このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

DNSのサブドメイン委任について このメッセージに返信する
日時: 2017/07/30(Sun) 22:02
名前: ぷっくん
URL:
お世話になります。
現在外向けDNSとして運用しているサーバに、サブドメインを
追加する必要があるのですが、一般的な情報の通りに設定を
行ったところ、DNSサーバ自身からは正常に委任先のサーバに
あるレコード解決ができるのですが、自分以外からは解決
できない状態となってしまいました。

BINDのバージョンは9.9.4
CentOSのバージョンは7.3(3.10.0-514.6.1.el7.x86_64)です。

構成としてはおおよそ以下のような形です。

test.local(親ドメイン)
→ネームサーバはns1.test.local(192.168.1.10)
sub.test.local(サブドメイン)
→ネームサーバはns2.sub.test.local(192.168.1.20)

サブドメインの追加にあたり、親ドメインのゾーンファイルに
以下の記述を追加しました。

sub IN NS ns2.sub.test.local.
ns2.sub.test.local. IN A 192.168.1.20

nslookupを利用し、ns1から名前解決を試行するとns2のみが
所持するレコードも正常に表示されます。
しかし、ns1以外から解決をしようとした場合、

Non-authoritative answer:
*** Can't find test.sub1.math.chuo-u.ac.jp: No answer

となってしまい解決できません。
ns1自体が持っているレコードは問題なく応答があります。
また、サブドメインを委任せずに直接ゾーンファイルに
記載した場合も問題なく解決可能です。

Windowsのnslookupを利用した場合は若干挙動が変わり、

サーバー: ns1.test.local
Address: 192.168.1.10

名前: test10.sub.test.local
Served by:
- ns2.sub.test.local
192.168.1.20
sub.test.local

のような出力となります。
何か勘違い、もしくはそもそも何かを間違えているのでしょうか・・・
明日までに解決しないといけないのですが、昨日からずっと
うまくいかず質問させて頂いた次第です。

何かお気づきの点等ありましたらご教示頂ければと思います。
記事編集 編集
Re: DNSのサブドメイン委任について このメッセージに返信する
日時: 2017/07/31(Mon) 02:11
名前: stranger
URL: http://ja.528p.com/
s2.sub.test.localが公開サーバである場合
(digはbindに含まれるコマンド)

$ dig ns local @a.root-servers.net
$ dig ns test.local @localを管理してるdnsサーバ
$ dig ns sub.test.local @test.localを管理してるdnsサーバ
$ dig ns2.sub.test.local @sub.test.localを管理してるdnsサーバ

のように上位のrootサーバから正引きしていって
途中で切れた場合は、外部のDNSサーバで正引きできません
記事編集 編集
Re: DNSのサブドメイン委任について このメッセージに返信する
日時: 2017/07/31(Mon) 07:16
名前: aaa
URL:
おまけ、みなさんはもうkskロールオーバーの対策はおすみかな?
https://www.nic.ad.jp/ja/translation/icann/2016/20160722.html
記事編集 編集
Re: DNSのサブドメイン委任について このメッセージに返信する
日時: 2017/07/31(Mon) 09:59
名前: stranger
URL: http://ja.528p.com/
回り道

/usr/share/doc/bind-9.9.4/Bv9ARM.ch06.html

managed-keys Statement Grammar

If the dnssec-validation option is set to auto,
named will automatically initialize a managed key for the root zone.
Similarly, if the dnssec-lookaside option is set to auto,
named will automatically initialize a managed key for the zone dlv.isc.org.
In both cases, the key that is used to initialize the key maintenance process
is built into named, and can be overridden from bindkeys-file.

追記
dnsサーバはdnsツリーの枝葉に必ずなっていること
キャッシュがない場合 rootサーバから順々に正引きされて
グローバルアドレスが引かれます
記事編集 編集
Re: DNSのサブドメイン委任について このメッセージに返信する
日時: 2017/08/01(Tue) 15:54
名前: ぷっくん
URL:
stranger様、aaa様

ご回答、アドバイスありがとうございます。
外部公開環境をいじくりまわすのは怖いので、内部で検証環境を
立てて確認したところ、サブドメインを自身以外のマシンから
名前解決できるようにはなりました。
(グルーレコードの書き方がどうもまずかったようです)
しかしながら、opotionsセクションでrecursionをyesにしないと
解決できない状況です。
サブドメインとはいえ、自分以外に聞きには行っているので
確かにわからなくもないのですが・・・

ゾーンファイルでのNS指定もこの設定の影響を受けるものでしょうか?
オープンリゾルバにするつもりはないので、再帰問い合わせは無効に
したいと思っております。

重ねての質問となり恐れ入りますが、ご教示頂けますと非常に助かります。

>お世話になります。
>現在外向けDNSとして運用しているサーバに、サブドメインを
>追加する必要があるのですが、一般的な情報の通りに設定を
>行ったところ、DNSサーバ自身からは正常に委任先のサーバに
>あるレコード解決ができるのですが、自分以外からは解決
>できない状態となってしまいました。
>
>BINDのバージョンは9.9.4
>CentOSのバージョンは7.3(3.10.0-514.6.1.el7.x86_64)です。
>
>構成としてはおおよそ以下のような形です。
>
>test.local(親ドメイン)
>→ネームサーバはns1.test.local(192.168.1.10)
>sub.test.local(サブドメイン)
>→ネームサーバはns2.sub.test.local(192.168.1.20)
>
>サブドメインの追加にあたり、親ドメインのゾーンファイルに
>以下の記述を追加しました。
>
>sub IN NS ns2.sub.test.local.
>ns2.sub.test.local. IN A 192.168.1.20
>
>nslookupを利用し、ns1から名前解決を試行するとns2のみが
>所持するレコードも正常に表示されます。
>しかし、ns1以外から解決をしようとした場合、
>
>Non-authoritative answer:
>*** Can't find test.sub1.math.chuo-u.ac.jp: No answer
>
>となってしまい解決できません。
>ns1自体が持っているレコードは問題なく応答があります。
>また、サブドメインを委任せずに直接ゾーンファイルに
>記載した場合も問題なく解決可能です。
>
>Windowsのnslookupを利用した場合は若干挙動が変わり、
>
>サーバー: ns1.test.local
>Address: 192.168.1.10
>
>名前: test10.sub.test.local
>Served by:
>- ns2.sub.test.local
> 192.168.1.20
> sub.test.local
>
>のような出力となります。
>何か勘違い、もしくはそもそも何かを間違えているのでしょうか・・・
>明日までに解決しないといけないのですが、昨日からずっと
>うまくいかず質問させて頂いた次第です。
>
>何かお気づきの点等ありましたらご教示頂ければと思います。
記事編集 編集
Re: DNSのサブドメイン委任について このメッセージに返信する
日時: 2017/08/01(Tue) 16:52
名前: stranger
URL: http://ja.528p.com/
参考サイト
http://www.atmarkit.co.jp/ait/articles/0306/03/news002_3.html
記事編集 編集
Re: DNSのサブドメイン委任について このメッセージに返信する
日時: 2017/08/02(Wed) 14:45
名前: ぷっくん
URL:
stranger様

参考サイトのご提示ありがとうございます。
そのサイト自体は私も確認しておりました。
完全に新規で環境を構築し、いろいろと試したところ、
やはり再起問い合わせを有効している場合には外部からの
問い合わせにサブドメイン情報を応答することが出来、
無効にしている場合はそのサブドメインを管理している
SOAを表示すると言う挙動となるようでした。

これが本来の挙動なのかは現時点ではまだ判断がつきませんが、
もう少しきちんと勉強・検証をして出直そうと思います。

皆様、いろいろとありがとうございました。

>参考サイト
>http://www.atmarkit.co.jp/ait/articles/0306/03/news002_3.html
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -