Subject: [DNS] /etc/named.boot 設定的諸多問題
摘要說明:
底下似乎是許多單位, 存在已久, 很普遍的設定問題.
-- 請各單位 DNS 管理者 check, 如有這類錯誤, 儘速改掉, 這一些不當地設定,
以免害人害己.
- 關於 named.cache 的問題.
- 關於 特定 domain zones 的 secondary caching 問題.
- 關於 multiple domain zones 的定義問題.
Path: netnews.NCTU.edu.tw!not-for-mail
From: cschen@cc.nctu.edu.tw (C.S.Chen)
Newsgroups: tw.bbs.comp.network,tw.bbs.config,tw.bbs.comp.unix,tw.bbs.comp.linux
Subject: [DNS] /etc/named.boot 設定的諸多問題
Date: 31 Jul 1997 01:57:29 GMT
Organization: National Chiao Tung University, Hsinchu, Taiwan
Lines: 145
Message-ID: <5rore9$fea$1@news2.nctu.edu.tw>
NNTP-Posting-Host: news2
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Trace: 870314249 15818 cschen@news2 140.113.4.120
Keywords: DNS, secondary, primary, cache
Xref: netnews.NCTU.edu.tw tw.bbs.comp.network:64546 tw.bbs.config:12493 tw.bbs.comp.unix:60218 tw.bbs.comp.linux:96457
[DNS] 關於 /etc/named.boot 設定的諸多問題
=========================================
近來, 收到許多 e-mail 來詢問, 關於 DNS 系統設定的問題.
發現其中, 有許多關於 /etc/named.boot ( * Note 1) 設定寫法的問題.
大體上, 大體有幾個狀況 (or 錯誤設定 ).
1. 關於 named.cache 的問題.
2. 關於 特定 domain zones 的 secondary caching 問題.
3. 關於 multiple domain zones 的定義問題.
這一些不當設定, 似乎相當嚴重, 已經影響到較上一層 domain zones 的
DNS server 的正常運作, 舉 forward domain zones ( reverse 部份亦同)
而言, 底下這幾臺上層 domain zones DNS server, 就常受到一堆不當設定
的 "疲癆轟炸", 其中 aladdin.iii.org.tw 這一臺, 面對的狀況, 最慘.
TW 較上層 domain zones:
EDU.tw, tw -- moevax.edu.tw
Com.tw, Net.tw, Org.tw -- aladdin.iii.org.tw
Gov.tw - hntp1.hinet.net
請各單位 DNS 管理者, 檢視 /etc/named.boot 的設定, 如有需要者,
可參考 sample-config
http://dnsrd.nctu.edu.tw/DNS-Named-Conf/conf.html
Notes :
1) 如果改用 BIND 8.x, /etc/named.boot 已取消, 改為 /etc/named.conf
2) 以上似乎是許多單位, 存在已久, 很普遍的設定問題.
-- 請各單位 DNS 管理者 check, 如有這類錯誤, 儘速改掉, 這一些不當地
設定, 以免還人害己.
================================================================
1) 首先, 針對 named.cache 的問題.
在 /etc/named.boot 中, 應該有一行 "cache" 設定行.
---------------------------------------------
directoey /var/named
;
cache . named.root
...
---------------------------------------------
這一行的用意, 是將 named.root 中, 所記載的 root DNS servers 的
FQDN/IP addr 等 NS, A RR 等記錄, 於 named 啟始 (or reload) 時,
讀入 main memory 中.
--前兩年, root DNS servers 的 FQDN/IP addr. 有好些變動.
--這一兩年, Internet traffic 成長很快, 陸陸續續, 增加了好幾個
root DNS servers. ( 幾乎 3-6 個月, 就 update 一次)
有很多單位, 可能很久沒有 update 這個 named.root 檔, 這樣可能因找
不到, 可用的 root DNS server, 而導致該站的整個 DNS server, 運作
不正常.
最新的 named.root, 可以 InterNIC 的 ftp server (or web site) 取得.
-- 另外, 也可以在 底下所列的 URL, 取得一個 sample-config
http://dnsrd.nctu.edu.tw/DNS-Named-Conf/named.root
=========================================================
2) 其次, 關於 特定 domain zones 的 secondary caching 問題.
許多單位的 DNS server 上, 在 /etc/named.boot 中, 通常有類似
的 **錯誤** 設定.
---------------------------------------------
directoey /var/named
;
...
secondary EDU.tw 140.111.1.2 Zone-EDU.tw
...
secondary Com.tw 140.96.1.50 Zone-Com.tw
...
secondary Gov.tw 168.95.192.1 Zone-Gov.tw
...
---------------------------------------------
以上的設定, 除了該 domain zones 真正的 secondary DNS server(s) 外,
其餘的 DNS server host, 都 **不應該** 有這一些設定行, 應該拿掉.
因為,
a) 整個 DNS 系統, 是階層式, 分散系統運作.
b) 整個 DNS 系統, 對於 DNS query 的處理, 是 on-demand.
c) 這一些 secondary caching line, 可能會對這許多上層 DNS server
不定期地, 進行 zone transfer, 整批地搬動許多, 貴站通常不需要
的資訊 ( 只要有 update DNS zone data ).
最糟糕地副作用是, 這一些上層的 DNS server, 為了 應付這一些
"不當" 的 zone transfer, 必須一再地 fork 新的 named-xfer 來處理.
以致於, 上層 DNS server 所應該, 最常作的 domain zones DNS server
指引工作, 反而被擔擱了. 甚制嚴重到, 一天中的許多時段, 經常會形成
DNS query 地 timeout. ( 這實在, 夠離譜地 )
尤其, 隨著 國內, 網站越多, 這種問題, 更明顯.
特定 domain zones - "Com.tw", "Net.tw", "Org.tw" 的負責 DNS server,
aladdin.iii.org.tw 更是嚴重.
除了, 提醒許多單位的 DNS server 管理者, 修正觀念, 改掉這一些錯誤設定.
或許, 這一些上層的 DNS server, 限制 zone transfer, 應該是一個積極地作法.
===================================================================
3). 在來, 關於 multiple domain zones 的定義問題.
每個各別被授權的 domain zones, 都應該有其各別的 SOA, 與設定檔.
-- 不是將這一些, 設在同一個檔.
a) 這一個問題, 尤其在許多 reverse domain zones, 都是持用好幾個連續,
(or 不連續) class C 的單位, 特別明顯.
b) 另一方面, 許多 ISP 自行 (or 代 customer maintain) 登記 好幾個不同
的 forward domain zones, 也可能有這類問題.
同一個 DNS server, 可以同時負責許多不同的 domain zone, 有時扮演
某 domain zone 的 primary server, 亦可同時是另外一些 domain zones
的 secondary server.
在 /etc/named.boot 中, 通常應有如底下設定.
( 底下是示意, 不是真的 domain zones 名稱, 如有雷同, 純屬巧合)
----------------------------------------------------------------
directoey /var/named
;
...
primary abc.Com.tw Zone-abc.Com.tw
primary xyz.Com.tw Zone-xyz.Com.tw
...
secondary ijk.Net.tw IP.addr.of.pri-srv Zone-ijk.Net.tw
...
primary 1.10.in-addr.arpa R-10.1
...
secondary 1.168.192.in-addr.arpa IP.addr.of.pri-srv R-192.168.1
secondary 2.168.192.in-addr.arpa IP.addr.of.pri-srv R-192.168.2
secondary 5.168.192.in-addr.arpa IP.addr.of.pri-srv R-192.168.5
...
---------------------------------------------------------------------
如果, 你想把這一些許多設定, 寫在一個檔, 就會出問題.
primary Com.tw zone-Com.tw
例如, 上面的 Com.tw 的設定行, 除了 外,
其它的 DNS server, **都不可以** 有這麼一行.
--
Joe. C.S.Chen, cschen@ns.nctu.edu.tw http://dnsrd.nctu.edu.tw