質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.91%

BINDが応答を返さない

解決済

回答 1

投稿

  • 評価
  • クリップ 3
  • VIEW 3,587

score 6

CentOS5.6でBIND(bind-chroot)で構築されたDNSサーバーの移行作業をしているのですが、移行先サーバーによるDNS名前解決ができません。解決方法のアドバイスをいただきたいです。
BINDに関しては、Aレコードの変更等しかしたことがありません。

移行は、仮想サーバー上のサーバーAから、そのコピーで作成されたサーバーBへの移行で、AとBはグローバルIP/ローカルIPが異なります。
また、サーバーAはMIPでグローバルIPを仮想サーバーのプライベートIPに紐づけていましたが、サーバーBはグローバルIPを直接仮想サーバーに割り当てています。

IP変更の影響を受けそうな設定については変更しました。
具体的には、named.confの下記旧サーバーIP「aaa.aaa.aaa」の部分と、対応するzoneファイルのファイル名とファイル内の「aaa.aaa.aaa」を新IP「bbb.bbb.bbb」に変更しました。

zone "aaa.aaa.aaa.in-addr.arpa" {
        type master;
        file "aaa.aaa.aaa.rev";
};

resolve.confは以下のようになっています。

nameserver 127.0.0.1
nameserver xxx.xxx.xxx.xxx
nameserver xxx.xxx.xxx.xxx
domain xxxxx.co.jp
search xxxxx.co.jp

この状態で、digでDNSの動作確認をしましたが、エラーが発生します。

# dig @<サーバーBのIP> <検証対象ドメイン>

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @<サーバーBのIP> <検証対象ドメイン>
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

ただし、digのオプション「+tcp」を付けると正常に応答が返ってきます。
サーバーA上では「+tcp」なしでも正常に応答が返ってきます。
考えられる原因・不足している変更点等、何が考えられるでしょうか。

「+tcp」を付けると問題ないということは、udpがファイアウォール等で遮断されているのかと思いましたが、外部からport scanのWebサービスで確認した限りでは問題ありませんでした(tcp/udpともにポート番号53は疎通OK)。

ファイアウォールの設定はサーバー業者しか変更できません。
設定に違いがないか確認してもらいましたが、違いはないとのことでした。

iptablesの停止や、named.confへの「query-source address * port 53;」追加も試しましたが、問題解消できませんでした。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • take88

    2019/08/16 22:55

    udpで「+norec」 をつけるとどうですか?

    キャンセル

  • believein

    2019/08/17 00:39

    +norecをつけても同じエラーになりました。

    キャンセル

回答 1

checkベストアンサー

0

釈迦に説法ですが、基本確認をもう一度と言う事で…

質問者の方が仰る「MIP」の説明が下記URL通りなら、新旧サーバ間でNW接続方式が異なるので、通信時のFW装置ログを確認して、成功・失敗時の挙動確認が一つ。
SSG - VIP / MIP
⇒上記URL最下行付近の「VIP/MIP機能比較」など。

もう一つは、(おそらくEOL対応などで)CentOS5.6という古いOSからCentOS7あたりに乗り換えという想定で、CentOS5.6には無かった「Firewalld」と「SE-Linux」辺りの設定確認をしつつ、DNS提供側サーバ通信時の「/var/log」周りのログ確認でしょうか?

TCP/UDP通信時のFW装置側/DNS提供側サーバ側ログの同時確認で、被疑個所を搾れる可能性もあると思われます。

参考にならなかったら、ごめんなさい。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/08/17 16:16

    ありがとうございます。
    MIPが正確に何なのかはよく分かっていませんが、Firewallの設定書を見るとjunosという文言が出てきているので、提示いただいたJuniper製?のFirewall機器を使っていそうな気がします。
    Firewallの問題なのかOS(BIND設定)の問題なのか切り分けができていないので、Firewallのログ確認を依頼してみるのは良さそうですね。

    OSはCentOS5.6のままです。
    仮想サーバ上で稼働させていて、そのハードウェア老朽化のため、OSはそのままに新ハードに移行する形です。仮想サーバのイメージをそのまま移行してネットワーク周りだけ変更されています。

    キャンセル

  • 2019/08/17 16:31

    > ;; connection timed out; no servers could be reached
    なので、DNSサーバへ至るPortが開いていないか、何処かでBlockの可能性が疑われますよね。

    何れにせよ、FWで遮断していないか、新DNSサーバまで届いているか、をログベースで確認する形ですが、仮想サーバと言う事なので、ESXiサーバで言ところの「vSwitch」周りの設定が一致でしているかも重要かも?です。→こちらも、とれればログを合わせると、絞りやすいと思います…

    キャンセル

  • 2019/08/19 14:33

    サーバー業者にFirewall設定でUDPの設定がおかしいのではないか?と問い合わせを投げたところ、不備があった(サーバーAと設定が違った)とのことでした(^_^;
    修正してもらい、問題解消しました。

    大分時間を無駄にしましたが、digコマンド等覚えられたので良しとします(^_^;
    ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.91%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る