ここでのフォーラムへの最初の質問ですので、簡単に説明してください。私はLinux初心者で、自分のUbuntuサーバー(サーバー名:araliya、ドメイン:autun.hom、IP:192.168.1.99)のセットアップを試しました。すべてをセットアップし、bind9をインストールして、ここに投稿されたチュートリアルを使用してDNSサーバーをセットアップします( ホスト名を使用してBIND9 DNSサーバーを完全に構成するにはどうすればよいですか? )。
DNSサーバーが動作しているかどうかを確認しなければならなかった最後のステップまで、すべてが実際に非常にうまくいきました。次のコマンドを入力すると、良い出力が得られました。
> named-checkzone autun.hom /etc/bind/zones/db.autun.hom
zone autun.hom /IN: loaded serial 2
Ok
ただし、逆引きDNSルックアップに対して同じことを行ったとき、わずかに異なる答えが得られました。
> named-checkzone autun.hom /etc/bind/zones/db.192
zone autun.hom /IN: loaded serial 1
Ok
チュートリアルでは、「named-checkzone」の出力は前方参照ゾーンと逆引き参照ゾーンで同じである必要があると述べています。しかし、私が得る「ロードされたシリアル」値は、2つの答えの間で異なります。
Dig、ホスト名、nslookupを含む他のすべてのテストに従ったとき、良い出力が得られます。実際、私のDNSサーバーは機能しているように見えます。ただし、syslogを確認すると、多くのエラーが発生します。
May 10 20:09:04 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:04 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53
May 10 20:09:12 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:12 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53
May 10 20:09:13 araliya named[1026]: error (network unreachable) resolving './NS/IN': 2001:7fe::53#53
May 10 20:09:24 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:24 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53
奇妙なことに、すべてのホスト名が正しく解決されていますが、どこかで間違いを犯したようです。誰かがエラーの場所を特定するのに役立ちますか?
これらのエラーメッセージはdnssecに関連しています。 dnssec
で始まる/etc/bind/named.conf.options
のすべての行を削除またはコメントアウトして、bind9を再起動します。
何が起こっているのかについての最良の説明は、 ここ :
検証者は、署名された親を持つ署名されていないゾーンから応答を受信すると、ゾーンが意図的に署名されていないことを親に確認する必要があります。これは、署名および検証されたNSEC/NSEC3レコードを介して、親ゾーンに子のDSレコードが含まれていないことを確認することによりこれを行います。
検証者がゾーンが安全でないことを証明できる場合、応答は受け入れられます。ただし、できない場合は、安全でない応答が偽造であると想定する必要があります。応答を拒否し、エラーを記録します。
ログに記録されたエラーには、「安全でない証明が失敗しました」および「安全でない応答がありました。親は安全であることを示しています」と表示されます。 (BIND 9.7より前では、ログに記録されたエラーは「安全ではありません」でした。これは応答ではなくゾーンを参照していました。)
「/ etc/default/bind9」に次の行を追加します
以下のように:
# startup options for the server
OPTIONS="-u bind -4"