Tôi đang chạy một máy chủ có thẩm quyền bằng BIND 9.16.1 trên Ubuntu 20.04 và gần đây tôi đã nâng cấp từ Ubuntu 16.04 nhưng tôi gặp sự cố khi giải quyết cả bản ghi A và bản ghi PTR. Mọi thứ đều hoạt động tốt trước khi nâng cấp từ 16.04 lên 20.04. Các cấu hình tên.conf, tên.conf.options, tên.conf.local, v.v. của tôi ở bên dưới. Lời khuyên của bạn sẽ được đánh giá cao.
trạng thái được đặt tên
trạng thái tên dịch vụ
â named.service - Máy chủ tên miền BIND
Đã tải: đã tải (/lib/systemd/system/named.service; đã bật; giá trị đặt sẵn của nhà cung cấp: đã bật)
Hoạt động: hoạt động (đang chạy) kể từ Thứ Ba 2021-08-17 13:15:22 EAT; 10 giây trước
Tài liệu: man:named(8)
PID chính: 14052 (được đặt tên)
Nhiệm vụ: 14 (giới hạn: 19110)
Bộ nhớ: 73,3M
Nhóm C: /system.slice/named.service
ââ14052 /usr/sbin/named -f -u bind
Ngày 17 tháng 8 13:15:27 dns-1 có tên[14052]: zone_journal: Managed-keys-zone/hotspots: enter
Ngày 17 tháng 8 13:15:27 dns-1 có tên [14052]: zone_needdump: Managed-keys-zone/hotspots: enter
Ngày 17 tháng 8 13:15:27 dns-1 có tên[14052]: zone_settimer: Managed-keys-zone/hotspots: enter
Ngày 17 tháng 8 13:15:27 dns-1 có tên [14052]: vùng khóa được quản lý/bên ngoài: Không thể tìm nạp bộ DNSKEY '.': SERVFAIL
Ngày 17 tháng 8 13:15:27 dns-1 có tên [14052]: set_refreshkeytimer: Managed-keys-zone/external: enter
Ngày 17 tháng 8 13:15:27 dns-1 có tên[14052]: vùng khóa được quản lý/bên ngoài: làm mới khóa tiếp theo: ngày 17 tháng 8 năm 2021 14:10:47.520
Ngày 17 tháng 8 13:15:27 dns-1 có tên[14052]: zone_settimer: Managed-keys-zone/external: enter
Ngày 17 tháng 8 13:15:27 dns-1 có tên[14052]: zone_journal: Managed-keys-zone/external: enter
Ngày 17 tháng 8 13:15:27 dns-1 có tên[14052]: zone_needdump: Managed-keys-zone/external: enter
Ngày 17 tháng 8 13:15:27 dns-1 có tên[14052]: zone_settimer: Managed-keys-zone/external: enter
có tên.conf
//
// Vui lòng đọc /usr/share/doc/bind9/README.Debian.gz để biết thông tin về
// cấu trúc của tập tin cấu hình BIND trong Debian, *TRƯỚC* bạn tùy chỉnh
// tập tin cấu hình này.
//
// Nếu bạn chỉ thêm các vùng, hãy làm điều đó trong /etc/bind/named.conf.local
khai thác gỗ {
kênh default_syslog {
// Gửi hầu hết các tin nhắn được đặt tên tới syslog.
nhật ký hệ thống cục bộ2;
gỡ lỗi mức độ nghiêm trọng;
};
kênh kiểm toán_log {
// Gửi các tin nhắn liên quan đến bảo mật đến một tệp riêng biệt.
tệp "/var/named/named.log" phiên bản 5 kích thước 20m;
gỡ lỗi mức độ nghiêm trọng;
thời gian in có;
};
danh mục mặc định { default_syslog; };
danh mục chung { default_syslog; };
bảo mật danh mục { audit_log; default_syslog; };
cấu hình danh mục { default_syslog; };
trình phân giải danh mục { audit_log; };
danh mục xfer-in { audit_log; };
danh mục xfer-out { audit_log; };
danh mục thông báo { audit_log; };
danh mục khách hàng { audit_log; };
mạng danh mục { audit_log; };
cập nhật danh mục { audit_log; };
truy vấn danh mục { audit_log; };
danh mục máy chủ khập khiễng { audit_log; };
};
// bao gồm "/etc/bind/bind.keys";
bao gồm "/etc/bind/named.conf.options";
// có thẩm quyền đối với các vùng chuyển tiếp và đảo ngược của máy chủ cục bộ và đối với
// vùng quảng bá theo RFC 1918
// vùng "0.0.127.in-addr.arpa" {
// gõ chủ;
// tập tin "localhost.rev";
// };
// khu "com" { chỉ nhập ủy quyền; };
// vùng "net" { chỉ nhập ủy quyền; };
// Từ ghi chú phát hành:
// Bởi vì nhiều người dùng của chúng tôi không thoải mái khi nhận được câu trả lời không được ủy quyền
// từ tên miền gốc hoặc cấp cao nhất, ngoại trừ một số tên miền có hành vi đó
// đã được tin tưởng và mong đợi trong một khoảng thời gian khá dài, bây giờ chúng ta có
// đã giới thiệu tính năng "chỉ dành cho quyền gốc" chỉ áp dụng cho quyền được ủy quyền
// logic cho tất cả các miền cấp cao nhất và cho miền gốc. Một danh sách ngoại lệ
// phải được chỉ định, bao gồm "MUSEUM" và "DE" và bất kỳ mức cao nhất nào khác
// các miền mà các phản hồi không được ủy quyền được mong đợi và tin cậy.
// ủy nhiệm gốc chỉ loại trừ { "DE"; "VIỆN BẢO TÀNG"; };
bao gồm "/etc/bind/named.conf.local";
có tên.conf.local
khách hàng phù hợp { điểm nóng; };
// đệ quy có;
cho phép đệ quy { điểm nóng; };
vùng "." {
gõ gợi ý;
tập tin "/var/named/root.cache";
};
vùng "0.0.127.in-addr.arpa" {
gõ chủ;
tập tin "localhost.rev";
};
vùng "hotspot.domain.com" TRONG {
gõ chủ;
tập tin "named.redirect.hotspot";
};
vùng "internet.domain.com" VÀO {
loại nô lệ;
tập tin "nô lệ/nô lệ.internet.com";
thạc sĩ {1.2.3.4;};
};
vùng "ppg.domain.com" VÀO {
loại nô lệ;
tập tin "nô lệ/nô lệ.ppg.com";
thạc sĩ {1.2.3.4;};
};
};
xem "bên ngoài" {
khách hàng phù hợp { bất kỳ; };
// đệ quy có;
cho phép đệ quy { recurseallow; };
// vùng "example.com" {
// gõ chủ;
// tập tin "externals/db.example.com";
// cho phép chuyển { nô lệ; };
// };
vùng "." {
gõ gợi ý;
tập tin "/var/named/root.cache";
};
vùng "0.0.127.in-addr.arpa" {
gõ chủ;
tập tin "localhost.rev";
};
vùng "domain.com" trong {
gõ chủ;
tập tin "domain.com.zone";
cho phép chuyển { 5.6.7.8; };
};
[…]
bao gồm "/var/named/reverse/named.conf.reverse";
};
tên.conf.options
tùy chọn {
tệp pid "/var/run/bind/run/named.pid";
thư mục "/var/cache/bind";
auth-nxdomain số;
cho phép đệ quy { không; };
// Nếu có tường lửa giữa bạn và máy chủ tên bạn muốn
// để nói chuyện, bạn có thể cần sửa tường lửa để cho phép nhiều
// cổng để nói chuyện. Xem http://www.kb.cert.org/vuls/id/800113
// Nếu ISP của bạn cung cấp một hoặc nhiều địa chỉ IP để ổn định
// máy chủ tên, bạn có thể muốn sử dụng chúng làm trình chuyển tiếp.
// Bỏ ghi chú khối sau và chèn địa chỉ thay thế
// trình giữ chỗ của tất cả 0.
// người giao nhận {
// 0.0.0.0;
// };
//================================================ =========================
// Nếu BIND ghi thông báo lỗi về khóa gốc đã hết hạn,
// bạn sẽ cần cập nhật khóa của mình. Xem https://www.isc.org/bind-keys
//================================================ =========================
địa chỉ nguồn truy vấn * cổng 53;
tự động xác thực dnssec;
nghe-on-v6 { bất kỳ; };
};
// cổng để nói chuyện. Xem http://www.kb.cert.org/vuls/id/800113
// Nếu ISP của bạn cung cấp một hoặc nhiều địa chỉ IP để ổn định
// máy chủ tên, bạn có thể muốn sử dụng chúng làm trình chuyển tiếp.
// Bỏ ghi chú khối sau và chèn địa chỉ thay thế
nhật ký hệ thống
Ngày 17 tháng 8 12:09:32 ns2 có tên[10169]: khách hàng @0x7f2c481144d0 x.x.x.x#34752 (x.x.x.x.in-addr.arpa): xem bên ngoài: truy vấn không thành công (vùng không được tải) cho x.x.x.x.in-addr.arpa/IN/PTR tại truy vấn.c:5430
Ngày 17 tháng 8 12:09:32 ns2 có tên[10169]: client @0x7f2c4c0cb690 172.217.33.195#53951 (x.x.x.x.in-addr.arpa): xem bên ngoài: truy vấn không thành công (vùng không được tải) cho x.x.x.x.in-addr.arpa/IN/ PTR tại truy vấn.c:5430
Ngày 17 tháng 8 12:09:32 ns2 có tên[10169]: client @0x7f2c50064bc0 82.148.111.5#41317 (x.x.x.x.in-addr.arpa): xem bên ngoài: truy vấn không thành công (vùng không được tải) cho x.x.x.x.in-addr.arpa/IN/ PTR tại truy vấn.c:5430
Ngày 17 tháng 8 12:09:32 ns2 có tên[10169]: client @0x7f2c481144d0 62.28.40.174#57295 (x.x.x.x.in-addr.arpa): xem bên ngoài: truy vấn không thành công (vùng không được tải) cho x.x.x.x.in-addr.arpa/IN/ PTR tại truy vấn.c:5430
Ngày 17 tháng 8 12:09:32 ns2 có tên[10169]: khách hàng @0x7f2c481144d0 x.x.x.x#34654 (x.x.x.x.in-addr.arpa): xem bên ngoài: truy vấn không thành công (vùng không được tải) cho x.x.x.x.in-addr.arpa/IN/PTR tại truy vấn.c:5430
bị lỗi (vùng không được tải) cho x.x.x.x.in-addr.arpa/IN/PTR tại query.c:5430
Ngày 17 tháng 8 12:09:32 ns2 có tên[10169]: client @0x7f2c50064bc0 82.148.111.5#41317 (x.x.x.x.in-addr.arpa): xem bên ngoài: truy vấn không thành công (vùng không được tải) cho x.x.x.x.in-addr.arpa/IN/ PTR tại truy vấn.c:5430
Ngày 17 tháng 8 12:09:32 ns2 có tên[10169]: client @0x7f2c481144d0 62.28.40.174#57295 (x.x.x.x.in-addr.arpa): xem bên ngoài: truy vấn không thành công (vùng không được tải) cho x.x.x.x.in-addr.arpa/IN/ PTR tại truy vấn.c:5430
Ngày 17 tháng 8 12:09:32 ns2 có tên[10169]: khách hàng @0x7f2c481144d0 x.x.x.x#34654 (x.x.x.x.in-addr.arpa): xem bên ngoài: truy vấn không thành công (vùng không được tải) cho x.x.x.x.in-addr.arpa/IN/PTR tại truy vấn.c:5430
Ngày 17 tháng 8 12:09:32 ns2 có tên[10169]: client @0x7f2c401962b0 162.13.174.235#60896 (x.x.x.x.in-addr.arpa): xem bên ngoài: truy vấn
tên-checkzone
# tên-kiểm tra tên miền.com tên.1.2.3
vùng domain.com/IN: NS 'ns1.domain.com' không có bản ghi địa chỉ (A hoặc AAAA)
vùng domain.com/IN: NS 'ns2.domain.com' không có bản ghi địa chỉ (A hoặc AAAA)
miền miền.com/IN: không được tải do lỗi.
# tên-kiểm tra tên miền.com /var/named/domain.com.zone
/var/named/domain.com.zone:4: Bản ghi SOA không ở đầu vùng (domain.com.domain.com)
/var/named/domain.com.zone:218: TTL được đặt thành TTL trước đó (3600)
miền domain.com/IN: tải từ tệp chính /var/named/domain.com.zone không thành công: không ở trên cùng của vùng
miền miền.com/IN: không được tải do lỗi.
/var/named/domain.com.zone
$ TTL 86400
miền $ORIGIN.com
@ TRONG SOA ns1.domain.com. techs.domain.com. (
2021081702 ; nối tiếp, ngày hôm nay + hôm nay
1H ; làm mới, giây
2giờ ; thử lại, giây
2W ; hết hạn, giây
1H ); tối thiểu, giây
; TRONG NS
@ TRONG NS ns1.domain.com.
TRONG NS ns4.domain.tld.
; TRONG NS dns-1.domain.com.
; Đối với các thiết bị IronPort
tên miền.com. TRONG MỘT 1.2.3.4
ns1 TRONG MỘT 5.6.7.8
