DiG 9.9.5-3ubuntu0.5-status do Ubuntu recusou

4

Atualizei meu sistema Ubuntu 12.04 LTS para 14,04 LTS e agora o sistema bind9 / DNS não funciona mais corretamente.

dig google.de

; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> google.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 24964
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;google.de.         IN  A

;; Query time: 0 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Sat Oct 17 16:51:06 CEST 2015
;; MSG SIZE  rcvd: 27

Encontrei os seguintes links para o problema:

Então eu tentei mudar minhas opções named.conf.

  1. descomentando as entradas do dnssec
  2. adicionando recursão sim; allow-query {any; };
  3. adicionando permissão de recursão
  4. modificando o /etc/nsswitch.conf
  5. consertando permissões em / etc / bind

git diff named.conf.options:

+  #dnssec-validation auto;
+  allow-query { any; };
+  listen-on   { any; };
+  allow-recursion { any; };
+  allow-recursion-on { any; };

depois

 service bind 9 restart

o problema persiste.

Nada disso funciona. Eu gostaria de depurar isso e descobrir o que está acontecendo e por que a atualização leva a esta situação onde eu tenho um sistema inutilizável agora.

Para depurar, eu configurei o registro com

// http://www.zytrax.com/books/dns/ch7/logging.html
logging{
  channel simple_log {
    file "/var/log/named/bind.log" versions 3 size 5m;
    //severity warning;
    severity debug 10;
    print-time yes;
    print-severity yes;
    print-category yes;
  };
  category default{
    simple_log;
  };
};

e agora existem entradas no arquivo de registro, por exemplo com

a solicitação não está assinada

tudo isso acontece se o /etc/resolv.conf tiver

servidor de nomes 127.0.1.1

se eu mudar para o endereço IP real do servidor, o problema desaparece ... Então parece que link

pode ter a resposta ...

    
por Wolfgang Fahl 17.10.2015 / 16:57

1 resposta

1

  1. Verifique se a recursão está ativada: recursion yes;

  2. Verifique o IP de escuta, pode ser que seu DNS (TCP53) não esteja escutando em 127.0.0.1: por exemplo. listen-on port 53 { any; };

  3. Verifique suas configurações do dnssec, pode ser semelhante ao seguinte:

    dnssec-enable yes;
    dnssec-validation yes;
    
    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";
    
    managed-keys-directory "/var/named/dynamic";
    
    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";
    
por 05.11.2018 / 21:19