投稿日:2006年10月06日 作成鷹の巣

No.20983 プライマリDNSが機能しなくなる



プライマリDNSが機能しなくなる

No.20983 投稿時間:2006年10月06日(Fri) 23:18 投稿者名:とうもろこし URL:

プライマリDNSが機能しなくなる


OCNの固定IPを取得して、FreeBSD4.9-R、BIND8.2.4.、apache1.3.24.にて、サーバ管理している新米です。
前任者がサーバ構築して管理していたのが2002~2005年で、それ以来、私が担当していますが、やっていたのはログ管理と不正アクセスを試みるIPに対してのブロック対策ぐらいで、サーバの設定自体は何も手をいれていませんでした。

外界からはADSLモデム⇒ルーター(BUFFALO BBR-4HG)を経由して、片方はWWW&DNS&メールサーバ(プライマリ)、もう片方はプロキシサーバ(FreeBSD4.9-R、Delegate8.7.3.)からHUBを通してPC4台となっています。

先日、内からReal Playerの利用、Skypeの利用をすべく調べておりまして、まずRTSP Proxy Kit2.0のセットアップを試みていました。

WWW&DNS&メールサーバにて、Ports経由でRTSP Proxy Kit2.0をインストールして起動する所まではできていまして、内から外へのWWWとメールも正常でした。その後に、WWW&DNS&メールサーバを再起動(shutdown -r now)した後、それまで正常だった内から外へのWWWとメールが、できなくなっていました。

そして、RTSP Proxyの起動スクリプト、プログラムを削除して再起動し直しても元の正常な状態に戻れていませんでした。
ただ、OCNのセカンダリが生きているので、外からは問題はなく大きな支障にはなっていないのは幸いでしたが。

WWW&DNS&メールサーバで、表示されるようになったエラーは、次のようなものです。(メモからの手打ちなのでミスがあるかも)
※Can't find server name for address <固定IP>: query refused (nslookup実行時)
※bsd named[xxx]: denied query form [グローバルIP].ポート番号 "ゾーンファイル情報~
※bsd named[xxx]: bund(dfd=20, [固定IP].53); Address already use
※bsd named[xxx]: bund(dfd=20, [127.0.0.1].53); Address already use

ネットであれこれ調べても、逆引きの設定が間違っているというぐらいで、何も判りませんでした。(再起動前までは正常でしたので間違ってはいない筈)

OCNのサポートへ電話した所、53/tcpが閉じているという返事のみで、それ以上判りませんでした。(事前に、ルーターは53番ポートを通す設定済み、netstatにより53/tcpのLISTEN状態も確認済み)

一週間前から何度もnamed.restartを掛けてもエラー類のメッセージは出ずに終了しますが、OCNのセカンダリサーバから一向に切り替わりませんでした。(named.rootが古くno matchの表示が出ていたぐらいで、それは新しいnamed.rootを取得してからでなくなった)

TTL値は、86400(24時間)で設定し、digコマンドを実行した時、QUERYだけが1で、後のANSWER等は0のままでした。

ports経由で、lsofなるツールを入れようとした時、下記のエラーがでるようになりました。RTSP Proxyの時は正常に動きましたが、今回の問題発生を境におかしくなりました。(psコマンドで調べると、portmapは正常に稼動しているのになぁ。。)
DNSが死んでいる状態なので、下記はMakefileの中のftp記述のホスト名は、nslookupで調べたIPアドレスに置き換えて実行しました。
※There is a COMMENTFILE in this port.
COMMENTFILEs have been deprecated in
favor of COMMENT variables.
Please, rectify this.
*** Error code 1

Stop.


本件のDNS問題の原因を探るべく、FreeBSDのカーネル解説本を読んだりもしたんですが、相変わらず原因が判らず困っています。何かお心当たりがありましたら、些細なことでもいいのでご意見、ご助言を頂きたくよろしくお願い申し上げます。


Re: プライマリDNSが機能しなくなる

No.20986 投稿時間:2006年10月08日(Sun) 16:38 投稿者名:ふぁらだ URL:

> プライマリDNSが機能しなくなる
>
>
> OCNの固定IPを取得して、FreeBSD4.9-R、BIND8.2.4.、apache1.3.24.にて、サーバ管理している新米です。
> 前任者がサーバ構築して管理していたのが2002~2005年で、それ以来、私が担当していますが、やっていたのはログ管理と不正アクセスを試みるIPに対してのブロック対策ぐらいで、サーバの設定自体は何も手をいれていませんでした。
>
> 外界からはADSLモデム⇒ルーター(BUFFALO BBR-4HG)を経由して、片方はWWW&DNS&メールサーバ(プライマリ)、もう片方はプロキシサーバ(FreeBSD4.9-R、Delegate8.7.3.)からHUBを通してPC4台となっています。
>
> 先日、内からReal Playerの利用、Skypeの利用をすべく調べておりまして、まずRTSP Proxy Kit2.0のセットアップを試みていました。
>
> WWW&DNS&メールサーバにて、Ports経由でRTSP Proxy Kit2.0をインストールして起動する所まではできていまして、内から外へのWWWとメールも正常でした。その後に、WWW&DNS&メールサーバを再起動(shutdown -r now)した後、それまで正常だった内から外へのWWWとメールが、できなくなっていました。
>
> そして、RTSP Proxyの起動スクリプト、プログラムを削除して再起動し直しても元の正常な状態に戻れていませんでした。
> ただ、OCNのセカンダリが生きているので、外からは問題はなく大きな支障にはなっていないのは幸いでしたが。
>
> WWW&DNS&メールサーバで、表示されるようになったエラーは、次のようなものです。(メモからの手打ちなのでミスがあるかも)
> ※Can't find server name for address <固定IP>: query refused (nslookup実行時)
> ※bsd named[xxx]: denied query form [グローバルIP].ポート番号 "ゾーンファイル情報~
> ※bsd named[xxx]: bund(dfd=20, [固定IP].53); Address already use
> ※bsd named[xxx]: bund(dfd=20, [127.0.0.1].53); Address already use
>
> ネットであれこれ調べても、逆引きの設定が間違っているというぐらいで、何も判りませんでした。(再起動前までは正常でしたので間違ってはいない筈)
>
> OCNのサポートへ電話した所、53/tcpが閉じているという返事のみで、それ以上判りませんでした。(事前に、ルーターは53番ポートを通す設定済み、netstatにより53/tcpのLISTEN状態も確認済み)
>
> 一週間前から何度もnamed.restartを掛けてもエラー類のメッセージは出ずに終了しますが、OCNのセカンダリサーバから一向に切り替わりませんでした。(named.rootが古くno matchの表示が出ていたぐらいで、それは新しいnamed.rootを取得してからでなくなった)
>
> TTL値は、86400(24時間)で設定し、digコマンドを実行した時、QUERYだけが1で、後のANSWER等は0のままでした。
>
> ports経由で、lsofなるツールを入れようとした時、下記のエラーがでるようになりました。RTSP Proxyの時は正常に動きましたが、今回の問題発生を境におかしくなりました。(psコマンドで調べると、portmapは正常に稼動しているのになぁ。。)
> DNSが死んでいる状態なので、下記はMakefileの中のftp記述のホスト名は、nslookupで調べたIPアドレスに置き換えて実行しました。
> ※There is a COMMENTFILE in this port.
> COMMENTFILEs have been deprecated in
> favor of COMMENT variables.
> Please, rectify this.
> *** Error code 1
>
> Stop.
>
>
> 本件のDNS問題の原因を探るべく、FreeBSDのカーネル解説本を読んだりもしたんですが、相変わらず原因が判らず困っています。何かお心当たりがありましたら、些細なことでもいいのでご意見、ご助言を頂きたくよろしくお願い申し上げます。

色々ゴチョゴチョと書かれていますが、問題はDNSの話なんですよね。
DNSは動いているのですが動いていないのですか。
それさえ自分で調べられないのですか。
A)DNSが死んでいる状態なので
を見ると、動いていない

B)53/tcpが閉じているという
なら動いていない

C)netstatにより53/tcpのLISTEN状態も確認
なら動いている

ちゃんとdig @127.0.0.1 ホスト名 で調べること。

まず自分のDNSが動かない限り、セカンダリーは動作しません。
セカンダリーが動作開始するのも数時間要する場合もあります。
ルーターは一度電源を落としてみて下さい。
(こんなおもちゃルーターをSOHOで使うのは非常識なのですが)
BSDのサーバーのDNSが動作しているかを確認する。digを使う事
それとDNSはtcpとudp両方開く必要がある。
外部から自分のdnsが動いているかを確認するには
http://www.tti.co.jp/nslookup/
で、Hostnameに自分のドメイン、RecordはA、Nameserverに自分のグローバルアドレス
を入れればはっきりします。


Re^2: プライマリDNSが機能しなくなる

No.20988 投稿時間:2006年10月08日(Sun) 19:55 投稿者名:とうもろこし URL:

ご回答ありがとう御座いました。
勉強初めて間もない無知さ加減がでてしまいましたが、お付き合い頂ければ幸いです。

> 色々ゴチョゴチョと書かれていますが、問題はDNSの話なんですよね。
表題の通りです。
長々と経緯を書きすぎて、逆に判りづらくなり申し訳ありません。

> DNSは動いているのですが動いていないのですか。
> それさえ自分で調べられないのですか。
psコマンドで調べた限り、namedは起動しています。
また、named.restartを実行した際にもエラーは出ていません。

> C)netstatにより53/tcpのLISTEN状態も確認
> なら動いている
その通りです。

> ちゃんとdig @127.0.0.1 ホスト名 で調べること。
実行した結果です。
bsd.xxxx.xx.xxは、DNSサーバの名前です。
今回の問題が起きてから、何とかnamed.restartで認識させようと、先日serialの値を変えてみました。(結果は何も変わりませんでしたが)

; <<>> DiG 8.3 <<>> @127.0.0.1 xxxx.xx.xx
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58437
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUERY SECTION:
;; xxxx.xx.xx, type = A, class = IN

;; AUTHORITY SECTION:
xxxx.xx.xx. 1D IN SOA bsd.xxxx.xx.xx. postmaster.bsd.xxxx.xx.xx. (
2006100201 ; serial
3H ; refresh
1H ; retry
1W ; expiry
1D ) ; minimum
;; Total query time: 0 msec
;; FROM: bsd.xxxx.xx.xx to SERVER: 127.0.0.1
;; WHEN: Sun Oct 8 18:25:01 2006
;; MSG SIZE sent: 28 rcvd: 79


> まず自分のDNSが動かない限り、セカンダリーは動作しません。
> セカンダリーが動作開始するのも数時間要する場合もあります。

ふむふむ。


> ルーターは一度電源を落としてみて下さい。
> (こんなおもちゃルーターをSOHOで使うのは非常識なのですが)

ルーターの電源は一度落としまして、結果としては何も変化がありませんでした。
あと参考程度に教えて頂きたいのですが、SOHOレベルでもどの辺のルーターがお勧めでしょうか?


> BSDのサーバーのDNSが動作しているかを確認する。digを使う事
> それとDNSはtcpとudp両方開く必要がある。

udpのポートの開け方は、ルーターの設定以外に何がありますでしょうか?
こちらも調べていて、全然情報がなかったもので詰まっています。


> 外部から自分のdnsが動いているかを確認するには
> http://www.tti.co.jp/nslookup/
> で、Hostnameに自分のドメイン、RecordはA、Nameserverに自分のグローバルアドレス
> を入れればはっきりします。

結果は、次の通りでした。
結論としては、私が調べた限りの域をでていない状態です。
環境面は、正常に動作していた頃より変えていない(少なくとも私は変えていない)にも関わらず、
BINDは動作していても原因不明で機能が死んだままなので、休み返上で調べて悩み続いている状態です。

Server: xxx.xx.xxx.x
Address: xxx.xx.xxx.x#53

** server can't find xxxx.xx.jp: REFUSED


最後に、私の参考書籍は次の通りです。
・図解でわかる Linuxサーバ構築・設定のすべて
一戸秀男・著(日本実業出版社)

・BIND入門
榊正憲・著(アスキー)

・DNS & BIND クックブック ネームサーバ管理者のためのレシピ集
Cricket Liu・著、伊藤高一・監訳、田淵貴昭・訳(オライリー・ジャパン)

・第4版 DNS & BIND (「バッタ本」と呼ばれる理由がわかりました。。)
Paul Albitz, Cricket Liu・著、高田広昭、小島育夫、小舘光正・訳(オライリー・ジャパン)


以上です。


Re^3: プライマリDNSが機能しなくなる

No.20990 投稿時間:2006年10月08日(Sun) 20:32 投稿者名:ふぁらだ URL:

> psコマンドで調べた限り、namedは起動しています。
> また、named.restartを実行した際にもエラーは出ていません。
>
> > C)netstatにより53/tcpのLISTEN状態も確認
> > なら動いている
> その通りです。
>

> > ちゃんとdig @127.0.0.1 ホスト名 で調べること。
> 実行した結果です。
> bsd.xxxx.xx.xxは、DNSサーバの名前です。
> 今回の問題が起きてから、何とかnamed.restartで認識させようと、先日serialの値を変えてみました。(結果は何も変わりませんでしたが)
>
> ; <<>> DiG 8.3 <<>> @127.0.0.1 xxxx.xx.xx
> ; (1 server found)
> ;; res options: init recurs defnam dnsrch
> ;; got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58437
> ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
> ;; QUERY SECTION:
> ;; xxxx.xx.xx, type = A, class = IN
>
> ;; AUTHORITY SECTION:
> xxxx.xx.xx. 1D IN SOA bsd.xxxx.xx.xx. postmaster.bsd.xxxx.xx.xx. (
> 2006100201 ; serial
> 3H ; refresh
> 1H ; retry
> 1W ; expiry
> 1D ) ; minimum
> ;; Total query time: 0 msec
> ;; FROM: bsd.xxxx.xx.xx to SERVER: 127.0.0.1
> ;; WHEN: Sun Oct 8 18:25:01 2006
> ;; MSG SIZE sent: 28 rcvd: 79

これでは動作していません。
Aレコードが返ってきていません。
zone file のAレコードは正しく設定されていますか?
或いはwwwサーバーのドメインを正しく入れていますか。FQDNですよ。取得ドメイン名ではないでよ。

> ルーターの電源は一度落としまして、結果としては何も変化がありませんでした。
> あと参考程度に教えて頂きたいのですが、SOHOレベルでもどの辺のルーターがお勧めでしょうか?

現状127.0.0.1でもだめなのでルーターは関係ありませんが、後々のことを考えると
このようなルータはサーバーを立てるだけの考慮がなされていませんので
特にDNSではudpを使うのでそれなりの物を使うのが良いと思います。
今回の問題が解決した後での話しですが、2~3万の製品に良い物がありますので今後の検討を。
メーカー名だと、CENTURY、OMRON、MICRO RESEARCH、YAMAHA、アライド等


> > BSDのサーバーのDNSが動作しているかを確認する。digを使う事
> > それとDNSはtcpとudp両方開く必要がある。
>
> udpのポートの開け方は、ルーターの設定以外に何がありますでしょうか?
> こちらも調べていて、全然情報がなかったもので詰まっています。
>
>
> > 外部から自分のdnsが動いているかを確認するには
> > http://www.tti.co.jp/nslookup/
> > で、Hostnameに自分のドメイン、RecordはA、Nameserverに自分のグローバルアドレス
> > を入れればはっきりします。
>
> 結果は、次の通りでした。
> 結論としては、私が調べた限りの域をでていない状態です。
> 環境面は、正常に動作していた頃より変えていない(少なくとも私は変えていない)にも関わらず、
> BINDは動作していても原因不明で機能が死んだままなので、休み返上で調べて悩み続いている状態です。
>
> Server: xxx.xx.xxx.x
> Address: xxx.xx.xxx.x#53
>
> ** server can't find xxxx.xx.jp: REFUSED

REFUSEDは最悪の答えです。(接続さえ出来ない)


Re^4: プライマリDNSが機能しなくなる

No.20991 投稿時間:2006年10月08日(Sun) 21:23 投稿者名:とうもろこし URL:

ご回答ありがとう御座いました。


> これでは動作していません。
> Aレコードが返ってきていません。
> zone file のAレコードは正しく設定されていますか?
> 或いはwwwサーバーのドメインを正しく入れていますか。FQDNですよ。取得ドメイン名ではないでよ。

定義としては、下記のようにしています。
元々、正常に動いていた時からの設定のままです。(最後にピリオドを付いています)

bsd.xxxx.xx.xx. IN A xxx.xx.xxx.x
dns.xxxx.xx.xx. IN A xxx.xx.xxx.x
gate.xxxx.xx.xx. IN A xxx.xx.xxx.x <-- プロキシサーバ

localhost IN A 127.0.0.1


> 特にDNSではudpを使うのでそれなりの物を使うのが良いと思います。
> 今回の問題が解決した後での話しですが、2~3万の製品に良い物がありますので今後の検討を。
> メーカー名だと、CENTURY、OMRON、MICRO RESEARCH、YAMAHA、アライド等

ありがとう御座います。
機種選定の時の参考にさせて頂きます。


> > Server: xxx.xx.xxx.x
> > Address: xxx.xx.xxx.x#53
> >
> > ** server can't find xxxx.xx.jp: REFUSED
>
> REFUSEDは最悪の答えです。(接続さえ出来ない)

最悪ですか。。

一週間以上悩み続けつつ、エラーメッセージをキーにググって情報を漁るも
正解らしいものが見当たらず、です。
そう簡単に答えが見つからないのかもしれません。

あと、下記の書籍の原著者がやっているサイトの調査サービス結果を付けます。
見る人によって、少しでも情報になれば良いのですが。

私は、できるうるだけの情報を出したいと思いますので、「こんなコマンドを実行した結果を知りたい」
ということがありましたら、判断材料として提示させて頂きますのでご要望して下さい。お願い致します。


> ・DNS & BIND クックブック ネームサーバ管理者のためのレシピ集
> Cricket Liu・著、伊藤高一・監訳、田淵貴昭・訳(オライリー・ジャパン)

https://secure.menandmice.com/tools/dns_expert.jsp より。


尚、ns-xxxxx.ocn.ad.jp は、セカンダリサーバです。


▼メール本文
Subject: Your DNSExpert report for xxxx.xx.xx

Dear customer,

Thank you for using the Men & Mice DNS Analyzing service.
Attached you will find the DNS Expert report for your domain.
We hope you find it useful in cleaning up your part of the global DNS.

The DNS Expert technology is also available for analyzing of your internal DNS (also Active Directory integrated):

- DNS Expert Monitor (for standard DNS):
http://www.menandmice.com/2000/2400_dns_expert_mo.html

- DNS Expert AD (for Active Directory):
http://www.menandmice.com/2000/2500_dns_expert_ad.html

Regards,
Men & Mice DNS Analysis team


There is a better way!
__________________________________________________________________________
DNS & IP Address Management - DNS Analyzing - DNS & AD Training/Consulting
http://www.menandmice.com


▼調査レポート内容
DNS Expert
Report for xxxx.xx.xx.
Generated Oct 7, 2006 - 09:54:33

======================================================================

Information
----------------------------------------------------------------------
Number of errors: 1
Number of warnings: 4

Errors
----------------------------------------------------------------------
o It was not possible to contact any of the authoritative name servers
[1115:6]
It was not possible to contact any of the name servers that are
authoritative for the zone. No further testing of the zone will
be possible.


Warnings
----------------------------------------------------------------------
o The name server "bsd.xxxx.xx.xx." refused to answer a query
[2592:0]
The server "bsd.xxxx.xx.xx." refused to answer a query. This
server will not be used to look up information about the zone.

o The primary name server "bsd.xxxx.xx.xx." is not responding
[2514:4]
The server "bsd.xxxx.xx.xx.", which is listed as being the
primary server for the zone, is not responding. The zone data
from the server "ns-xxxxx.ocn.ad.jp." will be used instead.

o The name server "ns-xxxxx.ocn.ad.jp." does not permit zone transfers
[2593:0]
The name server "ns-xxxxx.ocn.ad.jp." has been configured to
reject unauthorized zone transfers and the application will not
be able to use data from this server while analyzing the zone.

o Zone transfer from authoritative servers not possible
[2516:0]
It was not possible to perform a zone transfer from any of the
authoritative name servers for the zone. This will limit the
range of tests performed for the zone.


----------------------------------------------------------------------
end of report

以上です。


Re^5: プライマリDNSが機能しなくなる

No.20992 投稿時間:2006年10月08日(Sun) 22:55 投稿者名:ふぁらだ URL:

bsd.xxxx.xx.xxを127.0.0.1 でアドレス解決すればすべて収まる風ですね。

named.conf か zone にスペルミスは無いでしょうか。
そう考えると簡単
named の再startは念のため
ps aux | grep name
でプロセスIDを求め
kill XXX
で止めて下さい
namedを実行してエラーは出ませんか ログは /var/log/messages かな

後半の英文を読むとOCNのキャッシュは動作中のようです。
貴方のDNSがやはり動いていないと書かれているようです。


Re^6: プライマリDNSが機能しなくなる

No.20993 投稿時間:2006年10月09日(Mon) 15:33 投稿者名:とうもろこし URL:

いつもご回答ありがとう御座います。

> bsd.xxxx.xx.xxを127.0.0.1 でアドレス解決すればすべて収まる風ですね。
>
> named.conf か zone にスペルミスは無いでしょうか。

手を入れたのはserial値ぐらいですし、他の箇所も何度も指差し確認しています。(もう「イージーミスしてろっその方が気が楽だっっ」な思いで。。)


> named の再startは念のため
> ps aux | grep name
> でプロセスIDを求め
> kill XXX
> で止めて下さい
> namedを実行してエラーは出ませんか ログは /var/log/messages かな

プロセスを殺してnamedを実行した結果は、次の通りでした。
相変わらずDNSが機能していない状態で、起動だけはしているって感じですね。。。

Oct 9 14:25:30 bsd named[10905]: starting (/etc/named/named.conf). named 8.3.6-REL Mon Oct 27 14:55:35 GMT 2003 root@freebsd-stable.sentex.ca:/usr/obj/usr/src/user.sbin/named
Oct 9 14:25:30 bsd named[10906]: limit files set to fdlimit (1024)
Oct 9 14:25:30 bsd named[10906]: Ready to answer queries.
Oct 9 14:25:50 bsd named[10906]: denied query from [111.222.333.444].3288 for "xxxx.xx.xx" SOA/IN
Oct 9 14:25:52 bsd named[10906]: denied query from [111.22.333.4].2121 for "4.333.22.111.in-addr.arpa" PTR/IN
(以下略)

※尚、今回の仮表記は次のようにしています。
・xxxx.xx.xx・・・・ドメイン名
・111.22.333.4・・・プライマリ(bsd.xxxx.xx.xx)のIPアドレス
・111.222.333.444・・セカンダリ(ns-xxxxx.ocn.ad.jp.)のIPアドレス


▼以前の返信で書いたAレコード定義を、上記の表記で修正したもの。

bsd.xxxx.xx.xx. IN A 111.22.333.4
dns.xxxx.xx.xx. IN A 111.22.333.4
gate.xxxx.xx.xx. IN A 111.22.333.5 <-- プロキシサーバ

localhost IN A 127.0.0.1


> 後半の英文を読むとOCNのキャッシュは動作中のようです。
> 貴方のDNSがやはり動いていないと書かれているようです。

私は、翻訳サイトに英文入れて大意を掴んだだけなんですが、やはり仰る通りのニュアンスでしたのでガックシきました。
色々と調べてみても、最終手段は一からプライマリサーバ(BINDだけで済めばまだいい方かも)を構築し直す、
っていうネット情報しか手札が残っていない状態です。よろしくお願い致します。


以上です。


Re^7: プライマリDNSが機能しなくなる

No.20996 投稿時間:2006年10月09日(Mon) 18:44 投稿者名:ふぁらだ URL:

> Oct 9 14:25:30 bsd named[10905]: starting (/etc/named/named.conf). named 8.3.6-REL Mon Oct 27 14:55:35 GMT 2003 root@freebsd-stable.sentex.ca:/usr/obj/usr/src/user.sbin/named
> Oct 9 14:25:30 bsd named[10906]: limit files set to fdlimit (1024)
> Oct 9 14:25:30 bsd named[10906]: Ready to answer queries.
> Oct 9 14:25:50 bsd named[10906]: denied query from [111.222.333.444].3288 for "xxxx.xx.xx" SOA/IN
> Oct 9 14:25:52 bsd named[10906]: denied query from [111.22.333.4].2121 for "4.333.22.111.in-addr.arpa" PTR/IN
> (以下略)
>
> ※尚、今回の仮表記は次のようにしています。
> ・xxxx.xx.xx・・・・ドメイン名
> ・111.22.333.4・・・プライマリ(bsd.xxxx.xx.xx)のIPアドレス
> ・111.222.333.444・・セカンダリ(ns-xxxxx.ocn.ad.jp.)のIPアドレス

このログから判断しますと、セカンダリ[111.222.333.444]からの問い合わせに失敗の応答している。
[111.22.333.4]はプライマリと書いてありますが、プライマリですか?プライマリが逆引き問い合わせをする事は無いはず。と言うよりプライマリーとこのサーバーは同じものですよね。
それなら /etc/named.conf が問題となる
allow-query { any; };
allow-transfer { (OCNのセカンダリDNSアドレス) };
など

基本的な確認ですが
WWW、DNS、メールサーバは1台で全部兼ねている。
そのサーバーから外部への接続は問題ない。
プロバイダー契約はIP8個で、ルーターの設定はunnumbered接続。最下位アドレス+1をルータ、+2がDNS +3をproxyにあてている。
ルーターのパケットフィルターはTCP/UDP-53を止めるようなことはない。

$ netstat -nl | grep 53 はどんなでしょう。(以下私の場合)
tcp 0 0 192.168.1.1:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
udp 0 0 192.168.1.1:53 0.0.0.0:*
udp 0 0 127.0.0.1:53 0.0.0.0:*
となるはず

BINDを入れなおさなければだめなのかな。今はBIND9が標準だから。


Re^8: プライマリDNSが機能しなくなる

No.20997 投稿時間:2006年10月09日(Mon) 19:29 投稿者名:とうもろこし URL:

いつもご回答ありがとう御座います。


> > ※尚、今回の仮表記は次のようにしています。
> > ・xxxx.xx.xx・・・・ドメイン名
> > ・111.22.333.4・・・プライマリ(bsd.xxxx.xx.xx)のIPアドレス
> > ・111.222.333.444・・セカンダリ(ns-xxxxx.ocn.ad.jp.)のIPアドレス
>
> このログから判断しますと、セカンダリ[111.222.333.444]からの問い合わせに失敗の応答している。
> [111.22.333.4]はプライマリと書いてありますが、プライマリですか?プライマリが逆引き問い合わせをする事は無いはず。と言うよりプライマリーとこのサーバーは同じものですよね。

現在、OCNセカンダリが代わりに動いている状態です。
故に、外からのメール送受信、ホームページの閲覧などに支障が出ていませんので、外部の関係者に対しても辛うじてご迷惑を掛けずに済んでいる、という感じです。


> それなら /etc/named.conf が問題となる
> allow-query { any; };
> allow-transfer { (OCNのセカンダリDNSアドレス) };
> など

allow-query { 127.0.0.1; }; となっています。
allow-transferは、使用していません。
forwarders{ (OCNのセカンダリDNSアドレス) };となっています。


> 基本的な確認ですが
> WWW、DNS、メールサーバは1台で全部兼ねている。
> そのサーバーから外部への接続は問題ない。

はい、その通りです。


> プロバイダー契約はIP8個で、ルーターの設定はunnumbered接続。最下位アドレス+1をルータ、+2がDNS +3をproxyにあてている。
> ルーターのパケットフィルターはTCP/UDP-53を止めるようなことはない。

今回の問題が起きる前ではルーターの設定で53/tcp、53/udpを開けずにサーバ運用しましたが、今思うと何故か問題は起きていませんでした。
そして、問題発生後に自分で情報を集めた中で、ここに相談を書き込む前に明示的にポートを開けるようにしました。


> $ netstat -nl | grep 53 はどんなでしょう。(以下私の場合)
> tcp 0 0 192.168.1.1:53 0.0.0.0:* LISTEN
> tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
> udp 0 0 192.168.1.1:53 0.0.0.0:*
> udp 0 0 127.0.0.1:53 0.0.0.0:*
> となるはず

私の場合は、次のようになりました。
ぱっとした見た目としては、同じようですね。。。(うむむ

tcp4 0 0 127.0.0.1.53 *.* LISTEN
tcp4 0 0 111.22.333.4.53 *.* LISTEN
udp4 0 0 127.0.0.1.53 *.*
udp4 0 0 111.22.333.4.53 *.*


> BINDを入れなおさなければだめなのかな。今はBIND9が標準だから。

なるほど、やはりそうなりますよね。(^^;


あと、先日教えて頂いたdigコマンドによる調べ方ですが、過去のやり取りを今一度見直していて「ホスト名」にドメイン名を入れて実行していたのを見つけました。(理解ミスですね。。
そして、bsd.xxxx.xx.jpを入れてやり直したのが、↓です。申し訳ないです。

; <<>> DiG 8.3 <<>> @127.0.0.1 bsd.xxxx.xx.jp
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52105
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUERY SECTION:
;; bsd.xxxx.xx.xx, type = A, class = IN

;; ANSWER SECTION:
bsd.xxxx.xx.jp. 1D IN A 111.22.333.4

;; AUTHORITY SECTION:
xxxx.xx.jp. 1D IN NS bsd.xxxx.xx.jp.
xxxx.xx.jp. 1D IN NS ns-xxxxx.ocn.ad.jp.

;; ADDITIONAL SECTION:
bsd.xxxx.xx.jp. 1D IN A 111.22.333.4
ns-xxxxx.ocn.ad.jp. 12h23m38s IN A 111.222.333.444

;; Total query time: 0 msec
;; FROM: bsd.xxxx.xx.xx to SERVER: 127.0.0.1
;; WHEN: Mon Oct 9 18:36:17 2006
;; MSG SIZE sent: 32 rcvd: 124


以上です。


Re^9: プライマリDNSが機能しなくなる

No.20998 投稿時間:2006年10月09日(Mon) 21:53 投稿者名:ふぁらだ URL:

今までの話は何だったのだろうかと思わせるレスです。
設定はunnumbered接続なんですよね。
それならポートを開けるなんて必要ない(出来ない)ポート開放したとはどういう事でしょうか
もしかしたらNATを使っているのですか。ここは大変重要な話。

最後のdigではAレコードが正しく出ているようですからBIND自体の問題はありません。
問題となるのは
> allow-query { 127.0.0.1; }; となっています。
> allow-transferは、使用していません。
> forwarders{ (OCNのセカンダリDNSアドレス) };となっています。
の3行。
allow-query { 127.0.0.1; }; は allow-query { any; }; でないと公開していない状態
allow-transfer も allow-transfer{ any;}; でも良いですから設定しないとOCNでセカンダリが動けません
forwarders はLANでのアドレス解決方法ですから外部へのサーバーでは関係ありません。


Re^10: プライマリDNSが機能しなくなる【解決】

No.21005 投稿時間:2006年10月10日(Tue) 11:05 投稿者名:とうもろこし URL:

ふぁらだ様、いつもご回答ありがとう御座います。そして、大変お世話になりました。感謝いたします。
表題の通り、無事解決致しました。(nslookup結果の正常化、ローカルから外へのwebとメールのアクセスも確認しました)


> 今までの話は何だったのだろうかと思わせるレスです。

問題発生する前までは、現行の設定でDNSが動作していたのも事実なんです。
故に設定自体が間違っている(また、勝手にRTSP Proxyの起動時等で書き換えられたとかもなく)とは考えづらかったのです。
また、私に看破できるだけの知識と経験の蓄積もなくて一週間少し色々と調べて試行しつつ結局行き詰まり、ここへたどり着いてお知恵を拝借した次第ですので。OTL


> 設定はunnumbered接続なんですよね。

はい、その通りです。


> それならポートを開けるなんて必要ない(出来ない)ポート開放したとはどういう事でしょうか

ポートフィルタリング機能に、53/tcp、53/udpの通過設定を追加したということです。
DNSの復旧後に、上記の設定を削除しまして影響がなかったことを確認しました。(無駄なことでしたね。。)


> もしかしたらNATを使っているのですか。ここは大変重要な話。

使っておりません。(数千円のあのルーターだけです)


> 最後のdigではAレコードが正しく出ているようですからBIND自体の問題はありません。
> 問題となるのは
> > allow-query { 127.0.0.1; }; となっています。
> > allow-transferは、使用していません。
> > forwarders{ (OCNのセカンダリDNSアドレス) };となっています。
> の3行。

この設定で運用していた時、何故動いていたのか逆に疑問になりました。
立てたプライマリDNSが、他のDNSに認識されてから設定を変えた(?)のかどうかも踏まえて、変更履歴を見るしかないですね。。。


> allow-query { 127.0.0.1; }; は allow-query { any; }; でないと公開していない状態
> allow-transfer も allow-transfer{ any;}; でも良いですから設定しないとOCNでセカンダリが動けません
> forwarders はLANでのアドレス解決方法ですから外部へのサーバーでは関係ありません。

この設定にしてnamed.restartしますと、プライマリとして機能し始めました。(切替は即時という感じで、待つ必要なかったです)
その後に内から外へのweb、メールのやり取りができたことを確認、またプロキシサーバ(gate.xxxx.xx.jp)とDNS&www&Mailサーバ(bsd.xxxx.xx.jp)との間で、双方向からpingを行って名前認識を確認しました。

このたびは、本当にありがとう御座いました。


以上です。


Re: プライマリDNSが機能しなくなる

No.20987 投稿時間:2006年10月08日(Sun) 18:03 投稿者名:wal URL:

> プライマリDNSが機能しなくなる
>RTSP Proxyの起動スクリプト、プログラムを削除して再起動し直しても元の正常な状態に戻れていませんでした。
RTSP Proxyを起動した段階で bindに関する設定ファイルを (スクリプトまたはあなたが手動で)変更したままで
もとにもどしていないのではないか

RTSP Proxyの起動スクリプトを読み解いて 変更したファイルを手動でもどす
そのほか 変更したままで忘れているものはないか、冷静になって考える


Re^2: プライマリDNSが機能しなくなる

No.20989 投稿時間:2006年10月08日(Sun) 20:06 投稿者名:とうもろこし URL:

ご回答ありがとう御座いました。

> RTSP Proxyを起動した段階で bindに関する設定ファイルを (スクリプトまたはあなたが手動で)変更したままで
> もとにもどしていないのではないか

/etc/namedb 以下のファイルを総点検しまして、タイムスタンプの変化、設定内容に変化はありませんでした。
また、bindの起動スクリプトもそうです。

> RTSP Proxyの起動スクリプトを読み解いて 変更したファイルを手動でもどす
> そのほか 変更したままで忘れているものはないか、冷静になって考える

何かのファイルを書き換える等の既述はなく、単にstart、stopのパラメーターオプションを判定して
実行するだけでした。

他に心当たりがありしたら、些少なことでも良いのでよろしくお願い申し上げます。


目次掲示板過去ログ目次▲頁先頭