投稿日:2003年07月15日 作成鷹の巣

No.11155 BIND9のDNSサーバーの設定が、上手く動作しているのか判断出来ない。



BIND9のDNSサーバーの設定が、上手く動作しているのか判断出来ない。

No.11155 投稿時間:2003年07月15日(Tue) 19:26 投稿者名:裕二 URL:http://www11.plala.or.jp/bandjam/

みなさんこんにちは。今回、初めての投稿をさせていただきます。
いつも鷹の巣さんやOAKさん、おやじさん、ryuさんをはじめ、数多くのサイトを参考にしながら、
難しいながらも、とても身になり熱中する事の出来るサーバ構築を楽しませていただいています。
書籍よりも勝るとも思えるたくさんの資料を提供していただき、感謝の一言しかありません。
今後もお世話になるかと思いますが、是非ともよろしくお願い致します。

早速ですが、本題に入らせていただこうかと思います。
おかげさまで、2ヶ月ほど前まではみなさんのサイトを参考にしながらWindowsXPにて
簡易自社サーバwww(apache)、mail(ArgoMS)、ftp(WarFTP)を構築する事が出来ました。
プロバイダが動的IPでしたのでその時は鷹の巣さんの資料を基に、minidnsを利用しながら
独自ドメインでのサーバ運用をする事が出来ました。

その後、事情によりWindowsからLinux機に変更しなければならなくなり、
現在も悪戦苦闘しながらもサーバ構築に追われております。

今回、自己知識/研究不足での未熟さにより、どうしても解明出来ない部分で悩んでいます。
Redhat9内のBIND9.2.1です。GUIによる「ドメインネームサービス」や、「Webmin」による
正引き/逆引きの設定をしなおしたり、おやじさんのページや吉岡さんのページ、
再度、鷹の巣さんの資料やリンクを元に何度も試行錯誤していますが、上手く行きません。

以前、誰もいない時間を見つけ「LAN接続」を外し直接、光終端装置に接続しなおし、GUIによる
「インターネット設定ウィザード」から「DSL接続」に変更し、プロバイダアカウントを入れ
接続が出来たのを確認したりもしてみましたが、上手く動作しているのか判断出来ない状態です。

長文になり、伝え難い部分もあり御迷惑をおかけするかと思いますので下記に
環境設定詳細を表示させていただこうかと思います。

■ 回線環境 NTT西日本Bフレッツ・ファミリー100

■ プロバイダ InterLink ZOOT(固定IP)、MOOT(逆引き用)
セカンダリDNSはプロバイダ側引き受け、プライマリは自分で用意する設定です。
PrimaryDNS:ns2.example.com 、 Secondary:tegtan1.interlink.or.jp

■ ルーター COREGA BAR-HGWL 現在の最新ファームウェア状態 IP 192.168.1.1
ルータ設定画面内にてサーバ機のみ固定取得設定/それ以外は自動取得&EP使用。
DMZ使用、ポートはWWW/FTP*2/MAIL*2/DNS/TELNETを通常開放し、サーバ機を指定。
DNSポート53番も「UDP」となっている事を確認しました。

■ OS Redhat9 Linux 最終7月10日頃にKernel以外を全更新

■ マシン状況 ルータのLAN側1番目にサーバ機を直接接続。その他は2番よりHUBにて振り分け
サーバマシン自身へのIP固定192.168.1.21 eth0に接続

■ ドメイン 鷹の巣さんの資料内に沿い、GKG.net様にて取得しました。
アカウント内より"Nameservers"には上記プライマリ・セカンダリの
両方が表示される事を再確認してみました。ですが、
"DNS hosts"では自己プライマリns2.example.comの一つだけの表示。
一応、modify画面よりIPアドレスが明記されている事は確認してみました。

■ DNS BIND9.2.1です。OSインストール時のままの物を利用。
最初にKDE画面より「ドメインネームサービス」で設定。その後、
WebminによりBIND DNSを見回してみました。混乱してきたので
「おやじさん」のページを重点におき直接各種zoneファイルを触ってみました。

■ APACHE2 Apache2.0.46を利用しています。php4.3.2を組み込み、動作テスト済みです。
ですが、現在minidnsさんを経由せず設定をオフラインにして外部のブラウザで
確認してみると、http://グローバルIP もしくは、http://ns2.example.com
どちらかでしか閲覧する事が出来ません。しかも、自宅では、ns2.example.comを
閲覧する事が不可能でして、グローバルIPでしか見る事が出来ません。

■ ProFTPD milowebさんの資料を基本に設定。LAN内ではftp.example.comからも
グローバルIPからもプライベートIPからも接続可能。
ただし、「ftp.example.com」からの場合、PASVモードでないと
FFFTP1.82aがフリーズしてしまいます。
OAK様でのFTPテストを新旧共に利用させていただきましたが、
大変喜ばしい結果が表示はされるのですが、自分のマシン設定が疑問です。

客先にてテスト:ACT・PASV共に問題なくすぐに繋がる。 FTTH/OCNプロバイダ経由
RTA55iルータLAN内のWindowsマシンよりFFFTP1.17にてテスト。
自宅にてテスト:ACTは繋がらずフリーズする場合が殆ど。NECのWB7000Hを利用。
PASVでは繋がるが、かなり不安定。 ADSL8M/YBB経由

■ Qmail 内部コマンド「echo To:送信先メールアドレス | /var/*/*/qmail-inject」にて
au、docomo、hotmail等への「root@example.com」テスト送信も可能でした。
ですが、OAK様のメールテストを利用させていただいた際には、SMTPテストは
メールのMXサーバーが みつかりませんMXを設定するようにして下さいとなり、
外部からのテストではAPOPなしがパスワードエラー、ありではエラーです。

また、nanet様のテストで不正中継テストした結果、「root@example.com」では
正常:中継は拒否となり、送出用サーバで、「example.com」では
接続出来るメールサーバがありませんとなってしまい、
「mail.example.com」や「ns2.example.com」では正常に拒否されます。


● 各種詳細内容をここに入れてみました。もし宜しければ御指示願います。
http://www11.plala.or.jp/bandjam/qa_takanosusan.html

大変長文になり、心苦しく思われたかも知れません。本当に申し訳ないです。
ですが、せっかくここまで来たサーバ構築を「不安定で危険な状態」では、
あまりにもサーバマシンが可愛そうでなりません。急だったとは言え私の未熟さが悔しいです。

みなさんの中でもルーターや各種サーバの設定で同じような境遇に合われた方や、
「この部分はこうでないと駄目なんじゃない!?」等の部分があればお聞かせ下さい。

お忙しい中、最後まで読んで下さった方、ありがとうございました。


まずはDNSから片づけましょう

No.11157 投稿時間:2003年07月15日(Tue) 20:22 投稿者名:カイ URL:http://yaguma.com

まずは,公開できない部分はexampleとでもしてnamed.confを
公開してみてはどうでしょう.
Webminは便利な点もある面,不便なところもあります.
できれば,confファイルの設定でいきましょう.
そして,DNSをまず片づける.
それができてから,qmailでもFTPでも順次片づけていけばよいと思います.


ドメイン公開してくれないと答えられません

No.11158 投稿時間:2003年07月15日(Tue) 20:57 投稿者名:OAK URL:

この質問はたいていの人は答えるのが難しいです。

何故かというと、BINDをどう設定したか書いていないし、ドメインも隠しているからです。

私のサイトに来たという事でログを追っかけて、それらしいドメインを調べました
???ng.com ですね。これしかなさそう。

このドメインを色々調べて見ましたが、不安定になる所があります。

プライマリーとセカンダリーの情報が不一致です。
これが不安定の一番の理由だと思われます。
不一致の理由は、たぶんシリアル番号をUPしてないのではないでしょうか
serial = 2
refresh = 3600
retry = 1200
expire = 604800
minimum = 86400
シリアル番号は通常 2003071500 など年4桁月日2桁づつと連番2桁です。こう言うのは守った方がよい

私のサイトでうまく動作しなかったのはminidnsのキャッシュが残っているためのようです。
whoisの登録ネームサーバーを変更した場合はしばらく同じ内容で前のサーバーと伸サーバーを
動かしておく必要があります(2週ぐらい)
更新から10日ぐらい立っていますので、minidnsの登録は抹消したほうが良いでしょう。
さもないといつまでもアドレスを返してしまいます。
miniDNSはトップドメイン削除は手作業で2~3日かかります。そのあとでメールが来ます。
安定するのはこのあとになるかもしれません。

http://www.dnsreport.com/ でワーニングが出るでしょう。


再度confファイル等、色々な見直しをしてみました。

No.11173 投稿時間:2003年07月16日(Wed) 19:12 投稿者名:裕二 URL:http://www11.plala.or.jp/bandjam/

■ カイさん
> まずは,公開できない部分はexampleとでもしてnamed.confを公開してみてはどうでしょう.
カイさん、丁寧な御指示をいただきありがとうございます。
「肝心」なnamed.confを完全に忘れてしまっていました。下記変更分を再公開してみます。

> Webminは便利な点もある面,不便なところもあります.
> できれば,confファイルの設定でいきましょう.
> そして,DNSをまず片づける.
> それができてから,qmailでもFTPでも順次片づけていけばよいと思います.
私もそう思います。本屋や図書館にある著書等からも「Webminで作る・・・」等あるのですが、
探求すればするほど不便な面に遭遇してしまっているのが今の私の現状のようです。
私自身、「ここがおかしいのでは?」と思える各種zoneファイル、confファイル自体を
何度も変更/再起動してみてはいるのですが、どうも思ったようには行ってくれない中、
今の状態には「DNS」に問題があるのでは?と思いました。
何よりもDNSの重要性を頭に置いて考えるようにしてみる事にしてみます。
肝心な「named.conf」ですが、先ほど若干修正した物をこちらに置いておこうかと思います。
本当にありがとうございました。焦らず確実に「DNSの解決」に向かえるよう、頑張ります。

------------------------------------------------------------------------------------------
■ OAKさん

> この質問はたいていの人は答えるのが難しいです。
> 何故かというと、BINDをどう設定したか書いていないし、ドメインも隠しているからです。
> 私のサイトに来たという事でログを追っかけて、それらしいドメインを調べました
> ???ng.com ですね。これしかなさそう。

OAKさん、難しい質問であるにも関わらずご返答いただきありがとうございます。
カイさんもおっしゃられるように「named.conf」の公開が出来ていなかったと言う事と、
ドメインに関して全て変更処理をしていた事、大変申し訳ありませんでした。
はい、その通りです。毎日のようにOAKさんのサイト内の「FTPテスト」「メールテスト」を
利用させていただいております。「何度も申し訳ないな」と思いながらも
「上手く行くようになるまでは」と思い、大変有効に使わせていただいています。

> このドメインを色々調べて見ましたが、不安定になる所があります。
> プライマリーとセカンダリーの情報が不一致です。
> これが不安定の一番の理由だと思われます。
> 不一致の理由は、たぶんシリアル番号をUPしてないのではないでしょうか
> serial = 2
> refresh = 3600
> retry = 1200
> expire = 604800
> minimum = 86400
> シリアル番号は通常 2003071500 など年4桁月日2桁づつと連番2桁です。こう言うのは守った方がよい
「シリアル番号」ですか、GUIにて「勝手に書き換わる物だから大丈夫なんだろう」と間違った自己判断をし、
全然目を向けていなかったです。すぐに全てのファイルを揃え直してみます。

> 私のサイトでうまく動作しなかったのはminidnsのキャッシュが残っているためのようです。
> whoisの登録ネームサーバーを変更した場合はしばらく同じ内容で前のサーバーと伸サーバーを
> 動かしておく必要があります(2週ぐらい)
2週間ほどかかるのですか!?でもさすがにminidnsさん内にある私のドメイン登録の内容は
忘れてしまわないうちにと思い、今削除をしてきました。今後の自宅用に使わせていただこうと思います。

> 更新から10日ぐらい立っていますので、minidnsの登録は抹消したほうが良いでしょう。
> さもないといつまでもアドレスを返してしまいます。
> miniDNSはトップドメイン削除は手作業で2~3日かかります。そのあとでメールが来ます。
> 安定するのはこのあとになるかもしれません。
> http://www.dnsreport.com/ でワーニングが出るでしょう。
はい、早速朝一番に削除してきました。実際にminidns様に頼って「オンライン」にして居た頃、
なぜか色々なサーバソフトが上手く作動していたり、「www+gLTD」、「gLTDのみ」のどちらも
問題なく閲覧出来ていたり、ProFTPDもスムーズに利用出来ていたのが記憶にあります。
minidnsさんの手作業をお待ちし、その間に安定出来るよう再見直しをしようかと思います。
OAKさん、御迷惑をおかけしていますがありがとうございます。
DNSreportの結果やnamed.conf修正後の物を含め、改めて下記アドレスに再公開しておきました。

御指示していただいたnamed.confその他の再添付、ドメイン名の表示、シリアルの変更、
再度confファイルのそれぞれの関連性の確認等、色々な見直しをしてみました。
現在はminidnsも削除し、サーバ機の再起動、「他に間違いはないか」とまだまだ頑張ってみますね。

■ 調整後の現在の各種設定ファイル、DNSreport表示等
http://cgi32.plala.or.jp/bandjam/sv/qa_takasan.html


localとwanと分けたらどうでしょう。

No.11174 投稿時間:2003年07月16日(Wed) 20:49 投稿者名:カイ URL:http://yaguma.com

ns2.air-wing.comは引けるようになっています.
bind9にはせっかくview機能があるのですから,
localとwanと分けたらどうでしょう.
ここに私のnamed.confを出してみます.現在はchrootを使っていません.
/etc/named.conf
key "rndc-key" {
algorithm hmac-md5;
secret "ZMO45butjx6HZQdtnTblokvMUNeDIwE1Pn0r7vehL3GJm4nG3Q/w==";
};
controls {
inet 127.0.0.1 port 953 allow { localhost; } keys { "rndc-key"; };
};

options {
directory "/var/named";
pid-file "/var/run/named.pid";
statistics-file "/var/run/named.stats";
version "なんでもいいよ";
};

// ローカルネットワークの設定
acl localnet {
192.168.1.0/24;
127.0.0.1;
};

// LAN側の設定
view "inside" {
match-clients { localnet; };
// お約束
zone "." {
type hint;
file "named.ca";
};

// localhost逆引き
zone "0.0.127.in-addr.arpa" {
type master;
file "named.local";
};

// 自ドメイン正引き
zone "yaguma.com" {
type master;
file "yaguma.com.local";
// allow-transfer { 192.168.1.102; };
};

// 自ドメイン逆引き
zone "1.168.192.in-addr.arpa" {
type master;
file "yaguma.com.rev";
// allow-transfer { 192.168.1.102; };これは昔lan内でゾーン転送実験をしていた頃の名残です.
};

// 自ドメイン正引き
zone "yaguma.net" {
type master;
file "yaguma.net.local";
// allow-transfer { 192.168.1.102; }
};

};

// WAN側設定
view "outside" {
match-clients { any; };

// 自ドメイン正引き
zone "yaguma.com" {
type master;
file "yaguma.com.zone";
allow-transfer { 219.117.212.40; 61.115.120.47; };
};
//2個目のドメイン正引き
zone "yaguma.net" {
type master;
file "yaguma.net.zone";
//ns14.zone.edit.comのIPアドレス
allow-transfer { 209.126.159.80; };
//ゾーンファイルを書き換えるだけでゾーン転送ができるはずなのだが今のところ動いてない.
notify yes;
};
//セカンダリを引き受けているとこの設定
zone "***.com" {
type slave;
file "nanndemoii.zone";
masters { *.*.*.*; };
};
};


色々とありがとうございます。もう少しのような気がします。

No.11197 投稿時間:2003年07月17日(Thu) 18:03 投稿者名:裕二 URL:http://www11.plala.or.jp/bandjam/

カイさん、OAKさん。この度は色々と良き御指示をいただき、本当にありがとうございました。

朝一番から、カイさんの解説ページに再度訪問させていただきました。
カイさんの表示して下さった「named.conf」に見覚えがあり、色々な事を思い出した為です。
その中で、カイさんご自身もcoregaHGを使っておられた事、DNS設定の流れの中で
gTLDのみでの参照が出来なかった記述があった事を思い出したのです。

再度カイさんのサイト全体をもう一度じっくり読ませていただき、頭の中に叩き込もうと思います。

ただ少し、この経緯の中でふと疑問に思った事や少し気になっている点がありますので、
もしお時間の空いている時で構いませんのでコメントをいただけたらと思います。

------------------------------------------------------------------------------------------
■ カイさん
カイさんによるnamed.confの記述をお見せしていただき、ありがとうございます。
朝からずっとカイさん御自身のページ、ページの上部にもありましたkobaさんのページ、
そして上で公開して下さったnamed.confファイルを比較しながら、格闘しています。
もし、公開して下さったnamed.confを自分自身のグローバルIP、プライベートIP等と
入れ替え、テストしてみる際には特に「どんな部分」に注意するべきでしょうか。

また、テキストの書き換えにkwriteを使っていた中で、「ドットの記述忘れ」を
してしまった経緯がある事があるのですが、今の所「vi」よりも使いやすかったので、
利用している反面、編集ミスに繋がりかねないので危険かなと言う気持ちもあります。
初歩的な質問までしてしまっていますが、すいません。

■ OAKさん
minidnsさんへの削除申請後に、nameserver情報の変更や、minidns内での
ドメイン再登録はあり得ないとして、bind設定ファイルの編集を
ミスが出ないように気を配りながら変更/再起動は問題ないでしょうか?
今のままの記述で大人しく数日待つ事が安全なのでしょうか?

現在、カイさんの「内向きDNSの設定」内にあるように、勝手に書き換えられていた
resolv.confを下記のように変更しています。(service named stop → start)

■ resolv.conf

search air-wing.com
nameserver 127.0.0.1
nameserver 219.117.239.10
nameserver 203.141.128.33


resolv.confが書き換えられるのはルータのdhcpを使っていたからです。

No.11200 投稿時間:2003年07月17日(Thu) 18:24 投稿者名:カイ URL:http://yaguma.com

> もし、公開して下さったnamed.confを自分自身のグローバルIP、プライベートIP等と
> 入れ替え、テストしてみる際には特に「どんな部分」に注意するべきでしょうか。
コピペだと空白部分に気を付けてください.2バイト文字の空白があるかもしれません.
> 現在、カイさんの「内向きDNSの設定」内にあるように、勝手に書き換えられていた
> resolv.confを下記のように変更しています。(service named stop → start)
resolv.confが書き換えられるのはルータのdhcpを使っていたからです.
固定ならば書き換えられません.サーバ機にするなら固定の方がよいと思います.


出来るだけCNAMEを利用せずにAレコードで書くようにしてみようと思います。

No.11203 投稿時間:2003年07月17日(Thu) 19:28 投稿者名:裕二 URL:http://www11.plala.or.jp/bandjam/

早速の御回答、本当に感謝いたします。

coregaルータのDHCPですが、チェックが入っていました。
見落としていましのたで、チェックを外し全てのマシンを固定取得に切り替えしました。

先ほどのconf修正したファイル
## named.conf - configuration for bind

key "rndc-key" {
algorithm hmac-md5;
secret "ここは一旦伏せておいた方が良いんですよね?";
};

controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};

options {
directory "/var/named";
pid-file "/var/run/named.pid";
statistics-file "/var/run/named.stats";
version "kaisan-ver";
};

// ローカルネットワークの設定
acl localnet {
192.168.1.0/24;
127.0.0.1;
};

// LAN側の設定
view "inside" {
match-clients { localnet; };
// お約束
zone "." {
type hint;
file "named.ca";
};

// localhost逆引き
zone "0.0.127.in-addr.arpa" {
type master;
file "named.local";
};

// 自ドメイン正引き
zone "air-wing.com" {
type master;
file "air-wing.com.local";
// allow-transfer { 192.168.1.21; };
};

// 自ドメイン逆引き
zone "1.168.192.in-addr.arpa" {
type master;
file "air-wing.com.rev";
// allow-transfer { 192.168.1.21; };
};

// 自ドメイン正引き
// zone "yaguma.net" {
// type master;
// file "yaguma.net.local";
// allow-transfer { 192.168.1.102; }
// };

};

// WAN側設定
view "outside" {
match-clients { any; };

// 自ドメイン正引き
zone "air-wing.com" {
type master;
file "air-wing.com.zone";
allow-transfer { 219.117.239.10; 203.141.128.33; };
};
//2個目のドメイン正引き
// zone "yaguma.net" {
// type master;
// file "yaguma.net.zone";
// ns14.zone.edit.comのIPアドレス
// allow-transfer { 209.126.159.80; };
//ゾーンファイルを書き換えるだけでゾーン転送ができるはずなのだが今のところ動いてない.
// notify yes;
// };
//セカンダリを引き受けているとこの設定
zone "tegtan1.interlink.or.jp" {
type slave;
file "interlink.zone";
masters { 203.141.128.33; };
};
};

と、このようにしてみました。この後、「1.168.192.in-addr.arpa.zone」のファイル名を
「air-wing.com.rev」に変更、そしてセカンダリのゾーンファイルとして見立てた「interlink.zone」を
「air-wing.com.zone」と似た形式での設定に変更し、再度見直しをしてカイさんと同じように
/var/named/air-wing.com内の「@ IN A 192.168.1.21」への注意をしながら、
出来るだけCNAMEを利用せずにAレコードで書くようにしてみようと思います。

まだまだ悪戦苦闘しながら頑張ろうと思います。また結果を報告させて下さいね。
ありがとうございます。


ここは違います。

No.11204 投稿時間:2003年07月17日(Thu) 20:14 投稿者名:カイ URL:http://yaguma.com

> //セカンダリを引き受けているとこの設定
> zone "tegtan1.interlink.or.jp" {
> type slave;
> file "interlink.zone";
> masters { 203.141.128.33; };
ここは違います.ここは私が知人のセカンダリを引き受けていると言うことです.


いろいろためしてください

No.11214 投稿時間:2003年07月18日(Fri) 09:03 投稿者名:OAK URL:

> ■ OAKさん
> minidnsさんへの削除申請後に、nameserver情報の変更や、minidns内での
> ドメイン再登録はあり得ないとして、bind設定ファイルの編集を
> ミスが出ないように気を配りながら変更/再起動は問題ないでしょうか?
> 今のままの記述で大人しく数日待つ事が安全なのでしょうか?

昨夜minidnsが止まった事でもあり、もうキャッシュは残っていないとおもいますので
どんどん行なって大丈夫でしょう。


DNSサーバーの設定をまとめながら報告に来させていただきますね。

No.11216 投稿時間:2003年07月18日(Fri) 09:57 投稿者名:裕二 URL:http://www11.plala.or.jp/bandjam/

おはようございます。カイさん、OAKさん。御回答ありがとうございます。

カイさん、了解しました。また勘違いして捕らえてしまいました。
スレーブ設定欄をコメントアウトし、これから再度微調整をしてみます。
あと、「air-wing.com」だけでの閲覧も出来るようにして挑戦してみます。

OAKさん、安心しました。昨夜、なぜかスムーズにFTP接続のテストが
出来たのはその理由からキャッシュが消えて行く最中だったのですね。
もう一度どんどんテストをしてみたいと思います。

一つ気になったのですが、DNSreport内の「MX」欄で、「MX A lookups have no CNAMEs」から
あるように、基本的には略さず、「A」レコードを書き記す方が間違いが少ないのですね?
それに「Mail」欄にある「Acceptance of domain literals」のコメント部もかなり気になります。
http://www.dnsreport.com/tools/dnsreport.ch?domain=air-wing.com

その前にまず、DNS設定をまとめながら報告に来させていただきますね。


|目次|掲示板|過去ログ目次|▲頁先頭|