zone transfer ‘example.net/AXFR/IN’ denied BIND DNS

DNS BIND bind

DNSサーバを作る場合にはマスター、スレーブを作ることは必須になっています。

マスターのゾーン転送でエラーが出たので備忘録としてTipsをご紹介。

 

スレーブからマスターへゾーン転送要求を行う

 

ゾーン転送に失敗していますね。

 

マスターのログを確認します。

まずはログを見てみましょう。

 

ゾーン転送要求が拒否されています。

 

マスタはスレーブを10.15.0.61と認識してログに出していますね。

 

 

マスター設定ファイル編集

マスターが認識しているスレーブのIPをallow-transferディレクティブに追加します。

 

 

構文エラー確認

 

再起動で反映させます。

 

digでスレーブからマスターへゾーン転送要求を行います。

ゾーンが転送されました。

 

スレーブからゾーン転送ファイルを確認する。

転送されています。

 

他のサーバからゾーン転送要求を行います。

拒否されました。ちゃんと設定が行われていることが確認できています。

 

あなたのDNSサーバ ちゃんと管理出来ていますか?

 

BINDは緊急対応レベルの脆弱性が多く、アップデートをその都度行わないといけません。まともに管理するのは凄く大変。それにDNSサーバはマスター・スレーブで2台も必要になってきますし、維持コストもかかります。

 

TSIG, ゾーン転送の脆弱性回避術

脆弱性がよくあるBINDのゾーン転送機能を使わないように設定し、ゾーンファイルをrsyncとCronでスレーブに転送し、定期的に同期させるという方法で回避できます。

 

DNSサーバアウトソースのすすめ

  1. 特にDNSを自前で管理する理由がない
    →ドメイン管理レジストラのDNSサービスを利用する。
  2. メールフィルタで逆引きは必要だ
    →逆引きが可能なクラウドサービスを使う。

 

そのようにすると管理が楽だし、コストも自前でDNSサーバを維持するよりずっと安く効率的。それにドメイン業者やクラウド側にはDNSの専門家がいるので安心ですよ。基本的にお客様の要望がなければ、DNSは外部に持つようにして、お客様の運用コストを減らしています。

上記はインターネット公開用のDNSサーバの話で、社内LAN用のDNSならば必要になります。

 

お疲れ様です。

金広 優 (エンジニア)

この記事を書いた人:金広 優 (エンジニア)

システムガーディアン爆弾処理班。アクセス負荷対策やNginxへの移行案件が多いこの頃。IBM SoftLayerやAWSなどクラウド案件も多くなってきました。

この記事に関してのお問い合わせ
御連絡・ご返信は原則2営業日以内を予定しております。
お急ぎの場合は、お手数ですが下記電話でもご対応をしております。

システムガーディアン株式会社
受付時間:平日9:00~18:00
受付担当:坪郷(つぼごう)・加藤
電話:03-6758-9166