我设置了托管我们域名的BIND DNS,我也将它用于内部DNS.我为内部和外部主机设置了不同的视图,它工作正常.
我的问题是哪个是管理BIND服务器的最佳Web界面,这将允许我在named.config中使用视图？
我已经尝试过MyDNS,SMBIND和ProBIND,但似乎没有人完全按照我的意愿行事.

以下是BIND的Web前端GUI的完整列表.

如果不知道你想要什么,我不能特别推荐一个.

BIND GUI’s

我在从DNS服务器上正确加载区域时遇到问题.两台服务器都运行BIND 9.9.3-P2.

我已经服务了~150个区域,他们都正常工作.但是,当我添加另一个域时,从属服务器拒绝识别它.

这是主服务器上的区域规范：

zone "test.no" { type master; file "/var/lib/named/zones/test.zone"; };

这是奴隶的区域规范：

zone "test.no" { type slave; masters { master.ip; }; file "/var/lib/named/zones/test.zone"; };

当我在主服务器上执行rndc重新加载时,从服务器获取通知,从主服务器传输区域并且不会抱怨.这是来自奴隶的日志：

27-Mar-2014 10:30:15.146 zone test.no/IN: no master file
27-Mar-2014 10:30:15.146 zone_settimer: zone test.no/IN: enter
27-Mar-2014 10:30:15.157 dns_zone_maintenance: zone test.no/IN: enter
27-Mar-2014 10:30:15.158 zone_settimer: zone test.no/IN: enter
27-Mar-2014 10:30:15.166 zone_timer: zone test.no/IN: enter
27-Mar-2014 10:30:15.166 zone_maintenance: zone test.no/IN: enter
27-Mar-2014 10:30:15.166 queue_soa_query: zone test.no/IN: enter
27-Mar-2014 10:30:15.166 zone_settimer: zone test.no/IN: enter
27-Mar-2014 10:30:15.166 soa_query: zone test.no/IN: enter
27-Mar-2014 10:30:15.170 refresh_callback: zone test.no/IN: enter
27-Mar-2014 10:30:15.170 refresh_callback: zone test.no/IN: serial: new 2014031901,old not loaded
27-Mar-2014 10:30:15.170 queue_xfrin: zone test.no/IN: enter
27-Mar-2014 10:30:15.171 zone test.no/IN: Transfer started.
27-Mar-2014 10:30:15.171 zone test.no/IN: no database exists yet,requesting AXFR of initial version from x.x.x.x#53
27-Mar-2014 10:30:15.171 transfer of 'test.no/IN' from x.x.x.x#53: connected using x.x.x.y#59644
27-Mar-2014 10:30:15.179 zone test.no/IN: zone transfer finished: success
27-Mar-2014 10:30:15.179 zone test.no/IN: transferred serial 2014031901
27-Mar-2014 10:30:15.179 zone_needdump: zone test.no/IN: enter
27-Mar-2014 10:30:15.179 zone_settimer: zone test.no/IN: enter
27-Mar-2014 10:30:15.179 zone_settimer: zone test.no/IN: enter
27-Mar-2014 10:30:15.179 transfer of 'test.no/IN' from x.x.x.x#53: Transfer completed: 1 messages,6 records,197 bytes,0.007 secs (28142 bytes/sec)
27-Mar-2014 10:30:15.180 zone_timer: zone test.no/IN: enter
27-Mar-2014 10:30:15.180 zone_maintenance: zone test.no/IN: enter
27-Mar-2014 10:30:15.180 zone test.no/IN: sending notifies (serial 2014031901)
27-Mar-2014 10:30:15.186 zone_dump: zone test.no/IN: enter
27-Mar-2014 10:30:15.186 zone_settimer: zone test.no/IN: enter
27-Mar-2014 10:30:15.186 zone_gotwritehandle: zone test.no/IN: enter
27-Mar-2014 10:30:15.186 decrement_reference: delete from rbt: 0x9a725d8 test.no
27-Mar-2014 10:30:15.187 dump_done: zone test.no/IN: enter

并且/var/lib/named/zones/test.zone在slave上创建并填充：

-rw-r--r-- 1 named named 250 Mar 27 10:30 test.zone

一切都很好！但是,在我增加主服务器上的序列并进行另一次重新加载后,我得到了同样的错误：

27-Mar-2014 10:30:51.405 client x.x.x.x#42033: received notify for zone 'test.no': not authoritative

test.no区域是我尝试使用相同错误的第二个区域,配置与其他工作区域具有相同的语法.

主机上显示的实际区域文件：

$TTL 1h0m6s
@       IN      SOA     ns1.domain.no. postmaster.domain.no. (
                        2014031902      ; serial,todays date + todays serial #
                        1H              ; refresh,seconds
                        2H              ; retry,seconds
                        2D              ; expire,seconds
                        1H )            ; minimum,seconds

                NS      ns1.domain.no.
                NS      ns2.domain.no.
                TXT     "test.no"


test        A     10.0.0.1

为了其他任何有这个问题并且最终来自Google的人的利益,对我来说问题是由于我使用BIND视图引起的.

我已经配置了多个视图,假设BIND会将所有匹配的视图合并为一个视图,但实际上它会选择第一个匹配视图并仅使用该视图,而忽略所有其他视图.因此,客户端只看到了我的一小部分区域,因此视图中缺失的那些区域将成为非权威性的.

通过将所有内容都粘贴到包含文件中并使用它们来确保每个视图都完全完整,我的问题得以解决.

我在用于解析大量域的小型服务器上运行bind,我的主要目标是快速解析域和低内存使用率.

我想使用像本地区域这样的东西与所有TLD的名称服务器挖掘. axfr @ g.root-servers.net.

现在发生的事情是当达到缓存限制时,绑定停止缓存并且每个解析根服务器dns都被命中.有没有办法使用axfr输出并告诉bind从那里获取tld的NS信息？

Example of axfr zone

我试图添加“.”具有axfr输出的主区域但它不起作用.

zone "." IN {
    type master;
    file "axfrOutput.ca";
};

当前named.conf

options {
    listen-on port 53 { 127.0.0.1; };
    listen-on-v6 port 53 { ::1; };
    directory       "/var/named";
    dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query     { localhost; };
    max-cache-size 100m;
    cleaning-interval 1;    // clean cache every 1 minutes
    max-cache-ttl 120;        // limit cached record to a 60s TTL
    max-ncache-ttl 120;       // limit cache neg. resp. to a 60s TTL
    recursion yes;

    dnssec-enable yes;
    dnssec-validation yes;
    dnssec-lookaside auto;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";
};

zone "." IN {
     type hint;
     file "named.ca";
};

高性能和低内存使用短缓存时间是相互矛盾的要求.

但是,当达到max-cache-size限制时应该发生的事情是它应该开始(过早地)从缓存(LRU)驱逐条目.

强制较短的TTL(max-cache-ttl)会牺牲性能,有利于更快的收敛. (可能是一个坏主意,因为这会丢弃大量使用的东西,否则会在LRU方案中具有高优先级.)

cleaning-interval已过时,在现代BIND版本中没有任何效果.

如果您的负载非常高,并且想要专门优化对根区域的查询,那么您可以拥有自己的从属区域.而不是正常的提示区域.

ICANN提供AXFR access to the root zone以及其他一些区域.

我有两个运行BIND9的DNS服务器,一个主服务器和一个服务器.在主服务器上更新区域文件时,我希望从服务器立即开始提供已更改的记录,但BIND给了我一些guff.

DNS区域传输已在主站和从站之间正常工作.我可以登录到从服务器并运行dig @dnsmaster myzone. AXFR并打印出区域的全部内容.为了实现这一目的,DNS主服务器配置了notify yes和also-notify {dnsslave}.同样,从站配置了allow-transfer {dnsmaster}.

当更新dnsmaster时,我运行rndc reload并告诉我正在发送通知.通过检查/ var / named / slavedata /中的zonefiles在slave上确认这一点.它们包含最新的数据,与主人知道的相匹配.

现在是奇怪的部分.

从服务器将继续提供旧的陈旧DNS记录,完全忽略了在主机通知后磁盘上有新数据这一事实.我正在使用dig来检查这个命令的结果：dig @slaveserver record.zone.tld.

我认为BIND可能会保留其权威区域的内存缓存,因此我将max-cache-size和max-cache-ttl设置为0,但这没有任何效果.

我尝试通过在从服务器上运行rndc flush和rndc reload之类的命令来刷新这个所谓的缓存的其他方法,但它仍然返回旧的陈旧记录.

最后,我注意到区域中的MINTTL设置为86400(24小时),因此我暂时将MINTTL更改为15秒,然后重新启动从属服务器.没有效果 – 从服务器只会在重新启动服务后提供更新的DNS结果.

这里发生了什么？接收区域更新通知时BIND9的预期行为是什么？它总是尊重TTL和MINTTL吗？我认为它总会使用最新的数据.

在我的智慧结束时,我正在考虑设置一个crontab来每小时重启BIND从属服务器,以避免提供过时的数据.有更好的吗？

根据您的描述,我无法确切地告诉您问题是什么,但我可以帮助您排除几件事.

缓存大小设置和缓存ttl设置用于缓存的递归查询数据,并且(如您所怀疑的)不适用于权威数据.类似地,rndc flush在这里不适用.

建议的故障排除方法：

>验证主服务器是否按预期发送了通知消息.检查日志和/或嗅探主站和从站之间的流量.
>从日志中验证从站正在接收通知消息.
>如果您看不到从服务器收到通知,请作为通知问题进行故障排除,即仔细检查主服务器上named.conf中的通知选项,确保它们按预期定义,以后不会被覆盖,并且适当地确定范围.我建议使用“notify explicit;”使用“also-notify {slave-server;};”
>如果从服务器正在查看通知,则您的问题是找出区域文件未按预期更新的原因.应该发生的事情是收到通知后,奴隶应该进行SOA查询,与其当前的SOA进行比较,并执行AXFR(如果已启用它,则执行IXFR)以获取更新的区域副本(假设主服务器上的SOA)更高.)您应该能够使用嗅探器观察所有这些情况,并且您还应该在两台服务器的日志中看到它的证据.
>如果操作没有按预期发生,请首先手动比较两个服务器上的SOA序列号(挖掘@server $zonename SOA),以确保您不会意外地为从站提供高于预期的序列号过去的时间现在高于主人的序列号.

如果这不起作用,请考虑发布更多信息,包括主服务器和从服务器的named.conf部分以及两个服务器上的日志,这些服务器在主服务器上加载新编辑的区域后发生的情况.

我遇到了绑定问题.如果我想解析区域文件上的任何域名.它工作正常.但是,当我尝试解决任何不属于区域文件的内容时.我知道正在转发的实际DNS服务器工作正常.但不知何故bind9无法使用它们.
/etc/bind/named.conf.options的内容是：

options {
directory "/var/cache/bind";
forwarders {
    131.181.127.32;
    131.181.59.48;
};
dnssec-validation auto;
auth-nxdomain no;    # conform to RFC1035
listen-on-v6 { any; };
};

我也试过只使用一个IP地址,但仍然无法正常工作. /etc/bind/named.conf的内容也是：

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

所以包含选项文件没有问题.
有没有解决这个问题的建议？

我之前有最新版本的Bind(9.8.1).

以下选项为我解决了这个问题：

dnssec-validation no;