标签: bind

我在从属 DNS 服务器上正确加载区域时遇到问题。两台服务器都运行 BIND 9.9.3-P2。

我已经为大约 150 个区域提供服务，并且它们都工作正常。但是，当我添加另一个域时，从属服务器拒绝识别它。

这是主站上的区域规范：

zone "test.no" { type master; file "/var/lib/named/zones/test.zone"; };

这是从站上的区域规范：

zone "test.no" { type slave; masters { master.ip; }; file "/var/lib/named/zones/test.zone"; };

当我在主设备上执行操作时rndc reload，从设备会收到通知，从主设备转移区域并且不会抱怨。这是来自从站上的日志：

27-Mar-2014 10:30:15.146 zone test.no/IN: no master file
27-Mar-2014 10:30:15.146 zone_settimer: zone test.no/IN: enter
27-Mar-2014 10:30:15.157 dns_zone_maintenance: zone test.no/IN: enter
27-Mar-2014 10:30:15.158 zone_settimer: zone test.no/IN: enter
27-Mar-2014 10:30:15.166 zone_timer: zone test.no/IN: enter
27-Mar-2014 10:30:15.166 zone_maintenance: zone test.no/IN: enter
27-Mar-2014 10:30:15.166 queue_soa_query: zone test.no/IN: enter
27-Mar-2014 10:30:15.166 zone_settimer: …

我有一个自己托管的网站，我使用 bind9 作为我的 DNS 服务器（托管我自己的名称服务器等）。

我遇到了流量带宽问题，并且我的系统日志充满了以下类型的问题：

error (unexpected RCODE REFUSED) resolving 'target-express.com/AAAA/IN': 193.95.142.60#53
error (unexpected RCODE REFUSED) resolving 'target-express.com/A/IN': 2001:7c8:3:2::5#53

在今天的系统日志中，有144258 个此类实例，全部与 target-express.com 相关。

我的问题是：

1. 有什么我可以做的防火墙明智或绑定配置来阻止这个吗？
2. 为什么我的绑定设置会尝试解析 target-express.com （这不是我的域，与我无关）。

我检查了named.conf中的转发器，没有一个与日志中显示的IP匹配（它们基本上都是不同的IP，而不仅仅是193.95.142.60）。

我的 iptables 内容如下：

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
REJECT     all  --  anywhere             loopback/8           reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  -- …

我已经使用bind 在Linux 上设置了一个从属DNS 服务器。启动命名服务时，区域文件会传输到，slaves/但文件中的信息看起来像是奇怪的计算机符号（我不确定正确的术语是什么），其中有符号和方块，如下面的代码片段。

有谁知道这可能是什么原因造成的？我是否错过了重要的一步？

我已经使用 root-hints 方法（像这样）设置了一个带有 bind9 的缓存 DNS 服务器。它按预期工作 - 但是，我们的 IPv6 流量通过我所在国家/地区之外的网关，这使 Netflix 认为我们是从另一个国家/地区访问的，这会阻止我的孩子观看他们最喜欢的节目。因此，我在想，如果我可以阻止 bind9 返回 netflix.com 的任何 AAAA 记录，客户端将只尝试 IPv4 连接到 Netflix。

也就是说：如何配置bind9，以便在为 netflix.com 返回有效的 A 记录结果时抑制对 netflix.com 的 AAAA 记录查找？

我意识到我可以创建一个仅包含 Netflix 域的区域文件，并让它包含我能找到的 netflix.com 的所有 A 记录，而不包含 AAAA 记录。但我想知道上面的情况是否可行，这样我就不必更新区域文件中的 A 记录。

我的环境中有 2 个域。其中之一是“myproductlab.local”的活动目录域，位于 10.60.0.0/16
然后我有一个为域“mytestlab.local”运行bind9的 debian 盒子，
我已在named.conf.local中添加了一个条目：

zone "60.10.in-addr.arpa" {
        type forward;
        forwarders {
                10.60.10.5;
                10.60.10.7;
                10.60.10.9;

        };
};
zone "myproductionlab.local" {
        type forward;
        forwarders {
                10.60.10.5;
                10.60.10.7;
                10.60.10.9;

        };
};

debian 盒子配置为 DNS 解析为 127.0.0.1，并且全局没有配置转发器。

名称解析解析得很好：

nslookup mymachine.myproductionlab.local  
Server:     127.0.0.1
Address:    127.0.0.1#53
Non-authoritative answer:
Name:   mymachine.myproductionlab.local
Address: 10.60.10.200

并从查询日志中：

client 127.0.0.1#36076 (mymachine.myproductinlab.local): query: mymachine.myproductionlab.local IN A + (127.0.0.1)

但反向 DNS 不被转发：

nslookup 10.60.10.200
Server:     127.0.0.1
Address:    127.0.0.1#53
** server can't find 200.10.60.10.in-addr.arpa: NXDOMAIN

并从查询日志中：

client 127.0.0.1#40295 (200.10.60.10.in-addr.arpa): query: …

我在远程位置有多个网络，我希望能够通过 VPN 访问这些网络。每个网络的拓扑结构只是一个 NAT 路由器和一台运行 SSH 服务器的机器。路由器已转发 SSH 端口，因此所需要做的就是能够访问路由器的 IP。我已经配置了一个 OpenVPN 服务器，并在每个远程网络上设置了路由器来访问它。客户端 PC 也配置为访问 VPN，并且服务器也已配置为可以使用 VPN IP 地址访问各个路由器。

拓扑结构：

这一切都很好，只是客户端不知道路由器的 VPN IP 地址。目前，我必须查看 OpenVPN 状态日志，然后使用该 IP。我不想使用静态 IP，因为远程网络的数量将会增加。

所以，我的问题是，是否可以在 VPN 服务器上运行本地 DNS 服务器，并自动为连接的客户端更新它？

我看过几篇关于在 VPN 服务器上更新 resolv.conf 以及将 DNS 详细信息推送到客户端的文章，但不确定实际运行和更新 DNS 服务器的缺失部分。

服务器配置：

port 1194
proto udp
dev tun
ca ca.crt
cert cert.crt
key key.key  # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key …

我正在尝试设计一个具有 2 台服务器的系统，它们充当动态更新的 DHCP 和 DNS 服务器。我正在使用ISC DHCP和BIND9。

看起来像这样。

Server1 - DHCP 主服务器和 DNS 主服务器。IP 地址 - 10.99.99.11

Server2 - DHCP 辅助服务器和 DNS 从属服务器。IP 地址 - 10.99.99.12

DHCP 服务器配置为动态更新 DNS 区域。

一切都正常工作，直到主 DNS 服务器出现故障并且此时发生动态更新。

问题是如何实现这样的设置：无论 DNS 主服务器是启动还是关闭，都可以从任何 DHCP 服务器进行动态更新？

我尝试在从属 DNS 上配置更新转发，认为它会“缓存”更新，直到主 DNS 服务器返回，然后转发“缓存”更新，但它似乎不起作用。我的假设是基于对一个非常相似的问题的回答

主服务器宕机时从从 DNS 服务器记录（有时最后一行根本不出现）：

Jun  9 05:02:02 localhost named[2767]: client 10.99.99.11#40668/key dhcpupdate: signer "dhcpupdate" approved
Jun  9 05:02:02 localhost named[2767]: client 10.99.99.11#40668/key dhcpupdate: forwarding update for zone 'scetest.com/IN'
Jun  9 05:02:02 localhost …

我正在尝试在 Ubuntu 9.04 服务器上重新配置绑定记录，以便将电子邮件重定向到 gmail 我现有的记录看起来像这样（不是真实的 ip）

; MX 记录
@ IN MX 10 邮件

; 地址记录
@ 在 70.88.42.67
www 在 A 70.88.42.67
FTP 输入 70.88.42.67
邮寄地址 70.88.42.67

我认为需要的改变只是简单的，我是否正确

; MX 记录
@ IN MX 10 邮件

; 地址记录
@ 在 70.88.42.67
www 在 A 70.88.42.67
FTP 输入 70.88.42.67
用 CNAME 发送邮件 ghs.google.com

我正在对保存在 /var/cache/bind 中的 db 文件进行更改，然后将重新启动 bind 以应用它们。这足够了吗？

在我的 logwatch 中出现了一些奇怪的错误选择，其中反复列出了“网络无法访问解决 nsX.somedomain.com”错误。这是在 Ubuntu 9.04 服务器上安装的，并且使用了 dns 的绑定进行了最新更新。

我已经看到各种博客文章指责 spamassasin 上的重复条目，但我没有安装它。列出的域似乎是在我的网络内访问的域 - 但我的服务器没有理由尝试解析这些域 - 我有我的 ISP 名称服务器，并且我的所有计算机都配置为从正确的位置获取 DNS。

任何解决方案的想法都会非常有帮助 - 我的 logwatch 结果越来越长！我在下面给出了这些日志的示例。

    network unreachable resolving 'e.ns.lanechange.info/A/IN': 2001:500:49::1#53: 1 Time(s)
    network unreachable resolving 'e.ns.lanechange.info/AAAA/IN': 2001:500:49::1#53: 1 Time(s)
    network unreachable resolving 'echochamber.me/A/IN': 2001:4830:120:1::1#53: 1 Time(s)

我对 ROOT-SERVERS.NET 也有类似的结果

我正在设置一个集群，可以使用命令唤醒单个机器

wakeonlan -i 192.168.1.255 [MAC Address]

我希望能够通过主机名而不是 MAC 来执行此操作，但是 wakeonlan 的配置文件似乎只提供 IP <-> MAC 映射。我怎样才能通过主机名做到这一点？

如果有帮助，我正在运行 DHCP3 + BIND 并在 dhcpd.conf 文件中输入了所有机器的 MAC 地址，以便在 PXEbooting 时向它们发送正确的主机名。

也许有一些像“host”这样的命令会给我一个来自主机名的 MAC？

谢谢