Ich habe Bind wie folgt eingerichtet:
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {
listen-on port 53 { any; };
# listen-on-v6 port 53 { ::1; };
directory "/var/named";
forwarders { 10.90.0.135; 10.90.0.174; };
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
zone "appletop.local" IN {
type master;
file "appletop.local";
allow-update { none; };
};
Aber es wird nicht weitergeleitet?
Wenn ich einfach die DNS-Serveradresse auf einem anderen Computer eingebe, resolv.conferhalte ich die richtigen Suchvorgänge, sodass der DNS-Server in der Lage sein muss, die Namen für mich aufzulösen. Wenn ich den anderen Computer dann jedoch wieder auf diesen hier richte, kann er die Namen nicht auflösen.
Was ist falsch?
Nach von MadHatter vorgeschlagenen Änderungen:
Jetzt startet es, bleibt aber bei einem Dig +Trace hängen und leitet nicht weiter – warum sehe ich die Weiterleitungsadressen unten nicht?
[root@ns1 ~]# ping www.yahoo.com
^C
[root@ns1 ~]# cd /etc/
[root@ns1 etc]# cp named.conf named.conf.last
[root@ns1 etc]# vi named.conf
[root@ns1 etc]# /etc/init.d/named reload
Reloading named-sdb: [ OK ]
[root@ns1 etc]# service named stop
Stopping named: . [ OK ]
[root@ns1 etc]# /etc/init.d/named start
Starting named: [ OK ]
[root@ns1 etc]# nslookup www.yahoo.com
;; connection timed out; trying next origin
Server: 10.138.10.30
Address: 10.138.10.30#53
** server can't find www.yahoo.com: NXDOMAIN
Und ein Dig mit +trace:
[root@ns1 etc]# dig +trace www.yahoo.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.0.2.el6_4.6 <<>> +trace www.yahoo.com
;; global options: +cmd
. 518400 IN NS E.ROOT-SERVERS.NET.
. 518400 IN NS M.ROOT-SERVERS.NET.
. 518400 IN NS I.ROOT-SERVERS.NET.
. 518400 IN NS F.ROOT-SERVERS.NET.
. 518400 IN NS G.ROOT-SERVERS.NET.
. 518400 IN NS K.ROOT-SERVERS.NET.
. 518400 IN NS B.ROOT-SERVERS.NET.
. 518400 IN NS A.ROOT-SERVERS.NET.
. 518400 IN NS C.ROOT-SERVERS.NET.
. 518400 IN NS L.ROOT-SERVERS.NET.
. 518400 IN NS J.ROOT-SERVERS.NET.
. 518400 IN NS H.ROOT-SERVERS.NET.
. 518400 IN NS D.ROOT-SERVERS.NET.
Meine gesamte Datei sieht jetzt so aus – was ist falsch?
options {
listen-on port 53 { any; };
# listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic"; };
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
}; };
zone "." IN {
type forward;
forward first;
forwarders { 10.90.0.135;
10.90.0.174;
} ; };
include "/etc/named.rfc1912.zones"; include "/etc/named.root.key";
zone "appletop.local" IN {
type master;
file "appletop.local";
allow-update { none; }; };
Antwort1
Sie haben angegeben, welche Weiterleitungen verwendet werden sollen, aber nicht, wann. Wenn Sie möchten, dass sie für alles verwendet werden, anstatt
zone "." IN {
type hint;
file "named.ca";
};
versuchen
zone "." {
type forward;
forward first;
forwarders { 10.90.0.135;
10.90.0.174;
} ;
} ;
Bearbeiten: OK, versuchen Sie stattdessen das oben genannte. Ich verstehe allerdings nicht, was Sie mit „zuerst versuchen, lokal aufzulösen“ meinen; Sie sagten, Sie wollten, dass es weitergeleitet wird.
Antwort2
In meinem Fall wurde das Problem durch die Änderung dnssec-validation yes;vondnssec-validation no;
Antwort3
Nur für den Fall, dass es aus dem Kommentar des OP unter der Antwort von MadHatter „Das Problem war DNSSec“ nicht klar hervorging: Ich veröffentliche diese Antwort explizit, da ich ebenfalls der Meinung bin, dass sie mein Problem gelöst hat.
Ich habe einen BIND-Server mit Cache und Weiterleitung eingerichtet, der jedoch keine Weiterleitung durchführte. Die Abfragen gingen mit einer Verzögerung von mehreren Sekunden an den Stammserver. Das Deaktivieren der DNSSec-Optionen behebt dieses Problem und jetzt funktioniert es wie erwartet.
dnssec-enable no;
dnssec-validation no;
dnssec-lookaside auto;