Rulez un server autorizat folosind BIND 9.16.1 pe Ubuntu 20.04 și recent am făcut upgrade de la Ubuntu 16.04, dar am avut probleme cu rezolvarea înregistrărilor A și PTR. Totul a funcționat bine înainte de upgrade de la 16.04 la 20.04. Configurațiile mele named.conf, named.conf.options, named.conf.local etc. sunt mai jos. Sfatul dumneavoastră ar fi foarte apreciat.
statut numit
serviciu numit status
â named.service - BIND Domain Name Server
Încărcat: încărcat (/lib/systemd/system/named.service; activat; prestabilit furnizor: activat)
Activ: activ (în alergare) din Mar 2021-08-17 13:15:22 EAT; acum 10s
Documente: man:named(8)
PID principal: 14052 (numit)
Sarcini: 14 (limită: 19110)
Memorie: 73,3 M
CGroup: /system.slice/named.service
ââ14052 /usr/sbin/named -f -u bind
17 august 13:15:27 dns-1 numit[14052]: zone_journal: managed-keys-zone/hotspots: introduceți
17 august 13:15:27 dns-1 numit[14052]: zone_needdump: chei-gestionate-zonă/hotspot-uri: introduceți
17 august 13:15:27 dns-1 numit[14052]: zone_settimer: chei-gestionate-zonă/hotspots: introduceți
17 august 13:15:27 dns-1 named[14052]: managed-keys-zone/external: Imposibil de preluat setul DNSKEY „.”: SERVFAIL
17 august 13:15:27 dns-1 numit[14052]: set_refreshkeytimer: zone-chei-gestionate/extern: introduceți
17 august 13:15:27 dns-1 numit[14052]: zone-chei-gestionate/extern: următoarea reîmprospătare a tastei: 17-aug-2021 14:10:47.520
17 august 13:15:27 dns-1 numit[14052]: zone_settimer: managed-keys-zone/external: enter
17 august 13:15:27 dns-1 numit[14052]: zone_journal: managed-keys-zone/external: enter
17 august 13:15:27 dns-1 numit[14052]: zone_needdump: chei-gestionate-zonă/extern: introduceți
17 august 13:15:27 dns-1 numit[14052]: zone_settimer: managed-keys-zone/external: enter
numit.conf
//
// Vă rugăm să citiți /usr/share/doc/bind9/README.Debian.gz pentru informații despre
// structura fișierelor de configurare BIND în Debian, *ÎNAINTE* să personalizați
// acest fișier de configurare.
//
// Dacă doar adăugați zone, vă rugăm să faceți asta în /etc/bind/named.conf.local
Logare {
canal default_syslog {
// Trimite majoritatea mesajelor numite către syslog.
syslog local2;
depanare de severitate;
};
jurnal de audit al canalului {
// Trimiteți mesajele legate de securitate într-un fișier separat.
fișier „/var/named/named.log” versiuni 5 dimensiune 20m;
depanare de severitate;
timp de imprimare da;
};
categorie implicită { default_syslog; };
categorie general { default_syslog; };
categorie securitate { audit_log; default_syslog; };
config categorie { default_syslog; };
rezolutor categorie { audit_log; };
categorie xfer-in { audit_log; };
categoria xfer-out { audit_log; };
notificare categorie { audit_log; };
categorie client { audit_log; };
categorie rețea { audit_log; };
actualizare categorie { audit_log; };
interogări de categorie { audit_log; };
categorie lame-server { audit_log; };
};
//include „/etc/bind/bind.keys”;
includ „/etc/bind/named.conf.options”;
// să fie autoritar pentru zonele înainte și inversă localhost și pentru
// zone de difuzare conform RFC 1918
// zona "0.0.127.in-addr.arpa" {
// tip master;
// fișierul „localhost.rev”;
// };
// zona "com" { tip numai delegare; };
// zone "net" { tip numai delegare; };
// Din notele de lansare:
// Deoarece mulți dintre utilizatorii noștri nu se simt confortabil să primească răspunsuri nedelegate
// de la rădăcină sau domenii de nivel superior, altele decât câteva pentru care acest comportament
// a fost de încredere și așteptat de destul de mult timp, acum avem
// a introdus caracteristica „root-delegations-only” care aplică numai delegarea
// logic pentru toate domeniile de nivel superior și pentru domeniul rădăcină. O listă de excepții
// ar trebui specificat, inclusiv „MUSEUM” și „DE”, și orice alt nivel superior
// domenii de la care sunt așteptate și de încredere răspunsuri nedelegate.
// root-delegation-only exclude { "DE"; "MUZEU"; };
includ „/etc/bind/named.conf.local”;
numit.conf.local
match-clients { hotspot-uri; };
// recursiunea da;
allow-recursion { hotspot-uri; };
zona "." {
tip indiciu;
fișierul „/var/named/root.cache”;
};
zona "0.0.127.in-addr.arpa" {
tip master;
fișierul „localhost.rev”;
};
zona „hotspot.domain.com” ÎN {
tip master;
fișierul „named.redirect.hotspot”;
};
zona „internet.domain.com” ÎN {
tip slave;
fișierul „slave/slave.internet.com”;
master {1.2.3.4;};
};
zona „ppg.domain.com” ÎN {
tip slave;
fișierul „slave/slave.ppg.com”;
master {1.2.3.4;};
};
};
vizualizare „extern” {
potrivire-clienti { oricare; };
// recursiunea da;
allow-recursion { recurseallow; };
// zona „example.com” {
// tip master;
// fișierul „externals/db.example.com”;
// permit-transfer { sclavi; };
// };
zona "." {
tip indiciu;
fișierul „/var/named/root.cache”;
};
zona "0.0.127.in-addr.arpa" {
tip master;
fișierul „localhost.rev”;
};
zona „domain.com” în {
tip master;
fișierul „domain.com.zone”;
permite-transfer { 5.6.7.8; };
};
[...]
includ „/var/named/reverse/named.conf.reverse”;
};
named.conf.options
Opțiuni {
pid-file „/var/run/bind/run/named.pid”;
directorul „/var/cache/bind”;
auth-nxdomain nr;
allow-recursion { niciunul; };
// Dacă există un firewall între dvs. și serverele de nume dorite
// pentru a vorbi, poate fi necesar să remediați firewall-ul pentru a permite mai multe
// porturi pentru a vorbi. A se vedea http://www.kb.cert.org/vuls/id/800113
// Dacă ISP-ul dvs. a furnizat una sau mai multe adrese IP pentru stabil
// servere de nume, probabil că doriți să le utilizați ca expeditori.
// Decommentați următorul bloc și introduceți adresele care le înlocuiesc
// substituentul tuturor-0.
// expeditori {
// 0.0.0.0;
// };
//================================================== =========================
// Dacă BIND înregistrează mesaje de eroare despre expirarea cheii rădăcină,
// va trebui să vă actualizați cheile. Consultați https://www.isc.org/bind-keys
//================================================== =========================
adresa sursă de interogare * portul 53;
dnssec-validation auto;
listen-on-v6 { orice; };
};
// porturi pentru a vorbi. A se vedea http://www.kb.cert.org/vuls/id/800113
// Dacă ISP-ul dvs. a furnizat una sau mai multe adrese IP pentru stabil
// servere de nume, probabil că doriți să le utilizați ca expeditori.
// Decommentați următorul bloc și introduceți adresele care le înlocuiesc
syslog
17 aug 12:09:32 ns2 numit[10169]: client @0x7f2c481144d0 x.x.x.x#34752 (x.x.x.x.in-addr.arpa): vizualizare externă: interogarea eșuată (zona nu a fost încărcată) pentru x.x.x.x.p.x.in/-addr.arpa interogare.c:5430
17 august 12:09:32 ns2 numit[10169]: client @0x7f2c4c0cb690 172.217.33.195#53951 (x.x.x.x.in-addr.arpa): vizualizare externă: interogare eșuată (zona neîncărcată) pentru x.x.in-addr.x.in-addr/. PTR la interogare.c:5430
17 august 12:09:32 ns2 numit[10169]: client @0x7f2c50064bc0 82.148.111.5#41317 (x.x.x.x.in-addr.arpa): vizualizare externă: interogarea eșuată (zona nu a fost încărcată) pentru x.x.x.x.in-addr.arpa PTR la interogare.c:5430
17 august 12:09:32 ns2 numit[10169]: client @0x7f2c481144d0 62.28.40.174#57295 (x.x.x.x.in-addr.arpa): vizualizare externă: interogarea eșuată (zona nu a fost încărcată) pentru x.x.x.x.in-addr.arpa PTR la interogare.c:5430
17 august 12:09:32 ns2 numit[10169]: client @0x7f2c481144d0 x.x.x.x#34654 (x.x.x.x.in-addr.arpa): vizualizare externă: interogarea a eșuat (zona nu a fost încărcată) pentru x.x.x.x.x.arpa/-addr. interogare.c:5430
ailed (zona nu este încărcată) pentru x.x.x.x.in-addr.arpa/IN/PTR la interogare.c:5430
17 august 12:09:32 ns2 numit[10169]: client @0x7f2c50064bc0 82.148.111.5#41317 (x.x.x.x.in-addr.arpa): vizualizare externă: interogarea eșuată (zona nu a fost încărcată) pentru x.x.x.x.in-addr.arpa PTR la interogare.c:5430
17 august 12:09:32 ns2 numit[10169]: client @0x7f2c481144d0 62.28.40.174#57295 (x.x.x.x.in-addr.arpa): vizualizare externă: interogarea eșuată (zona nu a fost încărcată) pentru x.x.x.x.in-addr.arpa PTR la interogare.c:5430
17 august 12:09:32 ns2 numit[10169]: client @0x7f2c481144d0 x.x.x.x#34654 (x.x.x.x.in-addr.arpa): vizualizare externă: interogarea a eșuat (zona nu a fost încărcată) pentru x.x.x.x.x.arpa/-addr. interogare.c:5430
17 august 12:09:32 ns2 numit[10169]: client @0x7f2c401962b0 162.13.174.235#60896 (x.x.x.x.in-addr.arpa): vizualizare externă: interogare
numită-checkzone
# named-checkzone domain.com named.1.2.3
zone domain.com/IN: NS „ns1.domain.com” nu are înregistrări de adrese (A sau AAAA)
zone domain.com/IN: NS „ns2.domain.com” nu are înregistrări de adrese (A sau AAAA)
zone domain.com/IN: nu s-a încărcat din cauza erorilor.
# named-checkzone domain.com /var/named/domain.com.zone
/var/named/domain.com.zone:4: înregistrarea SOA nu este în partea de sus a zonei (domain.com.domain.com)
/var/named/domain.com.zone:218: TTL setat la TTL anterior (3600)
zone domain.com/IN: încărcarea din fișierul principal /var/named/domain.com.zone a eșuat: nu în partea de sus a zonei
zone domain.com/IN: nu s-a încărcat din cauza erorilor.
/var/named/domain.com.zone
86400 USD TTL
$ORIGIN domain.com
@ ÎN SOA ns1.domain.com. techs.domain.com. (
2021081702; serial, data de azi + ziua de azi
1H; reîmprospătare, secunde
2H; reîncercați, secunde
2W; expiră, secunde
1H); minim, secunde
;IN NS
@ ÎN NS ns1.domain.com.
ÎN NS ns4.domeniu.tld.
; ÎN NS dns-1.domain.com.
; Pentru dispozitivele IronPort
domeniu.com. ÎN A 1.2.3.4
ns1 ÎN A 5.6.7.8
