このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

定期的にDNSルックアップエラーが発生する このメッセージに返信する
日時: 2016/01/13(Wed) 20:51
名前: PLAYER
URL:
閲覧頂きありがとうございます。

Linuxルーター構築(rp-pppoe+iptables)
http://centossrv.com/linux-router.shtml
DHCPサーバー構築(dhcp)
http://centossrv.com/dhcp.shtml
DNSサーバー構築(BIND)
http://centossrv.com/bind.shtml
を参考に、サーバー機にLinuxルーターを構築しました。
※サブドメインは、http://f5.siで取得したものを利用しています。

BINDを開始後しばらくすると、クライアント機からLAN外に出ようとすると、DNSルックアップエラーが発生してしまい、困っています。
※現在はDNSルックアップエラーが出るたびにBINDを再起動して対処しています。

クライアント機からLAN外に出れなくなった場合でも、サーバー機からLAN外に出ること、外部ネットワークからサブドメインを用いてサーバー機にアクセスすること、クライアント機からサブドメインを用いてサーバー機にアクセスすることはできています。

いろいろ実験してみたところ、named.confの
managed-keys-directory "/var/named/dynamic";

managed-keys-directory "/var/named/chroot/var/named/dynamic/";
にしたところ、DNSルックアップエラーが発生することはなくなりました。

しかしながら、BINDが高負荷状態になったため、その設定ではDNSSECの設定が間違っていると考えています。

この場合、どのようにしたら定期的なDNSルックアップエラーを防ぐことができるでしょうか。
同じような問題が発生した方、解決方法をご存知の方がいましたら、ご教授ください。
記事編集 編集
Re: 定期的にDNSルックアップエラーが発生する このメッセージに返信する
日時: 2016/01/13(Wed) 20:57
名前: PLAYER
URL:
以下に、設定ファイルの中身を転記します。

[root@server ~]# cat /var/named/chroot/etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
#listen-on port 53 { 127.0.0.1; };
#listen-on-v6 port 53 { ::1; };
version "unknown";
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; localnets; };
recursion yes;

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

forwarders{
xxx.xxx.xxx.xxx;
yyy.yyy.yyy.yyy;
};

managed-keys-directory "/var/named/dynamic";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
category lame-servers { null; };
};

view "internal" {
match-clients { localnets; };
match-destinations { localnets; };

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

include "/etc/named.mydomain.f5.si.zone";
};


[root@CentOSserver ~]# cat /var/named/chroot/etc/named.mydomain.f5.si.zone
zone "mydomain.f5.si" {
type master;
file "mydomain.f5.si.db";
};
zone "1.168.192.in-addr.arpa" {
type master;
file "1.168.192.in-addr.arpa.db";
};

[root@CentOSserver ~]# cat /var/named/chroot/var/named/mydomain.f5.si.db
$TTL 86400
@ IN SOA mydomain.f5.si. root.mydomain.f5.si.(
2016010801 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS mydomain.f5.si.
IN MX 10 mydomain.f5.si.
@ IN A 192.168.1.1
* IN A 192.168.1.1


[root@CentOSserver ~]# cat /var/named/chroot/var/named/1.168.192.in-addr.arpa.db
$TTL 86400
@ IN SOA mydomain.f5.si. root.mydomain.f5.si.(
2016010801 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS mydomain.f5.si.
1 IN PTR mydomain.f5.si.


その他、必要な情報があれば記載しますので、ご指摘頂ければ幸いです。

※mydomain.f5.siのmydomain部分のみ、架空のものにしています。
記事編集 編集
Re: 定期的にDNSルックアップエラーが発生する このメッセージに返信する
日時: 2016/01/14(Thu) 14:16
名前: stranger
URL: http://ja.528p.com/
エラーログの一片でも表示してもらうと参考になると思うけどね

managed-keys-directory

Specifies the directory in which to store the files that track managed DNSSEC
keys. By default, this is the working directory.

If named is not configured to use views, then managed keys for the server
will be tracked in a single file called managed-keys.bind. Otherwise, managed
keys will be tracked in separate files, one file per view; each file name
will be the SHA256 hash of the view name, followed by the extension .mkeys.

bindのユーザnamedが書き込めるユーザ・グループ・パーミッションになってますか
/var/named/chroot/var/named/ 750 named:named
/var/named/chroot/var/named/dynamic 750 named:named

directory "/var/named";
と指定されてるから、無指定ならばchroot環境の場合
/var/named/chroot/var/namedにmkeysファイルがつくられると思う
managed-keys-directoryの設定が間違っていても起動するとおもうので
実際に作られるか確認してね

dnssec-validation yes;
bind-9.8以降では
dnssec-validation auto;
が使えます

dnssec-validation

Enable DNSSEC validation in named. Note dnssec-enable also needs to be set to
yes to be effective. If set to no, DNSSEC validation is disabled. If set to
auto, DNSSEC validation is enabled, and a default trust-anchor for the DNS
root zone is used. If set to yes, DNSSEC validation is enabled, but a trust
anchor must be manually configured using a trusted-keys or managed-keys
statement. The default is yes.
記事編集 編集
Re: 定期的にDNSルックアップエラーが発生する このメッセージに返信する
日時: 2016/01/14(Thu) 17:05
名前: PLAYER
URL:
stranger様

ご指摘、ありがとうございます。

確認したところ、/var/named/chroot/var/namedが
drwxr-x---. 5 named 4096 12月 17 02:43 2015 named
/var/named/chroot/var/named/dynamicが
drwxr-xr-x. 2 named 4096 1月 14 16:33 2016 dynamic
となっていました。そのため、/var/named/chroot/var/named/dynamicのみ、パーミッションの設定を750にしました。
drwxr-x---. 2 named 4096 1月 14 16:33 2016 dynamic

mkeysファイルについては、
managed-keys-directory "/var/named/dynamic";
と指定していたため、/var/named/chroot/var/named/dynamic内に存在していました。

また、bindのバージョンが
BIND 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.5
だったため、
dnssec-validation auto;
に設定を変更しました。

これで様子をみたいと思います。
記事編集 編集
Re: 定期的にDNSルックアップエラーが発生する このメッセージに返信する
日時: 2016/01/14(Thu) 17:08
名前: PLAYER
URL:
※以下に、DNSルックアップエラー発生時の/var/named/chroot/var/named/data/named.runのログを一部掲載します。その他、貼った方が良いログがあれば、ご指摘いただければ幸いです。

validating @0xb5847960: autolinkmaker.itunes.apple.com A: bad cache hit (autolinkmaker.itunes.apple.com.dlv.isc.org/DLV)
validating @0xb5847960: www.seo-stats.com A: bad cache hit (www.seo-stats.com.dlv.isc.org/DLV)
validating @0xb52d31c0: static.xx.fbcdn.net A: bad cache hit (static.xx.fbcdn.net.dlv.isc.org/DLV)
validating @0xb52d31c0: www.facebook.com A: bad cache hit (www.facebook.com.dlv.isc.org/DLV)
validating @0xb52d31c0: static.mixi.jp A: bad cache hit (static.mixi.jp.dlv.isc.org/DLV)
validating @0xb52a3190: www.google-analytics.com A: bad cache hit (www.google-analytics.com.dlv.isc.org/DLV)
validating @0xb525df50: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb52a3190: twitter.com.dlv.isc.org DLV: bad cache hit (com.dlv.isc.org/DS)
validating @0xb52d31c0: apis.google.com A: bad cache hit (apis.google.com.dlv.isc.org/DLV)
validating @0xb52d31c0: fonts.gstatic.com A: bad cache hit (fonts.gstatic.com.dlv.isc.org/DLV)
validating @0xb52d31c0: lh3.googleusercontent.com A: bad cache hit (lh3.googleusercontent.com.dlv.isc.org/DLV)
validating @0xb52a3190: dlv.isc.org SOA: no valid signature found
validating @0xb52a3190: dantech.net.nz.dlv.isc.org NSEC: no valid signature found
validating @0xb52a3190: dantech.net.nz.dlv.isc.org NSEC: bad cache hit (nz.dlv.isc.org/DS)
validating @0xb525df50: jp SOA: got insecure response; parent indicates it should be secure
validating @0xb525df50: jp SOA: got insecure response; parent indicates it should be secure
validating @0xb52d31c0: dlv.isc.org SOA: no valid signature found
validating @0xb52d31c0: robo.onl.dlv.isc.org NSEC: no valid signature found
validating @0xb52d31c0: robo.onl.dlv.isc.org NSEC: bad cache hit (onl.dlv.isc.org/DS)
validating @0xb52d31c0: isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb525df50: jp SOA: got insecure response; parent indicates it should be secure
validating @0xb52d31c0: isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb525df50: jp SOA: got insecure response; parent indicates it should be secure
validating @0xb52d31c0: dlv.isc.org SOA: no valid signature found
validating @0xb52d31c0: robo.onl.dlv.isc.org NSEC: no valid signature found
validating @0xb52d31c0: robo.onl.dlv.isc.org NSEC: bad cache hit (onl.dlv.isc.org/DS)
validating @0xb525df50: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb52d31c0: www.lpi.or.jp.dlv.isc.org DLV: bad cache hit (jp.dlv.isc.org/DS)
validating @0xb52a3190: apis.google.com A: bad cache hit (apis.google.com.dlv.isc.org/DLV)
validating @0xb52a3190: oauth.googleusercontent.com A: bad cache hit (oauth.googleusercontent.com.dlv.isc.org/DLV)
validating @0xb52a3190: ssl.gstatic.com A: bad cache hit (ssl.gstatic.com.dlv.isc.org/DLV)
validating @0xb52d31c0: dlv.isc.org SOA: no valid signature found
validating @0xb52d31c0: robo.onl.dlv.isc.org NSEC: no valid signature found
validating @0xb52d31c0: robo.onl.dlv.isc.org NSEC: bad cache hit (onl.dlv.isc.org/DS)
validating @0xb525df50: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb52a3190: syndication.twitter.com.dlv.isc.org DLV: bad cache hit (com.dlv.isc.org/DS)
validating @0xb525df50: com SOA: got insecure response; parent indicates it should be secure
validating @0xb5802380: isc.org DNSKEY: got insecure response; parent indicates it should be secure
validating @0xb525ce60: dlv.isc.org SOA: no valid signature found
validating @0xb525ce60: robo.onl.dlv.isc.org NSEC: no valid signature found
validating @0xb525ce60: robo.onl.dlv.isc.org NSEC: bad cache hit (onl.dlv.isc.org/DS)
validating @0xb5802380: isc.org DNSKEY: got insecure response; parent indicates it should be secure
validating @0xb525ce60: com SOA: got insecure response; parent indicates it should be secure
validating @0xb5847960: www.isc.org A: got insecure response; parent indicates it should be secure
validating @0xb525df50: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb5847960: www.maihama-net.com.dlv.isc.org DLV: bad cache hit (com.dlv.isc.org/DS)
validating @0xb525df50: dlv.isc.org SOA: no valid signature found
validating @0xb525df50: robo.onl.dlv.isc.org NSEC: no valid signature found
validating @0xb525df50: robo.onl.dlv.isc.org NSEC: bad cache hit (onl.dlv.isc.org/DS)
validating @0xb5847960: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb525df50: ja.wikipedia.org.dlv.isc.org DLV: bad cache hit (org.dlv.isc.org/DS)
validating @0xb4803160: com SOA: got insecure response; parent indicates it should be secure
validating @0xb525df50: com SOA: got insecure response; parent indicates it should be secure
validating @0xb52a3190: com SOA: got insecure response; parent indicates it should be secure
validating @0xb5847960: com SOA: got insecure response; parent indicates it should be secure
validating @0xb52a3190: com SOA: got insecure response; parent indicates it should be secure
validating @0xb5847960: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb52a3190: www.ugtop.com.dlv.isc.org DLV: bad cache hit (com.dlv.isc.org/DS)
validating @0xb52d31c0: apis.google.com A: bad cache hit (apis.google.com.dlv.isc.org/DLV)
validating @0xb52a3190: com SOA: got insecure response; parent indicates it should be secure
記事編集 編集
Re: 定期的にDNSルックアップエラーが発生する このメッセージに返信する
日時: 2016/01/14(Thu) 17:11
名前: PLAYER
URL:
※Part2

validating @0xb52d31c0: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb52a3190: www.dnscolos.com.dlv.isc.org DLV: bad cache hit (com.dlv.isc.org/DS)
validating @0xb4803160: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb52a3190: www.value-domain.com.dlv.isc.org DLV: bad cache hit (com.dlv.isc.org/DS)
validating @0xb525df50: clients4.google.com A: bad cache hit (clients4.google.com.dlv.isc.org/DLV)
validating @0xb525df50: clients4.google.com A: bad cache hit (clients4.google.com.dlv.isc.org/DLV)
validating @0xb525df50: clients4.google.com A: bad cache hit (clients4.google.com.dlv.isc.org/DLV)
validating @0xb525df50: clients4.google.com A: bad cache hit (clients4.google.com.dlv.isc.org/DLV)
validating @0xb525df50: www.google.co.jp A: bad cache hit (www.google.co.jp.dlv.isc.org/DLV)
validating @0xb525df50: apis.google.com A: bad cache hit (apis.google.com.dlv.isc.org/DLV)
validating @0xb52a3190: ssl.gstatic.com A: bad cache hit (ssl.gstatic.com.dlv.isc.org/DLV)
validating @0xb52a3190: www.google.com A: bad cache hit (www.google.com.dlv.isc.org/DLV)
validating @0xb52d31c0: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb4803160: www.gstatic.com.dlv.isc.org DLV: bad cache hit (com.dlv.isc.org/DS)
validating @0xb52a3190: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb4803160: csi.gstatic.com.dlv.isc.org DLV: bad cache hit (com.dlv.isc.org/DS)
validating @0xb525df50: www.google.co.jp A: bad cache hit (www.google.co.jp.dlv.isc.org/DLV)
validating @0xb525df50: www.google.co.jp A: bad cache hit (www.google.co.jp.dlv.isc.org/DLV)
validating @0xb52a3190: dlv.isc.org SOA: got insecure response; parent indicates it should be secure
validating @0xb4803160: google.com.dlv.isc.org DLV: bad cache hit (com.dlv.isc.org/DS)
validating @0xb525df50: www.google.co.jp A: bad cache hit (www.google.co.jp.dlv.isc.org/DLV)
validating @0xb525df50: apis.google.com A: bad cache hit (apis.google.com.dlv.isc.org/DLV)
validating @0xb525df50: csi.gstatic.com A: bad cache hit (csi.gstatic.com.dlv.isc.org/DLV)
validating @0xb525df50: www.gstatic.com A: bad cache hit (www.gstatic.com.dlv.isc.org/DLV)
validating @0xb525df50: www.google.co.jp A: bad cache hit (www.google.co.jp.dlv.isc.org/DLV)
validating @0xb525df50: www.google.co.jp A: bad cache hit (www.google.co.jp.dlv.isc.org/DLV)
validating @0xb525df50: www.google.co.jp A: bad cache hit (www.google.co.jp.dlv.isc.org/DLV)
validating @0xb525df50: apis.google.com A: bad cache hit (apis.google.com.dlv.isc.org/DLV)
validating @0xb525df50: www.gstatic.com A: bad cache hit (www.gstatic.com.dlv.isc.org/DLV)
validating @0xb525df50: google.com A: bad cache hit (google.com.dlv.isc.org/DLV)
validating @0xb525df50: www.google.co.jp A: bad cache hit (www.google.co.jp.dlv.isc.org/DLV)
validating @0xb525df50: www.google.co.jp A: bad cache hit (www.google.co.jp.dlv.isc.org/DLV)
validating @0xb525df50: google.com A: bad cache hit (google.com.dlv.isc.org/DLV)
received control channel command 'stop'
shutting down: flushing changes
stopping command channel on 127.0.0.1#953
no longer listening on 127.0.0.1#53
no longer listening on 192.168.1.1#53
no longer listening on 153.177.122.246#53
exiting
zone 0.in-addr.arpa/IN/internal: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN/internal: loaded serial 0
zone 1.168.192.in-addr.arpa/IN/internal: loaded serial 2016010801
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN/internal: loaded serial 0
zone localhost.localdomain/IN/internal: loaded serial 0
zone localhost/IN/internal: loaded serial 0
zone mydomain.f5.si/IN/internal: loaded serial 2016010801
managed-keys-zone ./IN/internal: loaded serial 1282
running
validating @0xb5702380: . NS: got insecure response; parent indicates it should be secure
validating @0xb5702380: . NS: got insecure response; parent indicates it should be secure
validating @0xb5264220: . DNSKEY: got insecure response; parent indicates it should be secure
validating @0xb5264220: . DNSKEY: got insecure response; parent indicates it should be secure
validating @0xb5702380: jp SOA: got insecure response; parent indicates it should be secure
validating @0xb5702380: jp SOA: got insecure response; parent indicates it should be secure

※named.runのログの一部は以上です。
記事編集 編集
Re: 定期的にDNSルックアップエラーが発生する このメッセージに返信する
日時: 2016/01/15(Fri) 14:46
名前: stranger
URL: http://ja.528p.com/
DNSSECに対応してるドメインを自分のキャッシュサーバで検証してみる
(ドメイン www.isc.org 自前のキャッシュサーバ 192.168.0.1)

$ dig +dnssec www.isc.org @192.168.0.1

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> +dnssec www.isc.org @192.168.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16342
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 13

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.isc.org. IN A

;; ANSWER SECTION:
www.isc.org. 60 IN A 149.20.64.69
www.isc.org. 60 IN RRSIG A 5 3 60 20160212094512 20160113094512 6003 isc.org. TdZrjGLXBdIx3OEgwqzulGYaiMG71+XlmqyXWkgFgTwRwBv++6DWmpmw w7iCDpeb+aHQYHKDUCCy/wsbMxTr/yNcmnp3xtp8w85wFHNRQEs5ORp4 Z6s+jmsg8OKItBHCPgEvXuhSN28LFwOvYa406runc7Rfbu25ufLWB5lT TyE=

以下省略

status: NOERRORでflagsにadがたってます

追記
/usr/share/doc/bind-9.8.2/arm/Bv9ARM.html
をfirefoxなどで開けばマニュアルになります
オプションに関してはoptions Statement Grammarの部分

named.confで
bindkeys-file "/etc/named.iscdlv.key";
と設定してますね
そのnamed.iscdlv.keyをエディタなどで開いてみて下さい
"dnssec-validation auto;"
"dnssec-lookaside auto;"
にする意味がわかります
記事編集 編集
Re: 定期的にDNSルックアップエラーが発生する このメッセージに返信する
日時: 2016/01/16(Sat) 01:05
名前: PLAYER
URL:
stranger様

ご指摘ありがとうございます。

サーバー機(Linuxルーター)から
$ dig +dnssec www.isc.org @192.168.1.1
を実行したところ、以下の結果が得られました。

[root@server ~]# dig +dnssec www.isc.org @192.168.1.1

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.5 <<>> +dnssec www.isc.org @192.168.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32374
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 13

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.isc.org. IN A

;; ANSWER SECTION:
www.isc.org. 60 IN A 149.20.64.69
www.isc.org. 60 IN RRSIG A 5 3 60 20160212094512 20160113094512 6003 isc.org. TdZrjGLXBdIx3OEgwqzulGYaiMG71+XlmqyXWkgFgTwRwBv++6DWmpmw w7iCDpeb+aHQYHKDUCCy/wsbMxTr/yNcmnp3xtp8w85wFHNRQEs5ORp4 Z6s+jmsg8OKItBHCPgEvXuhSN28LFwOvYa406runc7Rfbu25ufLWB5lT TyE=

(以下略)

status: NOERROR、flags: qr rd ra ad;という結果が得られたため、DNSSEC自体はきちんと動作しているようです。

追記部分に関しては、まだ理解していない部分があるので、これから勉強したいと思います。

※追記
過去のスレッドより、以下の記事を発見しました。
??2330 最新版のnamedに実装されたDNSSECについて
http://centossrv.com/bbshtml/webpatio/2330.shtml

おそらく、このスレッドと同じ状況であると考えられるので、そちらも参考にしたいと思います。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -