- - PR -
Windows上でのBind v8.2.4の挙動について
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-10-14 11:04
お世話になります。
現在、Windows2000+SP4環境にBind v8.2.4を導入し、外部DNSサーバを構築しております。 DNSはFirewallで仕切られたDMZに配置しておりますが、実IPアドレスはプライベートIPであり、FirewallにてグローバルIPへNAT変換しております。 さて、ドメイン(hogehoge.jpとします)と、逆引きファイル、named.confを作成しましたが、これでは起動せず、DNSサーバの実IP(プライベートIP)の逆引きファイルを作成し、named.confに追加設定することで起動するようになりました。 これは正常な構成でしょうか? また、外部DNS上でのDNS問い合わせ順序として、DNSがもつ実アドレスに設定してある状態で、そのDNSに設定されているIPアドレス(例えばwww.hogehoge.jpなどのIPアドレス)を逆引きさせてみると、Non-Authrizeと出てしまいます。 これは正常な答えでしょうか? 頭が混乱してきておりますので、正常に戻す意味でもヒントなどありましたらよろしくお願いいたします。 [ メッセージ編集済み 編集者: kenkzxr 編集日時 2004-10-14 11:11 ] | ||||||||
|
投稿日時: 2004-10-14 12:29
FireWall上のDMZゾーンがプライベートであっても、公開用のDNSであるならグローバルなゾーンで設計する必要がありますね。
どうしてもbind8でないといけないという理由がないなら、bind9を使う方が先のような構成では幸せになれると思います。 bind9は、http://www.isc.org/index.pl?/sw/bind/bind9.3.php (または直接、 ftp://ftp.isc.org/isc/bind/contrib/ntbind-9.3.0/BIND9.3.0.zip )で入手可能です。 でbind9においてはviewとaclいう機能を使う事で異なるアドレスからリクエストを処理させる事が可能になっています。 これについては、 http://www.atmarkit.co.jp/flinux/rensai/bind913/bind913c.html を参考にすると良いでしょう。(ACLによって、ローカル側のネットワークアドレスからのリクエストとグローバルからのリクエストを切り分ける。でもってviewでそれぞれのリクエスト用のゾーンファイルを定義する という形になります) | ||||||||
|
投稿日時: 2004-10-14 13:06
非武装エリアさん、早速のご回答、ありがとうございます。
さて、問題のDNSですが、もちろんhogehoge.jpにおけるグローバルIPの正引き、逆引きの定義は行っておりますが、それではDNSサービスが起動しませんでした。 それで(なぜ、という根拠はないのですが)、DNSサーバの実アドレス(プライベートIP)の逆引きファイル(PTRレコードとしてはDNSサーバのものしかありません)を作成し、named.confに追記したところ、DNSサービスが起動するようになりました。 ただし、先の質問文にありますように、DNSサーバ上でnslookupによる逆引き解決を試みたとき、hogehoge.jpに所属するIPの逆引きにもかかわらず、Not-Authrizedと表示されます。 この現象が正常かどうかと、追記したファイルが本来は要、不要が判断できないため、質問した次第です。 また、DNSサーバを再構成するハメになった原因として、DNSサーバ上でnslookupにて調査したところ、www.microsoft.comとwww.symantec.co.jpの名前解決ができない現象が起因します。特定は難しいのですが、この2つのドメインについて、名前解決ができるときと、できないときがあり、ほとんどできないとみていいと思います。 | ||||||||
|
投稿日時: 2004-10-14 14:58
逆引きの定義で127.0.0.1(Loopback)は作成されてますでしょうか。 もしされていないようであれば、実IPの逆引きの変わりに定義されては如何でしょうか。 DNS等の構築にここら辺を参考にされてみては如何でしょうか。 http://sakaguch.com/DNSgyakubiki.html
何処かで見たことがあると思ったら、、、、長らくの対応お疲れ様ですm(_ _)m 逆引きアドレス等を確認するときにはこちらが便利です。 http://www.ugtop.com/spill.shtml クライアントホスト名に表示されているアドレスが逆引きされたアドレスとなります。 もしかしたら上位ISPのドメインのものが表示されたりするかも知れません。 | ||||||||
|
投稿日時: 2004-10-14 15:28
きょ〜じゅさん、ご回答ありがとうございます。
loopbackの逆引きは設定しております(逆引きファイル作成、およびnamed.confに追記)。また、正引きについてはhogehoge.jpの正引きファイルに追加しております。 さて、MSやSymantecに繋がらないことはのちのちゆっくり(いやいやゆっくりもしてられないのですが・・・)解決するとして、とりあえずは「DNSに悪いところはない!」という状態にしたいのです。 自分のスキルのなさにあきれ果てる毎日ですが・・・。 そこでお聞きしたいことをまとめます。 1.DMZに実IPとしてプライベートIPをもつDNSがあり、Firewall上で静的NAT変換されている場合、そのDNSの設定ファイルに実IP(プライベートIP)の逆引きファイルは必要か? 2.必要でないなら、なぜそれがないとDNSが起動しないのか? 追加で下記もお願いいたします。 3.内部LAN上に内部用DNSがある場合、そのnamed.confに、forward設定(forward先は外部DNSの実IP(プライベートIP))を設定するのは問題ないのか? 以上です。スキル不足を露呈する質問になっておりますが、よろしくお願いいたします。 | ||||||||
|
投稿日時: 2004-10-14 15:30
追記です。
上記きょ〜じゅさんが紹介されている「確認くん」のサイトで確認したところ、外部DNSについては問題なく逆引きできておりました。 以上です。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。