文書更新:2018年12月25日(火) 午後5時21分45秒
Home > 備忘録 > bind に関すること > DNSSECの設定( 70 )
bind 9.8.0にバージョンアップしたらDNSサーバーがうまく稼働しない。いろいろ原因を調べたら、DNSSECの設定がうまくされていないようである。ここに調べたことを記録します。 久しぶりに、bind 9.8.2にバージョンアップしたら、下記のようなにコメントアウトしなくても作動するようである。
公開鍵の確認
named.root.key
[root@server]# vi /var/named/chroot/etc/named.root.key
managed-keys {
# DNSKEY for the root zone.
# Updates are published on root-dnssec-announce@icann.org
. initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
~~~~~途中省略~~~~~
Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=";
};公開鍵が確認できない場合には、「DNSSEC の設定」を参考にして作成してください。named.confの編集
named.conf
[root@server]# vi /var/named/chroot/etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {
~~~~~途中省略~~~~~
dnssec-enable yes;
dnssec-validation yes;
# dnssec-lookaside auto;←コメントアウトにする
/* Path to ISC DLV key */
# bindkeys-file "/etc/named.iscdlv.key";←コメントアウトにする
managed-keys-directory "/var/named/dynamic";←この行が存在するかを確認にする
forwarders{#このDNSサーバで名前解決ができなかった場合の問合せ先を指定
xxx.xxx.xxx.xxx;←ルーターのアドレス
};
};
~~~~~途中省略~~~~~
view "internal" {
match-clients { localnets; };
match-destinations { localnets; };
zone IN {#ルートネームサーバーファイル(named.ca)
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";←この行が存在するかを確認にする
include "/etc/named.xxxxxx.jp.zone";
};named.conf ファイルのエラーチェック
[root@server]# named-checkconf -t /var/named/chroot
何も表示しなければ、エラーなし
エラーがある場合には、下のようにエラー内容を表示します。
/etc/named.conf:48: unknown option ':'bindサービスを再起動する
[root@server]# /etc/rc.d/init.d/named restart←Fedora14以前
[root@server]# systemctl restart named.service←Fedora15
または
[root@server]# service named restartDNSSEC設定の確認
HEADER の status が NOERROR で、flags に ad が設定されています。正しく処理されていると判断して良い。
- dig +dnssec .
- dig +dnssec www.isc.org.
[root@server]# dig +dnssec .
; <<>> DiG 9.18.47 <<>> +dnssec .
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57440
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 65494
;; QUESTION SECTION:
;. IN A
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Wed Apr 01 15:01:36 JST 2026
;; MSG SIZE rcvd: 28[root@server]# dig +dnssec www.isc.org.
; <<>> DiG 9.18.47 <<>> +dnssec www.isc.org.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8514
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 65494
;; QUESTION SECTION:
;www.isc.org. IN A
;; ANSWER SECTION:
www.isc.org. 299 IN CNAME isc.map.fastlydns.net.
isc.map.fastlydns.net. 59 IN A 151.101.90.217
;; Query time: 45 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Wed Apr 01 15:01:36 JST 2026
;; MSG SIZE rcvd: 91