У меня есть авторитетный сервер, использующий BIND 9.16.1 в Ubuntu 20.04, и недавно я обновился с Ubuntu 16.04, но у меня возникли проблемы с разрешением записей A и PTR. Все работало нормально до обновления с 16.04 до 20.04. Мои конфигурации named.conf, named.conf.options, named.conf.local и т. д. приведены ниже. Ваш совет будет высоко оценен.
именованный статус
статус службы с именем
â named.service — сервер доменных имен BIND
Загружено: загружено (/lib/systemd/system/named.service; включено; предустановка поставщика: включена)
Активно: активно (работает) со вторника 17 августа 2021 г., 13:15:22 EAT; 10 секунд назад
Документы: человек:имя(8)
Основной PID: 14052 (имя)
Заданий: 14 (лимит: 19110)
Память: 73,3 Мб
CGroup: /system.slice/named.service
ââ14052 /usr/sbin/named -f -u связывать
17 августа 13:15:27 dns-1 с именем [14052]: zone_journal: управляемая-ключи-зона/горячие точки: введите
17 августа 13:15:27 dns-1 с именем [14052]: zone_needdump: управляемая-ключи-зона/горячие точки: введите
17 августа 13:15:27 dns-1 с именем [14052]: zone_settimer: управляемая-ключи-зона/горячие точки: введите
17 августа, 13:15:27 dns-1 с именем [14052]: зона управляемых ключей/внешний: невозможно получить набор DNSKEY '.': SERVFAIL
17 августа 13:15:27 dns-1 с именем [14052]: set_refreshkeytimer: зона управляемых ключей/внешний: введите
17 августа 13:15:27 dns-1 с именем [14052]: зона управляемых ключей/внешняя: следующее обновление ключа: 17 августа 2021 г. 14:10:47.520
17 августа 13:15:27 dns-1 с именем [14052]: zone_settimer: управляемая-ключи-зона/внешний: введите
17 августа 13:15:27 dns-1 с именем [14052]: zone_journal: управляемая-ключи-зона/внешний: введите
17 августа 13:15:27 dns-1 с именем [14052]: zone_needdump: управляемая-ключи-зона/внешний: введите
17 августа 13:15:27 dns-1 с именем [14052]: zone_settimer: управляемая-ключи-зона/внешний: введите
named.conf
//
// Прочтите /usr/share/doc/bind9/README.Debian.gz для получения информации о
// структура файлов конфигурации BIND в Debian *ДО* настройки
// этот файл конфигурации.
//
// Если вы просто добавляете зоны, сделайте это в /etc/bind/named.conf.local
Ведение журнала {
канал default_syslog {
// Отправляем большинство именованных сообщений в syslog.
системный журнал локальный2;
отладка серьезности;
};
канал audit_log {
// Отправлять сообщения, связанные с безопасностью, в отдельный файл.
файл "/var/named/named.log" версии 5 размер 20м;
отладка серьезности;
время печати да;
};
категория по умолчанию { default_syslog; };
общая категория { default_syslog; };
безопасность категории { audit_log; системный журнал по умолчанию; };
конфигурация категории { default_syslog; };
распознаватель категорий { audit_log; };
категория xfer-in { audit_log; };
категория xfer-out { audit_log; };
категория уведомляет { audit_log; };
клиент категории { audit_log; };
категория сети { Audit_log; };
обновление категории { audit_log; };
запросы категории { audit_log; };
категория хромых серверов { audit_log; };
};
// включаем "/etc/bind/bind.keys";
включить "/etc/bind/named.conf.options";
// быть авторитетным для прямой и обратной зон localhost, а также для
// широковещательные зоны согласно RFC 1918
// зона "0.0.127.in-addr.arpa" {
// введите мастер;
// файл "localhost.rev";
// };
// зона "com" { только для делегирования типа; };
// зона "net" { только для делегирования типа; };
// Из примечаний к выпуску:
// Потому что многим нашим пользователям неудобно получать неделегированные ответы
// из корневых доменов или доменов верхнего уровня, за исключением некоторых, для которых такое поведение
// ему доверяли и ожидали в течение достаточно долгого времени, теперь мы
// введена функция "только для корневого делегирования", которая применяется только для делегирования
// логика для всех доменов верхнего уровня и для корневого домена. Список исключений
// следует указать, включая "MUSEUM" и "DE", и любой другой верхний уровень
// домены, от которых ожидаются и которым доверяют неделегированные ответы.
// только корневое делегирование exclude { "DE"; "МУЗЕЙ"; };
включить "/etc/bind/named.conf.local";
named.conf.local
матч-клиенты { горячие точки; };
// рекурсия да;
разрешить-рекурсию { горячие точки; };
зона "." {
тип подсказки;
файл "/var/named/root.cache";
};
зона "0.0.127.in-addr.arpa" {
тип мастер;
файл «localhost.rev»;
};
зона "hotspot.domain.com" В {
тип мастер;
файл "named.redirect.hotspot";
};
зона "internet.domain.com" В {
тип ведомый;
файл "slave/slave.internet.com";
мастера {1.2.3.4;};
};
зона "ppg.domain.com" В {
тип ведомый;
файл "slave/slave.ppg.com";
мастера {1.2.3.4;};
};
};
вид "внешний" {
матч-клиенты { любой; };
// рекурсия да;
разрешить-рекурсию { recurseallow; };
// зона "example.com" {
// введите мастер;
// файл "externals/db.example.com";
// разрешить передачу { рабов; };
// };
зона "." {
тип подсказки;
файл "/var/named/root.cache";
};
зона "0.0.127.in-addr.arpa" {
тип мастер;
файл «localhost.rev»;
};
зона "domain.com" в {
тип мастер;
файл «домен.com.zone»;
разрешить передачу { 5.6.7.8; };
};
[...]
включить "/var/named/reverse/named.conf.reverse";
};
named.conf.options
параметры {
pid-файл "/var/run/bind/run/named.pid";
директория "/var/cache/bind";
auth-nxdomain нет;
разрешить рекурсию {нет; };
// Если между вами и нужными серверами имен есть брандмауэр
// чтобы поговорить, вам может понадобиться исправить брандмауэр, чтобы разрешить несколько
// порты для разговора. См. http://www.kb.cert.org/vuls/id/800113.
// Если ваш интернет-провайдер предоставил один или несколько IP-адресов для стабильной
// серверы имен, вы, вероятно, захотите использовать их в качестве серверов пересылки.
// Раскомментируйте следующий блок и вставьте адреса вместо
// заполнитель всех 0.
// экспедиторы {
// 0.0.0.0;
// };
//=============================================== ========================
// Если BIND регистрирует сообщения об ошибках об истечении срока действия корневого ключа,
// вам нужно будет обновить ваши ключи. См. https://www.isc.org/bind-keys
//=============================================== ========================
адрес источника запроса * порт 53;
автоматическая проверка dnssec;
слушать на v6 { любой; };
};
// порты для разговора. См. http://www.kb.cert.org/vuls/id/800113.
// Если ваш интернет-провайдер предоставил один или несколько IP-адресов для стабильной
// серверы имен, вы, вероятно, захотите использовать их в качестве серверов пересылки.
// Раскомментируйте следующий блок и вставьте адреса вместо
системный журнал
17 августа, 12:09:32 ns2 named[10169]: client @0x7f2c481144d0 x.x.x.x#34752 (x.x.x.x.in-addr.arpa): внешний вид: запрос не выполнен (зона не загружена) для x.x.x.x.in-addr.arpa/IN/PTR at запрос.c:5430
17 августа, 12:09:32 ns2 named[10169]: клиент @0x7f2c4c0cb690 172.217.33.195#53951 (x.x.x.x.in-addr.arpa): внешний вид: запрос не выполнен (зона не загружена) для x.x.x.x.in-addr.arpa/IN/ PTR в query.c:5430
17 августа, 12:09:32 ns2 named[10169]: client @0x7f2c50064bc0 82.148.111.5#41317 (x.x.x.x.in-addr.arpa): внешний вид: запрос не выполнен (зона не загружена) для x.x.x.x.in-addr.arpa/IN/ PTR в query.c:5430
17 августа 12:09:32 ns2 named[10169]: клиент @0x7f2c481144d0 62.28.40.174#57295 (x.x.x.x.in-addr.arpa): внешний вид: запрос не выполнен (зона не загружена) для x.x.x.x.in-addr.arpa/IN/ PTR в query.c:5430
17 августа, 12:09:32 ns2 named[10169]: client @0x7f2c481144d0 x.x.x.x#34654 (x.x.x.x.in-addr.arpa): внешний вид: запрос не выполнен (зона не загружена) для x.x.x.x.in-addr.arpa/IN/PTR at запрос.c:5430
ailed (зона не загружена) для x.x.x.x.in-addr.arpa/IN/PTR at query.c:5430
17 августа, 12:09:32 ns2 named[10169]: client @0x7f2c50064bc0 82.148.111.5#41317 (x.x.x.x.in-addr.arpa): внешний вид: запрос не выполнен (зона не загружена) для x.x.x.x.in-addr.arpa/IN/ PTR в query.c:5430
17 августа 12:09:32 ns2 named[10169]: клиент @0x7f2c481144d0 62.28.40.174#57295 (x.x.x.x.in-addr.arpa): внешний вид: запрос не выполнен (зона не загружена) для x.x.x.x.in-addr.arpa/IN/ PTR в query.c:5430
17 августа, 12:09:32 ns2 named[10169]: client @0x7f2c481144d0 x.x.x.x#34654 (x.x.x.x.in-addr.arpa): внешний вид: запрос не выполнен (зона не загружена) для x.x.x.x.in-addr.arpa/IN/PTR at запрос.c:5430
17 августа, 12:09:32 ns2 named[10169]: client @0x7f2c401962b0 162.13.174.235#60896 (x.x.x.x.in-addr.arpa): внешний вид: запрос
именованная контрольная зона
# named-checkzone domain.com named.1.2.3
zone domain.com/IN: NS 'ns1.domain.com' не имеет адресных записей (A или AAAA)
zone domain.com/IN: NS 'ns2.domain.com' не имеет адресных записей (A или AAAA)
зона domain.com/IN: не загружена из-за ошибок.
# named-checkzone domain.com /var/named/domain.com.zone
/var/named/domain.com.zone:4: запись SOA не находится в верхней части зоны (domain.com.domain.com)
/var/named/domain.com.zone:218: TTL установлен на предыдущий TTL (3600)
зона domain.com/IN: загрузка из основного файла /var/named/domain.com.zone не удалась: не в верхней части зоны
зона domain.com/IN: не загружена из-за ошибок.
/var/named/domain.com.zone
86400 долларов США
$ORIGIN домен.com
@ В SOA ns1.domain.com. techs.domain.com. (
2021081702 ; серийный номер, сегодняшняя дата + сегодняшняя
1Н; обновление, секунды
2Н; повтор, секунды
2 Вт ; истекает, секунды
1Н); минимум, секунды
;В НС
@ В NS ns1.domain.com.
В NS ns4.domain.tld.
; В NS dns-1.domain.com.
; Для устройств IronPort
домен.com. В А 1.2.3.4
ns1 В А 5.6.7.8
