| DNS(BIND9) エラーと原因 | |||
| BIND9.xのエラーをまとめたものです。 | |||
| 主にゾーン転送に関するエラーを載せています。(一部文法的なものもあります。) | |||
| 原因については書かれていることが全てではありませんが、検証に基づいて書いています。 | |||
|
This page, I'm writting about the error messages of the secondary DNS server using BIND9. But, I'm not good at English , so this page is written only in Japanese. If you want to know the meaning of this page, please use the translation page. ( Google Translate etc. ) |
|||
| エラー | general: warning: zone (ゾーン名)/IN: expired | ||
| 意味 | 現在保持しているゾーン情報の有効期限が切れました。 | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 以前取得していたゾーン情報が、何らかの原因で転送元DNSサーバとのゾーン転送ができなくなったためrefreshできなくなり、 | |||
| SOAレコードに登録されているexpire時間を過ぎてしまったことを意味しています。 | |||
| そのため、このゾーンに対する問い合わせがあると、このサーバはエラー(SERVFAIL)を返すようになります。 | |||
| ゾーン転送失敗の原因は、他のエラーも出力されていますのでそちらを参考にしてください。 | |||
| エラー | xfer-in: error: transfer of '(ゾーン名)/IN' from (IPアドレス)#53: failed to connect: host unreachable | ||
| 意味 | 転送元DNSサーバとのゾーン転送に失敗しました。(接続に失敗、ホストに届きません) | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 転送元DNSサーバにpingを打ってみると、「Destination Host Unreachable」になると思います。原因としては以下のことが考えられます。 | |||
| 転送元DNSサーバが存在していません。 | |||
| セカンダリDNS側で、転送元DNSサーバを間違って設定しています。 | |||
| エラー | xfer-in: error: transfer of '(ゾーン名)/IN' from (IPアドレス)#53: failed to connect: connection refused | ||
| 意味 | 転送元DNSサーバとのゾーン転送に失敗しました。(接続に失敗、接続が拒否されました) | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| プライマリDNSサーバ側でTCP53番宛のパケットをREJECT(DROPではなく、ICMPエラーを返す)している場合に出力されます。 | |||
| ゾーン転送ができませんので、ほかのエラーも出力されることがあります。 | |||
| エラー | xfer-in: error: transfer of '(ゾーン名)/IN' from (IPアドレス)#53: failed to connect: timed out | ||
| 意味 | 転送元DNSサーバとのゾーン転送に失敗しました。(接続に失敗、時間切れ) | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 原因としては以下のことが考えられます。 | |||
| 転送元DNSサーバが存在していません。 | |||
| セカンダリDNS側で、転送元DNSサーバを間違って設定しています。 | |||
| 転送元DNSサーバ側で接続を許可していません。(たとえばゾーン転送に使うTCP53番を許可していないなど) | |||
| (named.confでゾーン転送を拒否している場合は、REDUSEDのエラーになります) | |||
| エラー | security: error: client (IPアドレス)#xx: zone transfer ' (ゾーン名)/IXFR/IN' denied | ||
| security: error: client (IPアドレス)#xx: zone transfer ' (ゾーン名)/AXFR/IN' denied | |||
| 意味 | ゾーン転送要求がありましたが、拒否しました。 | ||
| 原因/詳細 | プライマリDNSサーバで出力されるエラーですが、セカンダリDNSサーバでもゾーン転送要求があれば出力します。 | ||
| そのゾーンに対するゾーン転送を許可していません。 | |||
| ゾーン転送要求をしたDNSサーバ側では、 複数回ゾーン転送を試みた後 failed while receiving responses: REFUSED のエラーを出力します。 | |||
| エラー | xfer-in: error: transfer of ' (ゾーン名)/IN' from (IPアドレス)#53: failed while receiving responses: REFUSED | ||
| 意味 | 転送元DNSサーバとのゾーン転送に失敗しました。(ゾーン転送が拒否されました。) | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 転送元DNSサーバ側のnamed.confでゾーン転送が拒否されています。 | |||
| このエラーをだしたDNSサーバは、何度かゾーン転送を試した後でこのエラーを出力します。 | |||
| 転送元DNSサーバ側では、 client (IPアドレス)#xx: zone transfer ' (ゾーン名)/AXFR/IN' denied のエラーが出力されます。 | |||
| エラー | general: info: zone (ゾーン名)/IN: refresh: unexpected rcode (REFUSED) from master (IPアドレス)#53 (source 0.0.0.0#0) | ||
| 意味 | ゾーン転送をしようとしたところ、転送元DNSサーバから「REDUSED(問い合わせ拒否)」という回答が返ってきました。 | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 転送元DNSサーバ側で、そのゾーンに対する問い合わせに対して拒否設定をしているため、ゾーン転送前に行うSOA問い合わせに | |||
| 失敗しています。 | |||
| リフレッシュの場合、SOAの問い合わせに失敗するのでシリアル番号が変わったかどうか判断できず、ゾーン転送要求はされません。 | |||
| しかし、プライマリDNSサーバからのnotifyを受信した場合、このエラーは出しますがnotifyでシリアル番号が変わったことは知っているので | |||
| ゾーン転送要求を出します。 | |||
| エラー | xfer-out: info: client (IPアドレス)#xx: bad zone zone transfer request: ' (ゾーン名)/IN': non-authoritative zone (NOTAUTH) | ||
| 意味 | ゾーン転送要求がありましたが、権威がありません。(設定をしていません) | ||
| 原因/詳細 | エラーを出したDNSサーバでは、そのゾーンに対する設定がされていません。 | ||
| そして、そのDNSサーバに対してdigのaxfrオプションでゾーン転送要求を出すと、DNSサーバはこのエラーを出力します。 | |||
| ゾーン転送要求を出したDNSサーバ側では、「non-authoritative answer from master〜」 のエラーを出力します。 | |||
| エラー | general: info: zone (ゾーン名)/IN: refresh: non-authoritative answer from master (IPアドレス)#xx (source 0.0.0.0#0) | ||
| 意味 | ゾーン転送前にSOAを問い合わせたところ、転送元DNSサーバから権威がない(ゾーン情報を持っていない)という回答がありました。 | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| リフレッシュの時や設定の再読み込みをした時にSOAの問い合わせをしますが、プライマリDNSサーバからそのゾーン情報は持っていないという | |||
| 回答が返ってきました。 | |||
| 原因としては以下のことが考えられます。 | |||
| プライマリDNSサーバ側で、そのゾーンの設定していない。 | |||
| セカンダリDNSサーバ側で、ゾーン名を間違っている、転送元DNSサーバを誤っている。 | |||
| エラー | xfer-in: error: transfer of ' (ゾーン名)/IN' from (IPアドレス)#53: failed while receiving responses: NOTAUTH | ||
| 意味 | 転送元DNSサーバとのゾーン転送に失敗しました。(転送元DNSサーバは、 そのゾーン情報を持っていません) | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 上記の「non-authoritative answer from master」のエラー原因に加えて、クエリー(SOA)の問い合わせが拒否されている場合、 | |||
| このエラーが出力されます。 | |||
| エラー | general: info: zone (ゾーン名)/IN: refresh: unexpected rcode (NXDOMAIN) from master (IPアドレス)#53 (source 0.0.0.0#0) | ||
| 意味 | ゾーン転送をしようとしたところ、転送元DNSサーバから「NXDOMAIN(そのようなドメインはありません)」という回答が返ってきました。 | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 原因は「non-authoritative answer from master〜」と同じですが、例えば、 | |||
| プライマリDNSサーバでexample.co.jpとsub1.example.co.jpのゾーンが作られている場合に、セカンダリDNS側でsub2.example.co.jp | |||
| のゾーンを作った時、sub2.example.co.jpのゾーンに対してこのエラーが出ます。 | |||
| プライマリDNSサーバでexample.co.jpのゾーンが作られている場合に、セカンダリDNS側でsub1.example.co.jpとsub2.example.co.jpの | |||
| ゾーンを作った時、sub1.example.co.jpとsub2.example.co.jpのゾーンに対してこのエラーが出ます。 | |||
| しかし、 | |||
| プライマリDNSサーバでexample.co.jpのゾーンが作られている場合に、セカンダリDNS側でsub2.example.co.jpのゾーンを作った時、 | |||
| このエラーが出力されず、sub2.example.co.jpのゾーンに対して、「non-authoritative answer from master〜」が出力されます。 | |||
| プライマリDNSサーバでexample.co.jpのゾーンが作られてない場合に、セカンダリDNS側でsub1.example.co.jpとsub2.example.co.jpの | |||
| ゾーンを作った時、sub1.example.co.jpとsub2.example.co.jpのゾーンに対して「non-authoritative answer from master〜」が出力されます。 | |||
| エラー | general: info: zone (ゾーン名)/IN: refresh: unexpected rcode (SERVFAIL) from master (IPアドレス)#53 (source 0.0.0.0#0) | ||
| 意味 | ゾーン転送をしようとしたところ、転送元DNSサーバから「SERVFAIL」という回答が返ってきました。 | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 転送元DNSサーバのほうでゾーンの設定や状態がきちんとできていません。 | |||
| その原因の一つとして、例えば、転送元DNSサーバもセカンダリDNSサーバであった場合、何らかの理由でゾーン転送が失敗し続けて | |||
| ゾーン情報がexpire(期限切れ)となると、問い合わせに対して(SERVFAIL)を返すようになります。 | |||
| 転送元DNSサーバがこのような状況の時にゾーン転送を要求した場合、このエラーが出力されます。 | |||
| エラー | general: info: zone (ゾーン名)/IN: got_transfer_quota: | ||
| skipping zone transfer as master (IPアドレス)#53 (source 0.0.0.0#0) is unreachable (cached) | |||
| 意味 | 転送元DNSサーバに接続できません(キャッシュ済)ので、ゾーン転送をスキップしました。 | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 転送元DNSサーバに以前接続できていなかったことをキャッシュしていたのでゾーン転送をスキップしました。 | |||
| 原因として、以下のようなことが考えられます。 | |||
| 転送元DNSサーバが存在していません。 | |||
| 転送元DNSサーバ側で接続を許可していません。 | |||
| セカンダリDNS側で、転送元DNSサーバを間違って設定しています。 | |||
| エラー | general: info: zone (ゾーン名)/IN: refresh: retry limit for master (IPアドレス)#53 exceeded (source 0.0.0.0#0) | ||
| 意味 | ゾーン情報のrefreshができないためretryを繰り返しましたが、その上限回数を超えました。 | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 転送元DNSサーバへ接続ができないために、ゾーン情報のrefreshができていません。 | |||
| 検証したところ、転送元ネームサーバに対して、SOA問い合わせをEDNS0あり(UDPsize=2048)×3、EDNS0なし×3を15秒ごとに | |||
| 実施した後にこのログを出力しています。(検証時ではrefresh 30 , retry 20 , expire 60に設定) | |||
| ログ出力後、「Transfer started」のログ出力と同時に.今度はゾーン転送(TCP)を試みます。 | |||
| 他のエラーログを出している場合もありますので、原因はそちらのエラーも参照にしてください。 | |||
| エラー | notify: info: client (自分自身のIPアドレス)#xx: received notify for zone '(ゾーン名)' | ||
| 意味 | 自分自身から送信された、ゾーンに対するnotifyメッセージを受信しました。 | ||
| 原因/詳細 | 再検証できなかったため、情報不足として一時的に内容を取り消します。(バージョンの違いかもしれません) | ||
| エラー | notify: notice: client (IPアドレス)#xx: received notify for zone '(ゾーン名)': not authoritative | ||
| 意味 | (IPアドレス)から、そのゾーンの更新の通知メッセージを受信しましたが、こちら側では権威がありません。(設定していません) | ||
| (マスターサーバは、ゾーンファイルのNSレコードで指定しているサーバに対してnotifyメッセージを送信します。) | |||
| 原因/詳細 | プライマリDNSサーバでは、そのゾーンファイルのNSレコードにこのエラーを受けたDNSサーバを登録しているので、ゾーン情報を | ||
| 更新したりすると、notifyメッセージが送られてきます。 | |||
| しかし、このエラーを受けたDNSサーバはセカンダリ設定をしていませんので、このエラーを出します。 | |||
| セカンダリ設定が必要かどうか、そのゾーンの管理者に確認をしてください。 | |||
| エラー | general: info: zone (ゾーン名)/IN: refused notify from non-master: (IPアドレス)#xx | ||
| 意味 | 転送元DNSサーバに指定しているサーバ以外からゾーン更新の通知メッセージを受信しましたが、それを拒否しました。 | ||
| (マスターサーバは、ゾーンファイルのNSレコードで指定しているサーバに対してゾーン更新の通知メッセージを送信します。) | |||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| このエラーを受けたDNSサーバではセカンダリ設定をしていますが、転送元DNSサーバに指定しているところ以外からnotifyが送信されて | |||
| きましたのでこれを拒否します。 | |||
| 原因としては以下のことが考えられます。 | |||
| このエラーを出したDNSサーバのセカンダリ設定で、転送元DNSサーバのアドレスを間違っている。 | |||
| notifyを送信したDNSサーバ側で、誤ってこのDNSサーバをNSレコードに登録している。 | |||
| エラー | general: error: zone: zone (ゾーン名)/IN: zone serial has gone backwards | ||
| 意味 | ゾーン情報のシリアル番号を変更前よりも小さくしています。 | ||
| 原因/詳細 | プライマリDNSサーバのほうで出ます。 | ||
| ゾーン情報を更新した場合はシリアル番号を大きくする必要がありますが、誤って以前よりも小さくしています。 | |||
| ただし、このエラーを出しても変更後のゾーン情報を読み込みます。 | |||
| このエラーは最初の設定の再読み込みのときだけ出力され、その後は出力されません。 | |||
| セカンダリDNSサーバのほうでは、ゾーン転送を試みる度に、下のエラーを出します。 | |||
| エラー | general: info: zone (ゾーン名)/IN: serial number (○○) received from master (IPアドレス)#xx < ours (●●) | ||
| 意味 | 転送元DNSサーバが持つゾーン情報のシリアル番号○○が、自身が持つゾーン情報のシリアル番号●●よりも小さいです。 | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| 転送元DNSサーバのほうで、ゾーン情報のシリアル番号を小さくしたなどが原因でゾーン転送に失敗しています。 | |||
| このエラーは、refreshによりゾーン転送を試みようとする度に出力されます。 | |||
| 転送元DNSサーバでは、 最初の設定読み込みのときだけ error: zone (ゾーン名)/IN: zone serial has gone backwards のエラーを出します。 | |||
| エラー | general: warning: (ゾーンファイル名):(行番号): no TTL specified; using SOA MINTTL instead | ||
| 意味 | $TTLが設定されていません。そのため、代わりにSOAレコード内のネガティブTTLの値を使用します。 | ||
| 原因/詳細 | プライマリDNSサーバで出力されるエラーです。 | ||
| BIND9では、ゾーンファイル内の先頭(コメント行や$ORIGINは除く)に$TTLを記述する決まりになっていますが、設定されていません。 | |||
| その場合、BIND9はSOAレコードのネガティブTTLの値を$TTLとして利用するようになっています。 | |||
| エラー | general: error: zone (ゾーン名)/IN: zone serial unchanged. zone may fail to transfer to slaves. | ||
| 意味 | ゾーンファイルのシリアル番号が変更されていませんので、スレーブサーバがあればゾーン転送に失敗します。 | ||
| 原因/詳細 | プライマリDNSサーバで出力されるエラーです。 | ||
| ゾーンファイルにあるSOAレコードのシリアル番号の数値を上げるのを忘れています。 | |||
| このエラーを出したDNSサーバ側では変更後のゾーン情報を読み込みますが、スレーブサーバ側ではゾーン転送をしようとしても | |||
| シリアル番号が同じなのでゾーン情報を更新しません。 | |||
| もし、(ゾーン名)がempty zoneであれば、下を参照してください。 | |||
| エラー | general: error: zone (empty zoneで作られた逆引きゾーン名)/IN: | ||
| zone serial unchanged. zone may fail to transfer to slaves. | |||
| 意味 | ゾーンファイルのシリアル番号が変更されていませんので、スレーブサーバがあればゾーン転送に失敗します。 | ||
| 原因/詳細 | BIND9では、プライベートIPアドレスやブロードキャストアドレス、未使用アドレスなど、インターネット上のDNSへ問い合わせる必要の | ||
| ないアドレスの逆引きについて、empty zoneとして自動的に生成してこれを防ぐようになっています。(自動生成を無効にすることもできます。) | |||
| errorとなっていますが実際のところエラーではなく、いくつかのバージョンで調べてみましたがBIND9.6-ESV-R5だけこのエラーを出すようです。 | |||
| rndc reloadをする度にこのログを出力します。 | |||
| ./configureオプションで --disable-ipv6 を指定しても、インターフェースでIPv6を無効にしてもこのエラーはでます。 | |||
| named.confのoptionでempty zoneを無効にすれば、このエラーはでません。 | |||
| エラー | general: warning: zone (ゾーン名)/IN: (ゾーン名)/MX ' (ホスト名)' is a CNAME (illegal) | ||
| general: error: zone (ゾーン名)/IN: (ゾーン名)/NS ' (ホスト名)' is a CNAME (illegal) | |||
| 意味 | NSレコードやMXレコードで指定したホスト名はCNAMEです。(RFCに違反しています。) | ||
| 原因/詳細 | プライマリDNSサーバで出力されるエラーです。 | ||
| MX、CNAME、 PTR、NS等の右辺で指定しているホスト名については、CNAMEでつけた別名を使うことはできません。 | |||
| メールソフトによっては、これをエラーと処理して名前解決ができず、メールの送受信ができない可能性があります。 | |||
| NSレコードの右辺で指定しているホスト名がCNAMEにしている場合、設定の再読み込み時や再起動時の挙動がバージョンによって異なります。 | |||
| BIND9.7.3の場合、 | |||
| rndc reloadをすると、設定の再読み込み失敗のエラーを出し、変更前の情報で回答します。 | |||
| service named restartをすると、namedの再起動に失敗しnamedが起動しません。 | |||
| セカンダリDNSサーバでは、エラーは出しますが再読み込みや再起動は可能です。 | |||
| BIND 9.6-ESV-R1の場合、 | |||
| rndc reloadをすると、設定の再読み込み失敗のエラーを出し、変更後の情報で回答します。 | |||
| service named restartをすると、エラーは出しますがnamedは起動します。 | |||
| セカンダリDNSサーバでは、エラーは出しますが再読み込みや再起動は可能です。 | |||
| エラー | general: error: zone (ゾーン名)/IN: has no NS records | ||
| general: error: zone (ゾーン名)/IN: not loaded due to errors. | |||
| 意味 | NSレコードが登録されていません。 ゾーンファイルの読み込みができません。 | ||
| 原因/詳細 | プライマリDNSサーバで出力されるエラーです。 | ||
| ゾーンファイル内で、NSレコードが設定されていません。 | |||
| 設定の再読み込みの場合は、最初の1回だけこのエラーを出して、変更前の情報で回答します。 | |||
| notifyメッセージを送信しませんので、セカンダリDNSへゾーン転送されません。 | |||
| namedの再起動をする場合は、エラーを出してnamedの起動に失敗します。 | |||
| エラー | general: error: zone (ゾーン名)/IN: NS ' (ホスト名)' has no address records (A or AAAA) | ||
| general: error: zone (ゾーン名)/IN: (ゾーン名)/MX '(ホスト名)' has no address records (A or AAAA) | |||
| 意味 | NSレコードに登録したホスト名に対するA(またはAAAA)レコードがありません。 | ||
| 原因/詳細 | プライマリDNSサーバで出力されるエラーです。 | ||
| ゾーンファイル内で、NSレコードに登録したホスト名に対するA(またはAAAA)レコードが登録されていません。 | |||
| 設定の再読み込みの場合は、最初の1回だけこのエラーを出して、変更後の情報で回答します。 | |||
| notifyメッセージを送信しませんのですぐにセカンダリDNSへゾーン転送されませんが、refreshのタイミングでゾーン転送されます。 | |||
| namedの再起動は可能ですが、エラーは出しません。 | |||
| エラー | general: warning: zone (ゾーン名)/IN: NS ' (ホスト名)' has no address records (A or AAAA) | ||
| 意味 | NSレコードに登録したホスト名に対するA(またはAAAA)レコードがありません。 | ||
| 原因/詳細 | 上記と意味は同じですが、こちらはセカンダリDNSサーバ側で出る警告のログです。 | ||
| セカンダリDNSサーバでは、ゾーン転送時や設定の再読み込み時にはこのエラーを出しません。 | |||
| namedの再起動時にこのエラーを出しますが、ゾーン情報は読み込んでnamedの起動はします。 | |||
| エラー | general: error: zone (ゾーン名)/IN: (サブゾーン名)/NS '(DNSサーバ名)' has no REQUIRED GLUE address records (A or AAAA) | ||
| 意味 | サブドメインに対するDNSサーバホスト名について、必要なグルーレコードがありません。 | ||
| 原因/詳細 | プライマリDNSサーバで出力されるエラーです。 | ||
| 例えばexample.co.jpゾーン内で、サブドメインsub.example.co.jpをns1.sub.example.co.jpサーバに委譲する場合、example.co.jpゾーン内で | |||
| sub.example.co.jp IN NS ns1.sub.example.co.jp | |||
| だけ記述すると、ns1.sub.example.co.jpの名前解決ができないのでsub1.example.co.jpの問い合わせは失敗します。 このため、 | |||
| ns1.sub.example.co.jp IN A 192.168.24.1 | |||
| と、ns1.sub.example.co.jpのA(またはAAAA)レコードも記述する必要があります。(これをグルーレコードといいます) | |||
| これを設定したDNSサーバでは、最初の設定の再読み込みの時とnamedの再起動の時にこのエラーを出しますが、設定は読み込みます。 | |||
| セカンダリDNSサーバでは、設定の再読み込みやnamedの再起動をしてもエラーは出しません。 | |||
| エラー | zone (ゾーン名)/IN: refresh: failure trying master (IPアドレス)#53 (source 0.0.0.0#0): operation canceled | ||
| 意味 | refreshのため、転送元DNSサーバへの接続をしようとしましたが失敗しました。 作業をキャンセルしました。 | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| refreshのため転送元DNSサーバへ接続しようとしている最中に、rndc reloadやservice named restartなどを行った場合、 | |||
| ゾーン転送が中止されることがあります。 | |||
| ゾーン転送で取得したファイルが更新されていれば、タイミングが悪かっただけで問題ありません。 | |||
| ログ | zone (ゾーン名)/IN: notify from (IPアドレス)#xx: refresh in progress, refresh check queued | ||
| 意味 | notifyメッセージを受信しましたがすでにリフレッシュの最中なので、そのリフレッシュチェックをキューに入れました | ||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| notifyメッセージを受信したことによってリフレッシュチェックが行われますが、すでにリフレッシュチェックをしていたのでキューに入れられました。 | |||
| たまたまこのエラーがでることもありますが、よく出るようでしたらDNSサーバの処理能力に問題があるかもしれません。 | |||
| また、プライマリDNSサーバ側でTCP53番を許可していない場合リフレッシュ動作に時間がかかりますので、プライマリDNSサーバ側で | |||
| 連続してゾーンの更新(=notifyの送信)があるとこのエラーがでやすくなります。 | |||
| ログ | general: error: zone (ゾーン名)/IN: refresh: could not set file modification time of '(ファイル名)': permission denied | ||
| general: error: dumping master file: (tmpファイル名): open: permission denied | |||
| xfer-in: error: transfer of '(ゾーン名)/IN' from (IPアドレス)#53: failed while receiving responses: permission denied | |||
| 意味 | ゾーンのリフレッシュをしましたが、ファイルの修正時間を設定することができませんでした。 許可されていません。 | ||
| マスターファイルをダンプしようとしましたがファイルの作成が許可されていません。 | |||
| ゾーン転送に失敗しました。(許可されていません) | |||
| 原因/詳細 | セカンダリDNSサーバで出力されるエラーです。 | ||
| セカンダリDNSサーバは、ゾーンのリフレッシュをするとゾーンファイルの更新を行います。(これによって最終更新時間が変わります) | |||
| しかし、namedサービスを起動しているユーザがそのゾーンファイルの更新を許可されていないためにゾーン転送に失敗してしまいます。 | |||
| ゾーンファイルのあるディレクトリやゾーンファイルのパーミッションを、namedサービスを起動しているユーザが書き込めるように変更してください。 | |||
| エラー | update unsuccessful: (FQDNホスト名)/CNAME: 'rrset does not exist' prerequisite not satisfied (YXRRSET) | ||
| 意味 | クライアントからDynamicDNSのUPDATEの要求がありましたが成功しませんでした。(更新しませんでした。) | ||
| 原因/詳細 | YXRRSETは、FQDNホスト名に対応するレコードがDNSサーバ側に登録されていない場合は更新しますが、DNSサーバ側ですでに | ||
| そのレコードが登録されている場合は更新をしません。 | |||
| WindowsPCの設定で、「この接続のアドレスをDNSに登録する」にチェックがあると、UPDATE要求を出します。 | |||
| DNSサーバ側でDynamicDNSの設定をしている場合は、UPDATEの処理ができていないので設定の見直しが必要です。 | |||
| DNSサーバ側でDynamicDNSの設定をしていない、許可をしていない場合は、問題ありません。 | |||
| ログ | security: warning: zone '(ゾーン名)' allows updates by IP address, which is insecure | ||
| 意味 | DynamicDNSにおいて、IPアドレスによるアップデート許可だけでは安全ではありません。 | ||
| 原因/詳細 | 設定の再読み込みや再起動のたびに出力されます。 | ||
| エラーではなく、セキュリティ上の注意ログです。 | |||
| named.conf内で、allow-updateでゾーン情報の更新を許可する相手をIPアドレスで指定している場合にこのエラーが出力されます。 | |||
| このエラーを出したくない方法としては、TSIGによるゾーン情報の更新許可に変更する方法があります。 | |||
| ログ | security: warning: client (IPアドレス)#xx: RFC 1918 response from Internet for xx.xx.xx.xx.in-addr.arpa | ||
| 意味 | RFC1918で予約されているプライベートIPv4アドレスの問い合わせに対して、インターネットから応答がありました。 | ||
| 原因/詳細 | RFC1918で予約されているプライベートIPv4アドレスとは、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16です。 | ||
| これらはインターネット上では使われませんので、通常はルーティングしませんし、逆引き問い合わせをする必要もありません。 | |||
| そのため、これらのアドレスに対する逆引き問い合わせがインターネットに向けてされた場合、その警告としてこのようなログが出力されます。 | |||
| プライベートIPアドレスの問い合わせをインターネット上に出さないためには、不要なプライベートアドレスに対する逆引き設定を行うことです。 | |||