Назад | Перейти на главную страницу

Статус DiG 9.9.5-3ubuntu0.5-Ubuntu отклонен

Только что обновил мою систему Ubuntu 12.04 LTS до 14.04 LTS, и теперь система bind9 / DNS больше не работает должным образом.

dig google.de

; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> google.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 24964
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;google.de.         IN  A

;; Query time: 0 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Sat Oct 17 16:51:06 CEST 2015
;; MSG SIZE  rcvd: 27

Я нашел следующие ссылки по проблеме:

Затем я попытался изменить свой named.conf.options, например,

  1. раскомментирование записей dnssec
  2. добавление рекурсии да; разрешить запрос {любой; };
  3. добавление разрешающей рекурсии
  4. изменение /etc/nsswitch.conf
  5. исправление разрешений в / etc / bind

git diff named.conf.options:

+  #dnssec-validation auto;
+  allow-query { any; };
+  listen-on   { any; };
+  allow-recursion { any; };
+  allow-recursion-on { any; };

после

 service bind 9 restart

проблема не устранена.

Ничего из этого не работает. Я хотел бы отладить это и выяснить, что происходит и почему обновление приводит к такой ситуации, когда у меня сейчас непригодная для использования система.

Для отладки я настраиваю ведение журнала с помощью

// http://www.zytrax.com/books/dns/ch7/logging.html
logging{
  channel simple_log {
    file "/var/log/named/bind.log" versions 3 size 5m;
    //severity warning;
    severity debug 10;
    print-time yes;
    print-severity yes;
    print-category yes;
  };
  category default{
    simple_log;
  };
};

и теперь в файле журнала есть записи, например с участием

запрос не подписан

все это происходит, если в /etc/resolv.conf

сервер имен 127.0.1.1

если я изменю его на фактический IP-адрес сервера, проблема исчезнет ... Итак, похоже https://askubuntu.com/questions/627899/nameserver-127-0-1-1-in-resolv-conf-wont-go-away

может быть ответ ...

  1. Проверяем, включена ли рекурсия: recursion yes;

  2. Проверьте прослушиваемый IP-адрес, возможно, ваш DNS (TCP53) не прослушивает 127.0.0.1: например. listen-on port 53 { any; };

  3. Проверьте настройки dnssec, они могут выглядеть примерно так:

    dnssec-enable yes;
    dnssec-validation yes;
    
    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";
    
    managed-keys-directory "/var/named/dynamic";
    
    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";