Name Server 総合スレ【DNS】

**名無しさん＠お腹いっぱい。** · 2008/11/26(水) 01:14:36

立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/

**名無しさん＠お腹いっぱい。** · 2010/02/24(水) 10:18:46

そんな重要なサーバなら
ちゃんとお金かけてSIerに相談すべき。

**321** · 2010/02/24(水) 10:37:14

サーバが重要かどうかは問題ではありません。
お金が掛けるとか掛けないかってことでもないです。
方法が可能なのかってことが知りたいのです。

**名無しさん＠お腹いっぱい。** · 2010/02/24(水) 10:55:24

>>331
GSLB

たう · 2010/02/24(水) 12:49:04

>>333
そういう設定をすることはできるが、思惑どおりには動かない。
に一票。

**321** · 2010/02/24(水) 13:05:51

一度名前解決ができてキャッシュが利いているなら無理ですが、
そうではないクライアントが接続するのに、一方がすべて死んでいたなら、
他方のDNSとその名前解決で接続出来そうな気がしたのですが、
実際はそうではないのですね。

**名無しさん＠お腹いっぱい。** · 2010/02/24(水) 13:11:58

試しにやってみたら

**名無しさん＠お腹いっぱい。** · 2010/02/24(水) 14:13:27

>>321
ロードバランサーが壊れたらどうするの？とか考えていくと究極的にはAS取ってBGP喋る話になる。
いずれにせよこのスレのネタじゃぁない

**名無しさん＠お腹いっぱい。** · 2010/02/24(水) 20:01:32

>>321
君がかんがえているより世の中はよっぽど発達している。

　アカマイなり、GSLBなり。

**名無しさん＠お腹いっぱい。** · 2010/02/25(木) 02:16:44

お手軽ロードバランシングならDNS使うよりIPVS+keepalivedおすすめ。スレチだけど。

**名無しさん＠お腹いっぱい。** · 2010/02/25(木) 07:24:15

この板的にはpfのround - robinと言って欲しいところ
LVS+keepalivedほどの機能はないがその場にあるものを使える点でずっとお手軽

**名無しさん＠お腹いっぱい。** · 2010/03/05(金) 15:56:42

自宅鯖の質問スレに投下した馬鹿がいたので本人が仰るとおり無断転載しとくw
http://pc11.2ch.net/test/read.cgi/mysv/1260157258/614-619　が前置き

628 名前：615[sage] 投稿日：2010/03/05(金) 13:42:31 ID:???
シカトされるかと思ってたんですが
テスターしてもいいって人が1人はおられて、ひと安心・・・

なんで、昨晩がんばってホームページぽい説明ページを作りました。
今朝がたドメインも買い直しました。

日本語.jpを買ってあったんですが、nslookup が日本語に対応してなくて
代わりに xn--～と書かなくてはいけないことに買った後で発覚・・・

http://cc.wariate.jp/
です
cc はカントリーコードの略で、割り当てカントリーコード、って意味で付けました

スレチでしたら、ヨソへ無断転載いただいて構いません

**名無しさん＠お腹いっぱい。** · 2010/04/12(月) 21:17:30

すみません。誰か教えてください。
DNSSECの勉強中ですが、1つのドメインに対して複数のZSK公開鍵のDNSKEYレコードを
登録する理由は何でしょうか？

dig @localhost se. dnskey +dnssec
を実行すると複数出てきます。
seドメインのzsk公開鍵は１つで十分ではないでしょうか？

**名無しさん＠お腹いっぱい。** · 2010/04/12(月) 21:42:09

WEPキーが4つ入力できる理由と同じのはず

**名無しさん＠お腹いっぱい。** · 2010/04/14(水) 22:52:20

bind9.5でのloggingの設定について教えてください。

dns&bind5版やサイトでは、
logging {
channel "チャネル名" {
file "出力ファイル名";
severity dynamic;
　　};
category default {"チャネル名";};
};
を設定すれば、すべてのログがファイルに出力されると書いていましたが、
実際設定したところ、すべてでもなくまたsyslog(から/var/log/messagesへ)
にも出力されていました。
面倒でも、すべてのカテゴリに対して、
category カテゴリ {"チャネル名";};
を追加したらファイルへすべて出力され、syslogへの出力もなくなりました。

これって、本やサイトの説明が間違っているのでしょうか？

**名無しさん＠お腹いっぱい。** · 2010/04/14(水) 23:08:15

デフォルトでsyslogに出すチャネルが存在して、
そのチャネルと同じ名前でsyslog以外に出すように
上書きしてない？

**名無しさん＠お腹いっぱい。** · 2010/04/17(土) 01:24:00

>>346
named.confでデフォルトで書かれていた設定は以下の通りです（現在はコメントアウト）
#logging {
# channel default_debug {
# file "data/named.run";
# severity dynamic;
# };
#};

**名無しさん＠お腹いっぱい。** · 2010/04/17(土) 01:37:53

pv6対応のdns構築中なんですが、ループバックアドレス(::1)に対する逆引きだけが
どーしてもうまくいきません。　
一応設定は、KDDIのＨＰを参考にしました。
ttp://www.kddi.com/business/customer/internet/powered/dns_ipv6.html

現在の設定は、
vi named.conf
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
type master;
file "zonefile/localhostv6.rev";
};

vi zonefile/localhostv6.rev
$TTL 1D
@ IN SOA nssv1.example.jp. root.example.jp.(
2010033002 ; serial
6H ; refresh
1H ; retry
1W ; expire
900 ) ; minimum
;
NS localhost.
;
1 PTR localhost.

**348のつづき** · 2010/04/17(土) 01:42:23

# dig @localhost -x ::1 ptr +norec
;; flags: qr aa ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. IN PTR

;; AUTHORITY SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 86400 IN SOA 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. . 0 28800 7200 604800 86400

flagsにaaがあることと、authority sectionのSOAレコードから、
自サーバ内の別の設定ファイルを見ているようなんですが、どうしてもその理由が分かりません。
同じzonefile内に置いているIPv4のループバック、グローバルの逆引き、正引き、IPv6のグローバルの逆引きは
正常に応答できています。

**名無しさん＠お腹いっぱい。** · 2010/04/17(土) 01:56:36

>>349
BINDのバージョンくらい書け
そして disable-empty-zone でググれ

**名無しさん＠お腹いっぱい。** · 2010/04/17(土) 03:33:08

>>350
ツンデレ回答乙でした。直りました。
disable-empty-zone～の3行追加しただけです。
ちなみに fedora9 BIND 9.5.0b2 です。
ググッたら、named.confにデフォルトで書かれているようでしたが、
自分のnamed.confにはありませんでした。

昔のログには、
automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
というものが出ていました。

**名無しさん＠お腹いっぱい。** · 2010/04/30(金) 23:59:01

助けてください！
汎用JPのdnsを書き換える方法ありませんか？
Aレコード？、CNAME？全て消えてしまいました。
サーバーへ向いていません。
今すぐ書き換えたいです！
または、別のアドレスに転送でも良いです。
ほぼ素人ですが、どなたかよろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2010/05/01(土) 05:48:40

>>352
意味不明なんだが、ドメイン更新してなくて削除されたとか。

**名無しさん＠お腹いっぱい。** · 2010/05/01(土) 05:58:59

なんで DNS の仕組みそのものを理解しないで bind とか設定しようとしてる訳？
にわかネットベンチャーの社員か？

**名無しさん＠お腹いっぱい。** · 2010/05/08(土) 12:26:40

自宅サーバのcentOS5.4にbindをインストールしようと思っています。
その前に、bindというかdnsの機能を確認したいんですが、

クライアントからurlのリクエストが来る
対応するIPアドレスをdnsが返す
クライアントがそのIPアドレスに接続する
ブラウザで表示

って流れですよね？
てことは固定のグローバルIPアドレスとドメインをを持ってなければ
dnsインストールしても意味がないんでしょうか？

こんなボケた質問するのにdnsを入れようと言うのは、単にlinuxの設定本に
書いてあることを全部やってみようという理由と、
postfixでのメール送信にかかわりがあるらしいからという理由です。

初心者質問ですみませんが、お願いします。

**名無しさん＠お腹いっぱい。** · 2010/05/08(土) 12:31:42

>>355
そういう質問をする時は、OSもバージョンも関係ないんだから、
CentOSとかLinuxとかのキーワードは伏せて質問しないと叩かれるよ

**ななし** · 2010/05/08(土) 15:23:10

>>355
閉じた環境で試す分には意味ある。
がんばれ。

**名無しさん＠お腹いっぱい。** · 2010/05/09(日) 03:49:26

>てことは固定のグローバルIPアドレスとドメインをを持ってなければ
>dnsインストールしても意味がないんでしょうか？

なんでそう思ったの？

**名無しさん＠お腹いっぱい。** · 2010/05/09(日) 06:00:41

Archivo resolv conf
http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
resolv conf ?rne?i
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www.archlinuxtr.org/kurulum/images/kurulum026.png
kuro 09 png
http://www2.wapres.org/kuro-box/img/kuro_09.png
図3　 nameserver という文字列を含むファイルの検索
http://image.gihyo.co.jp/assets/images/admin/serial/01/ubuntu-recipe/0024/thumb/TH400_0024-03.png
netconfig wbel331 png
http://www.obenri.com/_minset_wbel3/image/netconfig_wbel331.png

**名無しさん＠お腹いっぱい。** · 2010/05/10(月) 15:30:08

http://www.ajaxman.net/wp-content/uploads/2008/09/resolvconf.jpeg
http://www.archlinuxtr.org/kurulum/images/kurulum026.png
http://www19.atpages.jp/imagelinkget/get.php?t=v&u=www2.wapres.org/kuro-box/img/kuro_09.png

**名無しさん＠お腹いっぱい。** · 2010/05/10(月) 21:56:43

>>356,357
お礼遅れました、ありがとうございます
>>358
勘違いしてました。今はローカル向けで設定の勉強してます

すみませんさらに追加の質問させてください。
今bind9で設定していて、ローカルIPの192.168.0.10にdns(bind)とhttpd, postfixその他サーバを入れています。
で、逆引き設定したのですがnslookupの検証でうまくいきません。

　> 192.168.0.10
　Server: 192.168.0.10
　Address: 192.168.0.10#53
　*** Can't find 10.0.168.192.in-addr.arpa.: No answer
というエラーが出てしまいます。

該当のゾーン設定ファイルは以下の通りです。
　$TTL 86400
　0.168.192.in-addr.arpa. IN SOA ns.sample.co.jp. root.sample.co.jp. (
　 2010050802 ;Serial
　 7200 ;Refresh
　 3600 ;Retry
　 604800 ;Expire
　 3600 ;Minimum TTL
　)
　 IN NS ns.sample.co.jp.
　10 IN PTR ns.sample.co.jp.

どこに原因があるのでしょうか？
環境の説明はもう少し続きます（次のレスへ）

**名無しさん＠お腹いっぱい。** · 2010/05/10(月) 22:08:47

named-checkzoneとnamed-checkconfを活用せよ。

**361 続き** · 2010/05/10(月) 22:22:11

補足１）named.confでの正引き用、逆引き用ゾーン設定は以下の通りです
　 zone "sample.co.jp"{
　 type master;
　 file "sample.co.jp.db";
　 allow-transfer{none;};/*転送許可するスレーブサーバ*/
　 };
　 zone "0.168.192.in-addr.arpa" {
　 type master;
　 file "0.168.192.in-addr.arpa.db";
　 allow-transfer {none;};
　 };
　※named-checkconfコマンドでエラーは表示されません。

補足２）nslookupでの検証では、正引きは正常に返ります（以下の通り）
　> www.sample.co.jp
　Server: 192.168.0.10
　Address: 192.168.0.10#53
　www.sample.co.jp canonical name = ns.sample.co.jp.
　Name: ns.sample.co.jp
　Address: 192.168.0.10

補足３）また、同一ローカルネットワーク上の他マシンのfirefoxでwww.sample.co.jpをブラウジングしようとすると
「www.sample.co.jp という名前のサーバが見つかりませんでした。」とエラーになります。
※実は、このドメインはインターネット上に実在してて、アクセスできるはずのものです

補足４）このbindの設定以前に、内部ネットワークのマシン（macとwin）には、192.168.0.10またはwww.hogehoge.comに
ブラウズすると、サーバ（192.168.0.10）のapache中のサイト（www.hogehoge.com）が見えるよう設定してあります。

不要な情報や補足があるかもしれませんが、関係しているのかなと思われたことを書かせていただきました。
どうして逆引きがエラーになるのか、また www.sample.co.jpへのブラウジングがなぜ失敗するのか
説明いただけたらうれしいです。長くてすみません、よろしくお願いします。

**名無しさん＠お腹いっぱい。** · 2010/05/10(月) 23:20:54

前提条件がさっぱりわからん。
sample.co.jpはインターネット上のサイトなの？LAN上なの？
www.hogehoge.comはどうやって名前解決してたの？
コンテンツサーバとキャッシュサーバの違いは理解してる？

**名無しさん＠お腹いっぱい。** · 2010/05/10(月) 23:26:46

質問者のレベルをみるとオライリー「DNS&BIND」を10回くらい読んで
DNSの仕組みを理解してからDNSに手を付けた方がいい気がする。

**名無しさん＠お腹いっぱい。** · 2010/05/10(月) 23:41:30

>>364
すみません。sample.co.jpは、本当は（本に書いてある通りだと）www.itboost.co.jpです
このドメインを取得したと言う仮の前提でやっているんですが、これってこの本を書いた会社のドメインなので
www.itboost.co.jpにアクセスすれば表示されるはずなんです（ブラウザで）
今は192.168.0.10のネームサーバでこのドメインへのIPアドレス設定をしてるけど、
まだ対応するwebサイトを設定してないから接続エラーなんでしょうか？　すみません。

あと、質問する場所間違えたのがあるんですが、コピペします。

＞bindのゾーンファイルを検証する、named-checkzoneがうまく動きません
＞以下のようになります。
＞[root@localhost named]# named-checkzone itboost.co.jp.db
＞usage: named-checkzone [-djqvD] [-c class] [-o output] [-t directory] [-w directory] [-k (ignore|warn|fail)] [-n (ignore|warn|fail)] zonename filename
＞何が原因なのでしょうか？
＞現在の階層でls -laすると
＞-rw-r----- 1 root named 270 5月 9 21:36 itboost.co.jp.db
＞があるのは確認できます。

これはなぜでしょうか？

>>365
すみません、いろんなサイトや本で読んでるんですが、どうもよくわからないです…

**名無しさん＠お腹いっぱい。** · 2010/05/10(月) 23:45:51

sample.co.jp も www.hogehoge.com も実在するので注意。

**名無しさん＠お腹いっぱい。** · 2010/05/10(月) 23:57:49

www.itboost.co.jpって引くたびに応答が違うのでちょっと調べてみたら、
ns.itboost.co.jpとdns2.itboost.co.jpはwww.itboost.co.jpのAレコードを返さない。
こんな最低な設定をしてる会社の本を信用しちゃダメ。
素直にオライリー本を買いなさい。

**366** · 2010/05/11(火) 00:00:51

上の投稿の named-checkzoneの質問は解決しました
お騒がせしました
関連のゾーンファイルへのnamed-checkzoneはどれもOKでした

なんで逆引きがうまくいかないのかな

**名無しさん＠お腹いっぱい。** · 2010/05/11(火) 00:08:57

dns.tk.itboost.co.jpしかwww.itboost.co.jp答えてくれないね
TTLも300秒ばっか、DDNSで運用してるのかな？

**名無しさん＠お腹いっぱい。** · 2010/05/11(火) 00:15:59

>>369
named-checkconfを-zオプション付きで走らせてみた？

**名無しさん＠お腹いっぱい。** · 2010/05/11(火) 01:10:40

まず、設定したサーバ上で、ゾーン自体の確認してみたら？

$ dig @127.0.0.1 0.168.192.in-addr.arpa. SOA +norec

NOERRORでANSWER SECTIONに設定したSOAレコードが確認できる？
SERVFAILとかなら、ゾーン自体ダメだと思う。

**366** · 2010/05/11(火) 07:15:27

>>371,372
ありがとうございます、それぞれこうなりました。
[root@localhost named]# named-checkconf -z
zone localdomain/IN: loaded serial 42
zone localhost/IN: loaded serial 42
zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 1997022700
zone 255.in-addr.arpa/IN: loaded serial 42
zone 0.in-addr.arpa/IN: loaded serial 42
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
zone itboost.co.jp/IN: loaded serial 2010050901
zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

[root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec
dig: couldn't get address for '127.0.0.1.0.168.0192.in-addr.arpa.SOA': failure

digの方はおかしいですね、なんでだろう

あと、ローカルのゾーン設定用にaclを以下のように設定したところ
acl "localnets"{
192.168.0.0/24;
127.0.0.1;
};
/etc/named.conf:24: attempt to redefine builtin acl 'localnets'
と警告が出ました。既に定義済みのものを再定義してるってことだと思いますが
どこで既に定義してるんでしょうか？　named.conf中には見つからなかったんですが…

**名無しさん＠お腹いっぱい。** · 2010/05/11(火) 07:32:29

> zone itboost.co.jp/IN: loaded serial 2010050901
> zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

2回ずつ読まれてる。

> zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802

いいの？

> [root@localhost named]# dig @127.0.0.1.0.168.0192.in-addr.arpa.SOA +norec

digの使い方間違えてる。man嫁。

**名無しさん＠お腹いっぱい。** · 2010/05/11(火) 11:11:48

>>373
"builtin" acl 'localnets'
たしかbindしたインターフェースに振られたアドレスあたりは
自動でこのaclに定義されてる。

**名無しさん＠お腹いっぱい。** · 2010/05/11(火) 17:52:19

>>377
127.0.0.1 と 0.168.192.in-addr.arpaの間はスペース入れれ。

そもそも
＞zone itboost.co.jp/IN: loaded serial 2010050901
＞zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802
＞zone 10.0.168.192.in-addr.arpa/IN: loaded serial 2010050802
＞zone itboost.co.jp/IN: loaded serial 2010050901
＞zone 0.168.192.in-addr.arpa/IN: loaded serial 2010050802

同じゾーンが出てるぞ。named.conf内で同じゾーンファイルで
複数回ゾーン設定しちゃってるんじゃない？

**名無しさん＠お腹いっぱい。** · 2010/05/11(火) 20:38:13

ITBoostが運営してるっぽいSTACK*とかいうサイトもDNSの設定が腐ってるな…

**名無しさん＠お腹いっぱい。** · 2010/05/11(火) 22:19:23

NSのうち片方のDNS、co.jpをjpに変えたんだろうけど、NS変えるの忘れてるな。
元のドメインは放棄しているみたいだからやろうと思えば簡単に乗っ取れそう。
JPNICが気をつけろ、と必死に宣伝してるのにこの有様。

**366** · 2010/05/11(火) 23:23:00

皆さん詳しいですね。本当にありがとうございます。
以前買ったbindの本があるの思い出したので、皆さんの回答とあわせて読み直してます。

>>376
うっかりしてました、ありがとう。やり直したらこうなりました。
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.0192.in-addr.arpa.SOA
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached

複数回ゾーン設定してるんじゃないかという件ですが、してました。
view "localhost_resolver"{}とview "internal"{}の中で同じものを設定していました。
本の説明では、DNS自身とローカルネットワーク上のwinから確認するためにそうすると
書いてあります。
調べたら、多分ここの設定と同じかな。問題あるんでしょうか？（読んで勉強し直します。）
ttp://d.hatena.ne.jp/japanrock_pg/20090723/1248359871

bind難しいですね…　ほんとお世話になります、すみません

**名無しさん＠お腹いっぱい。** · 2010/05/12(水) 00:37:51

>>379

viewごとの細かい設定とかが必要ないんなら、
まずはview無しで単純に書いてみたら？

**名無しさん＠お腹いっぱい。** · 2010/05/13(木) 18:59:03

BINDが入ってるローカル鯖で
[root@localhost named]# dig @127.0.0.1 0.168.0192.in-addr.arpa.SOA
を実行したところ、以下の結果が出ました。
これは逆引き設定がうまくいってると考えて良いのでしょうか？
NXDOMAINというのが気になるんですが
（ドメインを指定した正引きの場合、問題なのはわかるんですが）

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>> @127.0.0.1 0.168.192.in-addr.arpa.SOA +norec
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 25808
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;0.168.192.in-addr.arpa.SOA. IN A
;; AUTHORITY SECTION:
. 9796 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010051201 1800 900 604800 86400
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu May 13 02:55:54 2010
;; MSG SIZE rcvd: 119

**名無しさん＠お腹いっぱい。** · 2010/05/13(木) 20:26:36

>>381
in-addr.arpa. とSOAの間にスペースを
dig @127.0.0.1 0.168.192.in-addr.arpa. SOA

**名無しさん＠お腹いっぱい。** · 2010/05/13(木) 20:43:56

>>382
うまくいきました！　ありがとうございました

**名無しさん＠お腹いっぱい。** · 2010/05/17(月) 07:56:17

動けばいい、っていうんじゃなくて、動作の理解をしなさいよ。

**名無しさん＠お腹いっぱい。** · 2010/06/01(火) 04:35:23

unboundでGoogle Public DNS使おうと思って、

forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4

を設定したけれど、解決できないドメインがある

# drill example.com @127.0.0.1
だと解決できないが、
# drill example.com @8.8.8.8
とすると解決できる。

恐らくウチの環境(or設定)が悪いだけ、と思ってるけれど、
解決できるドメインもあるので原因が分からない・・

**名無しさん＠お腹いっぱい。** · 2010/06/01(火) 11:01:16

>>385
そのドメインの設定が腐ってる可能性もあると思うよ。

**名無しさん＠お腹いっぱい。** · 2010/06/01(火) 23:53:10

>>368みたいな腐った設定はゴマンとあるしな
stack*は相変わらずlameっぽ

**名無しさん＠お腹いっぱい。** · 2010/06/02(水) 00:26:34

>>385
日本でGooglePublicDNS使うとAkamai他のCDN関係を全部日本以外に転送されてしまうから
ウェブブラウズなどが遅くなるだけでうれしいことはなにもないぞ。OpenDNSでも同様。

あれを日本から使ってうれしいのは「自組織以外からDNS参照をおこなったらどうみえるか」を
手軽に検証できることだけ。

**名無しさん＠お腹いっぱい。** · 2010/06/02(水) 00:47:16

>>388
1月末に提案されたドラフトは01になったね。
ttp://tools.ietf.org/id/draft-vandergaast-edns-client-ip-01.txt

検証目的であればここも便利
ttp://www.dns-oarc.net/oarc/services/odvr

**名無しさん＠お腹いっぱい。** · 2010/06/11(金) 00:51:08

BINDの動的なインターフェースなどのアドレスを一定時間毎に動的にListenする機能って
rootで動かしていないとうまく機能しないのかな？

**名無しさん＠お腹いっぱい。** · 2010/06/11(金) 01:18:10

0.0.0.0:53にbindしていただくという方法での回避はできなかったから
やっぱりrootで動かすしかないかなぁ。

**名無しさん＠お腹いっぱい。** · 2010/06/11(金) 03:05:30

>>390
リファレンスのinterface-intervalの項目に制約は書かれていないけど駄目？
DebianではPPPのup時にrndc reconfigで回避してる。

**名無しさん＠お腹いっぱい。** · 2010/06/15(火) 03:17:52

>>392
ありがとうございます。
reconfigでもやっぱりpermission deniedという理由でbindさせてもらえてませんでした。
restartしてしまえばいいのかな？コストがアレですけど。

**名無しさん＠お腹いっぱい。** · 2010/06/16(水) 20:49:00

この板のスーパーハカー様方に質問です。

hamusoku.com. IN NS ns1.domain.livedoor.com
IN NS ns1.domain.livedoor.com
IN CNAME blog-01.livedoor.jp

これってRFC違反だと思うのですがどうでしょう。
ちなみにWIN2008R2のDNSサーバだとエラーになって引けません。
最近のBINDではどうですか？

**名無しさん＠お腹いっぱい。** · 2010/06/16(水) 21:07:18

>>394
これいかんね。
http://bonz.squares.net/~dais/misc/rfc1912j.html#cname

**名無しさん＠お腹いっぱい。** · 2010/06/16(水) 21:20:58

おかしいね。
とりあえず bind 9.6.1-P1 と unbound 1.4.3 では引けちゃったけど、
エラーにするキャッシュ DNS があったとしても不思議ではない。

ただ、bind ならこういう腐ったゾーンはエラーにして読み込まなかったような。
……と思ったら、なんか nsd っぽいなぁ。
nsd って bind よりゾーンファイルのバリデーションが緩いんだよなぁ。

**名無しさん＠お腹いっぱい。** · 2010/06/16(水) 22:14:21

394です。
ありがとうございます。
ライブドアにこんなん引けねーよと言ってみたのですが
「問題を認識できません」て返されました。
こういうお馬鹿さんはどうすればいいんでしょうね。

**名無しさん＠お腹いっぱい。** · 2010/06/17(木) 00:28:12

相手にするおまえがおバカさんだ
日本はこういう国になっちまったんだ諦めろもう終わり

**名無しさん＠お腹いっぱい。** · 2010/06/17(木) 09:40:04

DNSOPSあたりで話題に出せば誰か反応するかも。

**名無しさん＠お腹いっぱい。** · 2010/06/17(木) 12:28:36

TwitterでLivedoorの技術系の中の人に直接つっこんでみるとか

**名無しさん＠お腹いっぱい。** · 2010/06/18(金) 00:07:12

>>400

俺もそう思った。
サポートに言っても障害として検知していない状態で、類似のクレームも
他になければ取り合わなさそう。

**名無しさん＠お腹いっぱい。** · 2010/06/18(金) 03:58:34

>>399
参加者あまり多くないんじゃない？
空気読まずにjanogとか(w

>>401
国税庁の時も全く返事が来なくて、忘れたころにこっそり直してたな。

**名無しさん＠お腹いっぱい。** · 2010/06/18(金) 20:04:56

>>402
DNSOPSをsubscribeしているひとはJANOGもsubscribeしてるだろう

**名無しさん＠お腹いっぱい。** · 2010/06/21(月) 08:14:22

JANOGに投げて空気変えてほしいな。

**名無しさん＠お腹いっぱい。** · 2010/07/01(木) 12:35:08

るーと更新おめでとう!!
　　　　　　　　　　.o゜*。o
　　　　　　　　　／⌒ヽ*゜*
　　　∧_∧　／ヽ　　）｡*o　　ｯﾊﾟ
　　 (・ω・)丿゛￣￣' ゜
.　ノ/　 /
　　ノ￣ゝ

**名無しさん＠お腹いっぱい。** · 2010/07/01(木) 21:37:27

windowsでもdjbdns使いたいのだが駄目かな

**名無しさん＠お腹いっぱい。** · 2010/07/01(木) 23:38:26

>>406
変態

**名無しさん＠お腹いっぱい。** · 2010/07/02(金) 02:23:48

>>406
変態だな……。

**名無しさん＠お腹いっぱい。** · 2010/07/03(土) 00:47:26

>>406
DJ本人乙

**名無しさん＠お腹いっぱい。** · 2010/07/03(土) 21:09:28

愛が感じられるような

**名無しさん＠お腹いっぱい。** · 2010/07/16(金) 23:29:13

ルートサーバーがDNSSEC対応したらしいが、
お主らのキャッシュサーバーは対応やった？

**名無しさん＠お腹いっぱい。** · 2010/07/17(土) 10:25:37

>>411
うちのはBIND9.6系でトラストアンカーの自動更新は未対応っぽいから
しばらく様子見かな。鍵はどのくらいの間隔で更新されるの？

**名無しさん＠お腹いっぱい。** · 2010/07/17(土) 11:58:15

bindは9.7じゃないとsha-2が使えないから、9.6だとそっちが引っかかる。

**名無しさん＠お腹いっぱい。** · 2010/07/17(土) 12:10:42

http://www.iepg.org/2009-11-ietf76/rootsign-ietf76-iepg.pdf
によりますと
KSKは2～5年ごと
ZSKは年4回
だそうですが。

**名無しさん＠お腹いっぱい。** · 2010/07/17(土) 18:17:22

>>413
そこは気になったけど、9.6.2rc1で9.7からバックポートされたので問題ないよね？
ttp://lists.isc.org/pipermail/bind-announce/2010-February/000621.html

**名無しさん＠お腹いっぱい。** · 2010/07/17(土) 18:32:19

>>414
それなら導入しても大丈夫そうだな。
KSK変わるときはニュースになりそうですし。

ところで、現時点でルートゾーンは署名されたけど、
既にDNSSEC導入済みのTLDへの署名はまだだよね？

これは次のセレモニー以降でZSKの更新の際に行われるのかな。
スケジュールでてる？

**anonymous** · 2010/07/17(土) 21:49:33

いくつかのccTLDにDSが入っています。

**名無しさん＠お腹いっぱい。** · 2010/07/17(土) 22:40:06

>>417
確かに8個ほど入ってた。.CATなんてあったんだ。
http://www.root-dnssec.org/faq/
dig . AXFR @xfr.lax.dns.icann.org

自ドメインが検証できるようになるまではまだ時間がかかりそうだ。

**名無しさん＠お腹いっぱい。** · 2010/07/18(日) 00:05:24

設定方法・・・ってほどでもないけど。
"9.6 or higher"は誤りで"9.6.2 or higher"に訂正予定とのこと。
ttp://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers

keyはコッチで確認すること。
ttps://data.iana.org/root-anchors/

**名無しさん＠お腹いっぱい。** · 2010/08/12(木) 10:42:04

>>394
この件と同種？で okwave に質問してる椰子がいるが
「普通のことです。違反でもなんでもありません。」って回答くらってるぞ

どっちが正しいんだ？

http://okwave.jp/qa/q6101868.html

**名無しさん＠お腹いっぱい。** · 2010/08/12(木) 10:48:17

okwave の回答が間違ってる。
その回答に対する質問主のフォローが正解。

**名無しさん＠お腹いっぱい。** · 2010/08/12(木) 11:01:57

そうか

いやなに、俺が立ててる DNS サーバーでも
ライブドアのあれみたいな書き方やってるんだw
ホスト名なしのドメイン名を別ホストへcnameさせてる。

A レコード書くと、ホスト引っ越しのときに不便なんだが。。
今のところクレーム来てないが、バレる前に直しておいたほうがいいのか

**名無しさん＠お腹いっぱい。** · 2010/08/12(木) 11:59:26

質問の仕方がまずいんだと思う。
「Aの別名にBを使っているけどいいの?」って読みとられてしまっているよね

**名無しさん＠お腹いっぱい。** · 2010/10/14(木) 01:08:48

DNS障害でYahooのほとんどのサービスが落ちてたね

**名無しさん＠お腹いっぱい。** · 2010/10/14(木) 01:44:18

具体的にはどーだったの？
hostやdigで単純に引くとaレコードが帰ってこなくて
明示的にaレコードを指定すると戻ってきたみたいだけど

**名無しさん＠お腹いっぱい。** · 2010/10/14(木) 10:02:45

primary name server = yahoo.co.jp
responsible mail addr = postmaster.yahoo.co.jp
serial = 2010101401
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 86400 (1 day)
default TTL = 900 (15 mins)

丸１日は途中のDNSがキャッシュ値を返してくれるの？

**名無しさん＠お腹いっぱい。** · 2010/10/15(金) 14:06:25

自分が参照してるキャッシュのタイミング次第だろ。

expire直前にヤフーが死ねばすぐにアウトになる。

なんか、負荷分散サーバの障害とかいうてるみたいだけど、
権威サーバをIPAnycast化とかしてたんかな？

それともYahooクラスだと権威サーバでもロードバランサ
入れないとダメポなくらい負荷高いのかね？

**名無しさん＠お腹いっぱい。** · 2010/10/15(金) 18:27:53

普通はBindで困ることって特にないよな。
DNS運用業者やってたときは、10万ドメイン以上あったから色々考えることあったけども。

**名無しさん＠お腹いっぱい。** · 2010/10/18(月) 11:37:39

「BIND」な。

**名無しさん＠お腹いっぱい。** · 2010/10/25(月) 18:53:45

2008R2 な DNS 鯖だと
recruit.co.jp のドメイン情報が全く読めないんだが
SOA レコードすら引けない。
なんでだ！？

2003 な DNS 鯖で引くと大丈夫

**430** · 2010/10/25(月) 18:59:20

>>394 と同じ理由？
とりあえず、2008R2 の DNS 鯖で ISP の DNS にフォワーダかけたらうまくいく。