teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップCentOSに関する質問
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

DNS

DNSとは、Domain Name Systemのことで、インターネットなどのTCP/IPネットワーク上でドメイン名やホスト名と、IPアドレスとの対応づけを管理するシステムです。DNSのデータベースは、IPアドレスの4つの数字を通知するDNSサーバーで構築されており、IPアドレスをドメイン名から引き出す機能やドメイン名に関するメールサーバ情報を取り扱っています。

Q&A

解決済

1回答

4245閲覧

BINDが応答を返さない

believein
believein

総合スコア6

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

DNS

DNSとは、Domain Name Systemのことで、インターネットなどのTCP/IPネットワーク上でドメイン名やホスト名と、IPアドレスとの対応づけを管理するシステムです。DNSのデータベースは、IPアドレスの4つの数字を通知するDNSサーバーで構築されており、IPアドレスをドメイン名から引き出す機能やドメイン名に関するメールサーバ情報を取り扱っています。

0グッド

3クリップ

投稿2019/08/16 07:38

0

3

CentOS5.6でBIND(bind-chroot)で構築されたDNSサーバーの移行作業をしているのですが、移行先サーバーによるDNS名前解決ができません。解決方法のアドバイスをいただきたいです。
BINDに関しては、Aレコードの変更等しかしたことがありません。

移行は、仮想サーバー上のサーバーAから、そのコピーで作成されたサーバーBへの移行で、AとBはグローバルIP/ローカルIPが異なります。
また、サーバーAはMIPでグローバルIPを仮想サーバーのプライベートIPに紐づけていましたが、サーバーBはグローバルIPを直接仮想サーバーに割り当てています。

IP変更の影響を受けそうな設定については変更しました。
具体的には、named.confの下記旧サーバーIP「aaa.aaa.aaa」の部分と、対応するzoneファイルのファイル名とファイル内の「aaa.aaa.aaa」を新IP「bbb.bbb.bbb」に変更しました。

zone "aaa.aaa.aaa.in-addr.arpa" {
        type master;
        file "aaa.aaa.aaa.rev";
};

resolve.confは以下のようになっています。

nameserver 127.0.0.1
nameserver xxx.xxx.xxx.xxx
nameserver xxx.xxx.xxx.xxx
domain xxxxx.co.jp
search xxxxx.co.jp

この状態で、digでDNSの動作確認をしましたが、エラーが発生します。

bash
1# dig @<サーバーBのIP> <検証対象ドメイン>
2
3; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @<サーバーBのIP> <検証対象ドメイン>
4; (1 server found)
5;; global options:  printcmd
6;; connection timed out; no servers could be reached

ただし、digのオプション「+tcp」を付けると正常に応答が返ってきます。
サーバーA上では「+tcp」なしでも正常に応答が返ってきます。
考えられる原因・不足している変更点等、何が考えられるでしょうか。

「+tcp」を付けると問題ないということは、udpがファイアウォール等で遮断されているのかと思いましたが、外部からport scanのWebサービスで確認した限りでは問題ありませんでした(tcp/udpともにポート番号53は疎通OK)。

ファイアウォールの設定はサーバー業者しか変更できません。
設定に違いがないか確認してもらいましたが、違いはないとのことでした。

iptablesの停止や、named.confへの「query-source address * port 53;」追加も試しましたが、問題解消できませんでした。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

take88
take88

2019/08/16 13:55

udpで「+norec」 をつけるとどうですか?
believein
believein

2019/08/16 15:39

+norecをつけても同じエラーになりました。
guest

回答1

0

ベストアンサー

釈迦に説法ですが、基本確認をもう一度と言う事で…

質問者の方が仰る「MIP」の説明が下記URL通りなら、新旧サーバ間でNW接続方式が異なるので、通信時のFW装置ログを確認して、成功・失敗時の挙動確認が一つ。
SSG - VIP / MIP
⇒上記URL最下行付近の「VIP/MIP機能比較」など。

もう一つは、(おそらくEOL対応などで)CentOS5.6という古いOSからCentOS7あたりに乗り換えという想定で、CentOS5.6には無かった「Firewalld」と「SE-Linux」辺りの設定確認をしつつ、DNS提供側サーバ通信時の「/var/log」周りのログ確認でしょうか?

TCP/UDP通信時のFW装置側/DNS提供側サーバ側ログの同時確認で、被疑個所を搾れる可能性もあると思われます。

参考にならなかったら、ごめんなさい。

投稿2019/08/17 04:39

BUN-G
BUN-G

総合スコア55

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

believein
believein

2019/08/17 07:16

ありがとうございます。 MIPが正確に何なのかはよく分かっていませんが、Firewallの設定書を見るとjunosという文言が出てきているので、提示いただいたJuniper製?のFirewall機器を使っていそうな気がします。 Firewallの問題なのかOS(BIND設定)の問題なのか切り分けができていないので、Firewallのログ確認を依頼してみるのは良さそうですね。 OSはCentOS5.6のままです。 仮想サーバ上で稼働させていて、そのハードウェア老朽化のため、OSはそのままに新ハードに移行する形です。仮想サーバのイメージをそのまま移行してネットワーク周りだけ変更されています。
BUN-G
BUN-G

2019/08/17 07:31

> ;; connection timed out; no servers could be reached なので、DNSサーバへ至るPortが開いていないか、何処かでBlockの可能性が疑われますよね。 何れにせよ、FWで遮断していないか、新DNSサーバまで届いているか、をログベースで確認する形ですが、仮想サーバと言う事なので、ESXiサーバで言ところの「vSwitch」周りの設定が一致でしているかも重要かも?です。→こちらも、とれればログを合わせると、絞りやすいと思います…
believein
believein

2019/08/19 05:33

サーバー業者にFirewall設定でUDPの設定がおかしいのではないか?と問い合わせを投げたところ、不備があった(サーバーAと設定が違った)とのことでした(^_^; 修正してもらい、問題解消しました。 大分時間を無駄にしましたが、digコマンド等覚えられたので良しとします(^_^; ありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップCentOSに関する質問

BINDが応答を返さない