タグ付けされた質問 「bind」

バックグラウンド： 一貫性のないリングバッファー設定（eth0の場合は1020、eth1の場合は255）が一貫していない大容量キャッシングネームサーバー環境（Redhat Enterprise Linux 5.8、IBM System x3550）を継承しました。eth0はそのローカルデータセンターのスイッチ1に接続され、eth1は同じデータセンターのスイッチ2に接続されます。クラスター内のすべてのサーバーは、eth0またはeth1がアクティブなインターフェースであるかどうかを交互に切り替え、すべてのクラスターは異なるリージョンに配置されます。リングバッファは明らかに一貫性を保つ必要があります。 ISCナレッジベースがアウトバウンド輻輳に関連していると示唆している「エラー送信応答：設定解除」エラーを多くのネームサーバーが頻繁に記録している理由を調査したときに、上記の問題を発見しました。高いリングバッファ設定（1020）のサーバーは、ifconfigでドロップするパケットは（予想どおり）少なくなりますが、上記のエラーをログに記録する傾向があります。これを「グループ1」と呼びます。リングバッファ（255）の設定が低いサーバーは、1日あたりの受信パケットを大幅にドロップしますが（予想どおり）、BINDエラーのインスタンスははるかに少なく、通常は同じ負荷グループで0〜150です。 ここでも大きな謎ではありません。DNSのキャッシュは再帰的なサービスです。何かがキャッシュされない場合、サーバーはその1つの質問に代わって最終的に回答を返すまで複数のクエリを作成する必要があります。これは、（1つの入力）->（多くの出力）クエリ関係です。RXリングバッファーを修正すると、この数値がボード全体で新しい値に等しくなり、そこからproc（wmem_max / wmem_default）でカーネルの送信ネットワークキューを調整することをお勧めします。 パフォーマンスの問題に対する構成変更の影響を測定できるのが好きなので、実稼働環境の変更を開始する前にいくつかのデータを収集するレポートを作成しました。以下は、グループ1の最初の2台のサーバーの出力例です。 group1-01 RX: 7166.27/sec av. TX: 7432.57/sec av. RXDROP: 7.43/sec av. unset_err: 27633 group1-02 RX: 7137.37/sec av. TX: 7398.50/sec av. RXDROP: 9.94/sec av. unset_err: 107 これらは式です。これはローカルスクリプトであり、サーバーごとに維持する必要があるシェルスクリプトに依存しないことに注意してください。 RXPACK=$(ssh $server "sar -n DEV -f /var/log/sa/sa$(date --date=yesterday '+%d') | grep \"Average: .*\$(awk …

11 linux  networking  domain-name-system  bind  ethtool 

この用語Amplified reflected attackは私にとって初めてのものであり、いくつかの質問があります。 ほとんどがDNSサーバーで起こると聞きましたが、本当ですか？ どのようにそれから保護しますか？ サーバーがこのような攻撃で使用できるかどうかをどのように確認しますか？それは構成の問題ですか？

11 linux  domain-name-system  firewall  bind  ddos 

バインドの問題が発生しています。ゾーンファイルにあるドメイン名を解決したい場合。正常に動作します。ただし、ゾーンファイルに属さないものを解決しようとすると。転送されている実際のDNSサーバーが正常に機能していることを知っています。しかし、どういうわけかbind9はそれらの使用に失敗します。/etc/bind/named.conf.optionsの内容は次のとおりです。 options { directory "/var/cache/bind"; forwarders { 131.181.127.32; 131.181.59.48; }; dnssec-validation auto; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; }; また、IPアドレスを1つだけ使用しようとしましたが、まだ機能しませんでした。また、/ etc / bind / named.confの内容は次のとおりです。 include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones"; したがって、オプションファイルを含めても問題はありません。この問題を修正するための推奨事項はありますか？

11 domain-name-system  bind 

インターネット接続を使用して、2つの個人Webサイト（2つの異なるドメイン）をホストしたい。これらのドメインのメールもホストしたいと思います。 これには、独自のネームサーバーをホストする必要があります。レジストラのWebサイトのネームサーバー構成セクションでは、2つのネームサーバーが必要です。おそらく信頼性のためですか？ 以前にzoneedit.comを使用し、2つのネームサーバーを提供しましたが、自分でホストし、コインを節約し、経験のためにバインドを構成する方法を学びたいです。 インターネット接続は1つしかなく、ネームサーバーを1つしかホストできません。セカンドネームサーバーで何をするつもりですか？

11 networking  domain-name-system  bind  nameserver 

abcとbcの両方のネームサーバーを置き換える必要がある状況があります。2台のマシンをこれに専念する必要はありません。 私はマルチホーミングについて読んでいましたが、すべての例は同じドメインとサブドメインではなく* .bcに対するもののようです。 このシナリオは単一のマシンで可能ですか？

11 bind 

任意のホスト名に対して同じIPアドレス（ "A"レコード）を返すネームサーバーを構成したいと思います。例えば： example.com subdomain.example.com someotherdomain.com anyotherdomain.co.uk すべてが同じIPアドレスを返す必要があります。BINDでこれを行う方法はありますか？それともこれを行うことができるBINDの代わりはありますか？

11 domain-name-system  bind  wildcard 

指示する方法はありませんようだbindその*-foo.example.com例に解決する必要がありますが。10.1.2.3、はに*-bar.example.com解決され10.2.3.4ます。回避策はありますか？いくつかの名前はできますか？外部プログラムで解決しますか？または私bindは例えばに変更する必要があります。PowerDNS？ 別のSSLワイルドカード証明書の購入を回避しようとしています。（などのワイルドカード証明書で*.example.comは、*パーツにドットを使用することはできません。） 両方のタイプのアドレスをその場で作成できる必要があるため、ゾーンファイルですべて*-fooまたは*-bar名前を指定することはできません。

10 domain-name-system  bind  wildcard-subdomain 

システムを再起動すると、BIND（名前付き）キャッシュがフラッシュされますか？私はGNU / Linuxを使用しています。

10 linux  domain-name-system  bind  gnu 

更新： BINDバージョン： [root@10.224.45.130] $ named -v BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5 オペレーティング・システム： CentOS release 5.6 (Final) 実行後[root@10.224.45.131] $ dig @10.224.45.130 example.com. axfr： スレーブ： ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @10.224.45.130 example.com. axfr ; (1 server found) ;; global options: printcmd ; Transfer failed. 主人： 28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: query: example.com IN AXFR - 28-Aug-2011 …

10 centos  bind  centos5  dns-zone  master-slave 

Windows Server 2003にはこの機能があり、ドメイン "example.com"のクエリを特定のネームサーバー（デフォルトのDNSサーバーではない）に転送できます。 これをBINDで設定するにはどうすればよいですか？たとえば、ローカルTLDから特定のローカルネームサーバーへの転送を設定したいとします。 バインドバージョン9.6 作業構成 Khaledが指摘したように、ゾーン条項ではフォワーダーステートメントを使用できます。次の構成で動作しました： zone "local." IN { type forward; forward only; forwarders { 10.10.1.9; }; };

10 domain-name-system  bind  forwarding 

トラフィックの少ない私のドメインの5つ程度でbind9で独自の権威DNSを実行しています。私はそれらを2つの別々のVPSサーバーで実行しています（そのため、すべてのMbのメモリに$ x2のコストがかかります）。 メモリ消費量を約45-50Mbから減らす方法はありますか？（10-30Mbで満足です） より軽いDNSサーバーの代替案があることは知っていますが、これにはサーバー管理ソフトウェアを置き換える必要があるため、私はbindを使用したいと思います。 提案？bind8はメモリの消費に優れていると聞きました。私はそれを使用するために地獄に落ちますか？

10 memory  vps  bind 

各チュートリアルは、これについて異なる意見を持っているようです。ISC BINDゾーンでは、/etc/bind/zones/またはを使用する必要がありますか/var/cache/bind/？前回のインストールで使用しました/var/cache/bind/が、使用するように指示されたためです。ただし、この新しいDebianインストール用のpidファイルを見つけただけなので、「作業ディレクトリ」を使用してゾーンファイルを保存することは、おそらく最善のアイデアではないと考えました。多くの管理者がこれを使用しているため、新しいゾーンを宣言するときに完全なパスを入力する必要はありません。 例えば： file "/etc/bind/zones/db.foobar.com"; の代わりに： file "db.foobar.com"; 明らかにタイプする方が簡単ですが、それは良い練習ですか、悪い練習ですか？ 作業ディレクトリを/etc/bind/zones次のように設定するよう提案する人もいます。 options { // directory "/var/cache/bind"; directory "/etc/bind/zones"; } ...しかし、pidファイルがそこに作成されるので、これは良い習慣ではないと私に思います（/var/cache/bind偶然ではない限り）。 マンページを確認しましたが、ディレクトリオプションの目的や、それが設計された正確なアイデアは表示されていませんでしたか？

10 bind  named-conf 

バインドのしくみを理解しようとしていますが、再帰クエリと「転送」の違いに関する明確な情報を見つけることができませんでした。 グローバルに再帰クエリを許可することは、ddos攻撃を許可するため悪いことだと私は読んだ。しかし、転送についても同じではありませんか？または、再帰的クエリの前提条件を転送していますか？

10 bind  domain-name-system 

2x BIND DNSサーバーを新しいハードウェアに移行する仕事を得ました。 どうやら彼らはUbuntuサーバー8.04を実行している3U先史時代のサーバーを使用しています。 Ubuntuサーバー9.04で2U 1Uサーバーをインストールします。 DNS設定、DNSキャッシュを転送するにはどうすればよいですか？転送する必要のあるフォルダー/構成ファイルは何ですか？ Webmin>バックアップ構成> BIND DNSサーバーを使用した場合、またはWebminの使用を回避した場合、何か達成できますか？

9 linux  ubuntu  bind 

Bind 9.10の最新の安定版リリースを使用して、再帰DNSサーバーをセットアップしました 再帰的なDNSルックアップは非常に遅いことがわかりました。1〜3秒のどこでも。ルックアップがキャッシュに入ると、DNSは予想どおり数ミリ秒で解決します。 再帰的なルックアップにROOTヒントを使用していますが、これがスローの原因であるようです。フォワーダーを構成する場合、DNS解決は100〜300ミリ秒の賢明な再帰時間になります。 私たちがセットアップしているサービスについては、フォワーダーに依存したくないので、ルートヒントを使用したいと思います。 named.confファイルの主な構成は次のとおりです。パフォーマンスの向上に役立つヒントがあればすばらしいでしょう。 options{ allow-recursion { any; }; allow-query-cache { any; }; allow-query { any; }; listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; zone-statistics yes; max-cache-ttl 3600; max-ncache-ttl 3600; /* Path to ISC DLV key */ …

9 domain-name-system  performance  bind  slow-connection  recursive