BINDの確認
ここで、一旦BINDの設定について確認してみました。もっとも、中には基本的な設定は自動的に作成されたものもあります。
問い合わせのオプション設定?
CNAMEの指しているホストは別のドメイン、さらにそのドメインのネームサーバーも別のドメイン、といった状況だったため、再帰的な問い合わせの制限を最初に疑いました。具体的にはnamed.conf
のoptions
で設定できる、以下の項目です。
max-recursion-depth
max-recursion-queries
これらはBINDのセキュリティの強化として追加されたもので、これらを大きめの値に設定してみましたが、
- やはり、発生する時がありました。
- これらによるエラーのログもありませんでした。
- BIND 9.9.2-P2では、これらをサポートしていません。
余談ですが、バージョン自体は9.8.2rc1を元にしているCentOS 6のBINDでmax-recursion-depth
等をサポートしているのは意外でした。
ログでの確認
問い合わせに関する詳しいログは、BINDのバイナリ作成時に--enable-querytrace
を指定して構成している必要があります。当社の環境のBINDを作成し直して、ログを取ってみました。
残念ながら、これでも何が起きている(どこで諦めている)のかは、よくわかりません。
19:12:34.564 resolver: debug 1: fetch: target.example.net/A
19:12:34.564 resolver: debug 1: fetch: ns21.domaincontrol.com/A
19:12:34.564 resolver: debug 1: fetch: ns21.domaincontrol.com/AAAA
19:12:34.565 resolver: debug 1: fetch: ns22.domaincontrol.com/A
19:12:34.565 resolver: debug 1: fetch: ns22.domaincontrol.com/AAAA
19:12:34.641 query-errors: debug 1: client 127.0.0.1#53715 (target.example.net): view private: query failed (SERVFAIL) for target.example.net/IN/A at query.c:7768