BIND全般

なんか、前の方にも書いてありますが

@ IN A 192.168.1.1
ns IN A 192.168.1.1
www IN A 192.168.1.1
mail IN A 192.168.1.1
ftp IN A 192.168.1.1

ていう風にやるデメリットてありますか？
デメリットというか、これってやっちゃいけないことなんでしょうか？

識者の方教えてください。

>>79
特におかしくないと思うが。
ちょっと質問の意図がわからない。

>>80
フツー CNAME 使うだろ、とかそーゆーこと ?

hostname <-> IP addr
の対称性がなくなってｶｺﾜﾙｲとかかな?

>>81
今時CNAMEはないだろ。つーか、CNAMEを積極的に採用する必要ってあるのだろうか？

>>80

こういう風にかいてる例をみたことなかったんで気になってたんですよ。
ということで、一つのIPに複数のAレコードはみんなよくやるっていうことなんですか。

>>81

そうそう、そう言われると思ってかいたんですよ。

>>82

あんまり気にするところではないですよね。

>>83

そ、そうなの？

>>83
違うよ、CNAME はネストして使わなければいいだけの話であって、
単なるラベリングとしての CNAME なら問題ないよ。

>>85
ネストしなくてもマズい場合がある。
>>49 参照。

>>86
やばい。うちのサーバちゃんとしてない。逝ってくる

CNAMEはCクラス以下の逆引きを行うための必須アイテムです。

ftp://ftp.iij.ad.jp/pub/rfc/rfc2317.txt

Canonical Nameがどれだかわからなくて気持ち悪いな..
っつーのは気持ちの問題?

>>88
CNAME 使わなくても NS レコードで委譲できんじゃなかったっけ?
djbdns のドキュメントにあったような。

>>89
気持ちの問題。

CNAMEの便乗質問なんですけど

正引きさせるとき CNAME
xxxxx IN CNAME www.xxxxxx.xxx.
yyyyy IN CNAME www.xxxxxx.xxx.
と指定する場合と
xxxx IN A 192.168.117.4
yyyy IN A 192.168.117.4
と指定する場合どっちが信頼性とかレスポンスとかいいのでしょうか。
サーバのIPアドレスを変更したとき CNAMEだと www.xxxxxxx.xxxx.
のIPアドレスを変更すればいいだけですむので通常(?)はこっちで
しょうが、www.xxxxx.xxxx.が引けないとこのホストにCNAMEしてるホスト
は全滅だし www.xxxx.xxxx.を再度引かないといけないので問い合わせて
が増えるのではないかと。

>>91

私は後者を多用してる。
理由は特にないけどCNAMEだとMXにつかえないとかあるから。

信頼性とかレスポンスは分からん。申しわけ

>>91
委譲関係とか、ネームサーバのネットワーク環境など一概には言えないが、
CNAMEを使うと確実にDNSクエリーが多くなる。
ネームサーバやリゾルバにもよるが、初回アクセスのレスポンスを重視する
なら直接Aレコードを書いた方が良いだろうね。

・・・相変わらずBINDそのものとは関係ないな。

>>93
なるほど。やはりそうですか。

ていうか、実はCNAMEっていらない？

>>95
>>88で書いてあるように、クラスC以下での逆引きに必要。
とはいえ、>>90で
>CNAME 使わなくても NS レコードで委譲できんじゃなかったっけ?
>djbdns のドキュメントにあったような。
こう書いてるな。これってもしかしてIPアドレス一つごとにzoneを
わけるのだろうか。

>>96
そう。
要は /32 で権限を委譲しまくる。

……ってのがどっかに書いてあったと思うんだけど、見つからんな……。
理屈では可能でしょ?

>>97
可能だけど、zoneが増えすぎてﾏｽﾞｰなのかな。
いろんな方法がある中で、RFC 2317がBest Current Practiceだったんでしょう。

なんだか CNAME いらんとか言ってる人がいるようだけど、
それでは自分の管理外のサイトにあるホストを CNAME で指したい時に
困るんじゃないだろうか? とか言ってみる。

>>99
A が使えないのってどんな状況?

A使えないことはないけど、IPアドレスが変わった時はCNAMEの
ほうが有利だね。

djbdns における classless delegation はこちら。>>97で正解。
http://djbdns.jp.qmail.org/djbdns/notes/delegation.html

ども。
djbdns だと、ゾーンがいくつあろうが
ぜんぶ root/data{,.cdb} に入るからラクだね。

>>100
101 さんが書いてるように IP アドレスが変わるような時とか。それ以外だと AAAA とか。(ﾜﾗ

もちろん A しかなかったら A でやるけど、もともと違うもんだから
CNAME の方が便利なケースもあるってことで。

classless の話だけど NS はりまくるのも CNAME でやるのもどっちもどっちなのに
そんなのを BIND 批判のネタにする DJB は大人げないってことでよろしい? (ﾜﾗ
# スレ違いなので sage

bind や djbdns 以外の DNS はどんなのがありますか？

DNSの部分的な機能を実装したやつなら沢山あると思うが、
一通りの機能を機能を備えたやつならこんなのがあるらしい:

Dents
http://sourceforge.net/projects/dents/

MaraDNS
http://www.maradns.org/

>>103
BINDの実装に束縛されたad hocな方法を嫌い、使用者にそんな手段を選ばせて
しまうBINDを非難することは間違ってはいないと思うぞ。本来だったらCIDRが
提唱された時点でBINDも何らかの対応を取るべきだったのではないか？

大体、CNAMEを介する方がメンドウなのは確かだしな。某プロバイダと逆引きの
設定でトラブった時、先方技術者に方法を教えることになってゲンナリしたよ。(w

>>105
Dents って今メンテナンスされてないんじゃなかったっけ？
MaraDNS って名前が（･∀･）ｲｲ! 今度これ使ってみるよ！

>>106
そうかな? 束縛されてるのは BIND の実装じゃなくて DNS の設計だろ。
それを BIND の設定ファイルがどうとかいう矮小な問題として批判してるのが
変だという話だ。まあ、DJB だからしょうがないかって思うけどね。

本来の話をするんだったら CIDR が提唱されている時点で逆引きのメカニズムは
破綻している。BIND は延命策として ad hoc な解決法の一つを示しただけ。
それが RFC になったのは他にマトモな代案が出てこなかったからとちがうん?
何で BIND が非難されるん? 確かに BIND は DNS のデザインに責任があると
思うけど、DJB は非難の矛先を微妙に間違えていると思う。でもきっとわざとだ。藁

自宅のLinux上でBINDの勉強をしています。

test.dom IN SOA test7.test.dom. root.test7.test.dom. (
1
3600
300
360000
86400
)

test.dom IN NS test7.test.dom.
test.dom IN NS test2.test.dom.

localhost IN A 127.0.0.1

test7 IN A 192.168.1.5
test2 IN A 192.168.1.1

上は、正引きゾーンマスタファイルです。この状態でnslookupを使用すると、test2のIPアドレスを出力することができます。

$ORIGIN test.dom

@ IN SOA test7.test.dom. root.test7.test.dom. (
1
3600
300
360000
86400
)

IN NS test7.test.dom.
IN NS test2.test.dom.

localhost IN A 127.0.0.1

test7 IN A 192.168.1.5
test2 IN A 192.168.1.1

上は、$ORIGINを使用して書き直したものです。この状態でnslookupを使用すると、test2のIPアドレスを出力することができません。どこか、文法が間違っているのでしょうか。

>>109
>> IN NS test7.test.dom.
>> IN NS test2.test.dom.
ここの行頭に空白か @ を入れる、かな?

ところで、
> test.dom IN SOA test7.test.dom. root.test7.test.dom. (
> 1
> 3600
> 300
> 360000
> 86400
> )
これや
> test.dom IN NS test7.test.dom.
> test.dom IN NS test2.test.dom.
これは、test.dom.$ORIGINを定義してるような気がするのは俺だけか?

http://pc.2ch.net/test/read.cgi/sec/1000359447/395
にも書いたんだけど、DION の dns server から変な
UDP port に大量の access が。

scandetd によると、
dns4.dion.ne.jp 210.172.64.112
I've counted 53 connections.
First connection was made to 3619 port at Tue Nov 13 15:05:43 2001
Last connection was made to 3619 port at Tue Nov 13 15:09:01 2001

I've counted 44 connections.
First connection was made to 3867 port at Tue Nov 13 17:17:23 2001
Last connection was made to 3867 port at Tue Nov 13 17:19:28 2001

I've counted 40 connections.
First connection was made to 4092 port at Tue Nov 13 17:58:06 2001
Last connection was made to 4094 port at Tue Nov 13 17:58:39 2001

I've counted 43 connections.
First connection was made to 2143 port at Wed Nov 14 14:33:54 2001
Last connection was made to 2149 port at Wed Nov 14 14:36:08 2001

dns1.dion.ne.jp 210.141.108.226
I've counted 46 connections.
First connection was made to 3619 port at Tue Nov 13 15:05:43 2001
Last connection was made to 3619 port at Tue Nov 13 15:09:01 2001
とのこと。


あ、named.conf で query-source address * port 53 しても、source
port が 53 に固定されるだけで、変な port には acccess してこないやん…。

>>112
それって BIND とか DNS と関係あるの?
dns*.dion.ne.jp からのアクセスだからといって DNS のアクセスとは限らんでしょ?

>>113
確かにそだね。

ただ、DION の DNS server からこんな request 来たこと
今までなかったし、DION の DNS server が crack
されたっていう話も聞かないし…。

どんな内容なのか log を取っておいていなかったのが
まずかったなぁ。

DNS queryがtimeoutした後で返事が返ってきてるってことはない?

>>114
でも port 53 にきたわけじゃないから log とっても DNS query かどうかも
わからないよね。いやそうでもないか。packet の中身調べたらわかるな。

じゃそういうことで頑張ってくれ。

>>115
う〜ん、port を変えて2分間に43connection
とか張らない思うよ。

>>116
そそ。scandetd だと packet の中身まで log を取る機能
はなかったと思うので、UDP 53 以外に dns*.dion.ne.jp
から来る packet を capture するように tcpdump を設定
しますか…。

CIDRの逆引きがみっともないってのは確かだが、破綻ってのは言い過ぎでは？
使い勝手からCNAMEの利用が広まったのはBINDの責任でしょ。

あとrfc2317は個人的に気にくわんので。(w
rfc2181は間違っちゃいないと思うが、それを言い訳にrfc1035を無視するのは
なんつーか。

ううむ。ヲレが管理していなかった mail server の log
を見たら、DION から SMTP の不正中継要求の嵐…。
ってことは、例の UDP request が IP address spoofing
か、実際に DION の DNS が crack されたかのどちらか
って可能性が高いなぁ。

http://www.dion.ne.jp/news/shougai.html を見ても
それらしいことは書いていないんだけど。

つーか逆引きってどうよ?

>>120

いらない。と個人的には思ってる。安直な考え？

>>110
現状では、空白をいくつか入れてあります。また、「@」を入れる方法も試しましたが、ダメでした。test.domをいちいち書くのが面倒と言うことで$ORIGINを導入したかったのですが、うまくいかずこまったものです。

>>120
いらないでしょー。

うーむ。個人的には逆引き->正引きで元に戻らないIPアドレスにはお引き取り
願いたいなあ。

>>124
なんで?

>>125
なんとなく。あくまで気分なので「個人的には」ってことね。
逆にいらない理由も知りたいなあ。

>>126
必要性を感じないから、じゃだめ?

最近 BIND で walldns っぽい動きさせて遊んでる。
今のとこ問題なし。
>>124 みたいなのにも対応できる。

hoge.example.jp. IN A 192.168.12.34
34.12.168.192.in-addr.arpa. IN PTR 34.12.168.192.in-addr.arpa.
34.12.168.192.in-addr.arpa. IN A 34.12.168.192.in-addr.arpa.

本当は private address じゃないけど。

別に逆引き→正引きすることで特にセキュリティが
向上するわけでもないしねえ。
あ、DNS spoofing 防止効果が無いこともないか。

逆引きできないクライアントを本当に蹴る
ポリシでやってるとこを知ってるけどさ、
結局つなげなくなる場合を増やしているだけのような気がする。
連中に言わせると
「DNSの正引き逆引きが一致しないクライアントはマトモに
管理できてないところだ。そんなのは蹴ってよし。」
ということらしいが。
個人サイトならいいかもしれないけど、うちの大学のFTPサーバなんだよな…

host名で認証してるなら必要だけど、そうなると更に正引きして詐称の
チェックが必要だしなぁ。

本来なら自分の身元を明らかにする意味でマナーとして必要だったけど、
今じゃDHCPなサーバがいくらでも転がってるし、せいぜいプロバイダが
わかりやすくなる程度の恩恵しかないのかも。

>>129
プロバイダとドメイン名とは独立しているべきものだから、
whois を使えってことで終わっちゃわない?

逆引きを詐称されて困るのは、そんなもので認証するからだよな。
ハナから逆引きを信用しなければ問題なし。

>>128
「逆引きできない→マトモに管理できてない」は正しいか?
ポリシーで逆引き書かない、って可能性を想像できないのかな、その連中は。
「マトモに管理できてない→蹴ってよし」もどうかと。
「IE 4.0 以上をご使用ください」に似たにおいを感じる。

>>118
> 使い勝手からCNAMEの利用が広まったのはBINDの責任でしょ。
もちろんそうだね。これについて BIND の責任は決して軽くはないと思う。
ていうか、reference 実装としての BIND の責任はもっと重いと思っている。
だからこそ、CIDR が出た時に ad hoc な解決法ではなく、
真っ当な解決法を提案すべきだったと思うんだけどね。
DJB がやってるのは
「BIND よりもちょっとだけましな ad hoc な解決法を思いついたよ。偉いでしょ」
っていってるのに過ぎない。ad hoc だという点では同レベルだ。

ちなみに俺は site 単位での権限の委任ができてないという点で、
DJB の解決法は気に喰わない。概念を軽視して実装に偏りすぎだと思う。

>>131
逆引きして正引きして確認するのは別に問題ないよね。認証に使うんでなければ。

>>130
whois じゃ本質的に違わないような。アドレス割当の範囲を調べる?
なら、逆引きでも親をたどればすむと思うよ。

BIND 逝ってよし!

---Dan

>>133
確認したいのなら確認しても別にいいんだけど、
なんで確認したいの?

>>135 単に確認したいから、だけど。藁
逆引きと正引きとが一致している時と一致しない時とで取り扱いを変えるってのは
あると思うんだけどね。一致しないから拒絶するっていうんじゃなくて。
例えば統計とりたい時とか。
で、一致してる時はそのまま受け入れて、一致しなかったら信用できないとして
捨てるなり、上位のアドレス範囲を持ってるところと同じとみなすとか。
ま、実際に俺がそんなことしてるわけじゃなくて、今適当にでっちあげた例だから、
そんなこと普通しねーよって思うかもしれないけどね。藁

>>131
> ポリシーで逆引き書かない、って可能性を想像できないのかな、その連中は。
電話の発信者番号非通知と非通知拒否みたいなもんなんじゃないの?
逆引きを書かないのと逆引きできないホストを蹴るのと、どちらもポリシーとして
そんなに不自然じゃないと思う。

> 「マトモに管理できてない→蹴ってよし」もどうかと。
大学のFTPサービスだそうだから、好意でやってくれてるんだろうし、別にい
いんじゃないの?
企業で「蹴ってよし」をやってると顧客満足度が下がると思うけどね。

> 「IE 4.0 以上をご使用ください」に似たにおいを感じる。
俺は、「"IEuser@"をパスワードに使うIEではanonymous ftpサービスを利用で
きません」と似てると思う。

>>133
要は、そんな程度の用途なら、whois あるから逆引き
なんていらないやんってことです。

>>138
それは「138 にとって」逆引きは必要ないっていってるだけですな。
俺的には逆引きあって whois ない方が困ることの方が少ないってことで。

逆引き撲滅キャンペーンじゃなければ別にどうでもいいです。

>>132
ad hocというか、何も考えずに直球勝負というか。(w
設定方法がシンプルだったから出来た、現状ではベストな方法ではないかと。

ちなみにBIND使う時は
> 192/26.2.0.192.in-addr.arpa.
じゃなくて、
> 192-255.2.0.192.in-addr.arpa.
を委譲するようにしてる。ささやかな抵抗っつーことで。

>>138
書き忘れてた。俺が >>135 で書いたのは逆引きして正引きをする時の話であって、
逆引きについて書いたのではないということもわかってくれ。
こちらは whois では代わりにならない。

>>140
IPv4での失敗を踏まえてのことなんだろが、
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT
はいかがなものか。

>>142
それでは最小でも8個単位での委譲しか出来ない為、広大なアドレス空間が
無駄になってしまう。
やはりここは8進などとケチ臭いことを言わず、素直に2進数で表現すべきだっ！


...確実に255オクテットより長くなるが、それは言わないお約束。

>>143
ﾜﾗﾀ

ところで v6 アドレスの逆引きって本来下位 64 bit は委譲することはないはずだから
分割しないって選択もありだったと思うんだよね。キレイじゃないからやだったんかな?

>>144
IPv6なんて先の話と思ってたから、知識のなさが丸見え。
しかも8進と見事にボケかましてるしな。(w

つーか、調べてみたらCIDRが必要となったIPv4を教訓に各組織の割り当ては
/48に固定されてるみたいだし。まぁアレだ、>>143はネタだし見逃してくれ。

昔は逆引きもちゃんと書くのが当然、という雰囲気はあったね。
RFC1912 ( >>45 ) も
「PTRレコード とAレコードが一致しないと、
全く DNS に 登録されていない場合と同様に、
受けられないサービスが出てくるかもしれません」と言ってるし。

>>137
>>128 の FTP サーバは大学(国)の物だし、
管理者はちゃんと給料もらっているので、
業務で運用しているということになるでしょう

>>146
管理者の業務は教員、職員、学生への研究用、事務用、学習用等のネットワー
クインフラの提供だと思うぞ。FTPサービスは業務の合間に片手間にやってる
ことなんじゃないの?

あ、この FTP サーバはいわゆるフリーソフト集積場じゃなくて
教官が課題をアップロードしたり、学生にダウンロードさせたりする
サーバなんです。今時FTPで配るなんて珍しいでしょ。

で、たまに「つなげないんですけどー」って問い合わせが来るわけ。
そのたびに「逆引き書けヴォケ」って追い返しているらしい。

>>148
なるほど、そうなのか。ISP使ってると「逆引き書けヴォケ」って言われても
どうしょうもないことが多いよねえ。

>>149
話はそれるが、逆引きの設定してない ISP って多いのか?
ダイアルアップでも ppp-xxx.xxx.hoge.ne.jp みたいに何らかは設定してある
ところがほとんどだと思っていたんだが。

nimbdaに感染してるホストからのapache access.logを見る限りは(w
日本のISPでダイアルアップやADSLに逆引きを設定してないとこはないみたい。

SecureなBINDのススメ
http://www.cymru.com/~robt/Docs/Articles/secure-bind-template.html

CHAOSんとこにauthors.bindなんてのもあるのねん。

直接ISPのDNSにアクセスするのは、内部への問い合わせがISPに漏れてしまいそうで
ちょっと不安なので、IPマスカレードの中に、DNSサーバを設置したいのですが、
どういう設定が良いのでしょうか？

あと、ついでにDHCPもやっちゃいたいなと思います。
OSはFreeBSD4.xでお願いします。

>>153
FreeBSD 4.x でDNSもDHCPも運用しているけど、
153 が何をしたいのかはサッパリわからんな。
「内部への問い合わせ」ってなんのことだ?
変に省略したりしないでちゃんと書いてくれ。

ダイアルアップルーターを購入して、家庭内LANを構築したのですが、
マシンが増えてきて、管理するのが大変になってきました。
そこで、ルーターのDHCP機能を利用して、DHCPで管理しようとしたのですが、
winipcfgでDNSサーバの設定を見ると、プロバイダのDNSサーバに問い合わせる
様に設定されていました。
もし、Aというマシン名を持つマシンのIPアドレスを問い合わせ場合に、もし、
電源を落としているなどでAが存在しなかった場合、ISPのDNSにアクセスしに
行ってAのマシン名が外に漏れてしまうのではないかと思っています。
大丈夫なのでしょうか？
また、家庭内でLANを運用する際に、クライアントごとのホスト名を付けて
管理しようと思うのですが、その際の設定のしかたがよく解りません。
各クライアントごとに設定したのですが、ホスト名のDNS検索では引けません。
どうやったらいいのでしょうか？

>>156
その A っていう machine は DNS に登録されようがないと思うがどうよ。

>>156
DHCPやめて、自前でLAN内にDNS鯖立てて、FOWERDERかませ。

1. LAN の中で DNS サーバと DHCP サーバを立てて管理する。
2. ダイアルアップルータ(NAT箱か?)のアドレスを
デフォルトゲートウェイのアドレスとして 1 で立てたサーバから配る。

ということでどうよ? 1 の話は一般的な LAN 管理の話と同じだから、
その辺の本とか雑誌とか web に腐るほど情報がある。腐ってる情報もあるが(ﾜﾗ

>>156
> 行ってAのマシン名が外に漏れてしまうのではないかと思っています。
DNS サーバが問い合わせの記録をとってたりすると漏れる可能性はある。
でも普通いちいちログをとったりはしないし、仮にとっていたとして
漏れたからといって気にすることはない。ゴミ情報だから。

まあ 153 は O'Reilly でも読んで DNS の仕組みを勉強するこった。

逆引きできないと、IRCできないYO!

viewは便利なんだけど、outer/inner両viewを持つサーバAに対して、そのouter/inner両方のviewのセカンダリになるサーバBって、設定できるの?

forwardersの指定をするとき何か特別な指定って必要でしたっけ？

;
slave
forwarders "ip-add"

で解決でした。

DDNSでIPv6が使える（AAAA、A6レコードが使える）DNSサーバって
あります？bind-9.2.0使ってますが、v4と同じやり方ではできませんでした。
ていうかnsupdateにAAAAレコード、A6レコード指定すると、使えないよとエラー出ます。
まだ対応してないんですかね？
同じような研究してる方いらっしゃいます？

foo.domain.com
で、fooの部分を何にしても一定のIPアドレスにつなげるようにするにはどうしたらいいのでしょうか？

環境：linux+BIND-8.2.1

>>166
* を使えば近いことができるが、
独特の動きをするのでちゃんと理解して使わないと痛い目にあう。

つーか、お客さん来ちゃうよ。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/01.html#20010130_bind

>>167
ですな。8 系列ならまずは 8.2.5 に version を上げましょう。

8.2.3-RELなら安全ですか？

>>169 なわけねーだろ！

>>167
のとこにはダイジョブって書いてるけど、、

>>171
そりは8.2.3が最新だった頃の情報でせう

>>170
具体的にどんな穴があるの?
ISC のページだと 8.2.3 なら OK みたいだけど。
http://www.isc.org/products/BIND/bind-security.html

常に、もう大丈夫と思わせておきながら、頻繁にアップデートパッチ
が必要なのの最右翼がSENDMAILとBINDだとおもう。
この二つを撲滅し、OSのSTRING関連の関数をBUFFER　OVERFLOW　FREE
にすれば、かなりの問題はつぶせることが何年もまえからわかって
いるのに。あるいはデータのセグメントとコードのセグメントを
OSで完全に分離してもかなりの問題が消えるのだが。

＞174
openbsd + djbdns + qmailってことかえ？

OPEN　BSDだけではなくて、PC-UNIXあるいはUNIX全般においての
話のつもりなのだが。
すべてのOSのストリング関数をBUFFER　OVERFLOW　FREEとすべし。
検証プログラム（ベンチマーク？）を作って試験するとよい。
何かあった時のための、トロイの木馬を植え込むためにわざと
残してあるのではないかと思われたりもするよ。
＃
SENDMAILとBINDもそう。
＃
低位のポートはすべてNOBODY相当の所有物として、デーモンもNOBODY相当で
動作するようにもしたら、いまよりも、よくなりはしないか？

> すべてのOSのストリング関数をBUFFER　OVERFLOW　FREEとすべし。
ANSI/ISO Cとの互換性を捨てないかぎり無理。

> 低位のポートはすべてNOBODY相当の所有物として、デーモンもNOBODY相当で
> 動作するようにもしたら、いまよりも、よくなりはしないか？
AデーモンがBデーモンの環境をいじれるってことになるよ。
デーモン(というかサービス)単位で専用アカウントを作って権限を分散化
させる方がいいのでは? (nobodyは本来NFS用のアカウント)

これってどうなんでしょう?

http://www.trl.ibm.com/projects/security/ssp/

本家 gcc に取り込まれるのは難しいと聞いたような。

厨問ですが・・・
サーバ自体にはドメインを割り当てないで、全てヴァーチャルドメインとして運用する
ことは可能でしょうか？

質問がわかりにくいかもしれません。
質問自体がおかしい場合はご指摘ください。

>>180
virtual domain とはどういうものだと考えているのでしょうか?
それを詳しくお聴かせ下さい。

>>181
1台のサーバ(もしくは1つのIPアドレス)に複数のドメインを割り当て、同時に
異なるサービスを提供すること。　by e-Words

私はまずサーバのIPアドレスへドメイン（基本？）を割り当て、その後複数の
ドメインをヴァーチャルドメインとして割り当てる。・・・と考えていました。
最初に割り当てるドメインと、その後に割り当てるドメイン（複数）に変わりは
無いということでしょうか？　＜なんか表現が変かな・・・

ってことは　named.conf　の設定なども区別して考える必要は無く、同じように
Zone定義をするだけでよろしいのでしょうか。　＜逆引きの設定は不必要？

まだ概念が良く解っていないので、変なカキコになっていると思いますが、ご教授
よろしくお願いいたします。

追記
ゾーン定義ファイルに記述するAレコードの各IPアドレス（gw,ns,ns2,domain,domain2）
は上位プロバから教えてもらって記述するのでしょうか？

named age

>>180
何も知らん奴が bind 使うのは危なすぎる
厨房だったら djbdns 使えや
あれは乳悶にもってこいだ

乳揉?

>>186
ﾆｭｰﾓﾝ

DNSが管理しているゾーン名の情報を、外部のクライアントから確認する方法はありますでしょうか？

nslookup

細かい使い方は本読むなりman見るなり。

もしかしてネタですか？

named age

>>189
きょうびnslookup薦めるのもどうかと思う。ISCも、「その
うち消すかも」と言うてるし。

>>191
じゃなくて >189 もﾈﾀなんでしょ

マラDNSってどうよ。
http://www.maradns.org/

>>189
dig にしとけ。

>>194
ほかにも host とか dnsquery とかあるけど、
dig を勧める理由は?

すんません。189です。

digは「覚える必要ないだろう」と思って、全然使ったこと無かったです。
で、ここ読んでから覚えました。

とりあえず慣れました。意識してこいつを使っていこうと思います。

つーか、今まで、hostも使わずに全部nslookupだけで済ませてた
俺は何なんだろう……

ゾーン定義ファイル内の空白はスペース？
それともTab？

逆引きファイルもゾーン定義ファイルと同じか？　＜スペースorTab

>>197
tabがいいと思われ

digって逆引きが面倒なんだよなー、と思いつつman見たら
-x ってのがあったのか:-)

>>198
らじゃ　サンクス！

とりあえず 8.x を使っている人は，先週末に出た
8.3.0 に置き換えた方がいい．
http://www.isc.org/products/BIND/

>>200
If you are running a version of BIND prior to version 8.2.5,
we recommend you upgrade for security reasons.
か…。いったい、いつになったら BIND の security hole は塞がって
いくんだろう…。

8.2.4とか8.2.5にどういうセキュリティホールあったの?
http://www.isc.org/products/BIND/bind-security.html にも書いてないし。

8.3.0 の src の CHANGES によると

--- 8.3.0-REL released --- (Fri Jan 11 04:00:00 PST 2002)

1323. [bug] don't assume statp->_u._ext.ext is valid unless
RES_INIT is set when calling res_*init().

1322. [bug] call res_ndestroy() if RES_INIT is set when
res_*init() is called.

1321. [cleanup] YPKLUDGE in no longer default.

1320. [port] winnt: namespace collision #undef the system's EV_ERR.

1319. [port] winnt: make __res_nopt() visible externally.

1318. [port] Tru64 UNIX V5.1 can return spurious EINVAL on
close() after connect() failure.

1317. [bug] NULL used where zero was required.

らしい．
しかしむしろ README の
Note that BIND 8 is in "end-of-life", having been replaced by BIND 9.
の方が気になる．

BIND 8 から BIND 9 への移行についてのノート
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/migration.html

bind 9.xって、リゾルバが作成できないんでしょ。
じゃぁ、sendmail 12.2.X系でリンクしてインストールできないの？

最新版入れてみたんだけど、FreeBSDで薦められてるように-uオプションでサンドボックスの中で動かそうとしたら、
pidファイルが書けないってエラー出ちゃいました。

どうしたらよいでしょう？

>>206
サンドボックスの中に/var/runを掘ってchownしても駄目？

サンドボックスは/etc/namedb/s/というディレクトリにしているんですが、pidファイルは普通の/var/run以下にできるみたいです。
なので、/var/runはroot：wheelさんの持ち物なので、bind：bindさんでは書けないみたい。

chrootしているわけではないようです。（ソース読んだわけではないですけど…）
FreeBSD付属のBINDは、rootでpid作ってからsetuid(2)を発行してるんじゃないかと思うんですが、最新のBINDはsetuidしてからpid書いてるような気がします。

というか、みなさんサンドボックス使ってない？？？
かくゆうぼくも今のところrootで動かしてますが。（ｗ

でも、ダイナミックアップデートが心配だなー。

>>206
named.confのoptionsセクションに
pid-files "/etc/namedb/s/named.pid"
を書いたら？

厨房質問で申し訳ありません。

FreeBSD4.4-RにBIND9.2.0をmaik install しました。
その後、set named=/usr/local/sbin/named として #named restart としたのですが
can't open named となってしまいます。

これはなぜなのでしょうか？
対処方法などご教授していただけるとありがたいです。

Windows 2000 で動く BIND ってありますか？
セキュリティホールとかはどうですか？

待て、何も言うな。俺が悪かった。まさか ISC でバイナリ配布してるとは。。。
灯台下暗しとはこのことさね。。。

>>210
shell変数参照するなら $named だが、それ以前にnamedはrestart
なんて引数受け付けないんじゃないか?

FreeBSDの/usr/local/etc/rc.d/hoge.shって最近はrestartも
受け付けるようになったのか?

等々、なんかいろいろごっちゃになってると思われ。

>>210
8.X系ならndc {start|restart|stop}ってなかったっけ？

9.Xになってrndcになったって聞いたけど、
どう変わったの？

forwarders を設定すると 委任て動作しないものなんですか？

Windows 2000 + BIND 8.3 という環境なんですが、forwarders をきってると
なんでか委任が動作しない。forwarders をコメントアウトすると委任がきくと。
forward first も forward-only も使ってません。

>>215
Windows2000 版の BIND は使ったことないけど、
そんな話は聞いたことないぞ。
もともとちゃんと委任できていないのに、
forwarders でクエリの流れが変わることで
委任できてるように見えるとかそういうことはない?

今まで BIND 8.2.5 とか使ってて、BIND 8.3 にした途端
そうなったというならわからんけど。

>>214
設定ファイルが大幅に変わったとか、
リモートから (ネットワーク経由で) named の動作を制御できるようになったとか。

ちなみに今でも SIGHUP で reload するし、SIGTERM で
安全に終了するので、それで十分な人はそれでもよい。
でも、いずれシグナル経由の制御ができなくなるようになるかも、っていう話を
どこかで聞いたような気がする。

質問なのですが・・
ADSLで固定IPを1つもらってサーバを立てる場合、各ZONEファイルのサーバIPは
プロバイダからもらったIP1つを全てに割り当てるのでしょうか？＜MXの定義

例）
;
;hogehoge.com zone
;
$TTL *******

（中略）

ns IN A 210.***.***.***
mail IN A 210.***.***.***
www IN A 210.***.***.***
ftp IN A 210.***.***.***

上記4つに同じIPアドレスを設定するのでしょうか？
（MXにCNAMEを使用するのは間違いと記述（↓）されていました）
Ohmshaの「DNS＆BIND入門」を参考にしています。

>>217
正解！

おらいりーの「DNS＆BIND」役に立つぞ。
いまDIONのDNSが死んでたので、本に書いてある
root name server つかっちゃったり。（藁

>>218たん
同じIP設定して良いんですね。
ありがとうございました。

>>219
おらいりー欲しかったんですが、高い・・・

>>216
解説どうも。
MACにはMD5しか使えないのか。SHA-1は対応してくれないかな？

#でも、ネットワーク経由って言うメリットがいまいち見出せないんだが
#別にサーバにSSHでログイン->再起動 は駄目なのかなぁ

>>216

クエリの流れはもう1度みてみます。
ところで、forwarders よりも NS で指定した委任先に先に問合せさせることは
出来るんでしょうか。namde.run を見ると forward first を記述していない
のにまっさきに forwarders で指定した先に投げてるんです。

/dev/rmt/0hn
これのhってどういう意味なんでしょう。
どなたかご教授ください。

>>223
スレ違い

age

質問です。
BIND-9.2.0をFreeBSD4.4へインストールしました。

起動設定を以下のサイトを参考に行っています。（Ver9.1.3）
ttp://freebsd.sing.ne.jp/FreeBSD/07-1.html

ここで認証キーの作成までは進んだのですが、その後の設定でrndc.conf.sampleが
ありません。findしたのですが見つかりませんでした。
自分で作成してしまっても大丈夫でしょうか？　＜ファイルの置き場は？

また上記サイトでは「pidファイルは/etc/namedb以下にある」と書いてありますが、
当方では/var/run以下でした。この場合どのように設定したらよろしいでしょうか？

named.conf
options {
pid-file "/etc/namedb/named.pid";
}

>>227
確認してみます

確認しました。
サイトを熟読していませんでした。
>>227でアドバイスいただいたので理解することが出来ました。

ただ、rndc.conf.sampleファイルが見つかりません。
どこからかDLできるでしょうか？

厨問で申し訳ありませんがご教授願います。

Jan 30 03:14:40 ns named[180]: /etc/namedb/named.conf:7: configuring key 'rndckey': bad base64 encoding
Jan 30 03:14:40 ns named[180]: loading configuration: bad base64 encoding
Jan 30 03:14:40 ns named[180]: exiting (due to fatal error)
これってどうやれば，良い？

>>230
ログを読めば良い。

log?

>>232
ちなみに対数ではない

bad base64 encoding
これってどういう意味なのさ？
あほだからわからんのです．

>>215,216
ttp://www.acmebw.com/askmrdns/archive.php?category=89&question=578
つーことで、基本的にforwardersと委任は排他的らしい

【Q】
BIND9.2.0をソースからmake　installして各項目を設定したのですが、/var/log/messagesを見ると以下のように表示されます。

Feb 1 00:31:14 www named[***]: starting (/etc/namedb/named.conf). named 8.2.4-REL Tue Sep 18 09:51:38 PDT 2001 [email protected]:/usr/obj/usr/src/usr.sbin/named
Feb 1 00:31:14 www named[***]: limit files set to fdlimit (1024)
Feb 1 00:31:14 www named[***]: /etc/namedb/named.conf:16: syntax error near '::1'
Feb 1 00:31:15 www named[***]: Ready to answer queries.

1.旧バージョンが起動されている？　＜rc.confのパスは変更済み
2.syntax　errorとはなんぞや

などなど、アドバイスお願いします。

BIND９のバッタ本はいつでますか？

>236
1.どうやって起動したの?
2.ただの文法エラー(IPv6か？::1って)

>237
BIND第4版は2月中で、予約受付中らしい。

>>238
あんがと！

>>238
起動は、shutdown -r now です。　＜FreeBSD4.4

BIND関連でいいMLしってたら教えてください。
初心者むき＆日本語でお願いします

shutdown -r nowして再起動後以下のようなログが出るってことは・・・

Feb 1 00:31:14 www named[***]: starting (/etc/namedb/named.conf). named 8.2.4-REL Tue Sep 18 09:51:38 PDT 2001 [email protected]:/usr/obj/usr/src/usr.sbin/named

named.conf にnamedのパスが指定してあるの？
見た感じなさそうなんだけど。

>236
新namedが/usr/local/sbinにあるとして
----------------rc.conf-----------------
named_enable="YES"
named_program="/usr/local/sbin/named"
named_flags="-c /etc/namedb/named.conf"
---------------------------------------
BSDってあんま知らないんですけど、こんな感じだったっけ？

>>243
はい。そのような感じです。
以下参照。

named_enable="YES"
named_program="/usr/local/sbin/named"
named_flags="-u bind -c /etc/namedb/named.conf"

「program,flagsをenableの前に書け」なんて書いてあるサイトがあって試したのですが
だめでした。↑現在は上記の記述
ご教授お願いいたします。

>>244
って書いてるってことはひょっとして後ろの方に別の
named_program=
行がないか？

>>245
別のnamed_program=はありません。
>>244の3行がrc.confの最後に記述してあります。
それ以外、namedで始まる行はありません。

どうしたら良いのだろう・・・
どんな些細なことでも結構です。レス下さい。　m(__)m

>246 rootで
# /bin/sh
# . /etc/rc.conf
# set|grep named
とやるとどうなる?

BIND 逝って良し

>>235
なるほど。
自分が委任しているゾーン情報についてもforwardしてしまうのか。

ちなみに、このメールによれば、
BIND 8.2.3 以降なら、その zone に
forwarders { }; って入れれば
そのゾーンに関してforwardしないようにできるみたいね。

>>247
>>244が逆に表示されます。

named_flags=-u bind -c /etc/namedb/named.conf
named_program=/usr/local/sbin/named
named_enable=YES

ただし、（"）ダブルクォーテーションはありません。

>250 ごめん、やっぱり今のなし。本当はこっち。
# . /etc/defaults/rc.conf
# source_rc_confs
# set|grep named
うちだとこう。
named_enable=YES
named_flags='-u bind -g bind'
named_program=/usr/local/sbin/named
この変数を評価しているのはrc.networkだけだから、順番には関係ないと思う。

>246
旧namedを止めてから
# rndc start
ってやってみて

>>251
起動できました！　＜9.2.0
原因はスペルミス・・・
レス頂いた皆様、本当にありがとうございました。
これに懲りずに、本当の意味でBINDが使えるように精進いたします。

m(__)m

>253
ｲｷﾛ

http://freebsd.sing.ne.jp/FreeBSD/07-1.html

↑ここみて設定しているんだけどnamed起動時に、can't open named.pid : permisson denied
って怒られるYO

どう設定したら良いの？
9.2.0で上記サイトと同じように設定してあるYO

>can't open named.pid : permisson denied

named.pidが作成されるディレクトリに権限がないだけ

っていうか、そんなことわかんないやつが
DNSたてんな

>>256
そんなもんわかっとるわい！
>>255をよ?く読んで何を言ってるかよ?く考えろ。
そして理解しろ。

「BIND ネームサーバの更新に関するお願い」
http://www.nic.ad.jp/jp/topics/archive/2002/20020207-01.html

BIND 8.3.0使ってる人は直ちに8.3.1へ移行すべし

うげ。これじゃ BIND による DDoS attack だ。

bind ってさあ、素朴な疑問なんだけど、どのくらいの数の
ゾーンを管理できるの？　例えば10万ドメインとかどう？

今のところおれん所は12個が最高。

>>260
Root server では bind を使っているってことをお忘れなきよう

>>257
can't openつってる位だから、
一度rootでプロセス上げてて、その時のnamed.pidが残ってるとかは？
つーか、もう解決したのか？

>>263
解決していない
つーか、chroot内動作を構築中

躓いているが・・・

zoneファイルについて。
下記のようにzoneファイルを作成したのですが、mydomainにて
接続できずにいます。
何か抜けているところがあるのでしょうか？

<<mydomain.zone>>
;
;mydomain.com.zone
;
$TTL 25900
;
mydomain. 3600 IN SOA ns.mydomain. master.mydomain (
2002012100 ;serial
21600 ;refresh, 6h
7200 ;retry, 2h
3600000 ;expire, 1000h
172800 ;minimum, 2days
)
;
IN NS ns
;
IN MX 10 mail
;
localhost IN A 127.0.0.1
ns IN A xxx.xxx.xxx.xxx
mail IN A 10 mail
ftp IN A xxx.xxx.xxx.xxx
;
www IN A xxx.xxx.xxx.xxx
IN MX 10 mail
@ IN A xxx.xxx.xxx.xxx
;
gw IN A yyy.yyy.yyy.yyy

xxx.xxx.xxx.xxxはサーバのIPアドレス
yyy.yyy.yyy.yyyはdefaultrouterのIPアドレス

FreeBSD4.4-R+BIND9.2.0
mail install後、各ファイル(named.confなど）を編集。

dig @127.0.0.1 1.0.0.127.in-addr.arpa PTR
dig @127.0.0.1 1.0.0.127.in-addr.arpa SOA
rndc reload

にて動作確認は取れました。
しかし、ブラウザにて独自ドメインにてテストページの閲覧は出来ません。
検索したのですが、参考になるサイトが見つけることが出来ずにいます。

Ohmsha「DNS&BIND入門」を参考にしています。

sageてしまった・・・・
ageるので>>256よろしくです。

>>265
)は当然、コメント；の前に入れる。
Aの後ろにくるのは、IPアドレスでないと具合が悪い。

master.mydomainのうしろに、ドット
mail IN A 10 mail ではなく
mail IN A xxx.xxx.xxx.xxx
それと
IN NS ns.mydomain.com.
IN MX mail.mydomain.com.
最後にドットを必ず付けてください。
digはよくしらないので
nslookupで正逆両方引けましたか？
set type=any として
うまくいきました？
それとsyslog確認しました？

>>267-268
ThanX
"."付け忘れてた・・
>>267の「）」についてはns行の上の「）」に「；」を付ければ良い
ってこと？

早速試してみます。

172800 ) ; minimum
というような具合です。
それと、mydomain. 3600となっているけれど、3600は不要です。

268で少し書き間違えました。
IN MX mail.mydomain.com.
ではなく 正しくは IN MX 10 mail.mydomain.com.
数字が抜けてました。

>>267さん

>>270>>271了解しました。
早速編集しました。
しかし、nslookupしても「Can't find address......」になってしまいます。

う?ん・・・
どうしたら良いのだろう・・・

>>272
> しかし、nslookupしても「Can't find address......」になってしまいます。
それ、全部書いてみて。

まぁ、たぶんもう知っているかもしれないけど、「DNS&BIND第４版」が出版される
ようです。
http://www.oreilly.co.jp/
予約注文受付中だって。BIND9対応！

野球ヲタﾜﾗﾀ

http://ime.nu/www.baseball-lover.com

>>272

C:\> nslookup xxx.xxx.xxx.xxx
***Can't find server name for address 192.168.0.1: Non-existent domain
***Default servers are not available
Server: UnKnown
Address: 192.168.0.1

Name: xxx.serverdomain
Adress: xxx.xxx.xxx.xxx
Aliases: xxx.xxx.xxx.xxx.in-addr.arpa <上記IPアドレスと逆

こんな感じです。（ADSL+ルーター）
DNSにルーター（192.168.0.1）を指定しているのがいけないのでしょうか？

>>276
ルーターのほうでDNSプロキシでも動かしてない限りは
当然そうなるわな。

resolv.confのnameserverの指定は当然
ns IN A xxx.xxx.xxx.xxx
の数字でなくっちゃおかしいでしょう。
nameserver xxx.xxx.xxx.xxx
です。

>>277
>>278

レスありがとうございます。
誤解があってはいけないので説明しますが、「DNSにルーター・・」
は当方のローカルPCです。
BINDをインストールしたのは、リモート操作しているサーバです。
で、ローカルPCからリモートサーバへnslookupすると>>276の
ような結果が表示されます。

ただ、サーバのresolv.confのアドレスしていが間違っていたので、
>>278のように nameserver xxx.xxx.xxx.xxx に変更しました。
その後、rndc reload したのですが、結果に変わりはありませんでした。

う????ん・・・・・・

>>276
C:\> nslookup - xxx.xxx.xxx.xxx
とやって直接DNSサーバを指定してみたらどうよ？

>>279
279さんは、236で
/var/log/messeges
の内容を聞いていたひとですね？
だとしたらnamed.confの16行目が間違っていたけれど
それは手直ししたんですか？

>>280
C:\> nslookup - xxx.xxx.xxx.xxx　の結果
Defaut Server: xxx.servername.jp ＜Servernameは上位サーバのドメイン
Address: xxx.xxx.xxx.xxx
Aliases: xxx.xxx.xxx.xxx.in-addr.arpa ＜上記と逆のIP
（当方のドメインは表示さません）

こんな感じです。
正直言いまして、nslookupはほとんど使ったことがありません。
今回の反応も正しいのかどうか判断しかねています。
サイトで調べてきます。

>>267
はい。その通りです。
named.conf は修正してnamedの起動は出来ました。
修正点が影響しているってことがあるのでしょうか？
（修正したのはnamed.pidのパスです）

皆さん
私のようなヘタレにお付き合いいただき感謝しております。
皆さんのアドバイスを活かすようにいたしますので、もうしばらく
お付き合いください。　＜マジ感謝

resolv.confの内容が
nameserver xxx.xxx.xxx.xxx
nameserver yyy.yyy.yyy.yyy
となっているんですね？
（xxxが282さんのネームサーバーのアドレスで
yyyがプロバイダーのネームサーバーのアドレス）
で上の結果だと返事が返ってくるのが、セカンダリーの
プロバイダーのDNSサーバーということですよね。

>>267
nameserver yyy.yyy.yyy.yyy

↑についてですが、当方のサーバにてBINDの動作確認が取れて
から、セカンダリーの設定依頼をしようと思っていたので、記述して
いません。　まずいのでしょうか？

nslookupの使い方ですが
nslookup
とすると プロンプトが出てきます。で "set type=any"と打ち込みます。
>set type=any
で改行して、次はドメイン名を打ち込みます。
>ドメイン名
でzoneファイルの内容が出てこなかったらおかしいです。
試しに、他の会社のドメインを打ち込んで練習すれば使い方が
分かると思います。

nslookup(8) の jman 見れば使い方解るやろ。
ttp://www.linux.or.jp/JM/html/bind/man8/nslookup.8.html
ttp://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man=nslookup&dir=jpman-4.5.0%2Fman§=0

つか、ｶﾞｲｼｭﾂだけど nslookup は obsolete でわ？
出力結果がウザいけど、dig(1) を理解した方がいい。

>>285
ご指導された通りやってみました。

C:\> nslookup
***Can't find server name for address 192.168.0.1 No-existent domain
***Default servers not available
Default server: Unknown
Address: 192.168.0.1

>set type=any
>mydomain
Server: Unknown
Address: 192.168.0.1

Non-authoritative Answer:
mydomain nameserver = ns.mydomain

mydomein nameserver = ns.mydomain
ns.mydomain internet address = xxx.xxx.xxx.xxx
>

とzoneファイルの内容が表示されているってことは、
OKなのでしょうか？
Non-authoritative Answer:　が気になりますけど

>>286
私もどこかで「digの方が良い」と見ました。
で、ちょこっと使ってみたのです。＜まだ理解はしていませんが
勉強してみます。

Default serverに287さんのネームサーバーが出てくれば成功です。
したがって残念ですが、282を見ても、287の内容を見ても旨くいってません。

>>288
>>287のDefaultServerはローカルサーバのことではないのでしょうか？
>>282でNameServerが表示されないのは失敗しているからでしょうが・・・

もう一度確認してみます。

282でDefaultServerがプロバイダーのネームサーバーになっているのは
プロバイダーのネームサーバーが、返事をしているということです。

うーーーん
他に設定が間違っている点があるのでしょうか？
BINDの起動・動作については>>265で「動作確認が取れた」と考えて
よろしいのでしょうか。　＜良ければ*.zoneファイルの問題ですよね

頭痛くなってきたYO・・・

>>290
なる

うーん、その他おかしいところは出てこないんだけど・・・
zoneファイル以外が原因なのだろうか？

>>292
Can't find server name と言うのは、resolv.confで指定したネームサーバー
が見つからないという意味です。
それと292さんのBINDの動作確認は取れていません。
あくまでもプロバイダーのDNSサーバーの動作確認が取れただけです。
セカンダリーにプロバイダーのネームサーバーアドレスを指定しなくても
最近のプロバイダーのDNSサーバーは固定しているから
そのままインターネットにつながるはずです。
ですから返事が返ってきたのです。

1.resolv.confでnameserverのIPAdressを指定する。
2.named.confを作成する。内容は
データベースファイルのディレクトリの位置
ルートキャシュファイル、localhostの正引き及び逆引きファイル
自DNSサーバーの正引き及び逆引きファイルなど
5つのファイルの指定です。
3. 2で指定したディレクトリにデータベースファイルを作成する。
例えば/var/namedなどの下に
2で決めた5つのファイルを作成。

>>292
訂正です。BINDの動作確認は ps ax |grep named
で動作確認を取れば分かります。動作確認が取れてないのは
292さんのDNSサーバーです。

続きです。
4. namedをHUPする。kill -HUP named pid
5. /var/log/messagesを見る。
6. nslookupなどで正逆うまく引けるか確認。
7. 間違っているところがあれば訂正。
8. named を再度HUP
9.5.6.の手順を繰り返す。
尚、データベースファイルが違っている場合は、シリアル番号を書き換える。

>>267
丁寧にありがとう。
ps ax | grep named は確認済みです。
>>287のようにローカルPCからは、

mydomain servername=ns.mydomain

mydomain servername=ns.mydomain
ns.mydomain internet address = xxx.xxx.xxx.xxx

と表示されるのは、正引きが出来ているってことじゃないのかな。
yahoo.co.jpでも同じように表示されてるんだけど。

ただServerでnslookupするとDefaultServerにプロバイダーの
サーバが表示されて、Can't find server.....　になる。
うーんわからん・・・

さらに追記

サーバ側でnslookupしたときに、rootとuserで動作が違う。

#www nslookup
Default Server: xxx.providerdomain
Address: xxx.xxx.xxx.xxx
Aliases: xxx.xxx.xxx.xxx.in-addr.arpa

> set type=any
> mydomain
Server: xxx.providerdomain
Address: xxx.xxx.xxx.xxx
Aliases: xxx.xxx.xxx.xxx.in-addr.arpa

*** Request to xxx.providerdomain timed-out

userだと

> nslookup
Default Server: www.mydomain
Address: 0.0.0.0

> set type=any
> mydomain
Server: www.mydomain
Address: 0.0.0.0

*** www.mydomain can't find mydomain: Server failed

ってな具合。
この違いはなぜ？

バッタ本第4版 邦訳 発売記念 age

かわいいウィンドウマネージャーおしえてよ

>>300
スレ違い。

>>301

は〜い

>>298
297はうまくいってるのかな？友達に外部からIPAdressとFQDN名で
pingを打ってもらうなり、tracerouteしてもらったら確実に分かるのでは？
298はよく分からないけど
nameserverの綴りが間違ってるとか、IPAdressが間違ってるとか？

>>303
レスＴｈａｎＸです。
うまくいってないです・・・　（泣
IPアドレスだとpingは通りますが、FQDNだと駄目です。
ｎａｍｅｓｅｒｖｅｒ、ＩＰＡｄｒｅｓｓ共確認しましたが間違ってはいませんでした。

>>304
ということは、正引きのゾーンデータベースが間違っているのかな？
逆引きは旨くいってるから、正引きのデータベースファイルをもう一度
確認したら。
で、直したらシリアル番号も必ずふやしてください。
それから、namedをHUPする。
set type=anyでみたらあたらしいシリアル番号に変わっているはずです。
勿論 /var/log/messagesも見てくださいね。

よく考えたら、逆引きも、旨く言ってるとは限らないか・・・
nslookupとして、
プロンプトの次に、FQDNを打ち込む。
次に、IPAdressをうち込む。
> FQDN
> IPAdress
FQDNを打ち込んだ場合は今のままだとうまくいかないはず。
IPAdressの場合はどうなります？FQDNが出てきます？

>>306
こんな感じ・・・

> nslookup
Default Server: www.mydomain
Address: 0.0.0.0

> www.mydomain
Server: www.mydomain
Address: 0.0.0.0

*** Request to www.mydomain timed-out
> xxx.xxx.xxx.xxx myIPaddress
Server: www.mydomain
Address: 0.0.0.0

Name: xxx.providerdomain
Address: xxx.xxx.xxx.xxx
Aliases: xxx.xxx.xxx.xxx.in-addr.arpa

さらにHUPしようとすると・・・

# kill -HUP named.pid
kill: Arguments should be jobs or process id's.

と怒られる。

>>307
> # kill -HUP named.pid

kill -HUP `cat named.pid`

もっと基礎から勉強した方がいいんじゃないか?

>>307
私は>>306ではないですが…分かるところだけ：

> さらにHUPしようとすると・・・
> # kill -HUP named.pid
> kill: Arguments should be jobs or process id's
> と怒られる。

正確には
# kill -HUP `cat /var/run/named.pid`
といったカンジです。「named.pid」という文字列をそのまま入力するという
意味では*ありません*！

これはUNIXの世界では基本的なことです…これすら分からない状態でよく管
理者やってるな…させられてんのか？

>>308
>>309

ご指摘の通りです。
ただ教えていただいたように、入力をしても同様の結果が出てしまいます。
出直した方がよさそうですね。

板汚し申し訳ありませんでした。

もしかして「`」と「 '」の意味の違いが分かってないかな?

設定ファイルのケアレスミスには
/usr/local/sbin/named-checkconf (named.confのパス)
/usr/local/sbin/named-checkzone (zoneで定義しているドメイン)

とかが効くかも。

>>311
はい・・・
勉強します・・・

>>312
# /usr/local/sbin/named-checkconf /etc/namedb/named.conf
#

となり、Enterキー押したのち何も表示されません。
これはOKということでしょうか？

(zoneファイルと同じフォルダ内にて）
# named-checkzone mydomain zone.file

は当初シリアルNo.が多すぎたようです。＜エラーが出ました。
zoneファイルのシリアルNo.編集後、rndc reload して再度check
したところ、

zone mydomain/IN: loaded serial ******** <serialNo.
OK

と表示されました。
しかし、nslookup コマンドでは time-out になってしまいました。
再度見直してみます。

非常に初歩的な質問なんですが、bindを使って、特定のドメインのゾーンの管理
をすると同時に、LAN用のDNSキャッシュに使用することってできないんですか？
named.confのoption内で、

forward first;
forwarders {
　　　　　　aaa.bbb.ccc.ddd;
};

などとすれば、DNSキャッシュになるようですが、これだと自分の管理するゾーンに対する
問い合わせもforwardしちゃうってことになるんでしょうか？

>>314
> などとすれば、DNSキャッシュになるようですが、
って何に書いてあった?

>>315
ネットを調べていてそうかなと、例えば以下のページ。
http://www.zdnet.co.jp/help/tips/linux/l0106.html

>>314
> これだと自分の管理するゾーンに対する
> 問い合わせもforwardしちゃうってことになるんでしょうか？

http://www.linux.or.jp/JM/html/bind/man5/named.conf.5.html
> フォワードが発生するのは、そうした問い合わせに対してサーバが権限を
> 持たず、キャッシュにその応答が入っていない場合だけです。
っつーことで、forwardしない。

つーか、forwad しなきゃいけないの?
BIND 自身に引きに行かせちゃだめなん?

>っつーことで、forwardしない。
理解できました、恩に着ます。

自分で引きに行くと、異様に遅いんですよ。大手プロバイダのネームサーバに
forwardさせてもらえるので、それは早いんですよ。

BINDをインストールしたのですが、その直後（まだ何のセットアップも行っていない）
他のWindowsやSolarisからtelnetやrloginをすると劇的に遅く
なってしまいました。それこそpasswordのpromptが表示されるまで１０分以上
かかるんです。行った作業は、ただbindをconfigure, make, make installでインストールした
だけなのですが、このような現象ではどのようにして解決
出来るのでしょうか。環境はBindは9.2.0、サーバーはSolaris8です。ちなみに
bind9.1.3ではこのような現象は起こりませんでした。設定を施す前にこんな事に
なってしまってはこの先何も出来ないので困ってしまいます・・・。

>>319
/etc/resolv.conf は見直した？
/etc/hosts にもホスト名記述して、/etc/nsswitch.conf(あれば)に
名前の検索順は記述した？

>>320
レスどうもです。/etc/resolv.conf見ました。別に普通です。
それに/etc/hostsも標準のままですし、、/etc/nsswitch.confもlocal dns
の順番で別に問題もありません。

一つ気になることといえばWindowsからIPでtelnetしても遅いことです。IPで指定
しているのでDNSとはあまり関係無いと思うんですが、これでも遅いのは一体なんでだろう・・・。

>>321
……何だか話からすると、逆引きがまともにできていない予感。ひょっとして
http://home.jp.freebsd.org/cgi-bin/showmail/FreeBSD-net-jp/3583
の件なのではないかと……。
>一つ気になることといえばWindowsからIPでtelnetしても遅いことです。IPで指定
>しているのでDNSとはあまり関係無いと思うんですが、これでも遅いのは一体なんでだろう・・・。
>
関係なくはないだろ。ふつー、telnetはクライアントのIPからホスト名を引く
んだし。

BIND9.2.0を利用しています。

クライアントに引かしたIPをキャッシュさせず
毎回DNSと接続してIPを取得させるためのサーバ側の
設定はありますでしょうか？

よろしくお願いいたします。

janog ML で出ていた話なんですけど、
Private Address の逆引き全てを自サイトで賄う場合、
例えば 16.172.in-addr.arp ゾーンのマスタを作り、
ゾーンファイルの中身は SOA と NS 以外からっぽ。
とかで良いんでしょうか？

blackhole にするとまずそうなんで、NXDOMAIN を
返したいのです。

みんな「正引き」のこと「せいひき」って言う？それと「ただひき」？おしえろyo。

「まさひき」

「しょうびき」

「せいびき」

法法法法法法法法法法法法法法法法法法法料領法法法法法法法法法法法法法法法法法法
法法法法法法法法法法法法法法瞭麟麟麟麟麟麟麟麟麟麟法法法法法法法法法法法法法法
法法法法法法法法法法法法麟麟麟麟麟麟麟麟麟麟麟麟麟麟麟法法法法法法法法法法法法
法法法法法法法法法法法麟麟麟麟麟鱗鱗鱗鱗鱗鱗鱗鱗麟麟麟麟麟法法法法法法法法法法
法法法法法法法法法法領麟麟麟鱗瞭緑緑緑緑緑緑緑諒緑領緑麟麟麟法法法法法法法法法
法法法法法法法法麟麟麟麟鱗瞭瞭瞭緑緑諒諒諒諒諒諒諒諒諒諒麟麟麟瞭法法法法法法法
法法法法法法法鱗麟麟麟麟鱗瞭瞭緑緑遼諒諒諒諒諒諒諒諒諒諒諒麟麟麟法法法法法法法
法法法法法法隣麟麟麟麟麟鱗瞭瞭緑緑遼諒諒梁梁防法法法諒諒諒瞭麟麟鱗法法法法法法
法法法法法法麟麟麟麟麟麟鱗瞭瞭緑緑諒諒諒梁梁梁防防法諒諒諒諒麟麟麟法法法法法法
法法法法法法麟麟麟麟麟麟鱗瞭瞭緑緑諒諒梁梁諒諒諒法防諒諒諒諒麟麟麟防法法法法法
法法法法法法麟麟麟麟麟麟鱗麟麟麟麟鱗瞭諒法法梁諒諒隣麟麟諒諒麟麟麟鱗法法法法法
法法法法法法麟麟麟麟麟麟麟麟麟瞭緑緑緑緑諒諒領遼領諒諒遼緑諒瞭麟麟法法法法法法
法法法法法法法麟麟麟麟鱗麟鱗瞭諒諒梁緑緑領諒諒諒領諒法防諒諒諒麟麟法法法法法法
法法法法法法緑麟麟麟麟鱗鱗麟麟麟麟鱗領瞭諒法法緑鱗麟麟麟諒諒諒麟瞭法法法法法法
法法法法法法瞭量麟麟麟瞭緑瞭瞭緑領遼諒緑遼防梁諒緑諒法防瞭諒梁麟緑法法法法法法
法法法法法法瞭瞭鱗遼鱗瞭緑諒諒諒諒遼緑緑緑諒諒防防梁諒諒法防梁防法法法法法法法
法法法法法法遼瞭瞭緑鱗瞭緑諒諒諒梁諒瞭瞭緑諒梁梁諒防梁梁法防防防法法法法法法法
法法法法法法法量瞭瞭鱗鱗緑諒諒諒諒量瞭瞭緑梁防防諒緑防法法防防法法法法法法法法
法法法法法法法瞭隣隣鱗鱗緑緑遼緑緑瞭麟麟麟緑緑緑法諒緑諒防防防諒法法法法法法法
法法法法法法法法法隣鱗鱗瞭緑瞭瞭瞭瞭瞭瞭諒諒諒防防防瞭緑諒梁防諒法法法法法法法
法法法法法法法法法瞭鱗鱗瞭緑緑麟鱗量量瞭瞭緑緑諒諒諒諒瞭諒諒防法法法法法法法法
法法法法法法法法法法麟瞭瞭諒緑瞭麟緑諒防法法法法麟緑諒緑諒諒法法法法法法法法法
法法法法法法法法法法麟鱗麟諒瞭瞭瞭緑瞭緑諒遼緑緑諒諒諒諒諒諒法法法法法法法法法
法法法法法法法法法法麟麟瞭瞭瞭瞭瞭量緑領領諒諒諒諒諒諒諒諒法法法法法法法法法法
法法法法法法法法法法麟麟鱗麟瞭瞭瞭鱗鱗瞭瞭緑遼諒諒諒諒諒諒法法法法法法法法法法
法法法法法法法法料鱗麟麟麟麟麟瞭緑緑諒諒諒梁防梁防諒諒法法法法法法法法法法法法
法法法法法法法鱗麟隣防隣麟麟麟麟鱗遼諒諒諒梁防梁諒諒法法法法法法法法法法法法法
法法法法法法麟麟麟鱗防防防麟麟麟麟鱗瞭領瞭諒諒領緑諒法法法法法法法法法法法法法
法法法法隣麟麟麟麟麟防法法法隣麟麟麟鱗鱗鱗鱗隣領諒諒法法法法法法法法法法法法法
（省略されました・・全てを読むにはここを押してください）

なんとなく328の「せいびき」が正しそうだ。お前らありがとう。
329は速攻氏ね。早く氏ね。はやく。今すぐ。いいな？

法法法法法法法法法法法法法法法法法法法料領法法法法法法法法法法法法法法法法法法
法法法法法法法法法法法法法法瞭麟麟麟麟麟麟麟麟麟麟法法法法法法法法法法法法法法
法法法法法法法法法法法法麟麟麟麟麟麟麟麟麟麟麟麟麟麟麟法法法法法法法法法法法法
法法法法法法法法法法法麟麟麟麟麟鱗鱗鱗鱗鱗鱗鱗鱗麟麟麟麟麟法法法法法法法法法法
法法法法法法法法法法領麟麟麟鱗瞭緑緑緑緑緑緑緑諒緑領緑麟麟麟法法法法法法法法法
法法法法法法法法麟麟麟麟鱗瞭瞭瞭緑緑諒諒諒諒諒諒諒諒諒諒麟麟麟瞭法法法法法法法
法法法法法法法鱗麟麟麟麟鱗瞭瞭緑緑遼諒諒諒諒諒諒諒諒諒諒諒麟麟麟法法法法法法法
法法法法法法隣麟麟麟麟麟鱗瞭瞭緑緑遼諒諒梁梁防法法法諒諒諒瞭麟麟鱗法法法法法法
法法法法法法麟麟麟麟麟麟鱗瞭瞭緑緑諒諒諒梁梁梁防防法諒諒諒諒麟麟麟法法法法法法
法法法法法法麟麟麟麟麟麟鱗瞭瞭緑緑諒諒梁梁諒諒諒法防諒諒諒諒麟麟麟防法法法法法
法法法法法法麟麟麟麟麟麟鱗麟麟麟麟鱗瞭諒法法梁諒諒隣麟麟諒諒麟麟麟鱗法法法法法
法法法法法法麟麟麟麟麟麟麟麟麟瞭緑緑緑緑諒諒領遼領諒諒遼緑諒瞭麟麟法法法法法法
法法法法法法法麟麟麟麟鱗麟鱗瞭諒諒梁緑緑領諒諒諒領諒法防諒諒諒麟麟法法法法法法
法法法法法法緑麟麟麟麟鱗鱗麟麟麟麟鱗領瞭諒法法緑鱗麟麟麟諒諒諒麟瞭法法法法法法
法法法法法法瞭量麟麟麟瞭緑瞭瞭緑領遼諒緑遼防梁諒緑諒法防瞭諒梁麟緑法法法法法法
法法法法法法瞭瞭鱗遼鱗瞭緑諒諒諒諒遼緑緑緑諒諒防防梁諒諒法防梁防法法法法法法法
法法法法法法遼瞭瞭緑鱗瞭緑諒諒諒梁諒瞭瞭緑諒梁梁諒防梁梁法防防防法法法法法法法
法法法法法法法量瞭瞭鱗鱗緑諒諒諒諒量瞭瞭緑梁防防諒緑防法法防防法法法法法法法法
法法法法法法法瞭隣隣鱗鱗緑緑遼緑緑瞭麟麟麟緑緑緑法諒緑諒防防防諒法法法法法法法
法法法法法法法法法隣鱗鱗瞭緑瞭瞭瞭瞭瞭瞭諒諒諒防防防瞭緑諒梁防諒法法法法法法法
法法法法法法法法法瞭鱗鱗瞭緑緑麟鱗量量瞭瞭緑緑諒諒諒諒瞭諒諒防法法法法法法法法
法法法法法法法法法法麟瞭瞭諒緑瞭麟緑諒防法法法法麟緑諒緑諒諒法法法法法法法法法
法法法法法法法法法法麟鱗麟諒瞭瞭瞭緑瞭緑諒遼緑緑諒諒諒諒諒諒法法法法法法法法法
法法法法法法法法法法麟麟瞭瞭瞭瞭瞭量緑領領諒諒諒諒諒諒諒諒法法法法法法法法法法
法法法法法法法法法法麟麟鱗麟瞭瞭瞭鱗鱗瞭瞭緑遼諒諒諒諒諒諒法法法法法法法法法法
法法法法法法法法料鱗麟麟麟麟麟瞭緑緑諒諒諒梁防梁防諒諒法法法法法法法法法法法法
法法法法法法法鱗麟隣防隣麟麟麟麟鱗遼諒諒諒梁防梁諒諒法法法法法法法法法法法法法
法法法法法法麟麟麟鱗防防防麟麟麟麟鱗瞭領瞭諒諒領緑諒法法法法法法法法法法法法法
法法法法隣麟麟麟麟麟防法法法隣麟麟麟鱗鱗鱗鱗隣領諒諒法法法法法法法法法法法法法
法料麟麟麟麟麟麟麟麟防法法法法法麟鱗鱗鱗鱗瞭諒諒諒法法麟法法法法法法法法法法法
（省略されました・・全てを読むにはここを押してください）

バッタ本4版買ってきた age

>>323
max-ncache-ttl とか max-cache-ttl
というoptionがある。

>>324
多分それでいいはず。RFC1912 (>>45) にも
似た例 ({0,127,255}.in-addr.arpa)があるね。

win2k/XP端末からのウザイログを捨てる方法教えてください。
syslogに出る　denied update from [xxx].xxx for "foobar.example"　という
DynamicDNS絡みのログです。
試行錯誤した結果、updateカテゴリをnull行きにしても記録されてしまい
securityカテゴリをnull行きにすると捨てられました。

logging { category security { null; }; };

これで対応するしかないですか？　ほかに方法ないでしょうか。

>>334
Win2000/XP で DNS Update しないようにすれば良い

>>335
ごもっとも。
だけど端末数的に無理なのです

>>333
ありがとうございます。

あっているか不安だったので、参考になりました。
RFC1912 著者の訂正文中に private IP space の
扱いを触れていますね。

169.254.0.0/16 とかも、漏れない様にした方が良さそうですね。

blackhole-1.iana.org が持っている in-addr.arpa. ゾーンに
ついては、全部ローカルで解決させようと思いますが、
blackhole-1.iana.org がどんなゾーン情報を持っているか
ご存知の方いらっしゃいませんか？

あにょ〜、わたし、今日の今日まで「ビンデー」だと思ってたんすけど。
unix的には「びんでー」だよねぇ？
Winなヤツが「ばいんど」だって言うんですよ。
「ばいんど」なの？「びんでー」じゃないの？
デーモンじゃ無いから「びんでー」じゃないのか？！
漏れ、逝ってよし？

>>339
http://pc.2ch.net/test/read.cgi/unix/979465046/

つーか、バッタ本に書いてなかったっけ?

え、、びんど って読んでた。。。

「ばいんど」「ねーむでー」

BINDのことならぼくにきいてよ。
とくにWin32版のポーティングはぼくが最初だったんだからね。
http://pc.2ch.net/test/read.cgi/network/983557500

http://djbdns.jp.qmail.org/performance/bind.html

ここに書かれている話って、確かなんでしょうか？

サーバ: celeron 700 MHz Memory 512Mbyte Solaris8 for IA
クライアント: PentiumII 266 MHz Memory 192 Mbyte NetBSD-1.5.2
な構成で、ほぼ同じ事をしたんですが以下の結果になりました。

bind-8.3.1（CPU 使用率 70% 前後）
real 0m21.611s
user 0m6.122s
sys 0m13.679s
conclusion 3032 qps

bind-9.2（CPU 使用率 100%）
real 0m17.214s
user 0m7.982s
sys 0m8.146s
conclusion 3807 qps

bind-9.2.1rc1（CPU 使用率 100%）
real 0m17.204s
user 0m8.104s
sys 0m7.775s
conclusion 3809 qps

試している bind のバージョンの違いとか Solaris と FreeBSD
の違いが影響しているんですかね？

>>344
djbdns のほうが圧倒的に軽いのは確かだけど、ゾーン転送は? とかダイナミック
DNS は? とかいう話題ができないので用途に応じて使いわけたほうがいいね。

オリジナルに定義されたドメインネームをローカルネット内でだけ使用し、
たまに外部ネットワークにアクセスするDNSサーバを構築したいのですが、
このような要求に対する回答がインターネットにありませんでした。
あるのは、NICに申請したドメインネームを使用するやり方か、
単なるキャッシュサーバの構築ばかりでした。

どのようにしたらこのような要求を満たすことが出来るのでしょうか？

>>345
できるみたいです。
http://sugi.nemui.org/prog/rddns.html
NSはおおきくは コンテンツサーバと(proxy)キャッシュサーバに分けることができます。 djbdnsでは別々のプログラムが担当します。 この分離が非常に重要です。
* DNSサーバ(tinydns)は自ゾーンに対する問い合わせだけに応答します
http://djbdns.jp.qmail.org/djbdns/blurb.html より

>>346
自サイト内の名前だけに権威を持つnamedを立ち上げる。
firewall等が立っていて自分で解決できない名前は
接続先のネームサーバにforwardするとか。

comドメインとかって、RFCで最低三文字必要ではなかったでしたっけ？
今日、フェアレディZのHPみてびっくり！
『jp.z.com』
レジストもキチンとされています。なにか情報お持ちの方いらっしゃいますか？

Domain Name: Z.COM
Registrar: NETWORK SOLUTIONS, INC.
Whois Server: whois.networksolutions.com
Referral URL: http://www.networksolutions.com
Name Server: NS2.BOULDER.USF.IBM.COM
Name Server: NS1.BOULDER.USF.IBM.COM
Updated Date: 05-nov-2001

よー知りませんがそのRFCを出していただくと私が喜びます

よー知りませんがZDNETには以下の様に書かれています。

＞DNSで使用可能な文字の種類は，アルファベット（A〜Z，a〜z），数値（0〜9），
＞ハイフン（-）となっている（RFC952とRFC1123）。NetBIOS名で使用できたアン
＞ダースコア（_）は，標準では利用できないので注意してほしい。Microsoft DNS
＞ではASCII文字とUnicode文字もサポートしているが，ほかのDNSリゾルバとの
＞互換性を考えると，標準文字だけを使用するほうがよいだろう。
＞なお，RFCによると，DNSのホスト名は最大63文字まで，ホスト名とドメイン名の
＞合計は255文字までとなっている。

http://www.zdnet.co.jp/help/howto/win/win2000/0007special/tokusyu/2000_04_1/04.html

hp.comが昔からありますが、何か？
# でも'Z'一文字はびびるな。

>>349
> comドメインとかって、RFCで最低三文字必要ではなかったでしたっけ？
ソースきぼーん

192.168.1.1.com
とか存在できるなら混乱しそうだ

>>347
rsync かけて zone 転送っていうのは、いくらなんでもアレでしょ。
DynamicDNS も RFC2136 とはなんの関係もないものだし。

>>354
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/rfc1912j.html
http://www.visi.com/~barr/rfc1912-errors.html

昔からx.orgなんてのもあるじゃん。

djbdns-1.05 の tinydns を使って同じ事を
してみました。
ハードウェアや OS 等の構成は同一です。

tinydns(CPU 使用率 70% 前後)
real 0m37.383s
user 0m27.128s
sys 0m3.460s
conclusion 1753 qps

>>345
適材適所というのは、確かだと思います。

こんな事をしてみたくなった経緯は、
・BIND9 は BIND8 に比べてパフォーマンス的に劣る
・djbdns は軽い
という事を耳にする事があるので、厨房ながら検証
してみたくなったからです。

自分で検証したものが全てだとは思いませんが、
BIND9 で、BIND8 以上のクエリを捌けていますし
djbdns に至っては、予想外の結果になったと
思っています。

今でもあるんかどうかは知らんが、JPNIC の規定には 3rd level につける
ドメイン名の規則に 3 文字以上ってのがあったな。
これと勘違いしてるとか。

BINDとhttpdを
一台のマシンで動かす事はできますか？
普通はどうですか？

>>360
私はやってます。
ふつーかどうかは知らんが、
そういうサイトは多いと思う。

>>360>>361
DNSサーバがbindである必要性はないが、プロセッサとメモリに余裕があれば
とりあえずDNSくらいは動かしておいて損はない。キャッシュサーバとしてだけ
でもかまわないし。

>>362
httpdがapacheだったら、たしか自分で名前引きの結果を
キャッシングしてくれる…よね。

# だから無駄というつもりはないが

>>358
自分で検証カコイイ！！！

>>358
ttp://djbdns.jp.qmail.org/performance/
には
--begin--
Athlon 1GH マシン(FreeBSD)で動作させたtinydnsでは毎秒 5700 queryを
処理できました。(CPU負荷は100%)

問い合わせごとにcbdファイルをopen, mmapしていますが、この処理を
省略したものを作って測定してみると、 12000 query/秒 で動作します。
[データベースを更新する度に再起動する必要があります。]
--end--
ってあるけど、いくら CPU はメモリが違うからとはいえ、1/3 っていうのは
遅すぎるねぇ。なんか、チューンする方法があるのかも?

とりあえず、そこにあるように、cdb を open mmap しない版を使ってみる
のはどう?

>>361-362
できました
エラーばっかりだったんで
１台じゃ無理かと思いました
でもまだ　ns.omake.com　って、nsがついちゃいますw
ありがとうございました

さっきiplogを入れたんですが
logがこんな感じで
Mar 31 19:50:02 bad iplog[5448]: UDP: dgram to port 1024 from ns4.vbns.net:53 (233 data bytes)
Mar 31 19:50:03 bad iplog[5448]: UDP: dgram to port 1024 from ns4.vbns.net:53 (165 data bytes)
Mar 31 19:50:03 bad iplog[5448]: UDP: dgram to port 1024 from ns4.vbns.net:53 (85 data bytes)
ずらずらと凄いのです。bindを入れる前は
こんなに騒がしくなかったのですがこれは普通の事ですか？

特権ポートは1023までです。

>>368
へー。そうなんですか（ワラ
ところで>>368さんは
BIND使ってます？
ルーターのポートって何番あけてます？
51,53,80,953,8080,6699を開けてます
中島君が教えてくれたんですけど（自称ハッカーだそうです）
でも、6699ってWinMXじゃねーの？ワラ
ホントのところはどうなんでしょうか？

>>369
そうなんですよ（ワラ
特権ポートの意味もわかって無さそう（ワラ
established何それ（ワラ
握手なにそれ（ワラ
（ワラ （ワラ　うざいからハックラ板逝って来い（ワラ

>>370
分からないから聞いてみたんだけど..
そんなにアドレナリンだしてどうするの？
よく読んでね（ぷ

>>371
> bad iplog
> よく読んでね（ぷ

>>369
> 51,53,80,953,8080,6699を開けてます
なぜ953/tcpを通す必要があるのだろう…
外部からnamedをコントロールしたいとか?

>>373
知り合いにBINDの事を聞いたら
取りあえず、この辺を開けとけと言われただけなんです
>>366のログなんですが、
問い合わされてる？んですか？
まばらなんですが、大体１時間で１２０回位着てるんですが。
>>369に加えてport1023があいてました。
/var/log/messages　が直ぐに圧縮されてしまいます
これは仕方ないんですか？
sageときます

>>374
> 知り合いにBINDの事を聞いたら
> 取りあえず、この辺を開けとけと言われただけなんです
なんか、その知り合いにかなり騙されてるっぽいけど…

> Mar 31 19:50:02 bad iplog[5448]: UDP: dgram to port 1024 from ns4.vbns.net:53 (233 data bytes)
↑は単に名前問い合わせの返答でしょう。

>>367
http://www.intac.com/~cdp/cptd-faq/section2.html#ports

LINUX板から来ますた
bind-9.2.0にうｐしたんだけど、named,confでaclとviewセクションの設定が
イマイチよくわからないんです。

外部ネットワークからの問い合わせは外部向けのゾーンファイルのみ提供する。
この場合、登録しているセカンダリDNSのみに転送許可。
内部ローカル端末からは外部ネットワークへのDNSクエリーを行えると同時に、内部の
内部ローカル端末の名前解決を行う。

ように設定してるつもりなんだけど、acl　hanage　で定義したリストで
view "ろーかる"　のセクションで　match-client {hanage;};　ってすると
外部のwebにアクセスできなくなる。
rndc reloadでエラーも出てないから、ちょっとした記述ミスじゃなくて
ヘタレの理解不足で設定間違ってるはずなんだと思い・・。
named.confは次に書きます。

acl localnet { 192.168.1.0/24;127.0.0.1;};

options {　directory "/etc/namedb";
　　　　　 auth-nxdomain yes;
　　　　　 pid-file "/var/run/named.pid";
　　　　　 allow-transfer {localnet;};
　　　　　allow-query {localnet;};
　　　　　 blackhole { ???.???.?.?/28; };
};
view "local" {
match-clients {localnet;};
recursion no;
zone "." {type hint;file "named.root";};
zone "localhost" {type master;file "localhost";};
zone "0.0.127.in-addr.arpa" {type master;file "localhost.rev";};
zone "abcd.co.jp" {type master;file "acbd.co.jp";};
zone "○○○.○○○.○○○.○○○.in-addr.arpa" {type master;file "abcd.co.jp.rev";};
key "rndc" {algorithm hmac-md5;
secret "?????????????????????????????????????????????";};};
controls {127.0.0.1 allow {127.0.0.1;}
keys { "rndc"; };};

view "world" {
match-clients { any; };
allow-query { any; };
recursion no;
zone "abcd.co.jp" {type master;file "abcd.co.jp";
allow-transfer { セカンダリdns;};};
zone "○○○.○○○.○○○.○○○.in-addr.arpa" {type master;file "abcd.co.jp.rev";
allow-transfer { セカンダリdns;};};
};

あのぅ・・

>>377
長いなぁ。

view ってあんまり使わないしなぁ。

えっ？・・・


そうなの・・・？？？

bind の設定ファイルを、コンパイラのように文法チェックしたり、
設定内容の整合性をチェックするツールはありますか？

◆毎年約１万人も韓国人が大量帰化しているというのに、在日の数が
ほとんど減っていない。

　 　　　　　　1998年　　　1999年　　2000年
在日韓国人　　638,828 　　636,548　　635,269 人

これではいつまでも韓国人の日本人汚染が続き、そのうち日本が
日本国籍の韓国人だらけになってしまう。

一方、不法滞在の韓国人は56000人で外国人で最も多い！

◎外国人帰化数
http://www.kyotsu.com/level2/hobby/data/toukei.htm

>382
nslintじゃダメ？

・・・ここでも放置・・本読んで勉強しよ。。。

192.12.94.30(53)
192.31.80.30(53)
192.42.93.30(53)
192.33.14.30(53)
192.35.51.30(53)
192.43.172.30(53)
なんかここらから定期的にウチのDNSサーバにアクセスがあるようなんですが
これは普通の挙動なんでしょうか？

>>386
そいつらって *.gtld-servers.net だろ。com. や net. の
authoritativeなサーバ。

>>378
acl hanageって何よ?
あと、ログにはどう出てる?
logging文使って詳細なログ出してみるべし。

>>382
named-checkconf ってなのがnamedと一緒に入ってるぞ。

2ちゃん閉鎖危機んときのフラッシュ見たいんだけど

そうか、見たいのか。
電波・お花畑
http://natto.2ch.net/denpa/

>>358
tinydns は一年前から使ってるけど、会社の末端サイトなんで、
速度とかはあんまし気にしてないっす。
それよりも、バグが無いのと、バージョンアップがない（笑）のが
気に入っています。放置していても平気だしね。

＞acl hanageって何よ?

acl localnet　のことです。localnetをhanageに置き換えただけ・・。
今、自宅なのでログは拾えない・・メールに吐き出しもしてないから。

あのー...その設定で外部のホストの名前解決
できなくなるのは当然では。
view"local"のrecursionはyesにしておかないと。

この機会に、再帰動作について勉強されることを
お薦めしまする。

＞「recursion no」は文字通り recursion（再帰）をしない，すなわち
＞知らないドメインに関する問い合わせがあったときに他のサーバーへの
＞問い合わせを行わないという指定です。

あれれ・・・灯台元暗しだ・・・勉強不足というより調べ不足でした。
ありがとうね。感謝！

>>389
http://www.fetica.com/unix.swf

嫌われるからよそに書け

http://inter7.com/dnsadmin/
これ使ってる人、いらっしゃる？

今日、viewセクションの recursion yes にして色々いじくってみたけど、ダメでした。
bind-8.2.3から-9.2.0に乗り換えたんですが・・・

ひょっとして、view使うときは外向けのzoneファイルみたいに、ローカルホストの
正引き・逆引き（localhost、localhost.rev）ファイルにもCNAMEでネームサーバを
定義しないといけないんですか？
hintファイルをローカルのviewに含ませてればいけると思ってたんですが・・
コンソールからはdig、hostコマンドともにちゃんと問い合わせ先のhost情報が返って
くるんですけど・・。

ﾍﾀﾚでｽﾏｿ・・・。

グローバルIPひとつで複数の80WEBサーバーをWANに公開することは可能でしょうか？

WAN→ 123.456.789.11━ルータ┳192.168.0.2 = www.hoge.com
　　　　　　　　　　　　　　┣192.168.0.3 = ww1.hoge.com
　　　　　　　　　　　　　　┗192.168.0.4 = ww2.hoge.com

portが違えばできるのですが、この場合host名での振分けになりますよね？
できるのであれば勉強するべきポインタなど示していただけると感謝です。

bind の問題じゃねーぞ。
それぞれのドメインに別のIPアドレスを振るのではなく、
同じIPにしてname based virtualhostにするのがふつーでしょ。
どうしても別のIPアドレスにしたいなら、
httpdの前にリバースプロキシを入れることになるんかね。

それから、たとえ例であっても123.456.789.11というIPアドレスはちょっと…。

>>399
ありがとうございます。
ワンホスト・ワンマシンにしたいもので...リバースプロキシでgoogle逝ってきます

>>400
すんません。

こんな感じでございましょうか？
激しくｽﾚ違いになってきたのでここらでやめます。
ありがとうございました。
WAN→ルータ= ww2.hoge.com→PROXYサーバ→LAN内DNS┳192.168.0.2 = www.hoge.com
　　　　　　　　　　　　　　　　　　　　　　　　┣192.168.0.3 = ww1.hoge.com
　　　　　　　　　　　　　　　　　　　　　　　　┗192.168.0.4 = ww2.hoge.com=ビンゴ！

>>402
そこでDNSが何の意味を持っているんだか、小一時間問い詰めたい。

ww1.hoge.comとww2.hoge.comってdomainいっしょなのか？
そのドメインは、ちゃんと取った奴なのか？
ドメインのDNSは、どこで引き受けてるんだ？
外向けDNSがまともに設定されてれば
ApacheのVitualHostの設定の話じゃないのか？
ルーターに振られたIPで閲覧不可ならbindの問題では無いぞ。

濃一時間じゃたりない気がしてならない。

AceDirectorとか買っとけ
一撃で解決だ

さらなる精進の結果>>402がまったくもって無意味だったことを学習しました。
どうしても、ひとつのグローバルIPで複数のWEBサーバー（物理的に複数のハードウェア）
を動かしたかったのですが、ルーティングの前に日本語学習が必要だと悟りました。

そんなわけで>>405さんありがとう！！もろビンゴです。

ときに、ACEdirector...っておいくらですか？

みつけますた。たかいっすね

>408
手間と知恵を金で買うのもひとつの手です
が
青緑の箱のWebOSはknownbugsありまくりなので
使いたい機能と交渉しつつ、ベンダーと相殺交渉してください
他にも紫色の箱とか白い鉄の箱とかも、同機能で売ってますね
使ったことないので詳細はしらない

そろそろ移れや。
http://pc.2ch.net/test/read.cgi/network/980231947/

デバッグレベルで質問があります。

solaris を使っていまして、デフォルトで入っている
8.1.2 に対して kill -USR1 プロセス番号
でちゃんとデバッグレベルがあがるのですが、
なぜか、BIND 9 をインストールしたら、それを実行すると
named が落ちてしまいます。

どちてでしょうか?

ちなみに、起動時に -d 1 を使う方法は問題なく動作します。

9.1.2出たage

>>412
9.2.1だYO!

bind9（メインのドメイン）と、bind4(サブドメイン）で、

bind9はメインのマスタ。サブドメインのスレーブ
bind4は、マインのセカンダリ（bind4風)、サブドメインのスレーブ

みたいな環境になってるのだが、どうも、たまにbind4をネームサーバに
設定しているマシンから名前解決ができなくなる。

bind9の方にnslookupで接続できなくなるんすけど、bind9とbind4との相性
はよくないのでしょうか？

今まで vi でメンテしてきたゾーンファイルですが、動的更新をするようにしたら当然のことならがかってに書き換えられました。kill -HUP でダンプしただけですけど。
で、見てみたらビクーリ。だって汚いから。

named がダンプしたゾーンファイルが汚くて気持ち悪いのは、皆さんもう慣れっこですか？

>>415
9系だと8系に比べてちょっとはましだけどそれでも汚いのはどうしようもない。
なので俺は動的更新をかける zone を隔離するようにしてる。

元のzoneファイルからの差分だけを別ファイルに置くようにしてくれんかな、
と思ったりします。

うーむ、動的更新かけるエントリだけ別ゾーンか。
たとえば host01.dhcp.orenodomain.com　とかかな？
で、 CNAME 張っとけばいいわけか…
CNAME が許されるホストはこれでいいですね。

実はいままで８系使ってました。
>416 が９系はマシって言ってたので９系使ってみました。
なるほど８系よりもかなりウマー、でした。ありが�d

すいません一つ質問させてください。

Bindでキャッシュした内容がTTL超過を待たずに消える場合、何が原因として考えられるでしょうか？
TTLが一日に設定されているゾーンのMXレコードを一度取得し、
数時間後そのゾーンのMXレコードを引こうとすると外部に問い合わせてしまいます。

キャッシュのために割り当てられたメモリ領域が
オーバーフローするようなことがありますでしょうか？

cleanup-intervalはTTL超過をチェックするインターバルだと認識しているのですが、
これを設定することに意味はあるでしょうか？

サーバはごく普通のインターネット向けDNSで
現状、optionsにはdirectoryとpid-file、後はallow-transfer以外設定はありません。

よろしくお願いいたします。

4/8 早朝のFreeBSD 4.5-STABLEに付属のbind 8.3.1-RELで
forwarders {
isp1.dns.jp;
isp2.dns.jp;
};
をnamed.confに加えても他のドメインを引きにいってくれません。

nslookupで、isp1.dns.jpにつなぎに行って調べると他の
ドメインは引けるのでforward先には問題ないようです。

この様な場合何が問題なのでしょうか？

forwardの際、その"isp1.dns.jp"は誰が解決するんだよ？

>>421 /etc/hosts に書いているというオチだったり・・

>421
適当な当てIPを思いつかなかったので、ホスト名で書いてましたが
実際はIPで書いてます。

ルーターで、対象マシンのパケット全部通すように設定したり、
ローカルのdomainレコード消してcache onlyな設定にしてみても不可
なんですが調べる方法ってなにかありますか？

>>423 シグナル送ってないとかいうオチだったり・・

"forward only;" とかちゃんと綴り合ってる？
あと、どっかからコピった部分に全角スペースが混ざってたりとか、';'が抜けてるとか。

>424
sudo ndc restart
でnamedを再起動してます。

>425
とりあえずscreenで別窓立ち上げて
tail -f /var/log/messages
していますが
May 12 00:21:00 hostname named[422]: starting ....(以下略
May 12 00:21:00 hostname named[423]: Ready to answer queries.
こんな感じなのでsyntax的なエラーは無さそうと判断しています。

resolv.confは問題なし？

cat /etc/resolv.conf
search mylocaldomain
nameserver ispdns1.srever.no.ip
nameserver ispdns2.srever.no.ip

こんな感じでFQDNでは無くIP Adressが入ってます。

煮詰ってきたので今日は寝て明日またがんばって見ます。

>>428
/etc/host.conf とかは？

それから、自ホストでnamedを起動しているなら、
/etc/resolv.conf の nameserver の行は要らないんじゃないの？
書くとしても nameserver localhost では？

>>420
> をnamed.confに加えても他のドメインを引きにいってくれません。

もう少し詳しく正確な状況を報告できないものか。
これで原因を特定できるのはエスパーだろうよ。

「引きにいってくれない」とは、forwarders に指定したホストへ
問い合わせのパケットが送られていない、ということかな?
例えば tcpdump -n ports domain で見てもそれらしいパケットが観察されないとか。

それからそのホストが置かれている環境がわからんけど、
forwarder 使わないで、root の hint 使って自力で問い合わせるような
場合はうまくいくのかな?
壁の中とかだとそういうことが不可能な場合もあるけど、
そういう説明はまだ出てきてないよね。

一般的なグローバルな動的IP 1 個を ISDN Router (YAMAHA製)で
NAPTかけて、LAN内を/27で作っています。

このRouterには、 DNS Recursible 機能があるため今まではこれを利用。

現状dig、 nslookupの結果は以下のとおり。

dig @router a ns.nic.ad.jp -> OK
dig @127.0.0.1 a ns.nic.ad.jp -> NG
nslookup ns.nic.ad.jp router -> OK
nslookup ns.nic.ad.jp 127.0.0.1 -> NG

/etc/resolv.confは
search mylocaldomain
#nameserver 0.0.0.0
nameserver ispdns1.srever.no.ip
nameserver ispdns2.srever.no.ip
のままです。

また、tcpdumpは利用方法がわからないためmanを引き引き
sudo tcpdump -n ip host ispdns1.srever.no.ip and ip host named.server.no.ip

Router側で
Named稼動機 ->ISPのNameServer 宛てのtcp/udp の全てのパケット
ISPのNameServer ->Named稼動機 宛てのtcp/udp の全てのパケット
をpassした上でlogった所
稼動機 udp:1024以上 -> routerでsrc ip グローバル化,src udp:53 変換 -> ISPのNameServerのudp:53
はそれらしきモノは確認できたものの返りが来ない(返せるモノを投げてない？)状態でした。

dig @router a ns.nic.ad.jpがsrc udp:53で問い合わせを出している事を考えると
bindではなくRouterのnapt設定がらみで板違いというオチなんでしょうか？

naptとdnsのパケット構成を勉強しなおして後日再チャレンジします。

> また、tcpdumpは利用方法がわからないためmanを引き引き
> sudo tcpdump -n ip host ispdns1.srever.no.ip and ip host named.server.no.ip

設定ミスをしている場合、予想外のところに問い合わせにいってる可能性もあるから、
sudo tcpdump -n port domain
として DNS のポートに限定してホストとかは指定しない方がいい。

> 稼動機 udp:1024以上 -> routerでsrc ip グローバル化,src udp:53 変換 -> ISPのNameServerのudp:53
> はそれらしきモノは確認できたものの返りが来ない(返せるモノを投げてない？)状態でした。

udp はコネクションレスな接続だから返ってきた返事を正しく NAPT するのが難しい。
これは router のマニュアルを見て回避方法を考えるしかないな。

ところで、UDP が NAPT 通らないという話なら nslookup でも駄目だと思うんだが、
>>420 でいってた、

> nslookupで、isp1.dns.jpにつなぎに行って調べると他の
> ドメインは引けるのでforward先には問題ないようです。

というのは本当に成功したのか? >>431 では router にしか試していないようだが、
と、ここまで書いて気づいたが、router に DNS recursible の機能があるんなら、
forwarder を router に向けるのが正しいのでは?
YAMAHA もそれをわかってるから router にその機能をつけたんだろう。

>430
現状だと
nslookup ns2.nic.ad.jp 61.120.151.70
Server: ns.nic.ad.jp
Address: 61.120.151.70
Aliases: 70.151.120.61.in-addr.arpa

Name: ns2.nic.ad.jp
Address: 202.12.30.133

は通っても

nslookup ns2.nic.ad.jp ispdns1.srever.no.ip
*** Can't find server name for address ispdns1.srever.no.ip: Timed out
*** Default servers are not available
ですね。

named稼動機で行なった
sudo tcpdump -n udp port 53
では
PTR? ip.no.server.ispdns1.in-addr.arpa. (46)
で行きは良い良い帰りは無いよって感じですね。

ns.nic.ad.jpにはtcpdump上でも帰りも問題無さそう(src udp:53)なので
ISP のポリシー的な問題とこちらの設定がかみ合ってないのかな？
もちろん、1024番より上で ispdns1.srever.no.ip からlocaldns向けの
tcp, udp を通す設定で localdns へ port forward したりといじってはいますが。

> forwarder を router に向けるのが正しいのでは?

ソースはアレですが YAMAHA 利用者で実際に localnamed + cache を
立ち上げてる方もいる様なのでもう少しがんばって見ます。

問題がbindから切り分けられただけでも私的には勉強になりました。

ちょっと質問させてください。

今回、常時接続で独自ドメインを取得し、自宅にサーバを設置
しました。で、DNS のスレーブを、自分で管理している会社の
サーバに置かせてもらうことにしました（逆引きなし）。

ところが、どうしても会社側で
Err/TO getting serial# for "自宅ドメイン.jp"
というエラーメッセージが出ます。

なお、自宅側では何もエラーは出てませんし、ゾーン
データ自体は正常に転送されています。インターネット
で検索もしたのですが、どうも解決策が見つかりません。

どうかよろしくお願いします。（Bind 8.2.3-2）

>>434
おまえ本当に検索したのか？
http://www1.plala.or.jp/fukafuka/trouble/network.html#8
ググったら一番上にきたぞ。

>>435
ありがとう。うん、そのページは見たことあるよ。

でも、あの間違いじゃないと思う。目を凝らして見たり、
文字検索したりしたけど、そのミスはなかった。だいたい、
書き間違いだと、マスタ側でエラーがまず発生するでしょ。

アメリカの検索エンジンだと、かなりヒットするけど、
イマイチ分からんかった。ただ、多様な原因が考えられる
らしい．．．

>>436
IPなど伏せて、confとzone設定fileをここに書いてみたら？

>>436
> 書き間違いだと、マスタ側でエラーがまず発生するでしょ。
その仮定は間違い。

>>438 その仮定は間違い。
そうなのですか。
同じゾーン・ファイルがマスタとしてはエラーが発生
しなくても、スレーブとしてエラーが発生することが
あるってことですか？

でも、その場合、文法的なというか、「：」と「；」の
書き間違いといったレベルでなく、何か論理的な間違い
によるエラーじゃないかと．．．

ちょっと初心者に教えて欲しいのだけど、スレーブとして
エラーが発生して、マスタとしては発生しない、ゾーン・
ファイル上の書き間違いって、どんなのがあります？
ヒントにしたいと思います。

お言葉に甘えて、confとzoneファイルを書き出します。
なんか、2、3 時間ごとにエラーが自宅に転送されてきて
夜もおちおち寝れません。どうか助けてください。

// named.conf
options {
directory "/var/named";
query-source address * port 53;
allow-transfer { yyy.yyy.yyy.yyy;};
};

zone "." {
type hint;
file "named.ca";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "local.rev";
};

zone "my_domain.jp" {
type master;
file "my_domain.zone";
};

// zone file
$TTL 86400
@ IN SOA root.aaaa.jp. (
2002042102 ; serial
10800 ; refresh after 3 hours
3600 ; retry after 1 hour
604800 ; expire after 1 week
86400 ) ; minimum TTl of 1 day
IN A xxx.xxx.xxx.xxx
IN NS host.my_domain.jp. ; master ns
IN NS ns.my_company.co.jp. ; slave ns
IN MX 10 mail.my_domain.jp.
;
localhost IN A 127.0.0.1
;
host IN A xxx.xxx.xxx.xxx
;
mail IN CNAME host
www IN CNAME host
ftp IN CNAME host

// slave 側の named.conf
zone "my_domain.jp" {
type slave;
file "my_domain.zone";
masters { XXX.XXX.XXX.XXX;};
};

my_domain.jpの正引きデータ内、SOAの右側、なんか足らなくない？

ごめんなさい。
SOA とroot...の間にサーバのホスト名が
入ってます。実際のホスト名を書き換えるときに
間違って消してしまった。

allow-transfer はコピペ省略したのか？

ゴメン。最初のトコにあったな。　ウーム。。

slave側からmasterにquery投げて、SOA引けてるの?

foo@slave:$ dig @host.my_domain.jp soa my_domain.jp

こいつは引けなきゃおかしいよね?

どうもです。digコマンドでSOAレコードを検索した結果です。
よろしくお願いします。

[user@host_in_company user]$ dig @host.my_domain.jp soa my_domain.jp

; <<>> DiG 8.3 <<>> @host.my_domain.jp soa my_domain.jp
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUERY SECTION:
;; my_domain.jp, type = SOA, class = IN

;; ANSWER SECTION:
my_domain.jp. 1D IN SOA host.my_domain.jp. root.my_domain.jp.
(
2002042102 ; serial
3H ; refresh
1H ; retry
1W ; expiry
1D ) ; minimum


;; AUTHORITY SECTION:
my_domain.jp. 1D IN NS host.my_domain.jp.

;; ADDITIONAL SECTION:
host.my_domain.jp. 1D IN A xxx.xxx.xxx.xxx

;; Total query time: 67 msec
;; FROM: host to SERVER: host.my_domain.jp xxx.xxx.xxx.xxx
;; WHEN: Thu May 16 01:37:03 2002
;; MSG SIZE sent: 29 rcvd: 109

SOAはほんとにそのまま？
( ) 付きの妙な答えが返ってるようだけど、これはおかしくない？
普通は、単に数字が並んで出てくるはずなのだけど。

SOAの設定近辺の改行とか、空白とか怪しいような

>>447 ありがとうございます。
そのままです。
前の記事で書き損じたので、今回はエディタの
置換機能でドメイン名などを置き換えました。

> SOAの設定近辺の改行とか、空白とか怪しいような
チェックしてみます。

DNSでちょっと思ったことがあるんだけど、
DNSのラウンドロビンによる鯖の負荷分散能力って、
本格的なロードバランサでの負荷分散と比べてどのくらい違うの？

ちょっと調べただけでも、ラウンドロビンかけた鯖が落ちると、
ネットワーク全体が落ちてるように見えるそうで気をつけようとかって
文献をみつけたんだけど・・。

>>449
　そりゃケースバイケースだろ。なにをしたいかによる。

>>449
「DNS のラウンドロビン」と言ってもいろいろある。

>>439
> 同じゾーン・ファイルがマスタとしてはエラーが発生
> しなくても、スレーブとしてエラーが発生することが
> あるってことですか？
そうだよ。

> でも、その場合、文法的なというか、「：」と「；」の
> 書き間違いといったレベルでなく、何か論理的な間違い
> によるエラーじゃないかと．．．
だからその仮定は間違いだって。

> ちょっと初心者に教えて欲しいのだけど、スレーブとして
> エラーが発生して、マスタとしては発生しない、ゾーン・
> ファイル上の書き間違いって、どんなのがあります？
> ヒントにしたいと思います。
嫌です。
どうせ事例を一つあげても、自分のところがそのケースに当てはまらなかったら
大丈夫とか思うんでしょ?

>>452 での回答はさすがにあんまりな気がしたので
一つだけ事例をあげると、

文法エラーのある zone ファイルについて、BIND のバージョンによって
挙動が異なるケースがある。バージョン A ではエラーにならずに
なんとか動くけどバージョン B ではエラーになって動かないとか。

だが、バージョンが同じだったら大丈夫というわけではないので注意。

>>447
BIND9 の dig はそうだけど BIND8 の dig だと () つきで表示するんじゃないかな。

>>446
zone ファイルの方で NS を 2つ登録しているはずなのに
dig の問い合わせに対して NS が 1 個しか返ってきてないのはおかしい。
DNSマスタの方の zone 情報が既に壊れている。(もしくは更新し忘れている)

>>453

おお、そうなんですね。
8.3.1のdigで引いたら括弧付きで帰ってきました。

>>453
>文法エラーのある zone ファイルについて、
>BIND のバージョンによって挙動が異なるケースがある。

同じzoneファイルでも、バージョンによって挙動が異なるのは、
バージョンアップで文法が変わったからなのだと思っていたぞ（藁
なるほど、正しい文法で書けば問題は起こらないのだね。

BINDで試験的にDNSサーバを立てようと思っているのですが
一通りconfとzone、resolv等をいじってから
nslookup実行しましたが
Server: 192.168.100.5
Address: 192.168.100.5#53

** server can't find Linux.test-test.local.: SERVFAIL
とエラーが返ってきてしまいます。
/var/log/messageに変なログが出ていないかと調べてみたんですが

May 25 02:30:08 redhat named[1060]: starting BIND 9.1.3 -u named
May 25 02:30:08 redhat named[1060]: using 1 CPU
May 25 02:30:08 redhat named[1062]: loading configuration from '/etc/named.conf'
May 25 02:30:08 redhat named[1062]: the default for the 'auth-nxdomain' option i
s now 'no'
May 25 02:30:08 redhat named[1062]: no IPv6 interfaces found
May 25 02:30:08 redhat named[1062]: listening on IPv4 interface lo, 127.0.0.1#53
May 25 02:30:08 redhat named[1062]: listening on IPv4 interface eth0, 192.168.10
0.5#53
May 25 02:30:08 redhat named[1062]: command channel listening on 127.0.0.1#953
May 25 02:30:08 redhat named[1062]: dns_rdata_fromtext: test-test.local:11: near
'Linux.test-test.local.': unexpected token
May 25 02:30:08 redhat named[1062]: dns_zone_load: zone test-test.local/IN: load
ing master file test-test.local: unexpected token
May 25 02:30:08 redhat named[1062]: running
May 25 02:30:08 redhat 5月 25 02:30:08 named: named起動 succeeded
と記録がありました。
（今日の昼のログですが、今も起動直後に同じログが出ます）

May 25 02:30:08 redhat named[1062]: dns_rdata_fromtext: test-test.local:11: near
'Linux.test-test.local.': unexpected token
May 25 02:30:08 redhat named[1062]: dns_zone_load: zone test-test.local/IN: load
ing master file test-test.local: unexpected token

この２行が怪しい感じなのですが・・・名前解決の出来ない原因がはっきりしません。
情報もかなり漁ったのですがうまくいきません。
お願いします助けて下さい。

>>456
named.conf に記述ミスがあるんだろ。

name.confはこんな感じです。
いかがでしょうか？

// generated by named-bootconf.pl

options {
directory "/var/named";
auth-nxdomain yes;
pid-file "/var/run/named/named.pid";

};

//
// a caching only nameserver config
//
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};

include "/etc/rndc.key";

zone "." IN {
type hint;
file "named.ca";
};

zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.in-addr.arpa.zone";
allow-update { none; };
};

zone "test-test.local." IN {
type master;
file "test-test.local";
};

こんな感じで書いてあるのですが。
一番上の、
auth-nxdomain yes;
pid-file "/var/run/named/named.pid";
は、エラーが直るかと思って悩んだ挙句書き込んでみました。

>>458
> zone "." IN {
この「IN」は何?

違ったかも。

>>456
> May 25 02:30:08 redhat named[1062]: dns_rdata_fromtext: test-test.local:11: near
> 'Linux.test-test.local.': unexpected token
> May 25 02:30:08 redhat named[1062]: dns_zone_load: zone test-test.local/IN: load
> ing master file test-test.local: unexpected token
っつーんだから、test-test.local の中身だな。

参考にしたWebページにこの記述があったのですが・・・。
色々見てみるとあったりなかったり・・・。
普通ないんですか？
全部削ったほうがいいですか？

じゃあzoneファイルですね。
こんな感じです。

$ORIGIN hobo-king.local
$TTL 86400
@ IN SOA Linux.test-test.local. root.test-test.local. (
2002052502 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum

IN NS Linux.test-test.local.
IN MX Linux.test-test.local.

localhost IN A 127.0.0.1
Linux IN A 192.168.100.5
win2kpro IN A 192.168.100.2

www IN CNAME Linux.test-test.local.
dns IN CNAME Linux.test-test.local.
smtp IN CNAME Linux.test-test.local.
Proxy IN CNAME Linux.test-test.local.

親切にありがとうございます。
今のところ意味のないCNAMEがありますが（smtpとproxyは動いていないので・・・）
かなり何度も見直しているのですが。

>>462
> $ORIGIN hobo-king.local
$ORIGIN test-test.local じゃねーの?

あれ、すいません。
ここは私の書き間違いです。
本当のファイルは$ORIGIN test-test.localとなってます。

>>462
> IN MX Linux.test-test.local.
IN MX 10 Linux.test-test.local.
に変えるとどうよ。

ちょっとやってみます・・・。

うーん、効果ありません・・・。
10を追加してSerial書き換えてnmaedを再起動しましたが・・・。

調べてみたらちょっと変化がありました・・・変化がないと書いてしまい
すいませんでした。
ログに
> May 25 02:30:08 redhat named[1062]: dns_rdata_fromtext: test-test.local:11: near
> 'Linux.test-test.local.': unexpected token
> May 25 02:30:08 redhat named[1062]: dns_zone_load: zone test-test.local/IN: load
> ing master file test-test.local: unexpected token
の表示が消えて、替わりに
> May 27 01:31:08 redhat named[1196]: dns_master_load: test-test.local:11: test-te
> st.local.test-test.local: not at top of zone
> May 27 01:31:08 redhat named[1196]: dns_zone_load: zone test-test.local/IN: load
> ing master file test-test.local: not at top of zone
と表示されました。IN MX 10とした事によってメッセージが変わってました。
ドメイン名が二つつながっている様に表示されているので
zoneファイルのどこかにあるべき”．”が抜けているのかな・・・。
かなり、勉強しないと・・・うーん。
一応、報告までに書き込みました。

>>467
> zoneファイルのどこかにあるべき”．”が抜けているのかな・・・。
$ORIGIN かな。

名前解決に成功しました！
最終的にzoneファイルを
@ IN 86400 SOA Linux.test-test.local. root.test-test.local. (
2002052701 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum

IN NS Linux.test-test.local.
IN MX 10 Linux.test-test.local.

localhost IN A 127.0.0.1
Linux IN A 192.168.100.5
win2kpro IN A 192.168.100.2

www IN CNAME Linux.test-test.local.
dns IN CNAME Linux.test-test.local.
smtp IN CNAME Linux.test-test.local.
Proxy IN CNAME Linux.test-test.local.

こんな感じになりました。上の２行が消えています。
あまり深く考えずに一番シンプルな構成から考えたほうがよかったんですね。
助言をして頂いた方々、非常に助かりました！ありがとうございました！
顔も名前も知らない私に、とても親切にしていただいたことは忘れません。

FreeBSD4.5Rを使ってbind-8.3.1をportsからインストールしました。
そしてrc.confにnamed_enable="YES"と記述したのですが
再起動後named -vをするとnamed 8.2.4-RELと表示されます。
8.3.1の起動方法を教えてください。よろしくお願いします。

そいえばさ。ps aux |Grep named
↑シフトが手から離れずタイプミス

これ俺多いんだけどどうよ？

>>470
/etc/defaults/rc.conf 見てみ。

named_enable="NO" # Run named, the DNS server (or NO).
named_program="/usr/sbin/named" # path to named, if you want a different one.

ってなっとるで。

難しいですね。
やっぱり8.3.1が起動しません。
rc.confには
named_enable="NO"
named_program="/usr/local/sbin/namad"　このようにしてみました。

あと　can't open '/usr/local/etc/named.conf'　といわれたので
cp /etc/namedb/named.conf /usr/local/etc/named.confとしました。

なにかヒントください。

（　´∀）・∀）,,ﾟД)http://diary.cgiboy.com/d01/tsugeikuhito/

>>473
バージョンの確認方法って、>>470 のように bind -v ってやってます？
何が行われてるか、わかってますか？

dig @調べるdnsのIP version.bind. CHAOS TXT

named -v で確認したところ
named 8.2.4-RELこのように表示されていたのですが
475さんのように調べると
VERSION.BIND text = "8.3.1-REL"
以下のように表示されました。8.3.1-RELが動いてるという事ですかね？

だーかーらー
bind -v
ってやったとき、何が起きてるか、わかってやってます？

bind -v
bind: Command not found.？？？

申し訳ないですが"何が起きてるか、わかってやってます？"という意味すら
わからないです。
どういう事でしょうか？

portsで入れた奴は/usr/local　配下にあるのでは？

named -v っつーのは現在デーモンとして動いている named じゃなくて
$PATH のうち最初に見つかった named のバージョンを見るっつーことだからさ、
バージョンの確認方法としては意味ないでげすよ。
# ndc status

>>478
スマソ。（汗
s/bind/named/

>>480
ありがとうございます！
#ndc statusで見ればよかったんですね。
ちゃんとnamed 8.3.1-RELでした。

みなさまありがとうございました

> MXってなんですか？おしえてください。初心者ですので。すいません

>>483
東京メトロポリタンテレビジョン

bind8なのですが
こーんなエラーログを残していまふ。

There may be a name server already running on [127.0.0.1].53

原因判る方います？なんでしょこれ？

>>485
ps -ef|grep named (Solarisとみた)
しる!

>>486
solaris 正解です。
pkill in.namedしました！
ｻﾝｸｽｺです！

でも何でin.named起動していたのかな・・・
S72inetsvc 書き換えたのに・・・

webminで起動してた・・・鬱だ市脳

named.confの記載のなかで逆引きIP指定の所で
xxxAってのがありますが、どういう意味なのでしょうか？
A意外にもあるのでしょうか？
zone "xxxA.xxx.xxx.xxx.in-addr.arpa" {
type master;
file "gyaku.file";
};

>>489
ありますが、ってどこに?

>>489
そこは上位ゾーン管理者が自由に決められる。
読んどけ。
http://shidahara1.earth.s.kobe-u.ac.jp/~takawata/rfc2317.jp.txt
http://yasu.asuka.net/translations/RFC2317.html

サブサブドメインを設定するにはどうしたらよいのですか？
www.sub.example.com みたいなやつ。

>>492
example.com.zone で
sub IN NS 〜
とかやっといて、 sub.example.com.zone を書く。

または単に example.com.zone で
www.sub IN A 〜
とか書く。

>>493
Thanks,
後者の方法は楽チンですね。

W2K BIND8.2.3を使用しています。

recvfrom: Errcode: 10054: Connection reset by peer

イベントログにこのようなエラーメッセージが出ているようなのですが
特に問題なく名前引けているようなのですが？
これは何が問題なのでしょう？
誰か解る方おられますか？

すみません、サブドメインについて厨房な質問です。
本社:hoge.com
東京支店：tokyo.hoge.com
とします。
東京支店の人は本社のシス管と仲が悪いので本社のDNSサーバを使わずに
tokyo.hoge.comというサブドメインを使いたいのですが、何か良い方法は無いでしょうか？

>>496
「仲が悪いので」という条件さえ外せればいくらでも

>>496
本社側のサーバはいじんなきゃだめだよ。
やなら hoge-tokyo.com でも取りゃいいじゃん。

>>496
政治層もシス管の仕事ちゃうんかと
小一時間問い詰めてやれ。

minimum TTLの値って、何に使われてるんでしょうか?
リソースレコードに直接TTLを設定すると、
minimum TTL以下の値も設定できちゃうみたいだけど。
あ、Bind8の話です。

プププ BIND って（ワラ

ああっ、ばかにしたなあ>>501
ほんとは知らないくせに。

デフォルト値。

なんだ。ホントに知らないんだ>>503

>>500
SOA の方? $TTL の方?
どっちにしろバッタ本に書いてあるよ。

$TTLはminimum TTLじゃねえだろ>>505

>>506
だね。ｽﾏｿ

djbdns ユーザですが何か?

いいんだもん。
自分で調べたんだもん。
minimumu TTLはネガティブキャッシュのTTLなんだもん。
djbdnsってネガティブキャッシュの設定ないのか?>>508

djb信者はいわゆる一般のコミュニティーに参加しないでもらいたいな。
変に偏った強固な宗教思想でまとまらないんだよね、
まあ＊＊学会とかと同じって事で・・・

宗教の自由は当然の権利だから悪いって意味じゃないよ。

>>509
> djbdnsってネガティブキャッシュの設定ないのか?>>508

off にできませんが何か?

あなたのシヤワセお祈りさせてください>>511

あたらしいのが出た

まとめてｷﾀ━━━(ﾟ∀ﾟ)━( ﾟ∀)━( ﾟ)━( )━( )━(ﾟ )━(∀ﾟ )━(ﾟ∀ﾟ)━━━!!!!!
bind-4.9.9
bind-8.2.6
bind-8.3.3

sendmail-qmail-postfix
bind-djbdns-???

>>515
bind9

CERT Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver Libraries
http://www.cert.org/advisories/CA-2002-19.html

109 ：名無しさん＠お腹いっぱい。 ：02/06/15 16:19
良くML等でsendmailやbindの設定について質問している人に向かっていきなり
「djbdnsなら簡単に設定できます」とか「qmailならこうやります」とか言ってくる奴がいるが、
ああいうのはどうよ？

110 ：名無しさん＠お腹いっぱい。 ：02/06/15 22:30
>>109
最悪。

111 ：名無しさん＠Ｅｍａｃｓ ：02/06/15 22:36
>>109
> 良くML等でsendmailやbindの設定について質問している人に向かっていきなり

example きぼんぬ

112 ：名無しさん＠お腹いっぱい。 ：02/06/15 23:14
http://pc.2ch.net/test/read.cgi/unix/994289303/349

こんなﾔｼがいるからdjb信者って罵られるんだYO!

In article >>518, 名無しさん＠ＮｅｔＨａｃｋ/sage/518 wrote:
> 109 ：名無しさん＠お腹いっぱい。 ：02/06/15 16:19
> 良くML等でsendmailやbindの設定について質問している人に向かっていきなり
> 「djbdnsなら簡単に設定できます」とか「qmailならこうやります」とか言ってくる奴がいるが、
> ああいうのはどうよ？
>
> 110 ：名無しさん＠お腹いっぱい。 ：02/06/15 22:30
> >>109
> 最悪。
>
> 111 ：名無しさん＠Ｅｍａｃｓ ：02/06/15 22:36
> >>109
> > 良くML等でsendmailやbindの設定について質問している人に向かっていきなり
>
> example きぼんぬ
>
> 112 ：名無しさん＠お腹いっぱい。 ：02/06/15 23:14
> http://pc.2ch.net/test/read.cgi/unix/994289303/349
>
> こんなﾔｼがいるからdjb信者って罵られるんだYO!

で?

bindもdjbdnsも両方使ってる、とか言うと変態扱いされて双方から口聞いてもらえなくて…

　名前が引けりゃいいんだ、名前が引けりゃ（笑）
　あ、MXレコードがヘンテコリンなWinNTはカンベンな

>>517
これだけどさぁ、これって結局レゾルバが不正なレコードを見に行ったときにマズイってことよね？
つまり外向け bind、内向け dnscache という環境なら問題ない？

In article >>522, 名無しさん＠お腹いっぱい。/age/522 wrote:
> >>517
> これだけどさぁ、これって結局レゾルバが不正なレコードを見に行ったときにマズイってことよね？
> つまり外向け bind、内向け dnscache という環境なら問題ない？

スレ違い & 外出氏ね

>520 さんのおっしゃる通りでした。
両刀使いは >523 のように煽られてしまうのですね。
残念ですが、逝ってきます。

In article >>524, 522/age/524 wrote:
> >520 さんのおっしゃる通りでした。
> 両刀使いは >523 のように煽られてしまうのですね。
> 残念ですが、逝ってきます。

いや djb すれに、回答があると思うが…

>>525
ほんまや。ｽﾏｿﾝ。。。

TTLについて教えて下さい。
ドメインをネームベースでいくつか運用しています、
でサーバのIPアドレスを変更したいのですが簡単に変更できるよう
例えば正式はホスト／ドメイン名にたいして
残りのドメインはCNAMEで指定しています。
www .org.com IN A 1.1.1.1　＜ 元のゾーン
www.aa.com CNAME www.org.com　＜ aa.comのゾーンで定義
www.bb.com CNAME www.org.com　＜ bb.comのゾーンで定義
通常はTTLは一般的な値にしていますがIP変更時にorg.comのTTLだけ５分くらいに短くしすればCNAMEで定義されたaa.comなども問題ないのでしょうか？

つまりCNAMEで定義されているホスト名を一度取得したクライアントは
毎回CNAMEで引いてAを引いているのしょうか？と言う意味です。
CNAMEで定義したホストはTTLを短くしていないので毎回Aレコードを引かなかった場合bb.comとかがキャッシュに保持されてbb.comのTTL値が採用されてTTLが短くならない可能性があるのでしょうか？

またこれはBINDとかDNSソフトウエアの仕様によって異なるものでしょうか？

もちろん残りのネームベースのドメインも全て同じようにTTLを変更すれば問題ないと思いますが
ゾーン数が複数あるため段階的にTTLを変更するのが手間になるし少しでも
変更が少ない方が間違いが発生しないとおもうのでこのように行いたいと思っています。

もし、他に適切な変更方法や定義方法がありましたら教えて下さい。

よろしくお願いします。

> 毎回CNAMEで引いてAを引いているのしょうか？と言う意味です。
正解。

.infoを委譲してもらう方法について教えてください。
foobar.info を取得しまして、
whoisで dns1.ns.foobar.info が反映されたのまでは確認したのですが、
数日待ってもSOAがいっこうに primary-update.dns.nominum.com のままなんです。

humeiaでhost登録した dns1.ns.foobar.info 自体は全世界から引けています。
逆引きは別のDNSが違ったドメインでやってくれるので設定してないです。

>529
　ドメイン登録手数料を振り込んでいないに400ペリカ

.infoはhumeiaで取得して、チケットを消費しています。
それとは別の団体にも送金が必要なのでしょうか？

>529
root serverに直接訊いてみた?

こんな結果です…
> server m.root-servers.net
> set norecurse
> set type=ns
> foobar.info
Server: m.root-servers.net
Address: 202.12.27.33

Authoritative answers can be found from:
info nameserver = TLD1.NOMINUM.COM
info nameserver = TLD2.NOMINUM.COM
TLD1.NOMINUM.COM internet address = 198.133.199.100
TLD2.NOMINUM.COM internet address = 192.100.59.100
> server 192.100.59.100
> foobar.info
Server: [192.100.59.100]
Address: 192.100.59.100

*** [192.100.59.100] can't find foobar.info: Query refused

便乗ですが
whoisで見える＝有効 と思っていましたが違うのですか？
逆にwhoisで見えると言うことはどのような状態にあるのでしょうか？
と言うのが、
hogexxx.comで使用しているネームサーバのアドレスを先日変更しました
例）200.***.***.2　＝＞ 200.***.***.12
ネームサーバ自体はjpドメインの物なのでJPNICの業者さんにDNSのホスト情報のIPを変更してもらいました。
ところがかなり時間がたっているのにhogexxx.comをwhoisで見ると変更前のIPが表示されます（下記のような感じ）
Domain servers in listed order:
ns1.xxxx.co.jp 200.***.***.2
ns2.xxxx.co.jp 200.***.***.3
実際には変更は反映されているようで外部から問題なく参照できているようです
nslookup -q=ns hogexxx.com ns1.nic.ad.jp
の実行結果はIPが新しいものがきちんと表示されます。

使えてるんで問題ないんですけど変更間のDNSはすでに稼働してないので
誰かに見られたら設定がおかしいと思われそうでちょっと鬱です。

このwhoisデータはいつ書きかわるのでしょうか？
それとも変わらないものなのでしょうか？
それともJPNIC取次業者がなにか作業を忘れているのでしょうか？

博識な方教えて下さい。

>>534
業者に調べさせればいいじゃん。

# 板違いのような気もする。

>>535
業者は問題無しっていわれてる
適当な板ってどこ？

>>534
最初に whois の登録内容が変わって、
その後 DNS に反映されるんだと思ったけど。

（仕方のないことだけど）状態を確認できないので
なんとも言えない。

業者を通しての直させるのが良いかと。

　whoisとbindは別物だから、whoisのdbが変更されたからと言ってbindのdbが
無条件で変更されているというのは、ちとムリがあるのでわ。

named.conf、ゾーンファイル・リバースファイルを記述して、
namedを再起動すると、
messagesログファイルに「Database error near ()」とかいっぱい
エラーが出てるんですけど・・・・
どうしたらいいの？
初めて、DNSを設定してみたんだけど・・・
誰か〜教えて！！！

>>539
ゾーンファイルの書き方間違ってるんだろ。

tp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/BIND8.3.3Tools.zip
tp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/BIND8.3.3Tools.zip.asc

すみません。
bad signatureになるんですけど。。
本体は大丈夫だけど。

これ、俺だけ？

改ざんされてるのかよっ。

Solaris8にbind-8.2.5を使っています。
bind-8.2.6へバージョンアップをしたが,バージョンアップの方法として
違うサーバでソースからインストールしたものをコピーしたいと思います。
バージョンアップにはnamedの他にどのファイルをコピーしたら良いと思います？

>>543
(ﾟДﾟ)ﾊｧ?

>543
Solaris スレ逝ってpackageって何ですか？って聴いて怒られるか
solaris package でGoogleって見るかどちらか選んでください。

543はソールファイルからmakeインストールをするつもりでパッケージの
話はしていないのでは？　>545

>>543 source treeをNFSマウントして"make install"

試してないけど。

hostA% make
hostA% tar cf - . | ssh hostB '(cd /hoge; tar xf -)'
hostB# cd /hoge
hostB# make install

>546
packageを自分で作った事無いの？

作るなんて話を誰がしてる？

> 違うサーバでソースからインストールしたものをコピーしたいと思います。

これってFreeBSDのmake worldぐらいしかやらないよな, 普通。
自作package使うのが普通だと思うがどうよ。

Solarisでもふつーにやってますが何か？
サーバ専用機にコンパイラなんぞインストールしないし。

　まぁHTTPDやらNNTPDやらががんがん回ってるサーバでコンパイルなんか
悠長にやってる場合じゃない罠（笑）

うちは、ソースから入れる必要がある場合は
コンパイラ入ってる計算機でpackage作ってftpのdirに
置いて内部向けに配布してる.

これは、Solarisはもちろん*BSDでもlinuxでも同じ様にしてる.
実際問題、Solaris以外でコンパイラ入っててもchmod go-rwxに
してるから緊急時以外運用中の計算機ではコンパイルしない。

なので、うちは551の言わんとしてる普通.

転送中のリスクとか作業ミスした時の被害を考えると
それが当たり前だと思ってたが、552は>543の言うような事をマジでやってんの？

参考までに552はどんな環境でSolaris運用してるのか、利点等も聞かせてくれ.

「計算機」かぁ、JANOGかなんかで、やたらと「計算機、計算機」とかエンスーぶってる
のがいて、からかってやろうと思って「コンピュータ」「マシン」「パソコン」とか言い直して
いたら真っ赤になって「計算機」連呼してたっけか。

>>554
んー、ふつーに冗長構成+開発機だよ。
開発機でmakeして試験まで済ませてから実機に投入。
試験済みだからトラブルは起きないし、
起きても冗長構成だからサービス停止にはならない。

あ、もちろん>>543のように必要なものだけを持っていくのではなく、
make済みのソースツリーをmake installするってことだけど。

>>555
むしろ電卓と言ったらどうだろう

> なんだか CNAME いらんとか言ってる人がいるようだけど、
> それでは自分の管理外のサイトにあるホストを CNAME で指したい時に
> 困るんじゃないだろうか? とか言ってみる。

ということにしたいのですね?

恐縮ですが、質問させていただきます。
現在、2つのドメインを所有しており、BINDで設定を行っております。
IPは一つです。
この場合、/etc/named.conf は

/etc/named.conf ---------------------------------------------------
zone "aaa.jp" IN {
type master;
file "aaa.jp";
};
zone "bbb.com" IN {
type master;
file "bbb.com";
};
zone "76.543.21.in-addr.arpa" IN {
type master;
file "76.543.21.in-addr.arpa";
};
-------------------------------------------------------------------

となると思いますが、ここで引っかかったのが逆引きの設定です。

76.543.21.in-addr.arpa. -------------------------------------------
$TTL 86400
76.543.21.in-addr.arpa. IN SOA dns.aaa.jp. root.aaa.jp. (
2002071403 ; Serial
3600 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ; Minimum
)

IN NS dns.aaa.jp.
IN NS dns.bbb.com.
IN NS ns1.zoneedit.com.
IN NS ns2.zoneedit.com.
IN NS ns3.zoneedit.com.

98 IN PTR dns.aaa.jp.
98 IN PTR www.aaa.jp.
98 IN PTR dns.bbb.com.
98 IN PTR www.bbb.com.
-------------------------------------------------------------------

一つのIPですので、下記のように2つのドメインを混在させてしまいまし
たが、やはりおかしいでしょうか。

どうかご教授いただければと思っております。
初心者ですみませんが、どうか宜しくお願いいたします。

>>559
俺は逆引きにはホスト名を設定してるけど、逆引きされて正引きと一致しない
ことがあるのがイヤだってんなら、逆引きを設定しないってのはどう?

ところで、IP 一個なのに
> 76.543.21.in-addr.arpa. IN SOA dns.aaa.jp. root.aaa.jp. (
これって、委譲されてないゾーンっぽいけど。。。

日本のISPで、固定IP1個割り当てで逆引き割り当てて
(代行でも可)くれるISPってあった？

早速のお返事有難うございます。

実際、逆引き依頼はしていないので、nslookupを98.76.543.21(このIPはサンプ
ルです)でかけると、私のプロバイダはDolphinなので、「f0000-0000.din.or.jp」
というふうに返ってきます。
逆引きの設定はする必要ないとも思っていたのですが、
http://www.itboost.co.jp/inst/inst_42.php
を見てみると、

「ドメインを取得してネームサーバを設定する際には、この正引きドメインと
逆引きドメインをセットで設定する必要があります。逆引きがうまくいかないと
メールの配送がうまくできなくなったり、各種ソフトウェアのパフォーマンスが
低下したりします。」

と出ております。
MX等も利用しているため、とにかく間違っていない逆引きの設定をどうにかやり
たいと思ったのですが、>>559さんのおっしゃるとおりホスト名(f0000-0000.din.or.jp)
を登録するのが一番正しいでしょうか。
そうなると、設定は

76.543.21.in-addr.arpa. -------------------------------------------
$TTL 86400
76.543.21.in-addr.arpa. IN SOA dns.aaa.jp. root.aaa.jp. (
2002071403 ; Serial
3600 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ; Minimum
)

IN NS dns.aaa.jp.
IN NS dns.bbb.com.
IN NS ns1.zoneedit.com.
IN NS ns2.zoneedit.com.
IN NS ns3.zoneedit.com.

98 IN PTR f0000-0000.din.or.jp.
-------------------------------------------------------------------

でよいのでしょうか。
初心者ですみませんが、どうかご教授願えればと思っております。

×>>559さんのおっしゃるとおり
○>>560さんのおっしゃるとおり

申し訳ないです。厨房ぶりを発揮してしまいました・・・

ほんまに、そのIPの逆引きを設定する権限が
あんさんにおますんか？
ISPのが逆引きされてるのを見ると、
委譲されてない気がしますけどなー。

>>562

私にも委譲されてないように見える。
Internet から、562さんのサーバに逆引きの問い合わせが行われることはあり得ないので、
562さんのサーバに逆引きの設定をするのは無意味。

あと、98.76.543.21 の逆引きは、21.543.76.98.in-addr.arpa. になるというのが分かっているかどうかが気になる。

「メールの配送がうまくできなくなったり、各種ソフトウェアのパフォーマンスが…」
というのは、

1. 98.76.543.21 の逆引きができるかどうか
　→逆引きプロバイダ側が管理していて、 f0000-0000.din.or.jp が返ってくるのでOK

2. 逆引き結果「f0000-0000.din.or.jp」の正引きが 98.76.543.21 になるかどうか
　→まっとうなプロバイダなら、なるでしょう。

という二点の問題なので、562さんがどうこうする必要のある問題じゃないです。
逆引きを委譲してもらうメリットは

・98.76.543.21 の逆引きが hoge.aaa.jp になると、通信相手に、自分が hoge.aaa.jp であることが明示できる

って点だけですね。相手のログに hoge.aaa.jp って名前で残せるようになる、と。
あまり重視するものでもないような…

　というか、問題解決としては

1)　回線業者(兼上位プロバイダ)に名前設定してもらう
　そういうサービスをしてるんなら、上位プロバイダのDNSに正引き/逆引きとも
登録してもらえばよろしい

2)　どこかよそにサーバ借りてbind立ち上げて登録する
　逆引きは、やっぱり上位プロバイダに頼む必要があるけど、とりあえず正引きは
できるようになる。

　つうか、逆引き名が異なるとsendmailが「maybe forged(こいつ騙ってるぜ〜)」とか
怒り狂うので、1)が良いと思うが。

■■　２ちゃんねるは探偵に利用されている？　■■
６月より２ちゃんねるの掲示板一覧に登場した未解決事件板（探偵ファイルhttp://www.tanteifile.com/　のBOSSこと
渡邊文男が管理）は実は２ちゃんねるとは関係ない探偵会社ガルエージェンシーの捜査用の罠であることが判明しますた。
（ソースhttp://www.zdnet.co.jp/internet/guide/0208/newsbr/03.html）
ひろゆきをはじめとする２ちゃんねる運営者は
http://kaba.2ch.net/test/read.cgi/accuse/1026621702/
で故意に未解決事件板を何も知らない２ちゃんねらーに踏ませていることを供述。
さらに探偵ファイルとの具体的な契約内容については口を閉ざすばかり。
お金のためとはいえ匿名掲示板２ちゃんねるがプライバシーの切り売りしちゃやばいのでは？
祭り会場はニュース速報の
【犯罪？】探偵ファイルと論壇【暴露】その２
http://corn.2ch.net/test/read.cgi/news/1026620327/
です。


探偵にwhoisされてばればれ！

>>567
djbdnsスレにはコピペしなくていいのか？(w

BINDのシリアル番号ですが
今自宅サバでDNS１台で運用しています、
この場合セカンダリ／スレーブが無いのでzoneファイルの編集を行っても
シリアルは変更する必要はないと考えていますが
技術的にこの考えは間違いないでしょうか？（メモ的にかえると言うのは除外して）

というのがシリアル番号を戻すという話題が時々あるのですが
通常の環境では管理者は自分の管理しているzoneはメンテできると思うのですが、マスターも、スレーブも毎回キャッシュクリアしてリロードすればシリアル値は自由設定できると思っているので不思議なんです。

それとも意図せず自分の管理外でシリアル値が使われていて不具合が起きる
可能性があるのでしょうか？

>>569
そういう場合なら、シリアル番号 1 で固定でも問題ないよ。

　問題ないわけないジャン（笑）

>>569
シリアルを上げるクセをつけといた方が無難だと思うけど。
技術的興味で聞いてるのかな?

>>571
理由を述べよ。

技術的興味と実用性と半々です。
DNS１台の時にシリアル換えなくて問題ないなら
それを知った上でシリアルかえずに運用するのもスマートかなと思うんです。

571の意見も気になりますが根拠が書かれていないので煽りでしょうか？
知らないところでシリアルを密かに使う実装とかあるんでしょうか？

ふと疑問に思ったのですが、
DDNSって、何か登録されるたびにシリアル上がってるんですか？
手元に確認できる環境がないもんで・・

一連の話題から言えばDDNSはシリアルあげる必要は無いのかも
ってゆうかシリアルで制御してたらDDNSとしての機能を果たせそうにないよね？
どうでしょ。

あぼーん

>>576
> お役立ちリンク集
> 必ず役立ちます

ということにしたいのですね?

>> 574
bind9 で dynamic な運用してますけど、nsupdateで更新するたびに1増えてます。

>> 575
DDNS だと TTL を短くするから、セカンダリサーバは非常に短い間隔でチェックして、
シリアルが上がってたらゾーン転送、ってなるだけじゃないすか。

DDNSにとって、ゾーン転送がプッシュ型でなくプル型というのは問題だけど、
シリアルでバージョンを管理しているのは特に問題ないと思うのだが…

>>578
たしかに短い間隔でチェックすればいいと思うけど
かなり多くのゾーンを抱えているだろうから
それが短い間隔で更新されると大変なことになると思うんだけどどうでしょ？
スレーブ側がシリアルチェックのための通信で飽和ってことにならないかな？

あとよく知らないんだけど本来DDNSってスレーブも用意されてるの？
１台だけならどうでもいいことだもんね。

>>578
ゾーン転送以外の方法で同期取ってんでないの?
rsync とか。
DB からひっぱってくるとか。

BIND-8.xで、ログをsyslog経由ではなく直接ファイル書きだししてるんだけど、
時刻がGMTで書かれちゃう。JSTにできないかな？

>>579
本来ってどういう意味で言ってるの?

DDNS でプライマリの DNS レコードが update されたら、後は普通に伝わっていくけど
それは DDNS とは関係なくて、普通の DNS の話。スレーブサーバへの更新通知が
適切に行なわれるように運用するなら更新チェックを短くする必要もない。

そうじゃなくて DDNS を使ってる奴は普通スレーブサーバたててるのかという
話なら「本来」っていうのは妙な感じだな。単に運用の話だと思うし。

俺はスレーブサーバもたててたけど。

最近のbindは、マスタがセカンダリにゾーンの変更をnotifyできるし、
変更のあったレコードだけ送ることもできるよ。

>>581

LC_TIMEをゴニョっとしてみたら?

>>584

LC_TIMEはダメでした。が、それをきかっけに頭に浮かんだ環境変数TZを設定
してみるとうまくいきました。ありがとう。

タイムゾーンが変わっちゃう原因だけど、 ログファイルの書き出し方法変えたからじゃなくて、 -tオプションとか使ってchrootしてるからじゃない？ それで /etc/localtime とかが読めないからでわ？ >>581 解決方法は TZ の設定でオッケーだと思う。

>>586
大正解！そうだったっぽ

同じドメインの正引きで
ローカルからリクエストが来た時と
WAN側からリクエストが来た時で
別々の設定を返すにはどうすればいいの？
ゾーンファイルは別々に作ったんだけど
named.confの書き方がよくわからん

>>588
ローカル側は NIS を使って、
DNS は使わない、という解決法もアリかも。

>>589
ircdとかDNSの逆引きと正引きの結果が同じじゃないと
ホスト情報とか示さないやつがあるんだよねぇ
と言うことでBINDでやりたいんでふ

内と外のinterfaceで別々のBINDを動かすとか(w

bind9を使うよろし>>588

こんな感じの環境なんですが

WAN----ルータ----PC1(DNS)[210.xxx.xxx.1](192.168.0.1)
　　　　　　 ----PC2[210.xxx.xxx.2](192.168.0.2)
----PC3[210.xxx.xxx.3](192.168.0.3)

ルータがへぼいせいで
ローカルからローカルへはグローバルIPが使えないんです
しょうがなくローカルIP使ってるんですけど
ドメイン使ったアクセスくらいはちゃんとさせてやりたいんで

つーか　無理っすか？
リクエストホスト別に別ゾーンファイルっていうのは

>>593
>>591 >>592

あー　Bind9でできるのなら　入れてみようかなって思うんですけど
具体的な設定がぐぐってもでてこない

>>595
"bind view" でぐぐれ。

>>596
さんきゅー
まさしくコレっす

bind9でできる。
view "local" {
match-clients {
127.0.0.0/8;
192.168.0.2;
};
allow-query {
127.0.0.0/8;
192.168.0.2/24;
};

みたいなのを書く。

それか　BIND8を二つ起動するとか
実践したことないけどね
どうやるかは調べて

>>599
インターフェース指定で bind8 ２つ上げてます

ふと思ったんだが

zone "hogehoge.jp" {
type master;
file "/etc/hogehoge.jp.local.hosts";
allow-query {192.168.0/24;};
};

zone "hogehoge.jp" {
type master;
file "/etc/hogehoge.jp.hosts";
allow-query {any;};
};

こういうのってBIND8じゃできないのかな？
うちはそんな無理なことしてないけど（ｗ

>>599
インターフェースがというかネットワークが分かれているなら、bind8二つでいけるけど、
>>593みたいに、IPアドレス一つでリクエスト元で分けるなら、bind8二つは無理だよ。

bind9で view するしかないだろう。私はそのためにbind9入れた。

>>602
PC1に192.168.0.4とか、もう一個IPアドレス加えて、LAN内からはそっちを
見るようにすればいいんじゃないかな。

>>603
しまった、その手があったか…
それならbind8二つでできそうですね。

でも、管理が面倒になるし、bind9 を入れれるなら、bind9にした方がいいと思う

ということでBIND9をインストールしたんですが
うまく動いてくれません

acl localnet {
127.0.0.0/16;
192.168.0.0/24;
};
options {
directory "/etc";
};

〜中略〜

########## Local用のドメイン設定
view "local" {
match-clients { localnet; };
recursion yes;
zone "hoge.jp" {
type master;
file "/etc/hoge.jp.local.hosts";
};
};
########## InterNet用のドメイン設定
view "world" {
match-clients { any; };
allow-query { any; };
recursion no;

zone "hoge.jp" {
type master;
file "/etc/hoge.jp.hosts";
};
};
#####

書き方はこれで合ってますでしょうか？

このサイトにはトヨゾウの被害はありませんか

>>605
ﾛｸﾞｳﾌﾟｼﾙ!

ログみながらひとつずつ直していきました
合計6箇所間違いが合ったようです・・・

それでもBIND起動しちゃうんですね

560あたりで議論されてるようなんですけど
取り合わせがこない逆引きDNSサーバって
勝手に設定しちゃっていいんですかね？
実害がないようならしたいのですが

あとよく分からないんですけど
汎用JPドメインやCOMなどは
接続承認っていらないんですよね？
レンタルサーバで運用しているのを
ADSLの固定IPを取ったんで
自宅サーバの方で運用したいのですが
NICに登録されてるDNSを
自宅のIPにしても問題ないですよね？

>>609
逆引きの設定がなんで必要なの? /etc/hosts に書いとくだけで充分だったりしない?
>>610
問題なし。

>>611
単なる自己満のためです

すっげーくだらない理由でｽﾏｿ

>>612
なら、
zone "123.2.0.192.in-addr.arpa" { ...
みたいにそのIPアドレス自体をゾーンにすれば問題ないかと。
念のため、そのゾーンは外からは参照できないようにしといてね。

>>612
とりあえずそうして置きました
属性型JPドメインも持ってるんで
自宅でやりたいと思ったんですけど
これはかなり厳しい見たいﾃﾞｽね。

ｽﾏｿ　ﾜﾀｼﾊ612ﾃﾞｽ

>>614
上位プロバイダの接続承認取れない?
固定IP配ってるならやってくれそうな気もするけど。

オライリーのDNS本に書いてあったけどホストAのforwardersをホストBへ
ホストBのforwardersをホストCへ設定するのはいけないと書いてありましたが
なぜだろう？実際は可能かと思うけどDNS要求にエラー(失敗)とか出たりするの
だろうか？

>>617
なんでいけないかは書いてなかったのか?

あのね今度うち、Flets-ADSLからB-Fletsに移行すんのよ。そん時IP-Addressが
変更になるのよねぇ。
whois切り替わったその日の深夜にJPNICデータベースが変更になるってんで、
2台のDNS用意してんのよ。今は1台稼働中。セカンダリはないんだよね。
どうしたいのかっていうと、名前-IP Addressの切替わりをスムーズになるべく
名無しさんになる時間を短く、出来ればゼロにしたいなと思っているワケ。
そんで考えたんだけどさぁ、事前にB-Fletsに割り当てられるIP-Addressから
DNSの名前とIP-Addressを先にJPNICに登録しちまおうとさ。プロパイダーにそれ言った
ら、『それは規定に違反しますから』とか言ってダメなんだよね。
深夜からB-Fletsの名前とIP-Addressを現在稼働しているDNSにやらせておいたらどうか
？とか考えてんです。どうしたらスムーズに移行出来ますかね？

あと誠に厨な質問で恐縮ですが、MACアドレスってやっぱNIC(JPNIC)側で管理されて
ますよね？以前OCNエゴからFlets-ADSL固定IP8個に移行した時、予備DNSになかなか
切り替わらなかったもんで。うちの奥さんに「めーるそうしんできないー！」って
さんざんどやされたもんですから。
そう、余談だけど何人かいるユーザーで一番コワヒのはうちの奥さんね。(^_^;)

奥さん説得しろっていうレスはなしね。奥さん86400秒監禁するってのはアリかも。

>>619
ダウンタイムを 0 にしたいなら、しばらくは両方の回線で動かすのがいいん
だけど、そうもいかんのだろ。
誰かに変更前後一週間くらい DNS と MX のセカンダリたのんでみれば?

変更手数料余計に取られるからイヤ。

あっ、あとFlets-ADSLはB-Flets開通後、１週間生かしておきます

深夜切り替えって想定してるみたいだけど、深夜にWhoisは更新されないぞ
大抵、平日昼間にwhois変更反映されている
＃最近申請した限りの記憶。

回線両方生きてるなら両方とも Internet につないでおいて、
新旧両方のIPアドレスでアクセスできるようにしとけば?

whoisは昼間だけど、データーベース更新はその日の深夜と
私はJPNICに電話で聞いた。whoisは変更になってても昼間は何も変わらないって事。
それぞれ２枚NIC刺さっているから、プライベート側で/home /var/mailとか
nfsで共有したろかと思いついた。

>>619
あんた迷惑！
そんないい加減な知識で、行き当たりばったりにネット運用しないでほしい。

本にも書いてあるだろ、
　　間違えた設定の運用は、動かないサーバよりタチが悪いって。

>>625
OCNはしらんが、この前受けた案件ではその社の線をATM2MからFTTHにかえるとき、プロバイダはIPはそのまま変えずに変更してくれたぞ。

>>627
板違いっぽいが、それはIPルーティングの設計の都合によって
変わってくるから、ATMやFTTH直収の専用線ならともかく、地域IP網
を使うような場合は変更せずに行くのは難しいと思われ。

>>625
>>628
T1からB-Flets(ベーシック、固定(IP）にかえる場合も出来たぞ。
だからFlets-ADSLからB-Fletsもできるんじゃないか？
その線でDNSサーバーたててるんだろ？（それをちゃんと言うんだぞ）
じゃあIP変わったらスムーズな移行なんてできるわけないでしょ。
その辺をちゃんと分かってくれる普通のプロバイダーならやってくれると期待。
OCNは知らん。

OCNは無理。IPアドレスは変更になる。いくらダダこねても無理。経験者です。
MACアドレスって影響するんかい?聞いたことないぞ。そんなら差し替えればいいじゃんか。

>>629
ちゅーか、>>619みたいなガキの小遣い程度の料金しか
もらってない案件に面倒なことやってくれるお人良しなISPは
存在しないと思われ

オールインワンサーバのDNSで次のように設定してあります。

$ORIGIN example.com.
@　　IN　　1D　　SOA　　ns.example.com.　account.example.com. (
#略
)
　　　IN　　NS　　ns.example.com.
　　　IN　　MX　　mail.example.com.
　　　IN　　A　　123.456.789.12
ns　　IN　　A　　123.456.789.12
www　IN　　A　　123.456.789.12
mail　IN　　A　　123.456.789.12
sub　IN　　A　　234.567.891.234　#別のマシン

この設定で何の問題もなく動いています。
さて、ここで別のホストである sub.example.com 宛に
メールが送信された時に、その sub.example.com で
受け取るように MX を設定したいのですが、上の設定に
「sub　IN　MX　sub.example.com.」
という行を足しても、うまくいきません。
(もしかするとメールサーバであるqmailの設定が悪いのかも
知れませんが)

この設定は正しいのでしょうか？　もし誤りがあるなら
どこをどう正せばよいのでしょうか？

sub　IN　MX　sub.example.com.
だと ****@sub.example.com　ってメールアドレスになるぞ？それでもいいのか？
普通に
IN　　MX　　mail.example.com.
を
IN　MX　sub.example.com.
に変えればよい。
ちゃんと@のAレコードにするんだぞ。

訂正：
@のAレコードじゃなくMXレコードの間違い

>>632
＞どこをどう正せばよいのでしょうか？
あんたの頭！

>>632
> (もしかするとメールサーバであるqmailの設定が悪いのかも
> 知れませんが)
そこ切り分けてから聞きに来いよ。

>>633
そう、****@sub.example.com ってメールアドレス宛の
メールは、sub.example.com に送りたい。
でもって、****@example.com は example.com(123.456.789.12)
で受けたい。
sub　IN　MX　sub.example.com.
これでうまくいかないってことは、メールサーバのせい？

>>635
オレの頭のbindは塞ぎようのないセキュリティホールだらけ
なんよ。悪いな。

BINDはもう、いいかげんに捨てるべき時がずいぶん前から来ている
と思う。DNSの設定ファイルも、いまだにシンタックスチャックや
整合性の検査もされずに稼動してみてデバッグをするという
情けなさだ。もっと一種のプログラム言語のソースのように、
冗長性をもった自由な形式で書いて、コンパイラのような変換ツールで
構文解析をして、相互の矛盾を調べたりした上で、逆引きと正引き
のテーブルをジェネレートして食わせるべきではないだろうか？
少なくとも、チェッカーがないと、巨大な設定表は、大抵
どこかが間違っている。

djb信者の方ですか？

>>637
それじゃあ　MXレコードいらねーって。
そのままHOST名がメールアドレスになるんだろ？あんたのいってる様子だと
subホストに関してはMXレコードいらんよ。

>>637

ちゃんとsub側で　qmail/control/me　に自分がsubってホスト名だって教えてやってるか？

MXレコードに優先順位の指定がないのが悪いのでは。

>>642
いや２つのメールサーバーが別のメールアドレスで運用するんだからMXレコードをつけること事態が間違い。

追記：
MXレコードとメールアドレスが同じ場合。ってことを書き忘れていた。

>>642
私もそう思う。　preference 無しのレコードって MX レコードとしてちゃんと認識されるの?

>>643
・MX レコードが無くても、Aレコードがあればメールが届く

ので、AレコードあればMXいらないけど、MXあっても間違いってことはないだろ。

私なら、「メールを受け取る用意があることを明示する」ために sub.example.com の MXレコード作ると思う
ついでに、mail.example.com も中継するよう設定して、MX に入れるだろうけど…

>>645
確かに間違いではないな。俺が間違い。

>>631
ガキの小遣い月額４万円以上か。おれの小遣いより多い(泣

グローバルIP１個で２台のサーバにそれぞれwww1.test.comと
www2.test.comのようにバーチャルホストを割り当てて
アクセスする方法を教えてください。

>>648

test.com の zone の設定で www1 と www2 の両方について、 A レコードを、そのグローバルIPにすれ

>>649
片方CNAMEでいいじゃん

↓CNAME必要・不要論争勃発

RFC嫁!

>>650
CNAMEでもいいけど、両方Aの方が説明簡単かと思いまして。

>>651
以前泥沼にはまったことがあるので、もうその論争はやりません。

>>651
空しい風が吹くだけの争いを誘うのはやめれ

レスありがとうございます。
www1、www2 の両方ともAレコードをグローバルIPにして
apacheのVirtualHostを２台とも登録しましたが、つながりませんでした。
（元々www1の方は運用していましたのでwww2を追加した形です）
念のためCNAMEも追加したんですが、
何か原因として考えられることはありますでしょうか？

上の書き込みは648です。

>>655
> つながりませんでした。
「つながらない」とは、どういう状態?

>>655
BINDスレなんだから、digなりnslookupなりして
まともな答えが引けるか確認しまっさ

>>655
host www1.example.com
host www2.example.com
は両方引ける?

引けない->zoneファイル見せろ
引ける->Apacheスレに逝け

みなさん、ありがとうございます。

>>657
「つながらない」ですが、www2でアクセスしても
www1の方に行ってしまう状態です。

>>659
nslookupでは、両方とも引けます。

> 引ける->Apacheスレに逝け

Apacheの設定の問題でしょうか・・。

>>660

十中八九apacheだろうね。
Apacheスレにゴー

BIND9.2.1で、default serverが自分自身で
自分で自分の逆引きできるのに
他のホスト（ipfinder.infoとか）から
逆引きできないのはなぜ？
（正引きは問題ないぜよ）

key "namedkey.localhost" {
algorithm hmac-md5;
secret "いやん";
};

controls {
inet 127.0.0.1 allow { localhost; }
keys { namedkey.localhost; };
};

options {
directory "/var/named";
// query-source address * port 53;

auth-nxdomain yes;

allow-transfer {
プロバイダにお願いしてるセカンダリDNSのIPaddr
};
// allow-query { any; };

blackhole {
sshにリクエストしてきた大バカ℃も
};
};

zone "." {
type hint;
file "named.ca";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "named.0.0.127.in-addr.arpa";
};

zone "hoge.or.jp" {
type master;
file "named.hoge.or.jp";
allow-update { none; };
};

zone "22.111.61.in-addr.arpa" {
type master;
file "named.22.111.61.in-addr.arpa";
allow-update { none; };
};

>>662
ISP から権限委譲されてる?

>>663
そのはずだが、念のため今確認してもらってる

>>664
自分で確認すればいいじゃん。

>>665
nslookupでこれでいいんかな？
digでのやり方も勉強しなきゃナ

> set type=SOA
> hoge.or.jp
Server: my.private.provider.jp
Address: 211.111.111.111
Aliases: 111.111.111.211.in-addr.arpa

hoge.or.jp
origin = ns.hoge.or.jp
mail addr = hostmaster.hoge.or.jp
serial = 2002070405
refresh = 28800 (8H)
retry = 7200 (2H)
expire = 2419200 (4W)
minimum ttl = 86400 (1D)
hoge.or.jp nameserver = ns.hoge.or.jp
hoge.or.jp nameserver = ns3.secondary.dns.com
hoge.or.jp nameserver = ns4.secondary.dns.com
ns.hoge.or.jp internet address = 61.111.22.133
ns3.asp.mewave.com internet address = 211.222.222.22
ns4.asp.mewave.com internet address = 211.222.222.23

>>666
それは正引き。
問題になってんのは逆引きでしょ?

失礼！！digってみた
% dig -x 61.111.22.133 soa

; <<>> DiG 8.3 <<>> -x soa
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 4
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUERY SECTION:
;; 133.22.111.61.in-addr.arpa, type = SOA, class = IN

;; ANSWER SECTION:
133.22.111.61.in-addr.arpa. 1H IN CNAME 133.sub128.22.111.61.in-addr.arpa.

;; AUTHORITY SECTION:
22.111.61.in-addr.arpa. 0S IN SOA ns.hoge.or.jp. hostmaster.hoge.or.jp.
(
2002080501 ; serial
8H ; refresh
2H ; retry
4W ; expiry
1D ) ; minimum


;; Total query time: 30 msec
;; FROM: www3.inetd.co.jp to SERVER: default -- 211.111.111.111
;; WHEN: Wed Aug 22 16:45:56 2002
;; MSG SIZE sent: 43 rcvd: 154

ただ、単純にdigってみると、
authority sectionにISPのnsが4つ並んでいるのね。
ということは、権限委譲されてないんすかねぇ

>>668
sub128.22.111.61.in-addr.arpa. の NS レコードをひいてみ。

>>662
> zone "22.111.61.in-addr.arpa" {
ゾーン名が違ってるようだが。

>>669
sub128.22.111.61.in-addr.arpa. の NS レコードは
ns.hoge.or.jpとでたですよ。

ゾーン名はおかしいかもしれない。
ただ、これを133.22.111.61.in-addr.arpaにすると
自分で自分の逆引きができなくなるです。
（同環境のテストマシンにて実験済み）なんで、このあたりがおかしいとは思っているんだが...
このネットワークは/28でIPアドレス取得しているんだが、
その場合は133.22.111.61.in-addr.arpaと
しなきゃならんのでしょうか。

>>670
zone "sub128.22.111.61.in-addr.arpa." で逆引きを設定しろと
ISP から説明無かった?

>>671
うんにゃ。まったく。
でも、この結果を見るとそんな感じですね。
ちょいとこれでISPの結果を待ってみますよ。
いろいろありがとうでした。

Redhat7.2、bind-9.2.1でTSIGを使用して簡単な問い合わせを行いたいんですが、エラーがでてしまう。

鍵生成
/var/named
dnssec-keygen -a HMAC-MD5 -b 128 -n user 鍵名

named.confに以下行を追加
key 鍵名{
algorithm "hmac-md5";
secret "keyコード";
};

で、鍵ファイルをホストにもってきてdigで通常の問い合わせ
dig @redhatのIP ホスト名 -y 鍵パス:鍵名
とすると
;; Couldn't create key　鍵パス:bad base64 encoding
と表示された後、通常の問い合わせだけ表示される
そして最後に、
;; WARNING -- TSIG key was not used.
と表示
これって何が原因でしょうか？

いつまでも、だらだらと、セキュリティーホールを出しつづけてくれるよな。
それでもってサポートが必要になるから商売になるという構造。これは
絶対にマッチポンプ的だぜ。機能の分離もデザインの検討もなく、なんだか
闇雲に最初つくって、つぎはぎをあてては機能を拡張してしまった末路の
姿と言う感じのソフトで、管理者の頭脳と時間を浪費するための、プロに給料
を出すためのインフラ・仕組みということがいえるだろう。
　ようするに、ネットワーク技術者って、短期的な視点ばかり、その場しのぎの
技術者ばかりで、トータルとしては馬鹿なんだよな。

>>674
(　´_ゝ`）ﾌｰﾝ

>>674
Windoze?

>>674
DJB信者ｷﾓｲ

>677 何故そうなる。(w

>>678
「機能の分離もデザインの検討もなく」とかいうのが出てくると、そう感じるのも
もっともかと。

>>674
技術者うんぬんいいたい場合、その場をしのぐことがいかに重要かっていうのも、
きちんと理解しようね。

＞６７４
知ったかぶり恥ずかしいね

www.example.com:8080をmy.example.comで繋がせるには
どう設定するんでしょうか？
Virtual hostで出来ますか？

>>681
apacheとかの話とごっちゃ混ぜに書くな

>>671あたりにもあるんだけど、逆引きのゾーン名に
SUBとかつけたりするのはいったいどういう意味があ
るのでしょうか？

アドレスの最初のところにhつけたりする場合もある
見たいなんだけど、ISPによってちがってたりするって
こと？

例えば、 192.168.23.8/29 (例なのでプライベートア
ドレスね)なんてのがあったときに、ゾーン名は
SUB8.23.168.192.in-addr.arpa
なんてなったり、

192.168.25.32/24 なんてのがあったときに
32h.25.168.192.in-addr.arpa
なんてなったり、わけわからん。

どなたかこの意味をお教えいただけないでしょうか？

>>683
それは単にサブアロケーションを提供しているプロバイダが
そういうふうに設定しているだけ。IPの逆引きについては
そもそもクラスC未満のサブアロケーションを想定した設計に
なっていないため、sub8とか8hとかそれぞれプロバイダに
よって違う名前付けになっている。

具体的にはプロバイダ側で、
「192.168.23.8〜192.168.23.15まではxx.sub8.23.168.192.in-addr.arpa
を見てね」っていう設定になっている。

だから、ユーザ側でその名前のゾーンを作成してプロバイダ側に
ネームサーバのIPを教えてあげれば、
たとえば "192.168.23.9" の逆引きが "9.23.168.192.in-addr.arpa"
-> "9.sub8.23.168.192.in-addr.arpa" と変換されて、その結果
ユーザが設定したFQDNが引けるという仕組みになっている。

>>683
区別できればなんでもいい。
RFC2317 読め。

>>684
どうもありがとうございます。すっごくよくわかりました。
こちらではプロバイダから指定のあった逆引きゾーン名を設
定すれば良いと言う事ですね。
>>685
ありがとうございます。調べてみます。

クラスC未満のサブアロケーションの概念はわかったのですが、
ということは、ISPのDNS経由でないと、逆引きのテストは出来
ないと言う事でしょうか？

現在、まだISPに繋いでいないDNSサーバ上でクラスレスの逆引き
ゾーンを設定してhostやdigで逆引きできるかテストしてるので
すが、どうも失敗します。

ISPに繋がってしまえばこれらは解決されるものでしょうか？

>>687
ISP から権限を委譲してもらう必要がある。
ISP の DNS サーバで設定が必要、ちゅーこと。

>>688
ありがとうございます。

その辺りはわかったのですが、>>687で書いたように
nslookupやdigでテストも出来ないものでしょうか？

ISPから委譲されていると仮定して、そのISPにまだ
未接続の場合は、nslookup等で逆引きテストしても
駄目だということでしょうか？

すみません。689のFrom欄の「688」は「683」の間違えです。

>>689
どう設定したの?
「ISP に接続」ってどういう意味?

しくみがわかればテストできるかどうかわかりそうなもんだけど。

>>689
もう一つ。
どういうテストをしようとしてる?

>>689
nslookup や dig したとき、SUB8.23.168.192.in-addr.arpa がどのようにして
名前解決されるのかを順を追っていけば理解できると思うけど…。

>>693
その前の 9.23.168.192.in-addr.arpa. から追っかけると吉。

正引きと逆引きとでは見ているテーブルが違うだけで、名前解決のしかたは
同じというのに気づいていないのかも?

皆さんありがとうございます。
とりあえずやろうとしたテストは、
/etc/named.confに
zone "8.23.168.192.in-addr.arpa" IN {
type master;
file "db.8.23.168.192";
allow-update { none; };
};
などとして、

/var/named/db.8.23.168.192
に
10 IN PTR hoge.hogehoge.com
とかして

host 192.168.23.10 localhost

なんてしてみたところNGだったのですが、
とにかく、クラスレスのアドレスは直接
逆引き出来ないって事ですよね？

この場合だったら

192.168.23.0/24
の逆引きを設定してあるISPを通ってから
こちらのマシンに来るって事ですよね？

>>696
23.168.192.in-addr.arpa. ゾーンも設定すれ。

>>689
クラス C 未満の逆引きの場合に限り、ISP に未接続の時は動かない。
プロバイダが提供する CNAME を経由するからね。
>>697
実際の IP アドレスはプライベートアドレスじゃないんだから、
それやっちゃダメでしょ... て、そうでもないか。
でもテストにならんような気が。

>>698
ISP 側の設定の勉強になる。

>>698 もう一度良く考えたらやっぱりやっちゃダメだわ。
お隣さんのネームサーバの名前はワカランもの。

resolv.confにプライマリのローカルIPを書いてnslookupをすると
Non-existent host/domainと表示されてしまいますが、
どの設定ファイルを見直せばいいんでしょうか？

domain mydomain.or.jp
search mydomain.or.jp
nameserver 192.168.0.5
nameserver ***.***.***.***

あぼーん

>>701
nslookup でなく dig とか host とか使うとどうよ。

>>703
dig 192.168.0.5は問題なさそうですが、
host 192.168.0.5ではHost not found. となりました。

あぼーん

さっきから何があぼーんされてるの？

BIND8 から BIND9 に移行しました。
BIND8 では master server が slave server からの zone 転送要求を
拒否し slave 側の zone が expire 期間を過ぎてしまった場合でも
master server(プライマリ?) に問い合わせを出し名前解決が出来ていたのですが
BIND9 になってからは named.conf に slave の設定をしていた zone が
expire された場合 SERVER FAIL が返ってきてしまいます。
BIND8 の時の振る舞いにしたいのですが・・・
可能でしょうか？

>>706
コギャルとおマンコとかいうカスじゃネーノ？

>>701
192.168.0.5の逆引きを引けるようにしてみな

resolv.confを以下のようにするとエラーは出なくなりました。
nameserver 0.0.0.0
nameserver ***.***.***.***

192.168.0.5で逆引きしようとするとCan't findとなりますが、
どこがいけないんでしょうか？

ちなみに正引き、グローバルIPでの逆引きは出来ます。

>>710
> 192.168.0.5で逆引きしようとするとCan't findとなりますが、
メッセージは略さず書け。

> どこがいけないんでしょうか？
192.168.0.5 の逆引きができないのがいけないんでないの?

>>710
それで解決と思ってるん?

つかameserver 0.0.0.0に指定して意味あんのかいな? >識者求む

>>712
localhost でまともなネームサーバが動いてれば意味がある。

>>713
ｻﾝｸｽｺ

>>701
nslookupだと聞きに行った先のIPを逆引きするはずだから
引けなけりゃ>>701のメッセージが出るはず。
それが嫌なら、192.168.0.5を逆引きできるように
するかメッセージをシカトしなされ >>701

digかhost使ってりゃ気にならない話かもしれん。

DNSサーバーの正引きで
「 IN A 127.0.0.1」と書いた場合は、
別のファイルでlocalhostの正引きは行わなくてもいいの？

>>715
どういう意味？

うーんと、hogehoge.co.jp.zone　とかのファイルに

　　 IN　　NS　　ns1.hogehoge.co.jp.
　　 IN　　NS　　ns2.hogehoge.co.jp.
　　 IN　　PTR　ns1.hogehoge.co.jp.
localhost IN A 127.0.0.1

なんて書いてある場合です。
このファイルとは別に正引きのlocalhost.zoneを
作ってこんな感じで書いてますけど、これって余計ですか？

IN NS ns1.hogehoge.co.jp.
IN A 127.0.0.1

>>717
> localhost IN A 127.0.0.1
この "localhost" の後に何が省略されてるかはわかる?

>>718
.hogehoge.co.jp.ですかね？
ということは、localhost.zoneは余計ではないっすね。

>>719
余計ではないっつーか、別なレコード、だね。

でも、hogehoge.co.jp.zone の方のはなくてもいいと思う。
locahost の解決くらい local でやってほしい。

>>720
なるほど勉強になりました。どうもです。

>>671
大当たりでした。プロバイダから
そのまんまの答えが返ってきて、それで一撃解決ですた。

777円とか999円でOKらしいです。教材原稿ファイル。

BINDとか。セカンダリ構築も載ってる。

http://page5.auctions.yahoo.co.jp/jp/auction/e14467052
http://page5.auctions.yahoo.co.jp/jp/auction/e11886947

BIND 9.2 のドキュメント、何処かにないでしょうか？

現在、8.3.1(たぶん)を動作させています。
新しいマシンに9.2を導入して、8.3.1のnamed関係のファイル一式
を移植して動かそうとしたのですが、動作しません。

8.3.1のときは /usr/sbin/named /etc/named.conf で起動したのですが
-cを入れるようになったようで、更に、named.confにエラーがあると出ます。

8のconfでは動かないのでしょうか？

>>724

あ、一応、ぐぐって、
ttp://www.aso.ecei.tohoku.ac.jp/~dais/misc/migration.html
とかは調べたんですよ。

ただ、聞いてる限りじゃ、8のnamed.conと互換あると思ってたんで‥‥

>>724
> BIND 9.2 のドキュメント、何処かにないでしょうか？
http://www.nominum.com/resources/documentation/Bv9ARM.pdf

> ただ、聞いてる限りじゃ、8のnamed.conと互換あると思ってたんで‥‥
少なくとも、全く書き換えないで問題ないという意味ではないな。

BIND9.×でAレコードやCNAMEレコードを利用したラウンドロビンって
使用できるのでしょうか？設定してもnslookupで検索したとき、
NXDOMAINがらみのエラーでおこられちゃいます。

BIND9.2.1をportsから導入したのですが、named.pidが/etc/namedbや/var/runにも
入っていません。
どこに行ったのでしょうか？

>>728
BINDが走り出したら自動的に作られます。
ゆか、普通の.pidってそうでしょ ?

#そんなんでDNSあげるつもりですか ?

逆引き用ゾーンファイルにも
MXのエントリっているんですか ?

>>730
いらないでしょ。

要るかボケッ

DNSリゾルバのセキュリティホールが数ヶ月前発見されましたが1点質問させて下さい。
私の使っているDNSサーバはforward専門のDNSサーバなのですが、bind8.2.6のDNS
サーバにのみforwardersを向けている場合、リゾルバのセキュリティホールの影響
を受ける可能性がありますか？私の使っているDNSはSolaris7,bind8.2.5です

>>733
影響を受ける可能性あるでしょ。

>>731-732
> 10.2.0.192.in-addr.arpa IN A 192.0.2.10
> IN PTR 10.2.0.192.in-addr.arpa.
> MX 10 10.2.0.192.in-addr.arpa.
みたいなことしちゃダメですか?

>>735

やってもいいが（やれるとして）何が嬉しいのだ?
逆引きのMX引くなんざ、基地害の作るMTA
以外あり得んな

>735
ちゃんとAレコードも作りましょう。(w

>>737
一番最初についてる。
# 最初の arpa にピリオドが付いてないが

>>733
CERTのadvisoryが更新されてるみたいよ。
ttp://www.cert.org/advisories/CA-2002-19.html
「DNS応答を再構成するDNSサーバをローカルなキャッシュにしても防ぎきれない」
ってことだけど、具体的な例は書いてないみたい。

ねぇ、あるISPにセカンダリーDNS依頼するとさ、
プライマリーが動作しているかどうか調査するのに、
nslookup www.yahoo.co.jp プライマリーDNS
とか
nslookup 割り当てられたIP プライマリーDNS
とかやってくるんだけど、どうよ？

どうよ？って、どうよ？(意味不明

まぁそのISPに何をしたいのか聞いてみればいいじゃん。
その答え如何によって解約するなり好きにすればいい。
はっきり言って、第一種通信事業者だろうが何だろうが、バカはどこにでもいるしな。

会社で管理してるDNSのログに、denied update....とでます。WEBで調べたら、
WIN2000端末の中の”ローカルエリア接続のプロパティ”の中の、”この接続ア
ドレスをDNSに登録する”のチェックを外すと出なくなるとなっていたので、早速
試しましたがまだ、出ています。調べたところ、DHCPサーバから出ているようです。
DHCPサーバの設定でどこかいじるところはありますか？（denied updateがログに
出ないようにする為に）教えてください。

dnsやdhcpサーバに何を使ってるのか不明じゃ答えようがないな。
つーか、Win板へ行ったら？

>1
正に（言葉の）魔術師の溜まり場だね。

バッタ本の4版の1刷って誤植酷くない？
金が無くて8月にやっと買えて、最近やっと読み始められてるんだけど。

p100 hostname 付近
p132 sortlist 付近
p151 RES_TIMEOUT 付近
p180 シリアル番号 付近

オライリージャパンのサイトに正誤表があるって言いつつ見当たらなく。
本家の原本の errata を見ろてことですか？
結局3版と見比べながら読んでるんですが。
なんか気になっちゃってさぁ。
2(or later)刷はちゃんとしてるのかな？

>>745
うん、誤植多い＆酷いね。

>>742
ServiceのDHCP ClientをDisableじゃなかったっけ。

>747
ハァ？　DNSだろ。

0.0.127.IN-ADDR.ARPAにもドメイン書く部分があるけどダイヤルアップユーザーは何書けばいいの？
変なこと書いて内部の問い合わせが外部にいっちゃったりしたら恥ずかしいので教えてage

>>749
1.0.0.127.in-addr.arpa IN ptr localhost.
じゃだめ？

ヴァーチャルホストを設定したんですけど
何日経ってもプロバイダによっては繋げない、Macで繋がるのにWinでは
繋がらないなどの状態が続いています。
hoge-hoge.hogehoge.co.jp　のような感じにしていますが
ハイフンは使わない方が良いんでしょうか？
原因として考えられることを教えてください。

>>751
自分で切り分けしろよ。

>>752
知らないなら口を挟まないでね。

違うだろ。君の台詞は
知っていたのなら、どうして教えてくれなかったのですか？
知っていたのなら、どうして教えてくれなかったのですか？
知っていたのなら、どうして教えてくれなかったのですか？
知っていたのなら、どうして教えてくれなかったのですか？
知っていたのなら、どうして教えてくれなかったのですか？
知っていたのなら、どうして教えてくれなかったのですか？
知っていたのなら、どうして教えてくれなかったのですか？
知っていたのなら、どうして教えてくれなかったのですか？
だ。タイミングが重要だ。グッドラック。

いまBIND for NT 4.9.7の設定をしているのですが、
ドメイン名(xxxxx.com)だけで解決できるように設定するには、
どのように書けばいいのでしょうか？
www.xxxxx.comであれば、名前解決できるところまではなんとかできたんですが...

>>755
A レコードを作ればいい。

速レス感謝。
一瞬、あそうか！と思いました。
でもそれやったら xxxxx.xxxxx.com ってなっちゃいました。
もう少しいじってみます...

@ IN A xxx.xxx.xxx.xxx
で出来ました。ありがとう。

正引きDNSなんですが
NICの情報以外に
プライマリDNSのDBの中にも
セカンダリDNSのアドレスを書くべきなのでしょうか？

書いてあるサイトと書いてないサイトがあったんで^^;

>>759
質問をもうちょっと正確に記述してみ。

NIC Host Name Serviceって止められないの？
起動して今まで使われた事がないんだけど。

>>761
それってbindに関係あるの？

>>761
ってゆ〜か、それ何？

>>762-763
bindが ポート101を開いてるやつです。使わない機能は殺したいんで

副問い合わせも含めた問い合わせ頻度の推移を調べたいんですが
bindのログアナライザってありますか？

dispatch 56a3d0: shutting down due to TCP receive error: connection reset
最近複数のホストのBINDがこんなメッセージを吐くんだけど、これ何?
問合せ先のネームサーバが変な応答をしているらしいのだけど、
そのサーバの単なる設定ミスか? それとも何かの攻撃か?
実害はないみたいなんだけどメッセージの量が多いのでけっこうウザイ。

>>766
とりあえず、ソース読んで該当箇所を確認しれ。

>>767
見たんだけど残念ながらサッパリ分からなかったんだよね。
エラーメッセージをgoogleで検索しても全然ひっかからないし。

>>766

OSとBIND version晒せ

>>769
OSはWindowsNT4.0で、BINDは4.9.5だが。調査よろしくな。

Windows2000は127.0.0.1をDNSアドレスとしてとして指定できない。

バーチャルホストに関する質問です。
1つのIPで複数のドメインとWebサイト(apache)を管理する時は

host1.inu.comINA100.100.100.100
wwwINCNAMEhost1
ftpINCNAMEhost1

host1.neko.comINA100.100.100.100
wwwINCNAMEhost1
ftpINCNAMEhost1
でいいんですよね？

ここに、さらにドメイン名だけでアクセスしたい時ってどうした
らいいんでしょう？
Aで追加すると
@INA100.100.100.100
IPが1つですからapacheのVirtualHostのとこに2つ書かないとだめ
ですよね？

かといってCNAMEにすると
@INCNAMEhost1
なぜかうまく名前を引いてくれないんですが・・・
@をAにするべきなのかな？
うちはこうやってるよ〜ん、ってなやつを教えていただけないでし
ょうか？
FreeBSD4.3+BIND8.3.3です。

ヒィー！TAB入れちったぁ。長いんですがもう一度。ｽﾏｿｽﾏｿｽﾏｿ

バーチャルホストに関する質問です。
1つのIPで複数のドメインとWebサイト(apache)を管理する時は

host1.inu.com　　IN　　A　　100.100.100.100
www　　　　IN　　CNAME　　host1
ftp　　　　IN　　CNAME　　host1

host1.neko.com　　IN　　A　　100.100.100.100
www　　　　IN　　CNAME　　host1
ftp　　　　IN　　CNAME　　host1
でいいんですよね？

ここに、さらにドメイン名だけでアクセスしたい時ってどうした
らいいんでしょう？
Aで追加すると
@　　　　IN　　A　　100.100.100.100
IPが1つですからapacheのVirtualHostのとこに2つ書かないとだめ
ですよね？

かといってCNAMEにすると
@　　　　IN　　CNAME　　host1
なぜかうまく名前を引いてくれないんですが・・・
@をAにするべきなのかな？
うちはこうやってるよ〜ん、ってなやつを教えていただけないでし
ょうか？
FreeBSD4.3+BIND8.3.3です。

>>773
> www　　　　IN　　CNAME　　host1
> ftp　　　　IN　　CNAME　　host1
> でいいんですよね？
CNAME 使う必要ある?
直接 A でいいんでない?

> @　　　　IN　　CNAME　　host1
これがあると、他の @ のエントリがすべて無視される。
A 使え。
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/rfc1912j.html#cname

>>774
どうもです。CNAMEにしたのは
http://www.atmarkit.co.jp/flinux/rensai/apache08/apache08b.html
>IPベースの場合は、Aレコードで各ホストとIPアドレスの対応をDNSに
>登録していた。しかし、NAMEベースの場合はIPアドレスが1つしかない
>ため、Aレコードで登録することはできない。NAMEベースでは、1ホス
>ト分のみAレコードで登録し、残りのホストはCNAMEレコードで別名定
>義する。
>www　　IN　　A　　172.16.1.11
>linux　　IN　　CNAME　　www　　と記述する。
にならってCNAMEにしました。NAMEベースのVirtualHostを構築するとい
う前提です。apache自体もゴチャゴチャしてきちゃって、BINDがイカン
のかapacheがイカンのか・・・
とりあえずAにして色々やってみます。

>>775
嘘を嘘と見抜ける人でないと
(@|丁 を利用するのは) 難しい。

>>776
え・・・？ｳｿなん？
てこた@　IN　A　100.100.100.100とかでいいのかな？
自分でやれって話ですよね。すんません。
とりあえず試してみます。

・・・で、ｳｿなんすかね？

>>777
できるよ。
2ch.net. がそうじゃん。
nslookup -q=a 2ch.net.
で IP アドレスひけるけど
nslookup -q=cname 2ch.net.
で CNAME レコード出てこないでしょ?

おおなるほど。そういやそうですね。もう一つ質問させて下さいね。
たしかにwww.2ch.netでも2ch.netでも繋がりますが、ここは同じ鯖で別の
ドメインを動かしてないですよね。（憶測ですけど）

で、聞きたいのはですね。 例えば2ちゃんと同じ鯖（IP1つ）で200ch.netを
運営してるとします。
IPが一つですからNAMEベースのVirtualHostでやることになるはずですね。
てことはホスト名でブラウザとapacheがやりとりすることなるんですよね？
まずこの認識はあってますかね？

でもって200ch.netは
@　IN　A　100.100.100.100 ＜200ch.netのIP
で、apacheが
NameVirtualHost 100.100.100.100
<VirtualHost 100.100.100.100>
ServerName www.200ch.net
</VirtualHost>

ってな感じで設定されてるとした時、ブラウザから「http://200ch.net/」
でイケるはずですか？
結局ココでこれじゃ無理だなーと思って @を
@　IN　CNAME　www
としたら >>774 さんにそれじゃダメよって教えてもらいました。
どーもapacheがイカンのかBINDがイカンのかごっちゃごちゃになって・・・
何回もスイマセン。

>>779
> てことはホスト名でブラウザとapacheがやりとりすることなるんですよね？
> まずこの認識はあってますかね？
ちょっと不正確。

手順としては、
1. クライアントが DNS で A レコードをひいて
サーバの IP アドレスを調べる。
2. その IP アドレスの 80/tcp ポートにコネクションを張る。
3. クライアントが HTTP をしゃべって サーバに「××をくれ」と言う。
4. サーバがコンテンツを送る。
でしょ?

1. の時点で DNS の役目は終わり。
3. のときにクライアントがサーバに
どのホストのコンテンツがほしいかを伝えんのよ。
HTTP ヘッダ中の Host: 行で。

> ってな感じで設定されてるとした時、ブラウザから「http://200ch.net/」
> でイケるはずですか？
イケるはず。

おおお。なるほどーなるほどーー。素晴らしい説明ありがとうございます。
メチャクチャわかりやすいっす。とりあえず試してみますね。
お世話になりました。

何かあればまた戻ってくるかもです〜

Serial上げすぎてしまいました。
下げることはできないようなのですが
どのようにすればいいのでしょうか？
Serial 2002102400というところを20020102400としてしまいました。
Serialが何桁まで大丈夫なのか分からないですし
2002102401などに戻したいです。
やり方教えてくださいおねがいします。

>>782
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/rfc1912j.html#soa
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/rfc1912j.html#serial

Thanx!!!!

あ、でもよく読んだところ
4294967296 を減じてくださいとあるのですが
引いたところでまだ11桁です。どうすればよろしいのでしょうか？？？

>>785
ちゃんと読め。

なんで 4294967296 なのか少しは考えろ

16進で100000000とか関係ありますか？
うわーんわからないよぉ

>>788
シリアルは32bit intで扱われているから、
その、間違って設定した 20020102400 は、そのままじゃなくて
32bit int の剰余を取ってセカンダリに伝播したはず。

すいません。上の方でお世話になった772です。
どーしてもダメなんですよ。もう一回質問させてください。
abc.comとefg.comを動かしていて、下記のように設定してます。

NameVirtualHost 192.168.1.1
<VirtualHost 192.168.1.1>
ServerName www.abc.com
</VirtualHost>
<VirtualHost 192.168.1.1>
ServerName www.efg.com
</VirtualHost>

abc.comの方はバーチャルじゃないホスト名（言い方がわからん）と
一緒で、普通にabc.comでもwww.abc.comでも繋がります。
問題のefg.comの方は ServerNameに 書いてある方（上記の場合だと
www.efg.com）でないと繋がらないんです・・・
efg.comを指定するとabc.comのページが見えちゃうんですよね。
もちろんServerNameにefg.comを指定すると繋がります。そうすると
www.efg.comでabc.comのページが表示されて・・・

abc.com、efg.com両方とも各ゾーンファイルでこんな感じで設定します。
@　　　IN　　　A　　　192.168.1.1
www　　IN　　　A　　　192.168.1.1

考えられる原因としては何があるのでしょう？
まずBINDなのかapacheなのか切り分けたいのですが。
ローカルで動かしてるとダメ、とかそういう別のところが悪いのかもし
れないですよねぇ？んなことない？

>>790
| まずBINDなのかapacheなのか切り分けたいのですが。

Apacheです。

ｷﾀ━━━━━━━━━━━━(ﾟ∀ﾟ)━━━━━━━━━━━━━━━━ｯ!!
>>791
どーもどーもどーもどーも。Apacheといわれて探してみたら見つけました。
ServerAlias efg.com www.efg.com
として解決しました。いやー胸のつかえが取れましたよ。
ｵﾅｰﾆして寝ます。

http://www.root-servers.org

RFC1918 Servers -- the AS112 Project
Because most answers generated by the Internet's root name server system are negative,
and many of those negative answers are in response to PTR queries for RFC1918 and other
ambiguous addresses, as follows:

インターネットの ROOT サーバによって生成される回答の殆どは失敗である。
さらにそれらの否定応答のうちの多くは以下に示すような RFC1918 のための
PTR クエリや他の間違ったアドレスである。

キャッシュサイズとかを指定したい場合 named.confになんて書けばいいの？

おいお前ら、root cache が更新されましたよ。

dig @a.root-servers.net. ns . > root.cache

それを言うなら"dig @a.root-servers.net . ns > root.cache"ではないかと小一時間…

あとBINDの再起動も忘れずにな。

-J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30
+J.ROOT-SERVERS.NET. 3600000 A 198.41.0.10

>>797
逆だろボケッ！

>799
本来>797が正しいが、実はどっちでも動く罠。
根拠もなく罵倒しなさんな。
ttp://www.linux.or.jp/JM/html/bind/man1/dig.1.html

なんで signature が bad になるんだよー。。。

板&ｽﾚ違いかもしれないけど・・・。

Windows 2000 の Active Directory と BIND を連携して運用したいのですが、
SRV レコードの書き方がよく判りません。

Windows NT までは、ブロードキャストでクライアントがドメインコントローラを
探していたと思うんですが、Windows 2000 ネイティブの運用（Active Directory）
だと、DNS を使うはずです。
SRV レコードが必須なのは、たぶんそれでクライアントがドメインコントローラを
探すためだと思って、ここでお伺いしているのです（ちなみに現在、設定がまずい
せいか、Windows 2000 クライアントからも NetBIOS 名でしかドメイン名が認識
できません）。

BIND の専門書を読むと、確かに SRV レコードの構文は載っていますが、
Windows 2000 との連携となると、これといったリファレンスとなるような
情報を探すことができませんでした。

たとえば、hoge.local というローカルドメインで Windows 2000 Active Directory
ドメインを構築したい場合、どのように BIND の SRV レコードを記述すればよいの
でしょうか？
ドメインコントローラは 192.168.0.1/24 とします。

active directory dns でサーチかけりゃ
ttp://www.zdnet.co.jp/help/howto/win/win2000/0007special/dns/index.html
とか参考になるところはあるわけだが・・・
あとW2KServerのリソースキットを掘っていくとか

>>803

どうもありがとう。
そのサイト、会社のレーザープリンターで全ページ印刷したよ (w

心底愛せる人がいるのであればもう何もいらない！
人生の答えが見つかったも同然である
http://www.tyousa.com

Multiple Remote Vulnerabilities in BIND4 and BIND8
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469

RedHat的には9.x移行ｼﾙ!ってことかいな
http://lwn.net/Articles/15328/

>>807
っていうかISC的にね。

だれか806のセキュリティーホール調べた人います？
英語を読んでみると、namedの実行権限とられちゃうみたいなんだけど・・・
9.xに移行しないとまずいかな？

8と9ってなにが違うんだっけ？
設定ファイルの書き方も変えなきゃいけない？

いつパッチ出るんだよぅ。

>>810
view使わないなら大して変わらない
ガチンコBIND道読もう
http://www.cymru.com/Documents/secure-bind-template.html

>>810

「BIND 8 から BIND 9 への移行についてのノート」
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/migration.html

>>812,813

ありがとぅー

9.xは8.xだとデフォルトで1時間おきに出る
ステータスログが出ないんでちと寂しい
でも、9.xはchrootし易くなったよね

>>806
こんなんしとけばオッケーかな?

options {
recursion no;
allow-recursion {
xx.xx.xx.xx/xx;
xx.xx.xx.xx/xx;
xx.xx.xx.xx/xx;
};
};

>>806の日本語版
http://www.isskk.co.jp/support/techinfo/general/BIND4and8_xforce.html

>>816
そのアクセスリストは何のため？
recursion no;が利いて再帰的問合せは出来ないだろうし

ていうか、いまだにbind4系使ってる俺って、、、

俺も bind-4.9.x だよ。
bind-4.9.11 に上げればいいのでしょうか？
まあ、たいしたことないと思ってますが・・

>>819
bind4系統使っているけど、今までサイトを改竄されたことも無ければ、
このままで良いかなと思ってます。

ベンダーからのパッチも当ててますし。

bind9系に以降する理由がありません。
IPv6も4系で対応済みですしね。

パッチｷﾀｷﾀｷﾀｷﾀ━━━(ﾟ∀ﾟ≡(ﾟ∀ﾟ≡ﾟ∀ﾟ)≡ﾟ∀ﾟ)━━━━!!!!!!!!!!
http://www.isc.org/products/BIND/patches/

8.3.3-REL改 完了

CERT VUｷｷﾀ━━━(ﾟ∀ﾟ)━━━!!

http://www.kb.cert.org/vuls/id/581682
http://www.kb.cert.org/vuls/id/844360
http://www.kb.cert.org/vuls/id/852283
http://www.kb.cert.org/vuls/id/229595

CERT Advisoriesﾏﾀﾞｰ?

>>823
出てますが何か？
http://www.cert.org/advisories/CA-2002-31.html

>>824
彼女いますか?