BINDエリア送信、応答受信中に失敗:NXDOMAIN

BINDエリア送信、応答受信中に失敗:NXDOMAIN

この問題について2日間悩んだ最後に、混乱したり何かを見逃したりしないように、コミュニティのサポートが必要です。 ((私の英語が母国語ではないのでご了承ください。))

スレーブサーバーで引き続きエラーメッセージが表示されます。

Feb  9 14:28:15 orzech-pie named[7300]: client @0xffff9c0062c8 172.16.40.1#57648: received notify for zone 'llair.lan'
Feb  9 14:31:18 orzech-pie named[7300]: zone llair.lan/IN: Transfer started.
Feb  9 14:31:18 orzech-pie named[7300]: transfer of 'llair.lan/IN' from 172.16.40.1#53: connected using 172.16.40.1#53
Feb  9 14:31:18 orzech-pie named[7300]: transfer of 'llair.lan/IN' from 172.16.40.1#53: failed while receiving responses: NXDOMAIN
Feb  9 14:31:18 orzech-pie named[7300]: transfer of 'llair.lan/IN' from 172.16.40.1#53: Transfer status: NXDOMAIN
Feb  9 14:31:18 orzech-pie named[7300]: transfer of 'llair.lan/IN' from 172.16.40.1#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.023 secs (0 bytes/sec) (serial 0)

設定は、wireguardを介して接続された2つのサイト間で行われます。マスターサイトはDebianシステムで、スレーブサイトはUbuntuシステムです。 ここに画像の説明を入力してください。

名前付き.conf.オプションメインサーバー:

options {
      directory "/var/lib/bind";
      version "Orzech! v15.2.1";

      // Disable empty zones
      empty-zones-enable no;

      // DoH Proxy Forwarder
      forwarders { 127.0.0.1 port 5053; };

      // ACL for zone transfer
      allow-transfer { any; };

      // No IPv6
      listen-on-v6 { none; };
      // Listen on these adresses
      listen-on port 53 { 172.16.40.1; 127.0.0.1; };

      // Added Per Debian buster Bind9.
      // Due to : resolver: info: resolver priming query complete messages in the logs.
      // See: https://gitlab.isc.org/isc-projects/bind9/commit/4a827494618e776a78b413d863bc23badd14ea42
      // minimal-responses no;

      //  AC for queries
      allow-query { any; };
      allow-query-cache { any; };

      //  AC for recursive queries
      recursion yes;
      allow-recursion { any; };

      // https://wiki.samba.org/index.php/Dns-backend_bind
      // DNS dynamic updates via Kerberos (optional, but recommended)
      tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";

  };

名前.conf.localメインサーバーファイル:

// Do any local configuration here
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

include "/var/lib/samba/bind-dns/named.conf";

zone "llair.lan" IN {

     type master;

     file "/etc/bind/forward.llair.lan.db";

     allow-update { any; };
     also-notify { 172.16.69.252; }; //Notify slave for zone changes

};

今後.llair.lan.dbメインサーバーのファイル:

$ORIGIN llair.lan.
$TTL 86400
@               IN      SOA     domain-orzech.llair.lan.        webmaster.llair.lan. (
                                2024020901 ; serial
                                21600      ; refresh after 6 hours
                                3600       ; retry after 1 hour
                                604800     ; expire after 1 week
                                86400 )    ; minimum TTL of 1 day

; NS Records
                IN      NS      domain-orzech.llair.lan.
                IN      NS      orzech-pie.llair.lan.


; Nameserver IPs
domain-orzech   IN      A       172.16.40.1
orzech-pie      IN      A       172.16.69.252

; Single A Records
docker-orzech   IN      A       172.16.40.2
web-orzech      IN      A       172.16.40.3

; Multirecords
utm-orzech      IN      A       172.16.40.254
                IN      A       172.16.45.254

名前付き.conf.オプションスレーブサーバーから:

options {
      directory "/var/cache/bind";
      version "Orzech! v15.2.1";

      // Disable empty zones
      empty-zones-enable no;

      // DoH Proxy Forwarder
      forwarders { 127.0.0.1 port 5053; };

      // Listen on all IPv6 adresses
      listen-on-v6 { any; };
      // Listen on these adresses
      listen-on port 53 { 172.16.69.252; 127.0.0.1; };

      // Added Per Debian buster Bind9.
      // Due to : resolver: info: resolver priming query complete messages in the logs.
      // See: https://gitlab.isc.org/isc-projects/bind9/commit/4a827494618e776a78b413d863bc23badd14ea42
      //minimal-responses yes;

      //  AC for queries
      allow-query { any;  };
      allow-query-cache { any; };

      // AC for recursive queries
      recursion yes;
      allow-recursion {  any; };

  };

名前.conf.localサーバーファイルから:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "llair.lan" IN {

     type slave;

     file "/var/cache/bind/forward.llair.lan.db";

     masters { 172.16.40.1; };

};

スレーブサーバーでdigを実行すると、成功したクエリが発生します。

usr@orzech-pie:~$ dig @172.16.40.1 llair.lan

; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> @172.16.40.1 llair.lan
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7531
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: dbfabed0530373340100000065c631b364eaf777b7ab38b5 (good)
;; QUESTION SECTION:
;llair.lan.                     IN      A

;; AUTHORITY SECTION:
llair.lan.              86400   IN      SOA     domain-orzech.llair.lan. webmaster.llair.lan. 2024020901 21600 3600 604800 86400

;; Query time: 19 msec
;; SERVER: 172.16.40.1#53(172.16.40.1) (UDP)
;; WHEN: Fri Feb 09 15:07:47 CET 2024
;; MSG SIZE  rcvd: 126

私の間違いはどこにありますか? WireGuardトラフィックを正規化していないか、設定に問題がある可能性がありますか?すでにご支援いただきありがとうございます。

編集:すべてのACLを無効にしてACLに置き換えましたが、まだ成功しませんでした。

答え1

問題を発見しました。まず、netstatとSambaの設定を確認する必要があります。 NetstatはSamba DNS操作がまだ有効になっていることを示しましたserver services = -dns

あなたの助けなしには見つかりませんでした。ありがとうございます。

関連情報