1read 100read
2011年10月1期自宅サーバ【設定面倒】BIND 総合スレッド【DNS】
TOP カテ一覧 スレ一覧 削除依頼 ▼
・ 次のスレ
太陽電池で鯖稼動させたい ただの掲示板と画像掲示板だったらどっちが良い? 「smtpサーバ」不正中継されてます! 宅鯖の設置場所
【設定面倒】BIND 総合スレッド【DNS】
1 :09/11/19 〜 最終レス :11/12/18 無かったから建てた。 正直webminすごく助かる
2 : BIND9に脆弱性が見つかったぞ。 http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html
3 : >>2 いつの話だよ。
4 : BIND9ってopensslを必要とするよね。 ./configure --with-openssl=/usr/local/ssl みたいな感じで。 DNSSECを使わない場合もopensslって必要なん?
5 : >3 失礼。日付を確認してなかった。 jprsのホームページにデカデカと出ていたから勘違いしたよ。
6 : 内部用DNSの設定について質問です。 Value-domainでドメイン名を登録して、DDNSで自宅サーバ(ubuntu 9.10)を立てました。 LAN内からWebサーバへアクセスするとき、 (1) ドメイン(hoge.net)でアクセスすると、Webサイトのトップページが見えます。 (2) サブドメイン(sub.hoge.net)でアクセスすると、ルーターの設定画面が出てきます。 ググったら、LAN内でWebサーバにアクセスする場合、内部用DNSを用意すればイイことまで分かりました。 ubuntu bind9 自宅サーバ 内部用 設定 の検索結果 約 2,300 件 ttp://www.miloweb.net/bind.html ttp://hyamada.ddo.jp/hiki/hiki.cgi?bind9 ↑検索で出てきた説明を基に設定しようと思いましたが、どこをいじるのかまだよく分かりません。 内部用DNSの設定をご指導ください。よろしくお願いします。
7 : DNSの本について DNS、特にBINDについてお勧めの本があればご紹介ください。 Amazon.co.jpでDNS、BINDの本を探したら、 オライリーの「DNS & BIND 第5版」が定番のようですが、これを読破するのはちとしんどいです。(2、3日じゃ読めない?)>< ttp://www.amazon.co.jp/dp/4873113903 BIND9によるDNSサーバ構築 ttp://www.amazon.co.jp/dp/477412947X ↑これ読めば、自宅サーバの内部用DNSを作れるでしょうか? アドバイスよろしくお願いいたします。
8 : マニュアルを読む。 解説サイトを読む。 キャッシュと内向けだけならそれで十分。 汚染が怖いならキャッシュもなくす。あとはプロバイダのDNSに任せる。
9 : 設定なんでググればいくらでも出てくるだろ BINDは最新使えよ
10 : bindに関しては、googleはおすすめできない。 いいかげんな知識でほんとにそれでいいのかよくわかってないけど なんとなく動いてるみたいだからそれでいいや、 てな人間が書いたものばっかりひっかかる。
11 : 図書館にDNS&BINDの第4版があったので借りてきました!
12 : >>10 知ったかぶりだけじゃなくていいところと悪いところのURLを書いてみたらどうだい? 自鯖で優越感浸るほどの設定なんて必要ないだろうし、どうせなら自慢の自分の設定さらしてみたら?
13 : BINDってすごいよね〜 セキュリティ的な云々だから〜 なんて手前味噌な都合でchrootみたいな非構造的でユーザビリティとは乖離しきった実装が許されちゃうんだもんね〜 すごいよ。さすが。
14 : しかし初心者にオライリーを勧めるのはちょっとなぁ。 セキュリティー的には /etc/named.conf に allow-recursion を入れることが重要。
15 : これをベースにちょっと書き換えてやればいいだけじゃないの? ttp://www.cymru.com/Documents/secure-bind-template.html
16 : >>10 っせえ 黙ってろ
17 : とりあえず共有からもってた独自ドメインを自鯖のDNSにうつしたんだけど、 指定事業者の設定でネームサーバの指定をしました。 んで、BINDでバーチャルホストの設定をしたんだわさ。 質問なんだけど、よく変更したら24〜72時間くらいは待てよっていうのは ネームサーバの変更から?それとも自分がたてたDNSサーバを変更してから? 理屈で考えると、自分のDNSサーバの設定を変更したら、その変更が世界に回るまでに 時間がかかるから、設定をなおしたと思ってもしばらくは意図しない表示になるってことだよね? 家にあるPC数台、どれも表示が違うし、digでwwwつけるのとつけないので 返ってくるIPが違うし(一つは今のIP、もうひとつは共有鯖だったときのIP)
18 : 買いました。 このスレの煽りの真偽に興味シンシンです
19 : SRVレコードの動作をチェックする方法ってありますか?
20 : >>19 ?
21 : BIND 9 の DNSSEC 検証コードに脆弱性 これって https://jvn.jp/cert/JVNVU360341/index.html DNSSECを使ってなければ、関係ないの? 使ってなくても関係あるの? こういう所の報告って 前提条件とかがよくわからない
22 : つかDNSSEC自体がよくわからん
23 : すいません、質問です マスター側の/etc/named.confてスレーブ側に同期されますか? 例えばhoge.comを運用しているbindだとして、a.hoge.comのサブドメインを追加する場合は マスターとスレーブの/etc/named.confを変更して、さらにa.hoge.com.zoneファイルなんか を用意する必要があるという事でしょうか? よろしくお願いいたします。
24 : >>23 当然です 楽したければ同期したい部分を別ファイルに切りだして rsyncするのも手だよ。(ゾーンファイルもな)
25 : >>23 スマソ、一部見過ごしてたよ サブドメインのゾーンファイルをわけなければスレーブ側は何もする必要はない。
26 : >>19 遅れてすいません. DNSがWindowsの場合はよく知りませんが UNIX系のBINDでSIPで使う TLSのサービスを聞く場合を書きます. 以下の様にすればどうでしょうか? 以下のようなコマンドを投入します これは,SIPのTLSは何処に(A:IP)張ればっていうアプリからDNSに 聴かれるものです. dig @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE.CO.JP 投入コマンドのエコー部分 ; <<>> DiG 9.3.5 <<>> @DNSのIPアドレス -t SRV _sipinternaltls._tcp.EXAMPLE.CO.JP. ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32608 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4 #結果はエラーがなくて 問い合わせ1レコード 解答1レコード DNSのAUTHが3レコード 付加情報が4レコード ;; QUESTION SECTION: DNSが聴いた問い合わせ ;_sipinternaltls._tcp.EXAMPLE.CO.JP. IN SRV ;; ANSWER SECTION: DNSからの返答 _sipinternaltls._tcp.EXAMPLE.CO.JP. 300 IN SRV 0 0 5061 SIP.EXAMPLE.CO.JP. ;; AUTHORITY SECTION: EXAMPLE.CO.JP. 300 IN NS NS2.EXAMPLE.CO.JP. 省略 ;; ADDITIONAL SECTION: SIP.EXAMPLE.CO.JP. 300 IN A SIPのIP NS1.EXAMPLE.CO.JP. 300 IN A DNSのIPアドレス 省略 ;; Query time: 62 msec ;; SERVER: DNSのIPアドレス(DNSのIPアドレス) ;; WHEN: Sun Feb 21 11:08:45 2010 ;; MSG SIZE rcvd: 219
27 : >>21 DNSSEC 検証コードに脆弱性 とありますので,DNSSECを使わなければ この*問題*はOKのようですが,これ以外に沢山あるようです. https://www.isc.org/software/bind/security/matrix ごらんください 2ちゃんねる攻撃もDNSをDDoSされ毒入れをされたと聴いています. BINDは最新にってことでしょうか?
28 : >>27 毒入れはキャッシュサーバにしかできない
29 : >>28 maido3はプロバイダーだよね キャッシュサーバ無いの?
30 : >>29 仮にあったとしても関係ない よーく考えよう
31 : >>30 http://www.your.org/dnscache/djbdns.pdf をみたけど DJBDNSってまじめだとわかった。 またなぜmaido3がDNSSECをしていないかの理由もわかったきがする でもプロバイダって厳しい仕事だね
32 : >>28 キャッシュサーバポイズニングはキャッシュサーバだけだね 当たり前だけど
33 : 自前でDNS立てたんだけど ドメイン名は引けるけど digとかで見たら逆引きができません 利用するネームサーバを自前のものに指定して引くと 正・逆共に正しく引けます 広まるまで時間がかかるのかな?とおもって既に3カ月 そんなもの?
34 : dig +trace
35 : 大抵はほぼリアルタイムで反映されるはず。 ゾーン名が間違ってるか、ミスで権限委譲されていないのいずれかだと思う。 ゾーン名の記述はISPによって違うので注意。
36 : >>34-35 ありがとう御座います dig +traceで見てみたら順番に下がってきて ISPのセカンダリーが先に出てきて 最終的に自信はReceivedに出ていませんでした ただ、DNS自信のIPを逆引きしたらちゃんと引けて出ました(IPは8つです) >>35 の言うようにゾーン名が変だと思いISPの情報を色々と物色してみると(ISPはOCN) こんなのを見つけました ttp://www.ocn.ad.jp/tw/dns_02.html 中には # // ネットワークアドレス全て(4オクテット)を使ってゾーン名を設定します. # zone "32.69.168.192.in-addr.arpa" in { とあるんですが、 うちは zone "69.168.192.in-addr.arpa" in { となっていました、 ISPに出ているように zone "32.69.168.192.in-addr.arpa" in { に変更して dig @localhost で調べると 今度は自信の 32.69.168.192 以外が引けて 32.69.168.192 が引けなくなりました(契約はIP8) 色々と調べながら1時間ほどして 別のISPから当該DNSで管理しているメールサーバーのメールアドレスへ メールしてみたら全く届かなくなっていたので これはヤバイ!と思い取りあえず元に戻して寝ました(笑) (元に戻したおかげで今は正常に届いています) 昼間は流石に触るのが怖いんで週末の夜中にこっそり続きやります
37 : >>36 ゾーンファイルの中身はどうなってるの?
38 : こんな感じです $TTL 86400 @ IN SOA ns.example.com. postmaster.example.com. ( 1 ; Serial 10800 ; Refresh after 3 Hours 3600 ; Retry after 1 Hour 604800 ; Expire after 1 Week 86400 ) ; Minimum TTL of 1 Day ; IN NS ns.example.com. ; Hosts 34 IN PTR ns.example.com. 35 IN PTR host1.example2.com. 36 IN PTR host1.example3.com. 37 IN PTR host1.example4.com. 38 IN PTR host1.example5.com.
39 : 因みに ■googleのDNS指定して逆引き したら ; <<>> DiG 9.5.0-P2.1 <<>> @8.8.8.8 -x 192.168.69.35 ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3410 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;35.69.168.192.in-addr.arpa. IN PTR ;; ANSWER SECTION: 35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa. ;; AUTHORITY SECTION: 69.168.192.in-addr.arpa. 3600 IN SOA ns.example.com. postmaster.example.com. 2010042341 3600 900 3600000 3600 ■ dig +trace @8.8.8.8 -x 192.168.69.35 だと ; <<>> DiG 9.5.0-P2.1 <<>> +trace @8.8.8.8 -x 192.168.69.35 ; (1 server found) ;; global options: printcmd . 2625 IN NS l.root-servers.net. (省略) . 2625 IN NS d.root-servers.net. ;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 54 ms 192.in-addr.arpa. 86400 IN NS NS4.APNIC.NET. 192.in-addr.arpa. 86400 IN NS NS3.APNIC.NET. 192.in-addr.arpa. 86400 IN NS NS-SEC.RIPE.NET. 192.in-addr.arpa. 86400 IN NS NS1.APNIC.NET. 192.in-addr.arpa. 86400 IN NS TINNIE.ARIN.NET. ;; Received 159 bytes from 128.8.10.90#53(d.root-servers.net) in 237 ms ;; connection timed out; no servers could be reached
40 : >>39 35.69.168.192.in-addr.arpa. 86400 IN CNAME 65.64.229.44.218.in-addr.arpa. 訂正 35.69.168.192.in-addr.arpa. 86400 IN CNAME 35.69.168.192.in-addr.arpa. ですw
41 : ■ローカルホストで試すと dig -trace @localhost -x 192.168.69.35 ;; Warning, ignoring invalid type race ; <<>> DiG 9.5.0-P2.1 <<>> -trace @localhost -x 192.168.69.35 ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26998 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;35.69.168.192.in-addr.arpa. IN PTR ;; ANSWER SECTION: 35.69.168.192.in-addr.arpa. 3600 IN PTR host1.example2.com. ;; AUTHORITY SECTION: 69.168.192.in-addr.arpa. 3600 IN NS ns.example.com. ;; ADDITIONAL SECTION: ns.example.com. 3600 IN A 192.168.69.34 今気がついたんですけど、1行目の ;; Warning, ignoring invalid type race ってのは・・・何かダメってことでしょうか
42 : >>38 zone "32.69.168.192.in-addr.arpa" が正解だよ。 192.168.69.32の逆引きを設定したいのならば、ゾーンファイルに @ IN PTR test.example.com. を追加しとけばよい ってか、ネットワークアドレスの 32 をホストで使用してるの?
43 : >>42 >ってか、ネットワークアドレスの 32 をホストで使用してるの? 私も引き継いだ時にそうなっちゃってたんで そのまんまなんですが やっぱり不味いですよねぇ そもそもIPアドレスベースで他で設定してあるものもあるらしく 勝手に変更するとPC側の設定でえらい事になりそうで 踏み出せずにいます
44 : >>42 確かに、@ IN PTR test.example.com. で ローカルでは32も引けるようになりました、たぶん大丈夫な気がします ありがとう御座いました!! ご指摘のようにネットワークアドレスのIPの事を考えると鬱になるんですけどねぇ… 元々の間違いの始まりはドメイン申請の時にNの営業さんが手配してたらしいんですけど こんな設定にしてる為に凄く困ってることが他にもあるんですが、スレ違いなんでいいです(笑)
45 : >>43 ルータによっては制約があるかもしれませんが、ネットワークアドレスや ブロードキャストアドレスもNAT用であれば活用可能です。 混乱の元なのでアドレス足りてるなら使わないほうがよいですが。
46 : DNSを変更した時に世界中で反映される時間とかかかれてますが、利用者が利用者のDNSに参照に行った時に キャッシュの情報が古い場合だけ設定元のDNS情報を参照しに行くと考えてOKでしょうか。 だとすれば、どこのアドレスからの参照で何時どのドメインを引いたか知りたいのですがログに残せないものでしょうか
47 : >>46 利用者側の情報は設定された時間を経過すると消去されるので 再度設定元に問い合わせに行く。 ログは簡単に取れるよ。 ttp://www.atmarkit.co.jp/flinux/rensai/bind910/bind910a.html
48 : ログとれたサンクス
49 : 自鯖のDNSにnslookupするとサーバ名がIPアドレスになってしまいます。 これをサーバ名にするにはなにを修正すればいいのでしょうか? 教えて、エロい人! > google.com Server: 127.0.0.1 ←これをlocalhostしたい Address: 127.0.0.1#53 Non-authoritative answer: Name: google.com Address: 66.249.89.104 Name: google.com Address: 66.249.89.99
50 : nslookup 使うな。
51 : >>49 $ nslookup - localhost > google.com Server: localhost Address: 127.0.0.1#53 Non-authoritative answer: Name: google.com Address: 66.249.89.99 Name: google.com Address: 66.249.89.104
52 : cnetos 5.5 (x86_64) bind 9.3.6-4.P1.el5_4.2 service named restart をすると Error getting active value for named_write_master_zones という警告が出るんだけど、再起動は問題なくできている。設定も反映されます。 設定関連はちゃんとできてると思うが、ググってもズバリというようなソース見当たらないので どういう関連のエラーかわかる方いますか? このサーバはmasterzoneもslavezoneも持っているので、推測するにmasterから変更があったが、slaveとして書き換えできなかったというエラーなのかな? selinuxはpermissivなのでそっち関連は大丈夫だと思います。 zonefileに関してはかなりの数があり、全部私が設定してないので問題ないとは自信持って言えないが、出力ログを見る限り、該当するものの詳細は見当たらず。 同様なエラーメッセージに遭遇し、解決した方いらしたら、ご教授ください。
53 : nslookup www.valinux.co.jp とすると、 connection refused resolving 'fsv.valinux.co.jp/A/IN': 210.128.90.2#53 とmessagesに出てきてしまうんですが、これはどういう意味なのでしょうか? 宜しくお願い致します。
54 : >>53 そのドメインの設定ミスだから気にスンナ。 上位(JPRS)にはvalinux.co.jpのネームサーバの一つとして ns2.valinux.co.jp(210.128.90.2)が登録されているけど、ns2には valinix.co.jpの設定がない(もしくは設定ミスの)ため拒否されてるだけ。
55 : >>54 ありがとうございます。 その ns2... って dig valinux.co.jp ns しても出てこないみたいなんですが、 教えて頂けないでしょうか・・?
56 : >>55 $ whois -h whois.jprs.jp valinux.co.jp $ whois -h whois.jprs.jp ns2.valinux.co.jp
57 : ん・・。ありがとうございます。 bindって色々調べて結果返してるんですね。
58 : NAT環境内でbind9によりDNSサーバを動かしています。 ルータの設定でもbind9用のポートは閉じています。 allow-query,allow-recursionの対象をLAN内のPCのみとしているので jail化する必要はないと考えていますが、いかがでしょうか? よろしければご教授下さい。
59 : >>58 allow-*とjailは別々のセキュリティ対策だよ。 外部からの不正な問い合わせを何重もの防御で守りたいのなら、 jailではなくipfwなどで自力でポートを閉じるべきだ。 jailは万が一セキュリティホールが突かれたとき、 システム側に不正な要求を投げさせないのが目的だから、 それはそれで必要性を判断して設定すればいい。
60 : アドバイスありがとうございます。 こちらが言葉足らずでした。 NAT内だけでの運用なので、システムが占拠される心配はないと考えたので jailは不要ではないかと判断した次第です。 よく、何重にも対策をしておく方が良いと言われますが、労力が割かれてしまう ので迷う所です。 現状、named.conf.optionsの設定に気を配る程度です。 allow-queryやallow-recursion, version "unknown"辺りでしょうか。 それと、ipfwというものを調べてみましたが、ファイアウォールなのですね。 私はルータをファイアウォールとして使用しています。 webサーバとファイルサーバを外部に公開したいと考えていますが、今のと ころ未公開です。ポートも閉じています。。 上記を考慮した場合、jail化は必要なのでしょうか? また、他に推奨のセキュリティ対策など教えて頂ければ幸いです。
61 : bind9.7.1-P2をインストールしようとしているんですが、 下記2点についてうまくいっていません。分かる方助言をお願いします。 1.Microsoft Visual C++ 2005 Redistributableインストール時に 「Command line option syntax error. Type command/? for Help.」 というエラーメッセージダイアログがでてインストール失敗する 2.上記の失敗からか、「C:\Windows\System32\dns」フォルダが作成されない
62 : すみません。環境はWindows 7 Ultimate 64ビットです。
63 : 今までCentOS5.4で自鯖立ててて yum updateで5.5相当にして使ってたんだけど 今回サーバー用HDDの容量アップのために クリーンインストールでCentOS5.5入れて自鯖セットアップしなおしたんだけど bindをどう設定して、bindを起動してもnamed/confにエラーがあると出る ちなみに再インストール前のbindの設定をバックアップ取ってたので それをコピペしてみてもダメ bindの新しいバージョンってなんか設定方法とか変わったの? named.confの設定はこんな感じなんで おかしいとこあったらどこがおかしいか教えてください。 options { #listen-on port 53 { 127.0.0.1; }; #listen-on-v6 port 53 { ::1; }; version "unknown"; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; query-source port 53; query-source-v6 port 53; allow-query { localhost; localnets; }; forwarders{ 192.168.24.1;(プレミアムのCTUのプライベートアドレス) XXX.XXX.XXX.XXX; (インターリンクのプライマリーDNSのIPアドレス) XXX.XXX.XXX.XXX; (インターリンクのセカンダリーDNSのIPアドレス) }; }; view localhost_resolver { match-clients { localhost; }; match-destinations { localhost; }; recursion yes; include "/etc/named.rfc1912.zones"; include "/etc/named.xxx.com.zone"; }; view "internal" { match-clients { localnets; }; match-destinations { localnets; }; recursion yes; include "/etc/named.rfc1912.zones"; include "/etc/named.xxx.com.zone"; }; view "external" { match-clients { any; }; match-destinations { any; }; recursion no; include "/etc/named.xxx.com.zone.wan"
64 : >>63 パッと見、問題なさそうだが、肝心のエラー内容は? エラーとは直接関係ないはずだけど、これはコメントアウトしろよ。 query-source port 53; query-source-v6 port 53;
65 : >>63 最後の行は include "/etc/named.xxx.com.zone.wan" で終わりなの?
66 : 教えて下さい。 DIG で ANSWER SECTION に きちんとIPが返ってきているのに、 # dig www.domain.local a PINGを実行してもUnknown host になってしまうのなぜでしょうか? # ping www.domain.local ちなみに ドメインを指定しないと きちんと返ってきます。 # ping www 環境 debian lenny bind9 DNSを設定したマシン自体にwwwと名前をつけています。 /etc/resolv.conf には nameserver 127.0.0.1 とし、 他のnameserverは設定していません。 他のマシンからは正しくping が通ります。 インフラ詳しくないので、チェックの方法等、助言頂けると幸いです。 よろしくお願いします。
67 : 66です。 いろいろ試してみたところ、 bind側ではなく、OS側に問題がありそうです。 理由は以下の3点です。 1.他のマシンからのpingは通る。 2.dig, nslookup は問題ない 3.設定しているマシンのresolv.confに他のDNSを指定してもFQDNでpingできない debian板で聞いてみることにします。 ありがとうございました。
68 : 友人の所で間借りしてたドメインを自鯖に移したんですが(ムームー)、なぜか1週間以上たった今も digをすると、前の鯖のIPが出ます。 HPドメインのhogehoge.comだけが前のIPになっていて、サブドメインのmail.hogehoge.com等は 新しいIPに変わってます。 どこが悪いとこうなるんでしょうか?
69 : そりゃそこだけ設定変えてないんだろう
70 : ID更新してないだけとふんだ なんかruドメインの名前解決が大量にログに残ってて気持ち悪いんだけど何が起きましたか?
71 : winodws版のBINDでちょっと疑問。 8.8.8.8にforwordさせて、ローカルにも保存する場合confにどう記述すれば良いの? 紹介サイトで記述の仕方が違うから理解できない。
72 : >>71 何を保存するの? そもそも日本のユーザが8.8.8.8を指定してもメリットはないよ
73 : テストする意味で8.8.8.8にして見たけどプロバイダのでも良いんです。 windowsの標準のDNSクライアントみたいにドメイン名とIPをキャッシュさせたいです。 もしかすると実はもうキャッシュされているのでしょうか。 named.conf, named.root. 見よう見まねで記述してるので自信がありません。
74 : プロキシーとか代理応答とかキャッシュとかそういう話?
75 : そういう感じです。
76 : 普通に設置してoptionsにforwardersとforward onlyで丸投げでいいんじゃない? あとrecursion yesとか?
77 : うまくできました感謝
78 : 勉強のためubuntu上にてvirt-managerでubuntu10.04のDNSの構築してみてるんだけど 今slaveサーバ設置してゾーン転送させようとしてるとこでうまくいかない マスター側は192.168.122.11、スレーブ側は192.168.122.12 マスター側のnamed.confのzoneステートメント(とaclステートメント)は acl "Slave" {192.168.122.12;}; zone "122.168.182.in-addr.arpa"{ type master; file "122.168.192.rev"; allow-transfer{Slave;}; notify yes;}; スレーブ側は acl "Slave"{192.168.122.12;}; zone "122.168.192.in-addr.arpa"{ type slave; file "bak/122.168.192.rev"; masters{192.168.122.11;}; allow-transfer{Slave;};}; コピペじゃないけど再起動もできるので書式のミスは無いはず スレーブ側bindを再起動すればスレーブ側のゾーンファイルを消しとくとちゃんと転送されるけど ゾーンファイルがあるとマスター側で更新されててもスレーブ側はbind再起動しても更新されない よろしくお願いします
79 : 小出しで申し訳ないけれど最後の方日本語おかしかったから つまりマスター側でゾーンファイルを編集保存しただけでスレーブ側にも 反映(ゾーン転送)してほしいのに、編集保存してからマスター側のbindを再起動して、 スレーブ側にある古いゾーンファイルを消したうえでスレーブ側のbindを再起動しないと ゾーン転送してくれないということ、どうすればいいんでしょか
80 : >>78-79 シリアル更新忘れに1ペリカ
81 : >>78 ゾーンファイルのNSレコードにスレーブサーバを登録してる?
82 : レスありがとうございます >>80 シリアル更新はしてます emacsのDNSモードなので編集保存すると自動で変わってくれます >>81 登録してます マスターのゾーンファイルを編集してからゾーン転送されるまで普通はどれくらい時間掛かりますか? 僕の頭の中ではSOAレコード第4パラメータの時間+15分弱です それとnotify yesはSOAレコード第4パラメータ無視して更新したら15分弱で転送するって認識で合ってますか 今わかりましたがマスター側のbind再起動してしばらく待ってると スレーブ側はゾーンファイル残して再起動もせずともゾーン転送してくれました マスター側のbind再起動すればできるってことはマスター側のnamedがゾーンファイルの更新を 監視してくれてないとか、そういうのは無いですか?何々起動しないと監視してくれないとか てかそもそもゾーン転送以前にbind再起動無しでゾーン情報更新してくれてた気がしない 問題はそこな気がします、どうすればbind起動中にemacsやらでゾーンファイル弄ったのを シリアルを確認して感知するのか、このシリアルを確認するのはnamedプロセス?namedはしっかり起動しています ps aux|grep named bind 3284 0.0 2.0 43892 10432 ? Ssl 07:37 0:00 /usr/sbin/named -u bind hoge 3302 0.0 0.1 2884 808 pts/0 S+ 08:16 0:00 grep --color=auto named またですがアドバイスよろしくお願いします
83 : >マスターのゾーンファイルを編集してからゾーン転送されるまで 自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。 話からするとnotifyがスレーブ側に届いていないようなので、>>81 だと思うんだけどね。 NSレコードでスレーブ鯖の記述が間違ってないか、 マスタ側でNSレコードをdigしてみて、 それでもダメならマスター側で以下を追加してみてはどうだろうか。 also-notify { slave鯖のIPアドレス; };
84 : >自分の環境はCentOS5だけど1分以内にはスレーブ側にも更新されてるかな。 あぁごめん、一部見逃して書いてた。 マスタ側だけはゾーン情報を更新したらbindの再起動は必須だよ。
85 : >>84 そうでしたか、それならこれで合ってたんですね ちなみに再起動ではなくHUPシグナル送ったりrndc reloadしたりでも ゾーン情報更新してくれるみたいです、これで数分以内にはスレーブ側も更新してくれました ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました ありがとうございました!!
86 : >ファイル編集しただけで更新を感知してくれるっていう認識が間違ってました コンピュータ関係の間違いの大部分を占める「勝手な思い込み」の典型 俺が経験したクレームで「パスワードを変更したらメールサーバにつながらなくなった」ってのがあったが 結局、旧パスワードを削除せずに新パスワードを続けて書いたのが原因 「新しいパスワードをちゃんと設定しましたってば!」 うん、そうだね、したね でもこっちの質問「どのようにですか?」「パスワードは何文字になってますか?」には頑なに答えてくれなかったね コンピュータにはピンポイントで肝心な部分の情報を隠蔽させる魔力があるんだろうね
87 : あああ
88 :
89 : はじめての書き込みです さっそく named.conf.options: // forwarders { というのがあってこれ以下にプロバイダー側のサーバを書くのですが 具体的に何を書くのか分かりません。教えてください。 なお環境としてはglobalIP1 質問1: 候補1 : 回線会社(NT*ですが)のDNS?(使用する地域の接続ポイント) 候補2 : プロバイダ(Info*****)のDNS 候補3 : ドメインの管理会社のものでしょうか? 質問2: ま上記の3つを最低3行を併記しても良いものでしょうか?
90 : >というのがあってこれ以下にプロバイダー側のサーバを書くのですが と自分で書いてるんだからプロバイダのDNSでしょ。 >ま上記の3つを最低3行を併記しても良いものでしょうか? やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。 NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。 ドメイン管理会社にもDNSは持ってるだろうが、 そこにドメイン情報を設定していないと意味はない。
91 : さっそくども >>というのがあってこれ以下にプロバイダー側のサーバを書くのですが >と自分で書いてるんだからプロバイダのDNSでしょ。 プロバイダー側と書いてあるとおりプロバイダーとは限定した質問では ありませんでした。プロバイダー側の3つからどれかという質問の意図でした。 プロバイダー限定なわけですね。 >ま上記の3つを最低3行を併記しても良いものでしょうか? やってみればいいと思う。3分の1の確率で正常に繋がらなくなるだけかと。 >NTTのDNSというのは恐らくフレッツサービス向けのDNSだから意味がない。 フレッツはDNSではない接続をしているようですが、そこのDNS達につなぐ のも手なのかなとも考えたわけです。 >ドメイン管理会社にもDNSは持ってるだろうが、 >そこにドメイン情報を設定していないと意味はない。 そこでは保有しているべきものではないのでしょうか? これ設定しないとドメイン登録できないし・・・ もし、管理会社が登録していないとなるとどこに? もっと上流のどこかが保存管理しているということな?
92 : 同じく infospher ですがプロバイダーのDNSは http://www.sphere.ne.jp/support/guide/dnschange/images/001img01.gif になるのですか?
93 : >>91 あぁごめん、説明を端折って書いたから余計混乱させてしまったか。 今回bindで設定する意図はキャッシュサーバーを立てる事なのか、 自分が取得したドメインの運用のためかによって話は変わってくるけど、 forwarderはキャッシュサーバーの用途なのでドメインの運用とは関係ないからね。 まだドメインが取得できていないのであれば お名前.comやValue Domainとかの大手でドメインを取得して レジストラが用意するネームサーバを利用するといいんじゃないかな。 これらの業者は自分でネーム鯖を用意せずにドメインを運用する事ができるよ。 さすがにレジストラというのはどういう所かくらいは自分でぐぐってね。 >>92 東日本と西日本で違うみたい。 ttp://www.sphere.ne.jp/support/guide/setvalue/#a050
94 : 一応補足。 お名前.comやValue Domainというのがレジストラね。国内だと大手だと思う。
95 : レジストラの指定している管理サーバーは ***.***.jp となっています。 すると forwarder には その***.***.jp を入れるべきでしょうか? いまいち分からない。 一応やってみた restart すると [fail] になる。 だから数字だけしか通用しないようです。あたりまえ? 改めて知りたいですが 「ドメインは取得した、それから内向きのDNSを作る」には レジストラのDNSを入れるべきでしょうか? それともそのレジストラのDNSの数字のGIPを入れるべきでしょうか? それともキャッシュ用のDNSのようにプロバイダー指定のDNSのGIPが良いのでしょうか?
96 : 基本的にforwarderいらないでしょ 何か目的があってやるにしてもレジストラは関係ない ISPの指定したDNSに投げればいい
97 : この前 forwarder 使わ無い方式は危ないといわれて しかたなし使っているのですが ところで、4種 1、 forwarder する場合で、ドメインを持っている場合でも ISPのDNS にするのですか? 2、 forwarder する場合で、ドメインを持ってない場合でも ISPのDNS にするのですか? 3、 forwarderしない場合で、ドメインを持っている場合でも ISPのDNS にするのですか? 4、 forwarderしない場合で、ドメインを持ってない場合でも ISPのDNS にするのですか? しつこくてすみません どうも理解できなくて
98 : 自宅にDNS設置してんだろ? そこに問い合わせるのは誰よ? レジストラのDNSを利用しろと言ってるのは 自前のドメインの問い合わせ先を自宅じゃなくてそこにすればと言ってるのであって forwarderはそれらと全く関係ない。 forwarder先は本来別の場所に設置してある自前のDNSにするんだろうが、 そんなものが無いなら、自宅が接続してる一番近いISPのDNSにするだろ。
99 : 日本人はバカてす。
100read 1read
1read 100read
TOP カテ一覧 スレ一覧 削除依頼 ▲
・ 次のスレ
太陽電池で鯖稼動させたい ただの掲示板と画像掲示板だったらどっちが良い? 「smtpサーバ」不正中継されてます! 宅鯖の設置場所