>>463
"並"のサーバ管理者か。
つゆだくで頼む。

新しいverのがドバッと出た件

FreeBSDのSAキタコレ

逆引きは必ず書かなければいけないの？
固定IPなのだけれど、
http://www.mse.co.jp/ip_domain/
などで、逆引きしても自分のアドレスが出ない（プロバイダのアドレスが出る）タイプの契約なのだけれど。

固定IP一個の契約だと逆引きはプロバイダに任すのが普通。
申請すると変更してくれる所もあるが、プロバイダ側で固定去れてしまう所もある。
プロバイダが逆引きの管理を委譲してくれないのならば勝手にやっても無意味。

あるFQDNがどこのDNSサーバで定義されているか機械的に簡単に調べる方法ってないですか？

ルートから再帰的にNSレコードを手繰るプログラムがあるとよいのですが。。

>>469
他スレに投下するなら元スレのURLぐらい張れよ。

結論から言うと無い。

>>469
あるよ
DNSdoctor

NS レコードが信用できないのであれば, DNSdoctor でも駄目だと思う.

>>472
あんたもしつこいね

でも正解

bind9にしたところrecursion の拒否ログがでなくなってしまいました。
同等のログってだせますか？
debugレベル上げてみたのですが、それらしいログは出ません。

DNS (Domain Name System) 総合スレ
http://pc8.2ch.net/test/read.cgi/network/1159978850/

forwardersのDNSサーバで解決しないクエリーはROOT-SERVERSへ
問い合わせに行きますか？

forward only;
forward first;

loggingですべてのログを取りたいのですが、どのカテゴリで可能になります？

ttp://www.isc.org/sw/bind/arm93/Bv9ARM.ch06.html#the_category_phrase
読みやがれ、こんちくしょーっ！

FreeBSD6.1でBIND9を使うために
TCP/IPネットワーク管理
(http://www.amazon.co.jp/exec/obidos/ASIN/4873111293)
を読みながらBINDの設定をしています

DNSサーバ:pc1.mmasahiro.dyndns.org

pc1.mmasahiro.dyndns.org 192.168.1.3
pc2.mmasahiro.dyndns.org 192.168.1.4

と設定したいのですがうまく動きません。
設定ファイルを晒した方がいいでしょうか？

ダイナミックDNSでネームサーバは使えません。
無理すればなんとかならないこともないけど特殊な設定が必要です。
あきらめてください。

>>482
そうなんですか？
よくわからないですが、
IPが動的に動いたら設定が出来ないような気がします。

ありがとうございました

逆引きに関して教えてください。
適当なIPアドレスを例えばppp123.yahoo.com等と設定しては問題があるので
何らかの信頼性を確認する機構があると思うのですが正引きを利用しているのでしょうか。
クラスC未満での運用経験しか無く逆引き依頼を出す度に疑問を感じております。

>>484
正引きしなおすくらいしかないよ。
だから逆引きはたいして信用できない。

大胆な「例示」ですねぇ、、

BINDのコンテンツサーバーで、
問い合わせのログを取ることは出来ますか？

tinydnsはlogディレクトリに取れていたので、BINDでも出来るのでしょうか？

できる

bind9って拒否されたログってとれない？

>>489
なんの拒否だ？

>>490

再帰問い合わせ

取れる

どうやって？
デバックレベル最高にしても拒否まではとれなかった…

拒否して無いだけだろ

そんなことはない…

研究室のwebサーバのIPアドレス（研究室.大学.ac.jpのドメイン名あたってる）に、
別の.orgドメインを外のDNSから振って、
apacheのバーチャルサーバでドメイン名ごとにWebページを切り替えようと思ってますが、
そもそもそういうのってDNSのしきたりとしてはアリでしょうか。
またこの場合、逆引きだと大学のドメインしかでないわけだけど、それはアリでしょうか。
またこの場合、大学の上位のDNS（研究室ドメインをオーソライズしてもらってる）
のあるネットワークセンターには仁義を切らんとイカンのでしょうか。
BINDとは直接関係なくて恐れ入りますが何卒ご教示いただきたく御願申し上げます。

>>496
技術的にはアリ。
政治的には知らん。

まったく問題なし

なるほど。ありがとうございました。

フォワーダーにする際に、上位DNSサーバをDHCPで送られてきたサーバ名に設定することはできませんか？

9.3.3と9.2.7が出たっぺよ。

111.zzz.yyy.xxx.in-addr.arpa の逆引きの問い合わせを
委譲してもらいました。
プロバイダからは、111.zzz.yyy.xxx.in-addr.arpa の
ゾーンの設定をしろ、との事でしたので、下記のように
設定しましたが、逆引きができません。

何か原因になりそうな事は考えられますでしょうか？

named.conf
zone "111.zzz.yyy.xxx.in-addr.arpa"{
type master;
file "rev-file-name";
}

rev-file-name
$ORIGIN 111.zzz.yyy.xxx.in-addr.arpa.
$TTL 3600
@ IN SOA ns1.example.jp. postmaster.example.jp. (
2007011002 ; Serial
7200 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ) ; Negative Cache TTL
;
;
IN NS ns1.example.jp.
IN NS ns1.provider.ne.jp.
IN NS ns2.provider.ne.jp.
;
111 IN PTR ns1.example.jp

>>502
> $ORIGIN 111.zzz.yyy.xxx.in-addr.arpa.
> 111 IN PTR ns1.example.jp
こう書くと 111.111.zzz.yyy.xxx.in-addr.arpa. の
PTR レコードを設定したことになる。
それと jp の後に . がない。
これでどうかな。

@ IN PTR ns1.example.jp.

>>503
ありがとうございます。
dig @127.0.0.1 -x xxx.yyy.zzz.111
はひけるようになりました。

でも、上流プロバイダのネームサーバーではまだひけません。

上流プロバイダに問題があるかどうかを、こちらから調べる方法は
ありますか？

http://www.dnsstuff.com/
ここのReverse DNS lookupとか使ってみたら？

centosで service named reload
すると、リロード中、名前解決できなくなります。
ちなみに redhatのsrpmをそのまま使ってます。

どなたか助言きぼんう

>>506
Linux板へ。

今運用中の複数ドメインに対してネームサーバーをひとつ追加したいと
考えています。
単純に新しいDNSを立てて、ドメインのレジストラで
そのDNSをネームサーバーとして設定すればよいだけの気がしますが、
ひとつ気になったことがあります。

bind のゾーンファイルにNSレコードを設定する部分がありますが、
これは何の役割をしているんでしょうか？
上の私がやりたい内容の場合、
ゾーンファイルのNSレコードも別途追加する必要があるんでしょうか？

このゾーンファイルを読み込めた時点で
既に名前解決はできているわけで、そこからNSレコードが必要とされる
意味が良く理解できません。

ご教授お願いします。

あります。
詳しくは http://www.nic.ad.jp/ja/dnsqc/index.html

とはいってもほぼ実害はありませんけどね。
キャッシュにのるってのはどのくらいあるかな〜

9.4.0, 9.3.4, 9.2.8 ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!!
とかやってよ

>>506
reload中だから引けないのが正しいのでは？

>>510
全く同意見。
9.4.0を見逃してた。

>>510

9.4.0出たときに皆スルーしまくりなもんだから
アナウンスなしがここでのルールかと思っちゃったよ。

運用しているドメインが突然ネームサーバを参照ぜず、
変なまったく関係のないIPを返して来るようになりました。

それで上記のSquishで調べたらここでエラーが出ていました。

Error: I.GTLD-SERVERS.NET (192.43.172.30): Resolve for xxxxx.com. (NS) failed: query timed out


他のgTLDサーバは正常に返してます。

レジストラはずっとアメリカにありますが、そういったことも関係しているのでしょうか？
5年以上も使っていたのが、突然こうなってしまったのです。
BINDの設定は何も変更しておりません。

実は前の運用担当者から引き継いで、BINDとかDNSはあんまりわからないのです。
どうか解決のヒントか何かあればよろしくご教示ください。

まさかとは思いますが、ドメインの更新をしてなくて別の誰かに取られちゃった、なんてことはないですよね。

まずwhoisで、そのドメインのDNSが何になっているか調べてみては？
ついでにちゃんと登録されてるかどうかも。

>>514
>>ドメインの更新をしてなくて別の誰かに取られちゃった

それはありませんでした。

BINDのバージョンが8だからでしょうか？

DNSがおかしいのか、検索しているクライアントのほうがおかしいのか、
それとも別のなにかがおかしいのか、
問題の切り分けをしないといけないと思いますが、
とりあえずヤマカンで、

whois で調べると、そのドメインのDNSのホスト名またはIPアドレスが出てくると思います。
それは正しいですか？

それが正しいとして、DNSサーバーの設定は正しいですか？
BIND8だから正しく動作しないということはないはずです。

>>516
>>そのドメインのDNSのホスト名またはIPアドレスが出てくると思います

DNSサーバのホスト名とIPアドレスも確認しました。


>>DNSサーバーの設定は正しいですか

これが自分ではまったく自信がないんです。
どこが正しくて間違ってるか・・・

今、BINDの書籍と格闘してます。

DNSサーバーにログインして、DNSが期待通りのIPを返してくるか確かめてはどうですか？
そのDNSサーバーのIPを W.X.Y.Z、ホスト名をwww.example.com として
dig @W.X.Y.Z www.example.com
を実行したとき、期待通りのIPアドレスが返ってきますか？

もし変なIPだったら、/etc/bind の下あたりにファイル名にドメイン名がついた
ファイルがあると思うので、それを見てみてください。
もし、見に覚えのないホスト名やIPアドレスがあったら...

かなりヤバいです。

ホスト名というのは、DNSサーバーのホスト名ではなく、

> 運用しているドメインが突然ネームサーバを参照ぜず、
> 変なまったく関係のないIPを返して来るようになりました。

こっちの変なIPが返ってくるホストです。

>>518
>>dig @W.X.Y.Z www.example.com を実行したとき


これはすべて期待通りの値が返ってきました。

ただ、nslookupだと共通の変なIP値に変換されて返ってきます。

なぜdigとnslookupで結果が異なるのでしょうか。


それとあちらこちらに確認したらちゃんと閲覧可能なところも
かなりあるらしく、見れる見れないが何らかの条件で異なるようです。


>>519
この変なIPにホスト名は返って来ませんでした。

質問です。
DNSで管理していないIPアドレスのホストドメイン名を
CNAMEで指定することは可能でしょうか？
mxとか指定してないのに、CNAME and other data　エラー
が出てしまうのですが、無理なのか設定ミスなのか
よくわからないので教えてください。

hoge.com. IN NS ns.hoge.jp.
hoge.com. in cname other.net.

>>521
http://bonz.squares.net/~dais/misc/rfc1912j.html#cname

>>520
dig なり nslookup を実行するときに、どのDNSサーバーに問い合わせているかに
気をつけないと、どこから変なデータが返ってきているのか分からなくなるので、
それに注意しつつ、調査しましょう。
nslookup を実行したときは Server、 Addressはどこになっていましたか？
その Server や Address は
(1)自身で管理しているマシン
(2)プロバイダーが提供しているDNSサーバーまたは信用できる誰かのDNSサーバー
(3)知らないマシン
のどれかだと思いますが、どうなっていましたか？

nslookup www.example.com W.X.Y.Z
というようにDNSサーバーを指定してやってもdigと違う値が返ってきますか？

/etc/resolv.conf の中に変なものがあったり、
/etc/hosts の中に、その変なIPアドレスがあったりしませんか？

>>522
意味がわからないんですけど、
何かご自分の解釈をつけてもらえませんか？

>>524
書いてあるとおりなんだけどな。
>>521 のように hoge.com. の CNAME レコードがあると
それ以外のレコード (この場合 NS レコード) は無視される。

>>525
つまりNSレコードで自DNSを指してるから
CNAME and other data　エラーってことですかね？
うーん、NSレコード入れないとまずいんですよね？

で、hoge.com は実在するわけだが、、

>>526
いまいち何をやりたいのかよくわからないんだが、
CNAME を使わずに書いちゃだめなん?

>>527
そこはスルーしとき。

>>528
要するに、自DNSから他DNSの管理するサイトを指したいというか、
hoge.comのリクエストにother.netのIP（管理外なので不定または不明）
を返したいということなんですが。
移転する時に先方任せで楽なので。

hoge.comあっったんですか！ごめんなさい例えです。

other.netも実在しちゃったりなんかして。

>>530
CNAME で指定するのは無理。
A で指定するしかない。

ええっ！ごめんなさい例えです。

>>532
やっぱそうですか・・・・
ちなみに話し違いますがNSレコード入れない設定をした場合
どんな不具合がおきますか？
NSレコードってセカンダリDNSがない場合、他に何か使われますか？
ついでですみません。

>>534
CNAME 書くからって NS 書かないつもり?
それはやめとけ。
やっちゃいかんことになっている。

>>535
うん。読みました。
その過程でいまいちNSレコードについて
わからなかったんで聞けたらいいなと。

>>513
DNSキャッシュに変なデータ食わされたんじゃないかなぁ。
#poison cache
BIND8 だし、そんな穴があった記憶がある。

＞hoge.com. IN NS ns.hoge.jp.
＞hoge.com. in cname other.net.

hoge.com については、 ns.hoge.jp に聞けと一行目は書いている。
二行目は、hoge.com は other.net の別名である、と書いている。
ということは、hoge.com の実態は、 other.net である。
二行目を優先すると、一行目は無意味。
なぜなら、other.net の情報＝hoge.com の情報で、どこかにある other.net のNSレコードが有効な情報といえるので。
#と自己流解釈を入れてみる

↓反町隆史禁止

>>538
つまりother.netを管理してるDNSをns.other,netとすると
こうしろと？
＞hoge.com. IN NS ns.other.net.
＞hoge.com. in cname other.net.

>>540
だめ。

hoge.com. IN CNAME 〜
を書いたら
hoge.com. IN 何か 〜
は全部無効。

hoge.com. の管理を other.net. の管理者にまかせちゃえば?

>>540
んー、じゃあこうか？
＞other.net. IN NS ns.other.net.
＞hoge.com. in cname other.net.

こんなのあり？

>>542
そんなら何もしないでいいね・・・

>>543
hoge.com. IN NS 〜
は書かなきゃいけない。

( ﾟдﾟ)ﾎﾟｶｰﾝ

そもそもなんで CNAME を書きたいのかさっぱりわからんのだが

理由は、
>530
＞移転する時に先方任せで楽なので。

元質問者が、DNSの仕組みや動作をきちんと理解していないことがくだ質を生み出しているだけだ。

>>547
すみません、元質問者です。
よくわからないので、説明していただけませんか？

>>548
ググレカス

逃げたｗ

元質問者です。
>>549は>>547ですか？


では

逃げないでくださいｗ

んで、解決したの？

いいえ。
あっさり>>532で以降無理筋らしいので。
なにかいい方法ありますか？

>549
は、オイラじゃない。
ググれとはいわんよ。

代わりにバッタ本嫁、と言うだけ。

#逃げるＡＡが欲しいな

例えで出したら実在ドメイン！はい！

>555
あるある探検隊
あるある探検隊

とでも書けば良いのでしょうか?

うわお、乗っかってくれる人が居た

これあてたほうがいい？

ttp://member.wide.ad.jp/tr/wide-tr-dns-bind9-portpool-01.txt
ttp://www.jinmei.org/bind-9.4.0-portpool.patch

>>558
自宅サーバでアクセスは少ないけど、一応あててみた。

***.comにきたアクセスをwww.***.comに送りたいんだけどどういう設定すればいいの？

そりゃweb server側の領分の話だろ

自鯖でBIND動かして公開してるんだけど、先週末に突然逆引きが出来なく
なった。
# プロバイダから/29を貰ってるんでその範囲を自鯖で賄ってる状態。

で、いろいろ調べてみたら、CIDRを再分配してくれてるプロバイダの上位鯖
が、プロバイダ外部からの問い合わせに対してウチのIPレンジ（のPTR）に
対する要求にすら「Query refused」を返してることが判ったんだわ。
ウチのIP（＝プロバイダの圏内）からだと答えてくれてたんで発見が遅くなった
んだけど…これってその上位鯖の管理者が馬鹿だ、ってことでいいの？
ウチで出来ることって無いよね？
# もちろんプロバイダにゴルア連絡はした。

ない。

プロバイダから返事が来た。
派手に意訳するけど…

「（プロバイダのDNS鯖のアドレス）の逆引きは（その鯖）では行っていません。
ですので、（プロバイダのDNS鯖）の逆引きを（その鯖）に問い合わせても
答えが返らなくて正常です。」

ふざけるな(ﾟДﾟ)ｺﾞﾙｧ!!
喪前の鯖のアドレスを逆引きしたいんじゃなくて漏れの鯖の逆引きにきちんと
答えてくれと言ってるんぢゃっ！！


……… orz

日記はよそでやれ。

具体的にどこのISPなのか晒してよ。

>>562
　たぶんデリゲーションの意味がわかってないんだろ。
　プロバイダのほうがただしい。

>>567
CIDRのデリゲート（なのか？）なんだからプロバイダおかしくね？

>>568
俺もそう思う
というわけで>>562はどこのISPなのか晒してくれ

単純にそのISPが契約者を信用してないってことでしょ。

さらりぃまんの本職が忙しくてまだ「更なる反論」メイルを出せてないorz

いま「あんたがnslookupつかってるからだ。nslookupは最初に鯖の逆引きを
するからそこで蹴られてるだけだ」という斜め上の返答に返事をだすとこ。
普段はdig使ってんだけど相手に合わせてnslookup使ったのが裏目に出ち
まった･ﾟ･(ﾉД`)･ﾟ･
# その斜め上返答の「実例」はW2kでやってるんだよな。W2kのリゾルバって
# 逆引きをわざわざx.x.x.x.in-addr.arpaに変換して問い合わせたりみたいな
# 余計なことをしてるらしいから、DNSの検証には屑なのになあ。

>>566>>569
プロバイダは「逆引きを委譲してくれて神奈川ローカルでとっても安いとこ」。
いままでの情報と合わせればこれだけでも充分特定出来ると思う。
さらに、「66.64-71.32.168.192.in-addr.arpa」とかではなく「66.64.32.168.192.in-addr.arpa」
みたいな方式を使ってるとこ。

なお、当たり前っちゃ当たり前なんだけど、最低でもウチの/29が含まれる/24の
エリアの逆引きはどうも全滅してるっぽい。
ほかからクレーム来てないのかなあ……

>>570
ここ数年はずっと順調だったんだよ。4月に入って担当が替わって新担当が
ttp://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
こんな話を中途半端に聞きかじってて、セキュリティを下手に上げて破綻、じゃ
ないかと思ってる。
# Solaris2.9のスレッドのバグに引っかかって先週からハマりっぱなしだったorz

逆引きが必要な時ってどんな時？
今までなくても困ったことはないのだが。

Apr 12 06:02:27 *** named[5442]: unexpected RCODE (SERVFAIL) resolving 'attacker.com/NS/IN': 202.225.94.247#53
Apr 12 06:02:27 *** named[5442]: unexpected RCODE (SERVFAIL) resolving 'attacker.com/NS/IN': 192.168.48.200#53
Apr 12 06:02:28 *** named[5442]: unexpected RCODE (SERVFAIL) resolving 'attacker.com/NS/IN': 210.147.240.193#53
Apr 12 06:02:28 *** named[5442]: FORMERR resolving 'attacker.com/NS/IN': **.**.**.**#53
Apr 12 06:02:28 *** named[5442]: FORMERR resolving 'attacker.com/NS/IN': **.**.**.**#53

最近、こんなログが四六時中出るようになったので、
外から53番ポートREJECTするようにしちゃったんだけど
これって正しい対処だよね?
ちなみに、うちの鯖の名前解決は別のところがやってます。

>>572
メールを送る時は無いと信用してもらえなくて困るよ。

>>574
いままで送れなかったことなど無いのだが。
SPFは設定しているけど。

逆引きをはじく以外の簡単かつ信頼性のある手段ってないんだろうか。
全ての逆引きをはじいてしまうと、それはそれで問題がでる場合もあるしな。
特定のホストしか受け取らないって言うのなら、ホワイトリストでいいけど。

>>576
walldns みたいなことやるとか。
djbdns じゃなくてもゾーンファイルにずらっと書けば可能だよ。

>>575
yahooとか100%戻ってきたよ。SPF無しで最近までの話。

ついいま解決した。
結論から言うと、やっぱりこっちは悪くなかった。（・∀・）

ただ、ｶﾅｰﾘ複雑な要因だった。ウチのBINDは「SERVFAIL」しか返さない
から特定にすごく時間を要したし、プロバイダも設定をコロコロ変えてたの
で時系列を見失いかけて苦労した〜。

ただ…顛末書いても日記にしかならん（cc:>>565）し、他に日記は持って無
いから当面割愛…。

You！　書き散らしちゃえYo！

>>579
固有名詞は出さなくてもいいから
まとめて経過書いてくれ。
日記でもいい。

あ、意外と好感触w

桶。まとめてみる。

登場鯖：
プロバイダの外側の、ドット鯖からの流れ（以下大元）
プロバイダ1次鯖（以下プロ1次）
プロバイダ2次鯖（以下プロ2次）
ウチの鯖（以下ウチ鯖）

ウチの/29（以下ウチ/29）の逆引きは
大元→プロ2次→ウチ鯖
という流れで委譲されている。また、
プロ2次←プロ1次
という正引きの流れもある。
つまり、逆引きをする場合、
a. ウチ/29は、大元からプロ2次に聞けと言われる
b. プロ2次のIPをプロ1次に教えて貰う
c. ウチ/29をプロ2次に聞いたらCNAMEとGLUEを教えてくれてウチ鯖にたどり着く
d. ウチ/29のPTRをウチ鯖が答える
という流れになる。
続く

承前
1. 最初に逆引き出来なくなったときは、プロ2次がウチ/29のqueryに対して
refusedを返していた（>>562）。このときのプロ2次はウチ/29からの他の
問い合わせには応答してくれていた。
2. 次にウチ/29以外からは引けるようになったがウチ/29の中からは相変わらず
ウチ/29が引けないまま。この時点でプロ2次はウチ/29のCNAMEとGLUEは返答
してくれていたが、ウチ鯖はservfailを返し続けていた。このときはまだプロ
1次の関与に気付いていなかった（>>571の頃）。
3. フと思い立ってプロ1次およびプロ2次にtracerouteをかけてみたところ、
ウチ/29からのみプロ1次に届かないことが判明（>>578の頃）。そこで初めて
上記「b.」のところでリンクが途切れていることに気付いた。
4. 文句を言っても>>571の回答を何度も手を変え品を変え繰り返すばかりなの
で、digのlogおよびtracerouteのlog収集（>>579の日の午前中）。
5. 突然回復。プロ1次にtracerouteが届くようになっていた。
続く

承前
プロ1次とプロ2次のセキュリティを上げるべくallow-queryの設定変更および
パケットフィルタの設定変更をいろいろやっていておかしくなったんだろう、
と推測してる。
最初はおそらくプロ2次でCIDR分の回答をせにゃならんことを忘れてたのでは
ないかと推測。
次に「予想以上の範囲のqueryにちゃんと答えなきゃいけない」ことがやっと
判って、フィルタでセキュリティをかけようとしたのではないかと推測。
最後に、外からのquery問題を解決したときに中からのqueryを忘れていたの
ではないかと推測。きっと「自鯖持ってんだからプロ鯖に聞きに来なくても
いいよね」とか考えたのではないか。DNSの「たらいまわし」の経路途中の
問い合わせが発生するなんて考えてもみなかったんじゃないか。
続く

最後
とにかく呆れたことに
1. 問い合わせに対して「nslookup使うお前がおかしいだけだ」の一点張り
2. 他からも引けないことを指摘したらｺｿｰﾘ直したがウチからは引けないまま
3. tracerouteやらpingやらをプロ1次にかけまくって証拠を集めていたら
突然回復したから、多分パケットフィルタのlogとかを見て気付いたのでは
ないか。ただし先方はあくまでもシラを切りとおした。唯一「回復の連絡を
ありがとうございました」だけ。

いままでは順調だったし今も順調だし、しかもここまで安いところは他に
無いから乗り換えるわけにもいかないし…困ったorz
以上

お前が悪い

以上

BIND 9.4.1

BIND 9.4.1 is a security release of BIND 9, containing a
fix for a vulnerability in BIND 9.4.0:

If you are running BIND 9.4.0 (either pre-release or final),
you are advised to upgrade as soon as possible to BIND 9.4.1.

また脆弱性かっ

(ﾉ∀`) ｱﾁｬｰ

Internet Systems Consortium Security Advisory.
BIND 9: query_addsoa DoS
30 April 2007

Versions affected:

BIND 9.4.0
BIND 9.5.0a1, 9.5.0a2, 9.5.0a3

[BIND 9.5.0* have only been released to BIND Forum members]

Severity: High

Description:

A sequence of queries can cause a recursive nameserver to exit.
While it is unlikely these will occur in normal operation,
an attack can use them to cause the affected versions to exit.
This attack is a denial of service, and does not allow an attacker
to gain control of affected systems.

Workaround:

Disable recursion if it is not required by your configuration.

recursion no;

9.4.0を正式運用で使っている早漏なんておるのか？

僕の肛門もDoSられちゃいそうです＞＜

>>591
使ってるよ。
正式運用って意味にもよるが。

9.4.1がお出ましなので更新をお勧めします

ns.example.comというサーバを使ってexample.orgというドメインを運用したいのですが、
どのような記述をすればいいのでしょうか？

named.confには

zone "example.org" IN {
type master;
file "/etc/bind/db.example.org";
};



db.example.orgには

$TTL 86400
@ IN SOA ns.example.com. root.example.com.(
2007052500 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum

IN NS ns.example.com.

@ IN A 123.123.123.123
www IN A 123.123.123.123


上記のような設定をしてもうまく動きません。
わかる方いましたらお願いします。

>>595
ちゃんと移譲はされてる？

>>596
すいません
移譲とはなんでしょう…？

>>597
ググレカス

とりあえず委譲は関係ない。
うまく動かないといわれても、
リゾルバの設定が間違っているのか、サーバの設定が間違っているのかすらわからんし。
トラブルシュートの基本コマンドであるdig（ないしnslookup）を使うところから、始めるべし。

Serialを変えたらあっさり動きました…
Serialが他のzoneファイルと被ってたからうまくいかなかったみたいです…

>>600
> Serialが他のzoneファイルと被ってたから
違うだろ。

>>601
違うんですかね？
もしやと思ってSerialの数を増やしてreloadしたら、正常に動作したんですが…

>>602
他と同じだからじゃなく、
ゾーンデータを書き換えたのに Serial を増やしてなかったから。

>>603
なるほど
Serialでこんなにてこずるとは思ってませんでした。
ありがとうございました。

ちょっと脱力した…

でもさ、このSerialって仕様もめんどくさいし、忘れやすいんだよね。
ハッシュとかで判定とかでもよかったと思うんだが。

いまさら言ってもしょうがない。
俺は初心者にはツールを使う事を勧めている。
最近のLinuxならディストリビューション付属のツールがあるし。

emacs の dns-mode を使え。
それならば、シリアルを自動で更新してくれる。

別に手動でいいじゃん。

ゾーン管理にMySQLなどのデータベースを使うのも一つの手
レコードを更新した段階で反映されます。

>>610
BIND でできるのか？

へー。
http://www.atmarkit.co.jp/flinux/rensai/bind915/bind915a.html

DLZがbind9.4からソースツリーに取り込まれているので
これから試すんだったらこっちの方がいいかも

http://bind-dlz.sourceforge.net/

>>610
今はシリアルを上げないと notify packet を飛ばないという話してるんちゃう
の？シリアルあげなくても、ローカルのは反映されるが。

こんなプロバイダがあるのかどうだか知らんけど、もしかして正式には委譲
されてなくて、プロバイダ側の鯖だけが委譲されてる状態で>>595の鯖を
親鯖としてセカンダリとしてプロバイダ鯖が稼動してる…なんていう状態なら
この動きも納得行くけどねえ。
# 日本語でおｋ >>俺 orz

どういうこと？

xDSLのマルチセッションを利用して、独立した二つのプロバイダへ常時接続を行い、
DDNSであるにも関わらず、named を外向けに起動。二つのドメインを互いに参照させ合う、
という綱渡り的なことを実際にやっている、という方っていますか？
っていうか出来るのかなぁ？？？

固定IPが無ければ無理

fedoracore6ですがyumでbindをインストールすると「named.conf」がなく
変わりに「named.caching-nameserver.conf」がありました。
これを編集すると動きますが、新しく「named.conf」を作ったらこちらが優先されます。
どちらでも動くのでどちらを使ってもいいとは思いますが
なるべくならどちらを使ったほうがいいと思いますか？
やはり互換性のある「named.conf」を使ったほうがいいのでしょうか？

よろしければどちらを使ったほうがいいのか、またその理由もお聞かせください。
よろしくお願いします。

>>619
そんなローカルな話は Fedora スレで聞きなよ。

Fedora 総合スレッド Part35
http://pc11.2ch.net/test/read.cgi/linux/1178700625/

>>619
用途による。

FC6 では /etc/named.caching-nameserver.conf は bind ではなく、
caching-nameserver パッケージに入っている。
よって bind パッケージだけインストールした場合はこのファイルは存在しない。
依存で余計なものが入れられたか操作ミス。もしくはいい加減な記憶で書いている。

recursive 専用ならこちらでもいいが、auth も必要ならば
caching-nameserver パッケージをアンインストールして、/etc/named.conf を作る。

別にアンインストールしなくてもいいが、効果が分からないなら抜いておいた方がいいだろう。

>>616
プロバイダにある複数の「（BINDのconfig的には）セカンダリサーバ」だけが
DNSツリーに取り込まれている（正式に委譲されてる）状態、と言えばいいん
だろうか……んでもって、「（BINDのconfig的に）プライマリサーバ」なのが
>>595のサーバだ、と…。
DB管理はユーザに全開放、ただし鯖管理は渡さん、という運用するなら
こうするのが早いかな、と。

named.conf作って運用したほうがいい。
caching-nameserverはアンインストールしなくても効果はある。

質問です

ワイルドカードMXを使っていて、
特定ドメイン(下の例だとhoge宛)だけを
別サーバに飛ばすことは可能ですか？


* IN MX fugehost
hoge IN MX hogehost

>>624
可能です。

再発した･ﾟ･(ﾉД`)･ﾟ･

久し振りにネームサーバの設定をすることになって
isc.orgでBIND 9のマニュアルを見ていたのですが、
どう見てもroot.cacheについての説明がありません。
で、root.cacheの指定なしでBIND 9を起動させてみた
ところ、普通に名前解決できました。

もしかして、最近のBINDはroot.cacheを内蔵している
のでしょうか？

>>627 rootns.c

BIND 9.4.1-P1

BIND 9.4.1-P1 is a security release, containing a fixes for a
security bugs in BIND 9.4.1.

BIND 9.4.0, 9.4.1
BIND 9.5.0a1, 9.5.0a2, 9.5.0a3, 9.5.0a4, 9.5.0a5

つかっとる椰子はageれとな
http://www.isc.org/sw/bind/bind-security.php

質問

WAN側正引きって固定ＩＰじゃなかったら必要ないの？

>>631
ホスト名でアクセスする必要がなければ必要ない。

ホスト名でアクセスするけど必要なくないですか？

>>629
2206. [security]　 　"allow-query-cache" and "allow-recursion" now
　 　 　 　 　 　 　 　 cross inherit from each other.

　 　 　 　 　 　 　 　 If allow-query-cache is not set in named.conf then
　 　 　 　 　 　 　 　 allow-recursion is used if set, otherwise allow-query
　 　 　 　 　 　 　 　 is used if set, otherwise the default (localnets;
　 　 　 　 　 　 　 　 localhost;) is used.

　 　 　 　 　 　 　 　 If allow-recursion is not set in named.conf then
　 　 　 　 　 　 　 　 allow-query-cache is used if set, otherwise allow-query
　 　 　 　 　 　 　 　 is used if set, otherwise the default (localnets;
　 　 　 　 　 　 　 　 localhost;) is used.

　 　 　 　 　 　 　 　 [RT #16987]

2202. [security]　 　The default acls for allow-query-cache and
　 　 　 　 　 　 　 　 allow-recursion were not being applied. [RT #16960]

ハマったorz

>>634
え、やられちゃったの?

>>635
いや逆。
実家のプロバイダのDNS鯖があてにならない（よく落ちるorz）んで自鯖を
使わせてたら、BIND9.4.1P1に入れ替えた結果実家での名前解決が出来なく
なったの（涙
他のところでもそういうケースがあったら使わせてたんで、実家で気付いて
よかったんだけど…
もっともいまの「allow-なんぞ{all;}」という運用はいかがなものかなと(ry

気が付いたらamp砲台になってたよりは良いんじゃないの？ってこと？

bind9を使用しています。
ワイルドカードを使用して

* IN A 192.168.33.44

のように設定していますがこれだとaaa.bbb.domainのようにドメインの前に
ドットが複数含まれていてもヒットしてしまいます。
ドメインの前はドットを含まないホスト名の場合だけにヒットさせるような
ワイルドカードの設定は可能でしょうか？

>>637
なんか古き良き時代は終わったんだなぁ感がまた…orz
# 最初はsendmailのときだったかなあ。

bind9で名前を引いた履歴を参照って可能ですか？
日次でリストを出力したいです。

categoryのqueriesだったかな？

>>641
あんがと。
ずばりでした。

zoneファイルの更新を反映させるためのkill -HUPコマンドについて
教えていただきたいのですが、
zoneファイルの再読み込み処理中に問い合わせが来たとき、
名前解決できない可能性・リスクってあるでしょうか？

上記リスクは rndc reload [zone]コマンドで特定のzoneファイルのみを
再読み込みすることで軽減できますか？

そもそもセカンダリネームサーバーが定義されていれば
リスクすら存在しないものなのでしょうか？

>>643
すべての場合でリスクなど存在しない。

>>644
ありがとうございます。
再読み込み中に問い合わせが発生すると再読み込み後に結果を返す
というロジックになっているとかでしょうか？
そもそも変更レコードのみが追加もしくは削除されるロジックとかでしょうか？

>>645
ヒント：UDPは信頼性のないプロトコル

>>646
UDPの特性を考慮してリゾルバ側で再送要求を出すから問題ないということですね m(__)m

ググってたらbindはzoneデータ読み込み、再読み込み時には無応答という事と
zoneレコードをメモリ上にロードする時間が2,000万エントリで5分かかる
という調査結果を見つけたので件数が多い場合は考慮が必要ですよね？

>ググってたらbindはzoneデータ読み込み、再読み込み時には無応答という事と

これ bind8 でしょ。bind9 はパフォーマンスは落ちるけどちゃんと答えるよ。

>>647
厳密にはゾーンファイルを構文解析する時間のオーバーヘッドが
あるわけですが、100ゾーン程度であれば今時のハードウェアの
性能なら瞬時です。

自分の扱う環境と、必要になる性能（性能要件）を考えましょう。
1万を越えるような規模になるのなら、DLZとか使ってみては？

# あとはTTLの調整ですな。NSとそのAレコードは86400以上で
# お願いいたします。ここが600とかなってる鯖を見ると（ｒｙ

>>648,649
コメントありがとうです。

今はbind 8.2なので bind 9.4にバージョンアップするような提案してみます。
動的読み込み(DLZ)は理想的な運用が可能ですね。

構文解析のタイミングはdb初期化後なんでしょうか？
構文解析⇒db初期化⇒ロードのような気がしますが、どうなんでしょう・・・

ちなみにTTLはデフォルト3時間で
レコード更新のタイミングで対象のみ600にして、落ち着いたらデフォルトに戻してます。

BIND 9 DNS Cache Poisoning Exploit (v0.3beta)
http://www.milw0rm.com/exploits/4266

bind9に脆弱性ー

Cache Poisoningって脆弱性なのかなあ。正規の機能の悪用法を思い付いた
だけに思えるんだよなあ。まあその結果その「正規の機能」の見直しを余儀無
くされたのも確かだけど。

脆弱性だろ。
SNMPの脆弱性とかTCPIPの脆弱性とかたまにあるじゃん。

>>652
その結果として、出来なくしたはずなのに、
ある方法を使えば出来ちゃった、ってのは脆弱性と言えるだろ。

BIND8 entering end of life; changes to ftp.isc.org (affects mirrors)
http://marc.info/?l=bind-announce&m=118670081707688&w=2

早いな。もう終わりか。

めでたしめでたし

dig で ANYオプションつけても SOAレコードが出ないのはなぜでしょうか？

普通にSOAレコードが無いからじゃね？

>>655-657
「BIND8完全コンパチモード」（ワーニングは出ても同じnamed.confやzoneファイルでの
同一挙動を保証）があればいいだけなんだけどね。
いまのBIND9ってNSが別ドメインだと無視したりとかの「制約」が敷居を高くしてると思う。

>>658
server.example.com にはAやMXやCNAMEがあるが、SOAは大抵example.comしか
持ってない、とかの「実情」は関係ねー？

> いまのBIND9ってNSが別ドメインだと無視したり
何をどう無視するの？
権威が無くても返事して欲しいって話？　それって意味あるの？

http://member.dnsstuff.com/pages/dnsreport.php
で設定を確認すると、
Single Point of FailureでWARNが出るのですが、何を修正すればよいのでしょうか？
ちなみにnslookupでset type=nsで確認したところ、ns1、ns2はそれぞれ別のIPアドレスになっています。

>>662
ns1 と ns2 が同一のsubnetにいるんじゃないの?

とおもったけど俺のゾーンをいくつか食わせてみたがどれでも出るな・・・
（セカンダリは別ASのホストに設置）

最後の domain A lookup で FAIL 扱いなのが納得いかん

>>662 バグでしょ。
>>664 spam対策の観点からも不要

こちらのテストもよろしく
http://www.e-ontap.com/internet/check/

ＬＡＮ内環境で、サーバＰＣ用のホスト（リゾルバ）を置くとします。
この場合、リゾルバが設定ファイル通りに、ルートから正引きファイルの順に問い合わせていくのでしょうか？
ＬＡＮ内環境にあるルートが、ＬＡＮ環境にある自分の作った正引き用のファイルを知っているのはどうしてなのでしょうか？
どこで関連付いてるんですか？

ルートが知ってるのは委譲先のFQDNとそのglue Aのみ。
委譲というものをちゃんと理解しましょう。

>リゾルバが設定ファイル通りに、ルートから正引きファイルの順に問い合わせていく
意味不明ですが、多分キャッシュサーバとコンテンツサーバを同居させた時の間違った運用
で理解が混乱しているのでしょう。
DNSはキャッシュサーバとコンテンツサーバを分離すると正しく理解できるようになります。

>>DNSはキャッシュサーバとコンテンツサーバを分離すると正しく理解できるようになります。

ありがとうございます。

>>661
「BIND8と同じ挙動」がミソでしょう。

>>666
ftp://ftp.rs.internic.net/domain/root.zone.gz
これ読んだら目から鱗が落ちるかもよ。

いきなり横に入って申し訳ございません。

#nslookup
>www.xxxxxxxx.mobi
Server: 192.168.11.101
Address: 192.168.11.101#53

** server can't find www.xxxxxxxx.mobi : SERVFAIL

サーバ機から自分自身に、nslookupで名前解決を試みてみたのですが、
サーバは、www.xxxxxxxx.mobiを見つけることができない。という返答が返ってきてしまいました。

設定ファイルもゾーンデータファイルの文法チェックには、問題ありませんでしたし、
namedの起動もokが返ってくるので問題はないと思っているのですが、障害の原因になる点は何かないでしょうか？
ゾーンデータファイルでは、www.xxxxxxxx.mobiからサーバ機のアドレスである192.168.11.101に変換するように設定してあります。

チナミにこの場合、私の中途半端な理解では、サーバ機（192.168.11.101）はルートに問い合わせに行くことになると思うのですが、
ルートは外部にあるんですよね？
ということはそこからmobiに繋がって、私のネームサーバのグローバルＩＰアドレスが返ってきてしまうと思うのですが、
いまいちＤＮＳの仕組みが理解しきれていません。ごめんなさい。

xxxxxxxx.mobi が mobi から委譲を受けてないと再起検索ではひけませんよ。
非再起検索では引けますか？
dig @192.168.11.101 www.xxxxxxxx.mobi a +norec
それと、キャッシュサーバとコンテンツサーバは分けるべきです。

それとコンテンツサーバは公開するなら当然グローバルIPアドレスじゃなきゃ。

dig @コンテンツサーバのIPアドレス www.xxxxxxxx.mobi a +norec
です。

情報を更新した際に、セカンダリサーバに即時に変更を反映させるコマンドはないのでしょうか？

NOTIFY設定してreload

>>672ありがとうございます。ご意見の通り、頭の中を整理してみました。

スタブリゾルバ（/etc/resolv.conf＝192.168.11.101）が、再起問い合わせをキャッシュサーバ（フルサービスリゾルバ＝192.168.11.101）に対して行う。
そして、キャッシュサーバ（フルサービスリゾルバ=192.168.11.101）が、反復問い合わせを、ルート、mobiの順に行い。
もし、mobiが、xxxxxxxx.mobiを管理していて、xxxxxxxx.mobiのグローバルＩＰアドレスを知っている場合、
その返事をキャッシングサーバに行う。（ここで、xxxxxxxx.mobiのグローバルＩＰアドレスをローカルＩＰアドレスの192.168.11.101に変換）
そして、コンテンツサーバ（192.168.11.101）が、ドメインを、ゾーンデータファイルに書いてあるＩＰアドレス（192.168.11.101）に変換する。

という流れで間違いはありますか？間違いや勘違いがあれば訂正お願いいたします。

>（ここで、xxxxxxxx.mobiのグローバルＩＰアドレスをローカルＩＰアドレスの192.168.11.101に変換）
誰がどうやって変換するの？
何がやりたいのかわかりません。

>>678
外部にコンテンツサーバを公開する場合の、静的IPマスカレードの設定のつもりで書きました。

** server can't find www.xxxxxxxx.mobi : SERVFAIL
と返ってきてしまう理由がよくわかりません。
今の段階では、勉強のつもりでコンテンツサーバを外部に公開したいわけではないので、
まず、内部で名前解決したいのですが、うまくいきません。

>>674さん　キャッシュサーバとコンテンツサーバは分けるべきです。

キャッシュサーバとコンテンツサーバを同じサーバ上（192.168.11.101）でやりとりしてます。
同じサーバ上で、キャッシュサーバとコンテンツサーバを置いてしまうと、
うまく名前解決することができないのでしょうか？

＞非再起検索では引けますか？
非再起検索とは、反復問い合わせのことでしょうか？

サーバＰＣからは、
#nslookup
>yahoo.co.jp
Server: 192.168.11.101
Address: 192.168.11.101#53

Non-authoritative answer:
Name: yahoo.co.jp
Address: 124.83.139.192以下省略
と出力されます。

クライアントＰＣからも、
#nslookup
>yahoo.co.jp
以下省略のように、上と同様の結果が返ってきます。

長々とお邪魔して申し訳ございません。

>>680

>674 に書いてあるように dig コマンド実行してみ。

それと ”非再起”は、”非再帰” の間違いだろうな。
あなたの言葉でいうと、非反復問い合わせ かな。

>>681
再度、インストールし直して試してみたら、nslookupで引けました。
ご迷惑かけて申し訳ございませんでした。とりあえず、667さんがきっかけで
スタブリゾルバ（再帰）とフルサービスリゾルバ（反復）とコンテンツサーバを分けて考えることができるようになりました。
ありがとうございました。

再帰と反復って何が違うの？

つーか反復って何だ？

反復検索=iterative search (RFC1034)
スタブリゾルバは再帰検索要求は行うが再帰検索はしません。
再帰検索要求に答えて反復検索を行うのはフルリゾルバ。
きれいなDNSツリーを追うのは再帰検索と呼んでもいいかもしれないですが、
実際にはゾーン外の名前解決をごちゃごちゃしなくちゃいけないのが実状です。
なので、反復検索と呼ぶのが適切かと思います。(途中エラーもあるだろうし)

ついでにいうと、相手に再帰検索を要求せず、自分でデータ(RR)を持っている場合にだけ
(そしてできれば権威を持っているときだけ)応答してほしいのが、非再帰検索。
でもキャッシュサーバを兼用していると、キャッシュを答えてしまう輩が多数。
逆にキャッシュサーバに再帰検索を要求してるのに、コンテンツサーバを兼用していて、
そこに(権威がなくても)データがあると答えてしまうという問題も。
そのあたり、同一のIPアドレスできちんと分離できてるサイトは稀少(できないんじゃないの?)
最近のBIND9だとちゃんとできるのかな。
難しいこと考えるよりIPアドレス(というかBINDのインスタンスを)分離するべき。

↑ちょっと日本語わかりにくいですね。誤解なきよう自分で勉強してください。mOm
digで+norec と +rec を使い分け、AAフラグやTTLなどに注目しつつ、いろいろアクセスしてみると
少しづつわかってくるんじゃないかと思います。

英語で考えれば混乱もしないし難しくもない

じゃ、以降は英語で、、、

ロシア語で考えるんだ！

じゃ、以降はロシア語で

Pensez-l'en fran?Mais.

ç ｗｗ

難しいので分離して片方はNSDにします。

You are right!

そしてリゾルバ側は poweredns-recursor に

皆さんBINDにこだわる理由を教えてください。

おれ以外もいじれるから。

>>698
自分以外にもBINDいじれる奴が居る環境って羨ましいな

そう？
でも他の実装だともっと人少ないでしょ。

某ホスティングサービスにて
専用サーバとしてDNS用サーバ(A)を構築しました。
しかし、当時お金をけちったせいで
非常に弱いハードスペックがレコード数の増加などで
最近になってかなりネックとなってきました。

最新機で新しいDNSサーバ(B)を構築したいところなのですが、
ホスティング業者に確認を取ったところ、
新しい機器に変更する場合、ネットワークの関係で
絶対にIPアドレスは変わってしまいますよ、とのこと。
DNSサーバAのIPを変更するのが困難など結構色々な問題があります。

そこで質問なのですが、
外部からは気づかれないように
Aへの参照は全てBに飛ばす、
といった設定は可能なのでしょうか。

つまり独自ドメイン側などでの設定を変更せずに
あくまでAの設定変更のみで現在の問題に対応したい、という考えです。

そんな変なことせずに
普通に移行すればいいと思う。

けっきょく A を通るんだから
パフォーマンス改善しなそう。

NSのIPアドレスの変更が難しい＝知識不足なだけ

AだけではなくBもそのゾーンの権威を持たせればいいだけだと思うんだが

その後Aを削ればいいだろ

AっていうとRRのことかと勘違いするね。
AliceとかBobを最初に考えた人の気持ちが理屈でなく理解できた。

>>701
static route

飛ばすのはいいとして、返事のsource IP addressは細工しなくていいの？

>>707
ARPがstatic routeに優先するからダメ

不足してるのは知識でも知恵でもなく、健全な判断力

>>709
じゃあARP使わなかったいいんじゃね？

static route書いた先のMACアドレスをどうやって知るのよ。
それよりARP spoofingという手はあるな、、、
そんなことやっていいなら、NSのIPアドレス変えられないわけはないが、、、

BINDにこだわる理由を引き続きよろしく

>>713がそれにこだわる理由をよろしく

djb信者キタ━━━━━━(゜∀゜)━━━━━━ !!!!!

BINDを使う理由、ねえ…

cc:>>715
俺の場合は「djbのDQNぶりが大っ嫌いだから」かもw

NSDがいいと思う。
#偽者ウザい

本物キタ━━━━━━(゜∀゜)━━━━━━ !!!!!

bind-9.4.1-P1 を使用しています。
外部ネットワークからは、自分のドメインに対しての問い合わせにだけ応答を返し、
他のドメインの問い合わせは答えないようにしたいと思っています。

ttp://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html
を参考に設定してみたのですが、どうも疑問が出てきてしまいました。

仮に、ns.example.jp 192.168.0.100 とすると、
> nslookup ns.example.jp 192.168.0.100
とした時、dig や 対話モードの nslookup だと、応答を返してくれるのですが、
非対話モードの nslookup だと、
> Can't find server name for address 192.168.0.100:Query refused
> Default servers are not avaliable
となってしまいます。

ただ、全ての端末でエラーとなるのではなく、例えば、Windows のコマンドラインから、
nslookup をかけると、192.168.0.100 についてはエラーを出しますが、
一応、ns.example.jp については正常に返答してきます。

bind のログをみると、ns.example.jp について問い合わせをしているのに、
どうも 192.168.0.100 について逆引きしようとしているようなので、
試しに、192.168.0.100 の逆引きも返答するように、そのサーバに設定してみるとうまくいきました。

つまり、nslookup の非対話モードで、
> nslookup ns.example.jp 192.168.0.100
とした時、192.168.0.100 のサーバは、example.jp ドメインについてのみ返答するので、
192.168.0.100 の逆引きに対してエラーが発生している、という事のようです。
端末によっては、192.168.0.100 の逆引きエラーの時点で表示を止めてしまうので、
一見引けていないように見えていた、という事のようです。

example.jp については、一応引けているようなのですが、どうも気になったので質問させて頂きました。
これは、こういうものなのでしょうか？ご存知の方いらっしゃいましたら、ご教示頂けると幸いです。

>>719
nslookupは診断ツールとしては不適切なのでhostやdigを使えがFAQ

>>720
その辺の理由詳しく書いてあるサイトないですか？
なんか昔からのくせでnslookup使っちゃうんだけど。。

>>721
自己レス。すぐ見つかった・・・。
http://www.atmarkit.co.jp/fnetwork/dnstips/011.html

>>720
>>722
ありがとうございます。
大人しく dig を使用する事にします。

digでも、ちゃんと+recと+norecを使い分けましょう。

hp-uxのnslookupコマンドなんかhostsも参照しちゃうしなｗ

■（速報）L.root-servers.netのIPアドレス変更について
<http://jprs.jp/tech/notice/2007-10-25-l.root-servers.net.html>

2007年11月1日から変更だそうですよ。

内部セグメントにDNS（キャッシュサーバー）があり外部ドメインの名前解決を行ってます。
自ドメインのDNS(コンテンツサーバー？）はまた別にあります。

で、一部の外部の名前(具体的には imap.gmail.comとsmtp.gmail.com)のみ、内部セグメントのIPアドレスを
だまして？返したいのですが、何か良い方法はないでしょうか？
そのIPアドレスではTCPのport forwarderが動作しているのです。

素直にNATすればよさそうなものなんですが、事情があって出来ないのです。

>>727
やったことは無いけど、
imap.gmail.com と smtp.gmail.com の zone ファイルを作れば良いんじゃ内科？

>そのIPアドレスではTCPのport forwarderが動作しているのです。
この行は意味不明。

 2007 年 10 月 24 日(米国西部時間)、ルートネームサーバの一つである
 L.root-servers.net の IP アドレスが 2007 年 11 月 1 日に変更されるこ
 とが、ICANN から発表されました。
  Advisory - “L Root” changing IP address on 1st November
  October 24th, 2007 by Kim Davies
  http://blog.icann.org/?p=227
 L.root-servers.net の新しい IP アドレスは 199.7.83.42 となります。現
 在既に新しい IP アドレスは運用可能な状態となっており、11 月 1 日のルー
 トゾーンにおける変更作業をもって、正式運用が開始されることになります。
 発表では、現在の IP アドレス 198.32.64.12 は今後少なくとも 6 ヶ月間に
 渡り引き続き参照可能とするとのことですが、移行完了後、最終的にはサー
 ビスを終了する予定であるため、11 月 1 日のルートゾーンにおける情報変
 更後に各 DNS キャッシュサーバのルートヒントファイルを更新する等の、適
 切な対応が必要になります。

ルートヒントはハードコーディングされてるんだっけ＞最近のBIND

lib/dns/rootns.c　にハードコードされてる。

おぉ!!知りませんでした。
じゃ、named.rootとかなくてもOKなの??

BINDは起動時に zone "." で設定されたヒントファイルか、
それがなければハードコードされたヒントに
問い合わせてルートネームサーバ一覧を取得してそれを使う。

なので、11/1以降に named を再起動するのでもとりあえずは問題ないよ。

>>733
再起動しなくても、TTL が切れれば再度問い合わせに行くんじゃないの？

>>728
うまくいきました。ありがとうございます。

TCPのport forwarderとは、tcpxdやjumpgateみたいなやつの事です。
(tcpの993,995,465,587をgoogle側に中継)

Linux鯖を構築しながらLPIレベル2取得しているのでBINDの基礎力はあると思います。
現在は、.ComMaster★★学習中なんですけど、BINDの外部への公開は、どうように行えば宜しいのでしょうか？
権限の委譲の理解にまだまだ乏しいです。

質問の内容については、お名前.comでは、NSレコードでサブドメインを作成できますが、
作成したサブドメインにAレコードで、IPアドレスを割り当てることができないでいます。
詳しい方はいらっしゃいますか？

補足
・内部の名前解決はできています
・お名前.comのMXレコードを編集して、自宅MAILサーバは公開できています。

ドメインの委譲してもらっているのにMXは上位登録なの？

>>733
優先順位は
1 hint ファイル
2 (1が無ければ)ハードコートされたヒント
ということでOK？

>>737
ドメインの委譲はまだしてもらっていないです。お名前が管理するネームサーバで名前解決自体は行ってもらっています。

やはり、問題は、権利の委譲ができていないんですか。お名前で権利の委譲をしてもらおうと、
ネームサーバの情報を変更しましたが、「失敗」ってなってしまうんです。どうしてだろう・・・
アドバイスありがとうございました。

listen-on

と

allow-query

の違いがわからん。
どっちも127.0.0.1しか指定しなかったら、外部グローバル（別ISP）から名前が引けないことに変わりはないようだ。

でも、127.0.0.1しか指定しなかったら、ISP側のセカンダリDNSにも影響でないだろうか。
ゾーンファイルが取りにいけなくならないか？？？

>>740
どこを突っ込んだら良いんだ?

allow-queryは原則anyでしょ？
その上で再帰問い合わせをNGにしておけばいいんじゃないの？

listen-onは削っていいと習ったが意味はわからん

>>742
listen-on は、どのアドレスで LISTEN するかの指定だから
例えば、 127.0.0.1 だと外部からの問い合わせには答えないわな。
(自ホストから問い合わせのみ回答する)
設定が無ければ、そのサーバの持つすべてのアドレスで LISTEN するだけ。

>allow-queryは原則anyでしょ？
ダウト

外部からの問い合わせに答えたく無い時は、ACL　を切るべき。
たとえば、192.168.0.0/16 のアドレスの問い合わせが外部からあったら、答えたくないだろう？
後、hint とか。

>>742
セカンダリとやらを気にするならallow-queryでなくallow-transfer

> allow-queryは原則anyでしょ？
> その上で再帰問い合わせをNGにしておけばいいんじゃないの？

それは古い答え、オールドファッションセオリーだ。
http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html

例えば、

www.example.com. IN CNAME mail.example.co.jp.

mail.example.co.jp. IN MX 10 mail.example.co.jp.
mail.example.co.jp. IN A 10.0.0.1

と設定してあった時
（10.0.0.1はグローバルで使える IP アドレスに置き換えて考えて）、
www.examlpe.com ドメイン宛のメールってのはちゃんと 10.0.0.1 のマシンに
届くんだろうか。

私がやるなら、

www.example.com. IN A 10.0.0.1
www.example.com. IN MX 10 mail.example.co.jp.

mail.example.co.jp. IN MX 10 mail.example.co.jp.
mail.example.co.jp. IN A 10.0.0.1

って設定するだろうけど、
上の設定でもメールが届くはずだという人がいて、
あちこち本読んだりWWWサイト見てもわからない……。

>>745
書き方がなんか違うけど。

www.example.com へのメールは、
www.example.com を引いて、mail.example.co.jp　のCNAME
だということが分ければ mail.example.co.jp　の A レコードを引くから
届くよ。

というか、MX の意味勘違いしていないかい？

上の方読んでいるとlisten-onとallow-queryの使い分け方がよーわからんな

>>747
例えば127.0.0.1からのアクセスだけを許可したい場合

allow-query { 127.0.0.1; };
だとコネクションを受け付けてからACLで127.0.0.1以外を弾くけど

listen-on { 127.0.0.1; };
だとコネクションすら受け付けません。

他にはグローバル側とプライベート側の両方にインターフェイスがあるけど
プライベート側だけにサービスを提供したい場合にもlisten-onを使います。

設定をいろいろ変えてみて
$ netstat -na|fgrep '.53 '
などで見てみると分かると思います。

BIND 9.2.4でDNSサーバを立てています。
一昨日から突然、名前解決できなくなってしまいました。
DNSサーバは一切いじっていません。
何が原因か全く予想できない状態です。
しいてあげれば数日前、サーバをシャットダウンしたくらいです。（その後も普通に送受信できてました）
このような現象を体験された方いらっしゃいますでしょうか？

・現状としてはDNSが原因であることは間違いない
・壊れる前にいじった等は一切なし


ご教示お願い致します。

で、logにはなんとでてるんだ？

BINDは動いてるのか？

何が原因か全く予想できない状態なのに、
なんでDNSが原因であることは間違いない、と言い切るのかがわからない。

>>749

自鯖板のbindスレに書いていたのと微妙に内容が違うな。

そもそも、あっちでこのスレのリンクが張られたのは、
テンプレ候補であって君への誘導じゃないだろう。
マルチは嫌われるよ。

>>753
http://pc11.2ch.net/test/read.cgi/mysv/1192378364/8 の投稿者ですが……
スレ建て人に向けて書いてるのに、5を名乗る投稿者からお礼を言われても困る訳でｗ
まぁ、1と5が同一人物って可能性もあるけど、それだと「1(=5)」とか名乗るのが筋だし。

>>749
で、既に指摘されてる様に、顰蹙(ひんしゅく)を買う行動をしておられますな。
どっちも過疎気味(失礼！)だからマルチしたいのは解るんだが、自鯖板に「向こうでも聞いてみます」と書いて
こっちで、「自鯖板にも書いたんですが」(当然、自鯖板側の自分の投稿にリンクを貼る)などと前置きすれば
やってる事は質問投稿のマルチで同じなのだが、印象が随分と変わる。
つか、それがこう言う場での流儀だ。対応を間違えると容赦なく叩かれるよ。
#って事で、私も一応叩いておくｗ >>749はマルチ。マルチうざい、氏んで。

##長文、駄文によるスレ汚しスマソ。つか、私自身も顰蹙物ですなorz

>>749
あー、そうそう。「BIND 9.2.4でDNSサーバを立てています。」だけじゃなくてOS名くらいは書こう。
んで、もしもWindowsだったりした日には、此処では板違いになるので注意。

コンテンツサーバとキャッシュサーバをわけないから、いつまでも動作が理解できないんですよ。

なんか、面白いのが湧いてるな。
これで、外部との通信自体が出来ていませんでした（ネットワーク切れてた）だったら
窓から鯖を投げ捨てろｗ

dig ns あなたのドメイン @`dig ns あなたの上位ドメイン +short | head -1`
と
dig ns あなたのドメイン @あなたのサーバ
に違いがないか調べてみましょう。

>>756
とりあえずBINDは捨ててNSDとpoweredns-recursorにでもしてみなよ。

>>759
とりあえず、cns を使えよ。

ニャース・懼ｦ?Ｌ ｷﾃｶﾞｲﾘｽﾄ 27人目
http://pc11.2ch.net/test/read.cgi/unix/1193922597/

RedHadLinux8.0 で　BIND 9.2.1 を使用しているのですが。
今朝やけにネットにつながらないなぁと思いmessagesを
確認したところ
named[738]: client xxx.yyy.zzz.aa#32144: error sending response: host unreachable

みたいなログが大量に発生していました、とりあえず、BIND再起動
したらネットには繋がるようになったんですが、何が原因で
このログのような状況が発生したのか、調べるにはどうしたらよいでしょうか、
アドバイスいただけないでしょうか。

RHL8なんていいかげん捨てろ。
http://www12.atwiki.jp/linux2ch/pages/29.html#id_120742f7

初歩的なことで申し訳ないのですが、
ZONEの
SOA ns.exsample.com ...(
のドメイン名とかnsレコードの
IN NS dns.exsample.com
とかってどんな名前でもいいんでしょうか？
例えば自分のドメイン名（自分が取得したドメイン名）毎にそのドメインで設定しても大丈夫ですか？

分かりにくいので例を
ドメインexsampleX.comを取得したと仮定
SOA exsampleX.com ...(
IN NS dns exsampleX.com

とかでも問題ないのでしょうか？

>>764
聞きたいことが、よく判らないが
NS レコードには、DNS＆物理的に存在するアドレスを書くこと。
じゃないと、意味がない。

つーか、ココで聞く前に勉強しろよ。
そん知識でDNSを触るなと小一時間(ry

>>753-754さん
ご迷惑おかけして申し訳ないです(；ω；)
断りを入れないとダメでした、人として。反省します。

まだ解決してないので再度整理した情報を書きます。

おかしくなった前日にお名前.comに登録していた自社サーバのプライマリDNS名（仮にdns.exsample.comとします）を変更しました。（ 他の社員(外部＆ﾜﾀｼより立場上)が ）
ある程度のZONEはあちらで書き換えたらしいのですが見れないサイトは設定していないようだということは分かりました。
しかたないのでこちらでDNSを立ち上げる作業をしています。（私はDNSの設定をしたことがありませんが。。）
長々書いてすみません。以下が質問です。
本を見てDNSのZONEやnamed.confの設定はできたのですが「最後にプロバイダに連絡してください」とかいてあるところはなにをすればいいのか分かりません。
具体的には何をすればいいのでしょうか？

失礼ついでにさらに質問で申し訳ないですがお願い致しますm(_ _#)m

プロバイダに連絡してください。

>>766
意味が判りません＞＜

次スレから 1 に、バッタ本手元にない奴お断り、とか入れない？

>>766
ドメイン業者が保持しているドメインなので実害は無いが
exsample.comは実在のドメインなので例示に使うのは適当でない

Domain exsample.com

Date Registered: 11/14/2005
Date Modified: 10/26/2007
Expiry Date: 11/14/2008
DNS1: NS1.DSredirection.com
DNS2: NS2.DSredirection.com
ほほう。

>>766
プロバイダ っつーか レジストラ だな。この場合にはお名前.com

プロバイダがレンタルウェブサーバ屋やっててレジストラの取り次ぎをやってる場合が多いから
そいういふうにその「本」とやらには書いてあるんだろ

>>770
すみません
スペルミスです。。。
exsample　⇒　example
でした。。

>>769
ネームサーバを設定する初心者の99.9%はバッタ本を買わない
なぜなら高価で分厚いから

>>774
そもそもバッタは構成が初心者向きじゃないからなあ
あれはあくまでリファレンスであって入門書じゃない

どこがリファレンスなんだかw

バッタ本は、DNSを詳しく知ってる人には不要な、
知らない人とっては理解できない情報が満載ですよ。

対象読者誰なんだろ？

そんなもまえらのおすすめBIND本は何よ

>>778
バッタ本

>>749

多分、DNSサーバは、わかってる人がいないと、すぐにはたてられない
だろうから、まず、わかる人を探して相談するのがよいのでは？

まず、元に戻せるなら、元に戻すとか、他のプロバイダなど、
わかっているところにアウトソースするならプロバイダに
相談するとか。

自分でやるんだとしても、まず、単体でテスト的なDNS
サーバを自力で動くところまでもってゆけないと、何やっていいか？
かわりにくいと思う。その際には、動作確認方法も
知らないとだし。

今、わかってる人が全く回りにいない上に、そういう
方面に疎いようだったら、自力で時間かけてやっても
DNSサーバの構築は難しい気がするんで、まず、信頼できる
相談先をどうするか？考えては？

もちろん、実際のドメイン名などをここにさらせば、どんな状況か？
答えてくれる人もいると思うけど、副作用も大きそうだしね ...

>>766

わかってる人なんてそうそういません。勉強しましょう。

問題のドメインをexample.comだとするならば、

1.example.comの上位ドメインcomのNSを探す。
　dig com ns (これは手抜き）
　dig @202.12.27.33 com ns (TLDの場合）

2. 1で見つけたサーバの一つ(ex.192.5.6.30)に移譲先(authority)として登録されているNSを調べる。
　dig @192.5.6.30 example.com ns +norec

3. authorityに示されたNSのFQDNとadditionalに示されたAのIPアドレスでDNSサーバをたてる。
　(additional Aが出ない場合、別途NSの指すIPアドレスを調べる必要あり）

ちなみに素人は玄人(?)も使いこなせていないBINDなんかつかわず、NSDあたりでどうぞ。

3' 移譲先を変更してもらう。

複数の拠点でDNSラウンドロビンにてサービスを公開しているのですが、
IPアドレスが数字的に若い方の拠点に（210.x.x.x より 202.x.x.xの方）へ
Windows Vistaからのアクセスが集中します。

XPや他のOSからのアクセスは、ラウンドロビンにより、
各拠点に、ほぼ均等にアクセスが割り振られています。
Vistaだけが一箇所に集中している状態です。

bindのsortlistは使用していませんし、
Vista登場前にはこのような現象はありませんでした。
おそらく、Vista+IE7の組み合わせで起こる現象と思われますが、
このような現象が起こっている方はいませんでしょうか？

NSレコードの存在意義が良く理解できません。

onamae.comにて
example.com というドメインを取得し、
ns1.example.com
ns2.example.com
ns3.example.com
とレジストリにホストを登録し、
それぞれbindを使ってDNSとして使用しています。

example.net という独自ドメインを
このDNSで運用する場合、
ゾーンファイルでレコードを設定することになりますが、
-----------------------------------------
example.net. 14400 IN NS ns1.example.com.
example.net. 14400 IN NS ns2.example.com.
example.net. 14400 IN NS ns3.example.com.
-----------------------------------------
と設定することに意味はあるのでしょうか？

onamae.com の管理ツールでネームサーバーを
ns1.example.com /ns2.example.com / ns3.example.com
と設定すれば、参照DNSはすでに指定されているわけで、
そこからさらにレコードファイルで
NSレコードの指定が必要とされる理由が分かりません。

識者の方どなたかアドバイスおながいします。

NS レコードで指定されているサーバは、

example.com. 14400 IN NS ns1.example.com.
example.com. 14400 IN NS ns2.example.com.
example.com. 14400 IN NS ns3.example.com.

だったら、マスター、スレーブなどとして、example.comの
ゾーン情報についての問い合わせに応答してくれるように
ns1.example.com.,ns2.example.com.,ns3.example.com.
のDNSサーバが設定されている必要があるよ。

　onamae.com の管理ツールでは、ゾーン情報の元を
　登録し、実際のDNSサーバにぞの情報をコピーした先の
　ns1.example.com /ns2.example.com / ns3.example.com
　などに、実際の世界中からのDNS問い合わせが行くのかね？

こちらの「〜第４回目」までの資料を参照してみてはどうでしょう？

DNSの仕組み
ttp://www.tatsuyababa.com/NW-DNS/

>>784
example.com ゾーンの権威を持ってるのは
あくまで ns1〜3.example.com だから
書いとかなきゃだめだよ。

なんで?

>>787
>>769

なくても機能するよ。

バッタ本持ってるけど、あんまり読んでないな。
重いし嵩張るし、表現の仕方もなんか抽象的。
リファレンスなら付属ドキュメント読む方が確実だしね。

>783
どこらへんから「Vistaからのアクセス」ってわかっているんでしょうか？
querylogとhttplogの突合？

>>785
>>786

しかし >>789さんのいうとおり、
NSレコードなくても（関係ないDNSサーバ指定しても）
正常にexample.net の名前解決ができます。

なんとなく今思ったんですが、
example.net の際は使用されずに hoge.example.net のような
アドレスの名前解決する際に
使用されるってことでしょうか。

>（関係ないDNSサーバ指定しても）
それ、大変危険。なぜauthoritativeなNSが必要かわかってない?

>>793
それが判っていたら、こんな質問しないと思われ

語弊がありました、
関係ないDNSサーバ→example.net のゾーンデータを保持していない
私の別運用のDNSサーバです

なぜ名前解決できるのかも説明できずに
バッタ本に書いてあることを誇らしげに言われてもなあ・・・

>>792
その考えでほぼあってる。
785や786は「インターネット」でDNSを運用したことが
ないんだと思うよ。

>>797
あのさ >>784 の設定が無くても確かに動くんだわ。
動くということと、正しい設定かは別の問題なんだと思うんだが。

>>792
解決できてても、書かなきゃだめだよ。
http://www.dnsstuff.com/
あたりでチェックしてみ。

>>797
RFC嫁

>>800
どの？

>>799
確かに書かなきゃいけないのは何となく色々な例を見ても感じるのですが、
書かなければどういった点で問題が発生するのかが本質的に理解できません。

たとえば、
-----------------------------------------
example.net. 14400 IN NS ns1.example.com.
example.net. 14400 IN NS ns2.example.com.
example.net. 14400 IN NS ns3.example.com.
-----------------------------------------
と本来3つのDNSがあるのに
-----------------------------------------
example.net. 14400 IN NS ns1.example.com.
-----------------------------------------
のように1つしか指定しない場合は、
名前解決のどの時点でこの影響が発生するんでしょうか？

>>801
最低でも 1035

>>802
落ち着いてこの辺を読んでくれ。

DNSの健全な運用のために 〜Lame Delegation編〜
http://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html

細かいことを気にしなければ、別に書かなくても動きます。
(弊害が無いかと言われれば嘘になる)
でも、書くことが RFC1035 等で要求されているし、上記のような
お願いも出ているのだから、>>784 が技術的に理解できなくとも
書いてあげてくださいな。

ミコミコ lame！
ミコミコ lame！
ミコ・ミコ・lame！

>>801
まずすすめるのは1912かな。
この件とはちょっとずれるけど。

あー、A レコードじゃなくて NS レコードか。
たしかにそこは仕様がちょっとおかしいと思う。
djb か誰かも指摘してなかったっけ。

なんだ、みんなわかってないじゃん。

ぺったんぺったんつるぺったん
脳症！脳症！つるぺた脳症！

>>804
784の言ってるのは、オーソリティがなぜ必要かわからない、ってことでそ
リンク先読んでみたが今回の件と関係あるか？
何の解説にもなってないが。

NS レコードは移譲する側で書いておけばよく、
移譲される側に書く必要はないのではないか、ってことでしょ。

そういう設計でもよかったと思うんだが、
移譲される側でも書けっていうことになってるので
書かなきゃだめ。

それがどうしてかって答えられないのか、みんな。

>>812
おれは答えられない。
君は？

教えない。

>>812
俺も知らん。

帰宅したのでバッタ本を漁ってみたが、それについての説明は
無かった。

それに気がついた >>784 は偉い!!

>>814
何に書いてあるか教えて。

　　　 　 　 　 　 　 　 j/／　　　 　 ／＼ヽ∨/／∠ヽ.　　　 ＼＼. ＼
　　　　　　　　　　　 _／　　　 　 ∠≠ﾆ二ﾆ≧=＜´　 ﾍ.　　 　 ', ﾍ＼ヽ.
　　　　　　　＿ -‐ ´／ 　, 　 -‐´､_,　'⌒｀^　 ､ ＼::＼　} l 　 　　ヽﾍ ヽ}
　　　　　　　 ￣ フ´, 　／　　　　　　　　　　　　 丶＼::V| |　　 　　 Vl
　　 　 　 　 　 ／／.／　　　　　　　　 　 　 　 　 　 ｀Vヽl |　 　 　 ヽ ' .　　　　　　　＿＿
　　　　　　　 / ,ｲ／　　　　　　　　　　　　　　　　　 　 �Y/,　　 　 　 ヽ.＼　　 　 ／
　　　　　　　 |/ /　　　　　　　|　　　　　　　　　　　　 　 ∨ﾍ.　　　　　 ﾄ､ ＼_　/.　 し　バ
　　 　 　 　 　 / 　 　 / 　/　 l: 　 　 /　 l　　　　 　 　 　 ∨i　 　 ､ 　 |　￣　,'　 　な.　カ
　　　　　　　　l│　　/　 ｲ　 ,ｲ.　 　 l　　ﾄ､ヽ　　 　 /　|　:l :|　　　|　　l 　 　 ｌ　 　 い　に
　　　　　　　　| |　 　l_メ､」_,;./l 　 　 Ｌ　 ｌ　V　　　∧ / 　:|/　　　ﾊ.　 ト､　　|.　　 で
　　　　　　　　| ﾄ.　　|.＿＿__ ヽ　 　 l´ヽ{ _⊥イ　ｲ　/ 　 /　 　 /　l/⌒ヽ　 .|　　　く
　　　　　　　　| | ヽ　| ､i┘::::i　 ＼　 | r┬┬‐┬ｧ V　 ,∧.　 　,' 　´　　　 　 |　 　 れ
　　　　　　　　ﾚ 　 ヽ! 　ゝ- '　　　＼ｌ 　ｉ,.┘:::::ｉﾉ / ,／〉│ :|　{　　　　　　　 |　 　 る
　-──-- ､　　　　7/l/l/　　　､　　　　 `'ｰ‐ ' ∠≠r'ﾉ:jﾉ　:|　|　　　　　　 ∠.　　 ! ?
　 　　　 　　 ヽ　　λ　　　　｀i`ｧｰ-- ､　　/l/l/l ∧‐'.:|:::|　 ﾊ　',　　　　　　　　｀ヽ
　 そ　　知　 .l. 　 　 `､ 　 　 ﾚ'　　　　', 　　 　,/| ::|　:|:::| ./　ヽ_＞　　　　　　　　 ｀ ' ｰ-
　.の　　っ　　l.　　　　　` = ､ '､　　　　ﾉ　　,.イ∧'|:ｌ.:/ｌ:::|´
　 く　　 て 　 |　　　　　　　　 ｀＞-r　 =ﾆi´､.,_｀::: |:| { |:::l
　 ら　 . る 　 ,フ　　　　　 _,.イ´ヽ.7　　 ／　 /:＼;八:V:ﾉ
　 い 　 わ.　 l 　 　 　 ／7:::::!　　○Ｏ'´　　/::::::::/ヽ.
　 ! !　　よ　　|. 　 　 /　 /:::::::レ'/ムヽ.　　/::::::::/ 　 ヽ.
　　　　　　 　 l　 　 /　 ,':::::::::::!/　ハ:::::｀´:::::::::::;'　　　　',

>>791
useragentを見るとVistaからのアクセスだとわかります。
MSに問い合わせましたが、既知の現象ではないようです。

なんどもパケットをキャプチャしてテストしましたが、
Vistaでのブラウザは、複数のAレコードを返されると、必ず若いIPアドレスにアクセスします。
Firefoxでも同じ現象がおきるのを確認済みです。
nslookup等では問題ありません。

Vistaのバグではないか？と考えています。
まさかマイクロソフトがこんなバグを・・と思います。どなかた検証してみてください。

委譲される側のゾーンにNSレコードを書かなくて良い、という説を主張する
つもりはないけど、以前も同じ質問が出てたし私も興味あるので：

>>804
RFC1035のどこに、委譲されるゾーンの側にそのゾーンのNSレコードが要るって
書いてあるの?　その「弊害」はたとえばどういうこと？
ちなみに、このことと、lame delegation は全然違うよね。

委譲される側のゾーンにNSレコードを書いた場合と書かなかった場合で
プロトコル上の違いが現れる？

キャッシュ（ぼそっ）
# 804じゃないですが

>>817
windows は OS 内部で DNS のキャッシュをやってるが、
こいつはラウンドロビンしないので、キャッシュが切れるまでの間
必ず同じ IP アドレスにアクセスすることになる。
vista は知らんが、少なくとも xp まではそういう仕様。
vista でそういうアホな仕様変更があった可能性は否定できないけど、
たまたま若い IP アドレスが先頭に来る状態でキャッシュしてしまって、
そういう現象が起きたように見えたんじゃなかろうか。

>nslookup等では問題ありません。

nslookup や host や dig はあくまで DNS サーバからの応答を見るコマンドであって、
クライアントの名前解決に使われるものではないので、今回のようなケースでは
役に立たない、というか使っちゃダメ。

>>820
DNSキャッシュは基本的な事なので省略しました。
参考までに主なブラウザはDNSからのTTLを無視し、60秒キャッシュします。

検証では、。当然、DNSキャッシュはクリアしています。
サービスからDNS Client機能を止めてしまえばWindowsはDNSキャッシュをしなくなります。
キャッシュをクリアした上での話です。

WindowsにはXPにもVistaにも近いサブネットを優先する機能があるそうですが、
XPの場合にはアクセスの偏りは起こりません。
Vistaに限り、若いアドレスに偏ります。

Windowsが参照するDNSサーバをプロバイダの公開DNSサーバなどに変更しても、
同じ現象が発生します。
100台単位のwebサーバで同じ現象が発生しているので、
何かVistaには問題があると思っています。

Vistaを使っている方は検証してみてください。
www.yahoo.co.jpなどは、124.83　と　203.216になっているので、
DNSキャッシュを無効にした後に、パケットをキャプチャしてみると分かると思います。
ほぼ全て124.83へアクセスが行くはずです。

ものすごく興味深い話だ

検証してみたいが、周りにVistaが1台もないよ。。。

man 3 getaddrinfo