タグ付けされた質問 「domain-name-system」

CentOSは/etc/resolv.conf定期的に行われた手動の変更をすべて消去します。Linuxのデフォルトは、妥当な時間内にフェイルオーバーするという点で不十分です（クエリネームサーバーは毎回同じ順序で、タイムアウトは5秒、再試行は2回です）。 したがって、最初のDNS resolv.confは基本的にクリティカルパスです。失敗した場合は、フェイルオーバーする前の10秒を見ている可能性があります。 これらのデフォルトは微調整可能ですが（resolv.confの manページを参照）、CentOSで変更を永続化し、再起動後も維持するにはどうすればよいですか？

9 domain-name-system  centos  resolv.conf 

Bind 9.10の最新の安定版リリースを使用して、再帰DNSサーバーをセットアップしました 再帰的なDNSルックアップは非常に遅いことがわかりました。1〜3秒のどこでも。ルックアップがキャッシュに入ると、DNSは予想どおり数ミリ秒で解決します。 再帰的なルックアップにROOTヒントを使用していますが、これがスローの原因であるようです。フォワーダーを構成する場合、DNS解決は100〜300ミリ秒の賢明な再帰時間になります。 私たちがセットアップしているサービスについては、フォワーダーに依存したくないので、ルートヒントを使用したいと思います。 named.confファイルの主な構成は次のとおりです。パフォーマンスの向上に役立つヒントがあればすばらしいでしょう。 options{ allow-recursion { any; }; allow-query-cache { any; }; allow-query { any; }; listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; zone-statistics yes; max-cache-ttl 3600; max-ncache-ttl 3600; /* Path to ISC DLV key */ …

9 domain-name-system  performance  bind  slow-connection  recursive 

ロードバランシングは初めてですが、複数のロードバランサーを使用してトラフィックをアプリケーションサーバーにリダイレクトできるかどうか疑問に思っています。どうすればいいのか分かりません。ドメイン名は、特定のサーバーのIPアドレス（この場合は1つのロードバランサーのIP）と1対1で一致する必要はありませんか？各ロードバランシングサーバーのIPが異なる場合、両方のロードバランサー（または10ロードバランサーまたは50または100）がリクエストをどのように受信できますか？

9 domain-name-system  nginx  load-balancing  haproxy  high-load 

当社のSPFレコードフォーマットは以下の通りです： "V = spf1レコードが含まれます：_spf.google.com 〜すべてのmx IP4：XX0.0 / 23は以下のとおりです。spf.example.comをすべての？" したがって、SPFレコードの中央に「〜all」があります。上openspf.comのウェブサイト、彼らは「すべて」のメカニズムについて、これを言います： このメカニズムは常に一致します。これは通常、SPFレコードの最後に置かれます。 したがって、彼らは「すべて」がSPFレコードの最後に行く必要があるとは言いませんが、通常は最後に行くと言います。 弊社では、最近、SPFレコードにリストされているサーバーから送信された電子メールにソフトフェイルが発生するのを目にしていますが、SPFレコードはこれまでに見つかったすべての検証ツールを通過しています。 私が思っているのは、Google Apps（_spf.google.com）のインクルードの直後の「〜all」が原因で解析が停止し、SPFレコードの残りの部分が認識されないのでしょうか。パスとソフトフェイルは、誰がそれを解析し、S​​PFレコードを処理する方法の具体的な実装に依存しますか？SPFレコードの最後にない「すべて」のメカニズムを使用する理由はありますか？ そして、はい、SPFレコードを変更するだけでよいことはわかっています。この質問は、これがどのように機能するかを明確にすることに関するものであり、必ずしも特定の状況を解決することに関するものではありません。

9 domain-name-system  email  spam  g-suite  spf 

私が抱えている問題でキャッシュまたは何かをクリアする必要があるかどうか疑問に思っています。 DNSゾーンからAレコードを削除し、それらを同じホスト名を持つCNameレコードに置き換えようとしています。 Remove-DnsServerResourceRecord -Zonename $line -InputObject $record -Force Add-DnsServerResourceRecordCName -Zonename $line -Name $hostname -TimeToLive $ttl -HostNameAlias $target これは私を投げます： Add-DnsServerResourceRecordCName：サーバーNS01のゾーンzone.tldにリソースレコード@を作成できませんでした。C：\ admin \ updatettl.ps1：56 char：4 + Add-DnsServerResourceRecordCName -Zonename $ line -Name $ hostname> -TimeToLive ... + ~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~ + CategoryInfo：ResourceExists：（@：root / Microsoft / ... urceRecordCName）> [Add-DnsServerResourceRecordCName]、CimException + FullyQualifiedErrorId：WIN32 9709、 Add-DnsServerResourceRecordCName 何か案は？ありがとう

9 domain-name-system  powershell  windows-server-2012  dns-server 

RFC 1034では、DNSサーバーに少なくとも2つのIPアドレスを割り当てる必要があります。ただし、エニーキャストアドレス指定を使用すると、単一のIPアドレスで冗長性を既に実現できます。BGPエニーキャストは、数百または数千のサーバーにまで拡張できるようです。 もしそうなら、それでもDNSサーバーに複数のIPアドレスが必要なのはなぜですか？すでにエニーキャストを実施している場合、それは実際に冗長性を高めます（可用性に貢献します）か、それとも単なる神話ですか？ 単一のIPアドレスのみを使用する場合、どのような問題やエラーに直面する可能性がありますか？ つまり、セカンダリDNSアドレスを完全に省略1.2.3.4するか、いくつかのセットアップで少なくとも2つ必要な場合は、2番目のアドレスに偽のIP（例:)を使用します。

9 networking  domain-name-system  routing  ipv6  anycast 

dnsmasq.conf内： address=/local/127.0.0.1 resolv.conf： # Generated by NetworkManager domain example.com search example.com nameserver 127.0.0.1 nameserver 10.66.127.17 nameserver 10.68.5.26 nslookupを使用できます。 # nslookup www.local Server: 127.0.0.1 Address: 127.0.0.1#53 Name: www.local Address: 127.0.0.1 しかし、pingは使用できません。 # ping www.local ping: unknown host www.local 私はtcpdumpを使用して、www.localにpingしているときにloをキャプチャします。 # tcpdump -i em1 -n | grep local tcpdump: verbose output suppressed, …

9 networking  domain-name-system  ping  dnsmasq  resolv.conf 

私たちは、BYODとActive Directoryが混在する環境（Windows Server 2012 Standard、Windows 7 Enterprise）を備えた小規模な300シートの組織であり、ドメインでの組織のドメイン名を解決するための非常に特定のスコープの障害を含む非常に奇妙な問題が発生しています-参加、会社管理の機械。この説明では、ドメイン名の代わりにcompany.comを使用します。 バックグラウンド： Active Directoryドメインコントローラーは172.16.1.3にあります AD / DCマシンはDHCP、DNS、およびHTTP（IIS）も実行しています company.comおよびsubdomain.company.comにある私たちの組織のWebサイトは、AD / DCマシン上のIISによってホストされています AD / DCサーバーが内部DNS解決に使用されるが、別のオフサイトサーバーがパブリッククエリのDNS解決を提供する分割DNSシナリオがあります。 company.comおよびsubdomain.company.comに対応するIPアドレスは、ネットワークのエッジでファイアウォールによって使用されるパブリックIPアドレスです（AD / DC DNSサーバーとオフサイトDNSサーバーの両方）。 ファイアウォールは、NAT用に正しく構成されており、パブリックIPアドレスで受信したHTTPおよびHTTPSリクエストをAD / DCサーバーの内部IPに渡し、反映します。 シナリオ1： ドメインに参加しているWindows 7 Enterpriseマシンのユーザーは、DHCPサーバーによって発行されたローカルアドレス172.16.6.100 / 16でローカルネットワークに直接接続されています。 DNSサーバーエントリはDHCPによって提供されます（172.16.1.3） このユーザーは、company.comおよびsubdomain.company.comでホストされているWebサイトにアクセスできます 編集： nslookupはこのシナリオで実行され、内部DNSサーバー（172.16.1.3）から適切なDNSレコードを正しく返します シナリオ2： 同じドメインに参加しているWindows 7 Enterpriseマシン上の同じユーザーが家に帰り、住宅用ISPを使用してインターネットに接続します クライアントマシンのIPおよびDNSサーバーエントリはDHCPによって提供されます このユーザーは、google.comなどのインターネットリソースにアクセスできます このユーザーは、company.comまたはsubdomain.company.comの Webサイトにアクセスできません（「ホストが解決されていません」エラーが返されます） このユーザーは、上でnslookupを実行するとcompany.com彼らはDO DNSが提供する正しい公開IPアドレスを受け取ります IPアドレスへのHTTP / HTTPSリクエストは成功し、ウェブページはサーバーによって適切に返されます この問題はすべてのWebブラウザーで発生します …

9 domain-name-system  active-directory  windows-7  windows-server-2012 

DNSサーバーとして頻繁に使用されているActive Directoryドメインコントローラーの廃止プロセスについては、2つの考え方があります。 送信DCのIPアドレスを新しいDCに追加し、DNSがそのアドレスでリッスンしていることを確認します。 古いDCを降格し、DNSの役割はそのままにして、新しいサーバーにグローバルDNSフォワーダーを構成します。 明らかに、すべてのサーバーとデバイスが新しいサーバーのプライマリIPアドレスを使用するように設定されるまで、どちらも一時的なギャップですが、環境のサイズによっては、移行期間が比較的長くなる場合があります。 ここに明確なベストプラクティスがありますか？

9 windows  domain-name-system  active-directory 

「server =」エントリを複数の上流サーバーに送信するようにdnsmasqを構成することが可能かどうか疑問に思っていましたか？ このように： server=/facebook.com/1.2.3.4 server=/facebook.com/2.3.4.5 そして、それが利用可能であるresolv.confかどうかに基づいて、どちらかを選択するようにしますか？manページによると、1つだけが許可されているように見えますが、このように動作するように要求する方法があるかどうか疑問に思いました。

9 domain-name-system  dnsmasq 

私がドメイン名を所有しているとしましょうexample.com。レジストラで登録されていRます。のアカウントでR、次のネームサーバーを.TLDレジストリに登録しました。 ns1.example.com -> 192.0.2.1 ns2.example.com -> 192.0.2.2 これらのネームサーバーをDNSに使用しているドメインがまだない場合を考えてみましょう。Rネームサーバーが.TLDレジストリに正常に登録されたことを、アカウントの外部で確認するにはどうすればよいですか？ たとえば、VeriSign IncのWHOISページでは、登録された.COMネームサーバーを検索できます。 サーバー名：NS1.HOSTGATOR.COM IPアドレス：67.18.54.2 レジストラ：ENOM、INC。 Whoisサーバー：whois.enom.com 紹介URL：http://www.enom.com TLDレジストリのこの情報を検索するための標準的なアプローチはありますか？ 明確にするために、ドメインが使用するように設定されているネームサーバーを確認するつもりはありません。例： ドメイン名：HOSTGATOR.COM レジストラ：ENOM、INC。 Whoisサーバー：whois.enom.com 紹介URL：http://www.enom.com ネームサーバー：NS1.P13.DYNECT.NET ネームサーバー：NS2.P13.DYNECT.NET ネームサーバー：NS3.P13.DYNECT.NET ネームサーバー：NS4.P13.DYNECT.NET ステータス：clientTransferProhibited 更新日：2013年1月5日 作成日：2002年10月22日 有効期限：2015年10月22日 代わりに、ns1.example.tldレジストリに対して単一の登録されたネームサーバー（たとえば）をクエリして、このネームサーバー（たとえば123.456.789.001）に対してレジストリが記録したIPアドレスを見つける方法を探しています。 更新： 入力についてVeriSignに問い合わせましたが、ネームサーバーに対するVeriSignのWHOISルックアップは独自仕様であることがわかりました。ここにそれらの応答があります： レジストリに登録されているが、現在ドメインに関連付けられていないネームサーバーに関する情報を取得できるかどうかという質問に関しては、残念ながら、DiGを実行するなどして、別のルートでこの情報を取得することはできません。ネームサーバーは、ドメインに接続されている場合にのみゾーンに公開されます。したがって、ネームサーバーがドメインに関連付けられていない限り、この情報を取得することはできません。また、DiGは、ドメインに関連付けられたネームサーバーとそれぞれのIPなどのリストを提供する場合があります。 -Benjamin、VeriSign、Inc.カスタマーサービス 以下の@Iianの回答の2番目の部分は正しいです。レジストリがそのネームサーバーのレコードに持っているIPアドレスを検索するには、ネームサーバーをドメインに関連付ける必要があります。

9 domain-name-system  domain  ip  tld 

VPNをデフォルトゲートウェイとしてリダイレクトし、内部DNSサーバーをプッシュするオプションが構成されているOpenVPNサーバーに接続しています。 push "dhcp-option DNS 192.168.1.2" push "redirect-gateway def1" 私がするとき： ipconfig /all リストに自分の192.168.1.2 DNSサーバーが表示されます。私もping 192.168.1.1成功することができます。 私の問題はping somesite.internal.dom、内部DNSサーバーから結果が得られないことです。OpenDNS（VPN以外のDNSトラフィックを処理しています）から、サイトが存在しないという結果を得ています。 ping somesite.internal.domネットワークに直接接続されている（つまり、VPNに接続されていない）マシンの場合、適切に解決されます。 OpenVPN接続でVPN DNSサーバーを最初に試すにはどうすればよいですか？または、ローカルDNSトラフィックをすべて無視するには？

9 domain-name-system  vpn  openvpn 

DNSホストに変更を加えたとき。 クライアント（サーバー）がDNSキャッシュを更新/フラッシュして、変更がすぐにわかるようにするにはどうすればよいですか？

9 linux  ubuntu  domain-name-system  centos 

私のグーグルアプリドメインの奇妙な振る舞いに気づきました。ほとんどのメールは予想どおりに届きますが、ある期間、特定の送信者からのメールが届かないという結論に達しました。メールが届かない送信者を1人特定した後、私にメールを送信して「配信失敗」の応答を通常のGmailに転送するように依頼しました。 配信失敗の応答には、次のスニペットが含まれていました。 -----セッションのトランスクリプトが続きます----- <myusername@GHS.L.GOOGLE.COM>...遅延：ghs.l.google.comで接続がタイムアウトしました。 これは、Google Appsヘルプフォーラムのこのページに私を導いたクイック検索を行うことによって問題を特定するのに役立ちました。実際、ドメインのDNSレコードを確認したところ、@ghs.google.comに設定されていました。（CNAME）、それをすべきではありません。これを@ 74.125.93.121 (A)*に変更すると、問題は解決しました。 メールが届かない場合は、CNAMEルックアップによってドメイン名が正規の名前に置き換えられたため、myusername@ghs.l.google.comではなくにメールが送信されたと理解していますmyusername@mydomain.com。しかし、それが送信者の大多数で機能したのはなぜですか？メールが届かない送信者は、別の種類のメールプロトコル、奇妙なDNS設定を使用していましたか、それとも何ですか？ グーグルで問題を調査することで私が見ることができたものから、これは広範囲にわたる問題であるように思われます（battle.netからの電子メールが届かないという多くの人々は、1つの人気のある例です）、人々はそうではないようです問題は送信者側ではなく、独自のDNS設定にあることに注意してください。 これはどのように説明できますか？ * ここで読んだことから、このIPを使用しましたが、どのIPでもうまくいくと思います。誰でもこれを確認できますか？単に@レコードを削除しても問題は解決せず、変更する必要があったことに注意してください。

9 domain-name-system  email  g-suite  cname-record 

私は現在、負荷分散にDNSラウンドロビンを使用しています。レコードは次のようになります（TTLは120秒です）。 ;; ANSWER SECTION: orion.2x.to. 116 IN A 80.237.201.41 orion.2x.to. 116 IN A 87.230.54.12 orion.2x.to. 116 IN A 87.230.100.10 orion.2x.to. 116 IN A 87.230.51.65 すべてのISP /デバイスがそのような応答を同じ方法で扱うわけではないことを学びました。たとえば、一部のDNSサーバーは、アドレスをランダムにローテーションするか、常に循環させます。最初のエントリを伝播するだけのものもあれば、IPアドレスを調べてどちらが最適か（地域的に近い）かを判断しようとするものもあります。 ただし、ユーザーベースが十分に大きい場合（複数のISPに分散している場合など）、バランスはかなり良好です。負荷の高いサーバーから低いサーバーへの差異は、15％を超えることはほとんどありません。 ただし、システムにサーバーを追加しているという問題があり、すべてが同じ容量であるとは限りません。 現在、1 Gbpsサーバーしかないのですが、100 Mbpsサーバーと10 Gbpsサーバーも使用したいと考えています。 したがって、私が欲しいのは、重みが100の10 Gbpsのサーバー、重みが10の1 Gbpsサーバー、および重みが1の100 Mbpsサーバーを導入することです。 以前にサーバーを2回追加して、より多くのトラフィックをそれらにもたらしました（これはうまくいきました。帯域幅はほぼ2倍になりました）。しかし、10 Gbpsサーバーを100回DNSに追加するのは少しおかしいです。 そこでTTLの使用を考えました。 サーバーAにTTLを240秒、サーバーBに120秒しか与えない場合（これは、ラウンドロビンに使用するのに最低限必要な時間です。より低いTTLが指定されている場合（多くのDNSサーバーが120に設定されているため））。私はこのようなことが理想的なシナリオで起こるべきだと思います： First 120 seconds 50% of requests get server A -> …

9 networking  domain-name-system  load-balancing  ttl  round-robin