web-dev-qa-db-ja.com

DNSログの「query_getzonedb()failed:ZoneNotLoaded」エラー

インシデントを調査しているときに、syslogに次のようなエラー(匿名化)があることに気付きました。

Feb  3 21:59:59 ns1 named[18824]: client xxx.xxx.xxx.xxx#2091 (us-east1-aws.api.snapchat.com): view MyView: rpz QNAME rewrite us-east1-aws.api.snapchat.com via us-east1-aws.api.snapchat.com.rpz.vendorsite.com query_getzonedb()failed: zone not loaded

Feb  3 21:59:59 ns1 named[18824]: client yyy.yyy.yyy.yyy#27720 (time-ios.Apple.com): view MyView: rpz QNAME rewrite time-osx.g.aaplimg.com via time-osx.g.aaplimg.com.rpz.vendorsite.com query_getzonedb()failed: zone not loaded

Feb  3 21:59:59 ns1 named[18824]: client yyy.yyy.yyy.yyy#27720 (time-ios.Apple.com): view MyView: rpz QNAME rewrite time.Apple.com via time.Apple.com.rpz.vendorsite.com query_getzonedb()failed: zone not loaded

クエリログがオンになっています。内部的には、これはBIND 9です。DNSサービスのベンダーを使用しており、そのベンダーは脅威フィードとしてSpamhausを使用しています。私たちはそのサービスに加入しています。この種のメッセージは、このサービスにとって奇妙です。このサービスは、ベンダーがホストするRPZをスレーブ化することによって実装されます。

気づいた:

  • ドメイン内の「rpz」は、応答ポリシーゾーンの問題を参照しているようです
  • このサービスによってブロックされるべきだったサイトはブロックされていませんでした
  • ホワイトリストに載っていないほとんどすべてのDNSクエリが同じメッセージで表示されていました
  • エラーメッセージは、サービスRPZがマスターからのロードに失敗していることを示しているようです

このログメッセージはどういう意味ですか?そして、なぜこれが2月中旬に起こったのですか?

domain-name-systembindrpz
2
Watki02

ログメッセージは、メッセージ内のゾーンがロードされていないことを意味していることがわかりました。 :-)。具体的には、RPZスレーブゾーンが更新の取得に失敗していました。明らかなフォローアップの質問について:なぜですか?そして、ここでの本当の問題は何ですか?

RPZのロードに失敗する理由はおそらくいくつかありますが(マスターサーバーのダウン、FWルールの変更など)、新しい年間ライセンスを適用しなかったことが問題であることがわかりました。ここで、TSIGキーを使用してサービスにサブスクライブできました。

私たちのライセンスは太陽暦の年に従いますが、なぜこれが2月中旬に起こったのですか?ベンダーからかなりの猶予期間があったことが判明しました! (その後、おそらく更新または期限切れの制限に達し、最終的に「死亡」しました。)

私はライセンスを取得し、適用し、展開しました。そして、ビジネスに戻りました。奇妙なログメッセージはもうありません(少なくとも上記のようなものはありません)。

0
Watki02

Pastebinで見つけたこれに対する別の可能な答え:

https://Pastebin.com/NCwum7up

何らかの理由で、セットアップでのRPZの書き換えが失敗し続け、DNSクエリログに次のように表示されます。

4月18日12:26:28内部DNS-DHCP名前[7257]:クライアント172.16.11.17#58306:rpzQNAMEはgateway.fe.Apple-dns.net.rpz.local経由でgateway.fe.Apple-dns.netを書き換えます.net query_getzonedb()が失敗しました:ゾーンがロードされていません4月18日12:26:31内部-DNS-DHCP名前付き[7257]:クライアント172.16.10.13#64377:rpzQNAMEがTeredo.ipv6.Microsoft経由でTeredo.ipv6.Microsoft.comを書き換えます.com.rpz.local.net query_getzonedb()が失敗しました:ゾーンがロードされていません

エラーは次のとおりです:query_getzonedb()が失敗しました:ゾーンがロードされていません

修正:

  1. バインドDNS起動ログを確認します。

4月18日12:39:23内部DNS-DHCP名前付き[7551]:ゾーンrpz/IN:マスターファイル/etc/named/zone/response-override.dbからの読み込みに失敗しました:アクセス許可が拒否されました

4月18日12:39:23内部DNS-DHCP名前[7551]:ゾーンrpz/IN:エラーのためロードされていません。

  1. ゾーンファイルのアクセス許可エラーを修正しました。
  2. 名前付きの再起動
  3. 完了。
0
Watki02