Servidor DNS do Ubuntu funcionando, mas recebendo erros no syslog

7

é a minha primeira pergunta ao fórum aqui, então, por favor, seja fácil comigo. Eu sou um novato em Linux e experimentei configurar meu próprio servidor Ubuntu (nome do servidor: araliya, domínio: autun.hom, IP: 192.168.1.99). Eu configurei tudo e instalei o bind9 para configurar um servidor DNS usando o tutorial postado aqui ( Como faço uma configuração completa do servidor DNS BIND9 com um hostname? ).

Tudo correu realmente muito bem, até a etapa no final, quando eu tive que verificar se o servidor DNS está funcionando. Quando eu dei o seguinte comando, obtive um bom resultado.

> named-checkzone autun.hom /etc/bind/zones/db.autun.hom
  zone autun.hom /IN: loaded serial   2
  Ok

No entanto, quando fiz a mesma coisa na minha pesquisa de DNS inversa, obtive uma resposta ligeiramente diferente.

> named-checkzone autun.hom /etc/bind/zones/db.192
  zone autun.hom /IN: loaded serial   1
  Ok 

O tutorial dizia que a saída de "named-checkzone" deveria ser a mesma para as zonas de pesquisa direta e inversa. Mas o valor "serial carregado" que recebo é diferente entre as duas respostas.

Quando eu segui todos os outros testes incluindo, dig, hostname, nslookup, obtive um bom resultado. Na verdade, meu servidor DNS parece estar funcionando. Quando eu verifiquei o syslog, no entanto, recebo muitos erros:

May 10 20:09:04 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure          response; parent indicates it should be secure
May 10 20:09:04 araliya named[1026]: error (insecurity proof failed) resolving  './NS/IN': 192.168.1.1#53
May 10 20:09:12 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:12 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53
May 10 20:09:13 araliya named[1026]: error (network unreachable) resolving './NS/IN': 2001:7fe::53#53
May 10 20:09:24 araliya named[1026]: validating @0x7f1314706200: . NS: got insecure response; parent indicates it should be secure
May 10 20:09:24 araliya named[1026]: error (insecurity proof failed) resolving './NS/IN': 192.168.1.1#53

O mais estranho é que todos os nomes de host estão sendo resolvidos corretamente, mas parece que eu cometi um erro em algum lugar. Alguém pode me ajudar a identificar onde está o erro?

    
por user280327 11.05.2014 / 05:59

2 respostas

3

Essas mensagens de erro estão relacionadas ao dnssec. Remova ou comente todas as linhas em /etc/bind/named.conf.options que começam com dnssec e reinicie o bind9.

A melhor explicação para o que eu encontrei é aqui :

  

Quando o validador recebe uma resposta de uma zona não assinada que possui   um pai assinado, deve confirmar com o pai que a zona foi   intencionalmente deixado sem assinatura. Ele faz isso verificando, via assinado e   registros NSEC / NSEC3 validados, que a zona pai não contém DS   registros para a criança.

     

Se o validador puder provar que a zona é insegura, então o   resposta é aceita. No entanto, se não puder, então deve assumir um   resposta insegura para ser uma falsificação; ele rejeita a resposta e registra um   erro.

     

O erro registrado diz "insegurança à prova falhou" e "ficou insegura   resposta; pai indica que deve ser seguro ". (Antes do BIND 9.7,   o erro registrado foi "não inseguro". Isso se refere à zona, não   a resposta.)

    
por itsadok 05.11.2014 / 05:05
0

Adicione a linha abaixo ao seu "/ etc / default / bind9"

como abaixo:

# startup options for the server
OPTIONS="-u bind -4"
    
por karan 28.07.2014 / 17:07