bind9 f&q

tony-jia

本文譯自BIND主網(wǎng)站上的一篇文章：http://www.isc.org/products/BIND/FAQ.html。應(yīng)該說，這些問題都非常典型，對BIND 9用戶的日常維護和管理可以提供不小的幫助。
1. 當(dāng)我在Linux 2.2.x上使用以--enable-threads選項編譯的bind程序時，為什么-u參數(shù)不起作用？
答：Linux線程并沒有完全實現(xiàn)Posix線程（pthreads）標(biāo)準(zhǔn)。特別是setuid()只能對當(dāng)前線程起作用，而不適用于整個進程。正是由于此項限制，Linux上的BIND 9就無法像在其他支持的系統(tǒng)平臺上一樣使用setuid()。在創(chuàng)建線程之前不能調(diào)用setuid()，因為服務(wù)器只有在線程啟動之后才能開始監(jiān)聽預(yù)留端口。
對于2.2.18或2.3.99-pre3以及更新的內(nèi)核而言，則能在調(diào)用setuid()之后仍然保持可用性。這使得BIND 9可以更早些調(diào)用setuid()，而同時又保持了綁定預(yù)留端口的能力。這是針對Linux所作的特別處理。
在2.2內(nèi)核上，BIND 9的確放棄了許多root權(quán)限，所以相對于那些沒有放棄權(quán)限的root進程而言，這會更加安全一些。
如果Linux線程已經(jīng)正常工作，那么這項限制也就不復(fù)存在。
用戶可以使用--disable-threads選項（這是默認(rèn)選項）來編譯BIND9，這樣會生成一個非線程的版本，用戶能夠使用-u選項。
2、為什么named的日志中會給出警告信息"no TTL specified - using SOA MINTTL instead"？
答：你的zone文件不符合RFC1035標(biāo)準(zhǔn)。你可以使用兩種方法來解決此問題：
1）在zone文件的開頭加入一行對TTL的定義，例如：$TTL 86400
2）在zone文件的第一條記錄中包含TTL字段，例如：example.com. 86400 IN SOA ns hostmaster
3、為什么我在Linux上會看到5個（或者更多）的named副本？
答：在ps下每個Linux線程也會像進程一樣顯示出來。一般運行的線程個數(shù)為n+4，這里n表示CPU的數(shù)目。注意在內(nèi)存量的使用上并不遵從累加的原則；如果每個進程使用10M內(nèi)存，那么所有線程總共也只使用10M內(nèi)存。
4、為什么即便我在Linux系統(tǒng)上用root身份運行BIND 9，在訪問配置文件或zone文件時，仍然會得到關(guān)于"permission denied"錯誤的日志？
答：在Linux上，BIND 9在啟動時就放棄了絕大部分root權(quán)限，這其中就包括打開其他用戶所屬文件的權(quán)限。因此，如果服務(wù)器是以root身份運行的，那么配置文件和zone文件也應(yīng)該由root所有。
5、為什么我得到類似于"dns_zone_load: zone foo/IN: loading master file bar: ran out of space"的錯誤提示？
答：這通常是由于TXT記錄中少了一個引號所致。檢查所有TXT記錄是否都包含了完整的引號。
6、我怎樣能夠在Linux上從多線程named生成一個可用的core文件？
答：如果Linux內(nèi)核是2.4.7或更新的版本，多線程core導(dǎo)出（dump）是可用的（也就是說，將導(dǎo)出正確的線程）。否則，如果使用的是2.2內(nèi)核，那么需要應(yīng)用在contrib/linux/coredump-patch中的內(nèi)核補丁并重新編譯內(nèi)核。該補丁可以使多線程程序?qū)С稣�確的線程。
7、我怎樣限制別人查詢我的服務(wù)器版本？
答：在named.conf的"options"段中放置"version"選項，并將其值設(shè)成與你實際使用版本不同的其他版本。注意：這樣做不能避免攻擊，反而可能會妨礙別人對你服務(wù)器問題的診斷嘗試，而且這同樣可能成為別人鑒別你服務(wù)器的標(biāo)志。
8、我怎樣限制只有遠(yuǎn)程用戶才能查詢服務(wù)器版本？
答：當(dāng)存有版本信息的內(nèi)部視圖被最后匹配時，下面的視圖語句將攔截查詢。上面一問回答中的警告在這里同樣適用。
view "chaos" chaos {
match-clients { ; };
allow-query { none; };
zone "." {
type hint;
file "/dev/null"; // or any empty file
};
};
9、"no source of entropy found"或"could not open entropy source foo"是什么意思？
答：服務(wù)器需要信息熵（entropy）源來執(zhí)行特定的操作，通常這與DNSSEC相關(guān)。這些信息提示沒有信息熵源。在有/dev/random或類似設(shè)備的系統(tǒng)上，默認(rèn)會使用它們。信息源也可以通過named.conf中的random-device選項來定義。
10、我安裝了BIND 9并且重新啟動了named，但是它仍然是BIND 8，這是為什么？
答：BIND 9默認(rèn)安裝在/usr/local下。而BIND 8通常安裝在/usr下。檢查是否正確的named在運行。
11、我嘗試使用TSIG來驗證動態(tài)更新或者zone傳輸。我確信密鑰設(shè)置是正確的，但是服務(wù)器仍然拒絕TSIG，為什么？
答：這可能是時鐘不準(zhǔn)的問題。檢查客戶端的時鐘和服務(wù)器上的是否同步（例如使用ntp）。
12、我嘗試編譯BIND 9，但"make"卻因為某些文件無法找到而失敗了。為什么？
答：使用并行或分布式的"make"來編譯BIND 9是不支持的，而且也無法工作。如果你確實使用的是它們中一種，建議你使用一般的make或gmake來替代。
13、我有一臺BIND 9的主服務(wù)器和一臺BIND 8.2.3的從服務(wù)器，而主服務(wù)器記錄到類似于"notify to 10.0.0.1#53 failed: unexpected end of input"的錯誤信息。哪有問題？
答：該錯誤信息是由BIND 8.2.3中一個已知的bug所致，這在BIND 8.2.4中得到了修復(fù)。你可以完全不必理會它 - 不管錯誤信息如何，notify都在正常工作著。
14、我不斷地得到如下的日志信息，為什么？
Dec 4 23:47:59 client 10.0.0.1#1355: updating zone 'example.com/IN': update failed: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)
答：DNS更新程序允許更新請求在進行更新之前進行測試以確認(rèn)特定的條件是否滿足。以上信息說明條件不滿足，無法繼續(xù)進行更新。參看doc/rfc/rfc2136.txt以獲知關(guān)于前提條件的更多信息。
15、我不斷地得到如下的日志信息，為什么？
Jun 21 12:00:00.000 client 10.0.0.1#1234: update denied
答：有人在嘗試使用RFC2136動態(tài)更新協(xié)議來更新你的DNS數(shù)據(jù)。Windows 2000的機器有這樣的習(xí)慣：無需事先配置就發(fā)送動態(tài)更新請求給DNS服務(wù)器。如果更新請求來自于Windows 2000機器，請參看 以了解如何關(guān)閉它。
16、我看到如下的日志信息，為什么？
couldn't open pid file '/var/run/named.pid': Permission denied
答：很可能你是以非root用戶在運行named，而該用戶又對/var/run沒有寫權(quán)限。通常的修復(fù)方法是創(chuàng)建由named用戶所有的/var/run/named目錄并設(shè)置pid文件為"/var/run/named/named.pid"，或者設(shè)置pid文件為"named.pid"，這將把該文件放到由directory選項指定的目錄（在此情況下，該目錄必須對named用戶可寫）下去。
17、當(dāng)我在執(zhí)行“dig . ns"時，許多關(guān)于root服務(wù)器的A記錄都丟失了。為什么？
答：這是正常的情況，并無大礙。在BIND 9實現(xiàn)RFC 2181的信任級別（trust ranking）的方法和BIND 9對避免相關(guān)數(shù)據(jù)（glue）進入回答所作的努力上，有些令人迷惑的副面效果。
當(dāng)BIND 9第一次啟動并初始化其緩沖時，它接收根服務(wù)器地址作為根服務(wù)器權(quán)威響應(yīng)的附加數(shù)據(jù)，并且這些記錄符合包含在響應(yīng)中作為附加數(shù)據(jù)的條件。隨后，它接收根服務(wù)器地址的子集作為根服務(wù)器的非權(quán)威（推薦）響應(yīng)的附加數(shù)據(jù)。這導(dǎo)致這些地址現(xiàn)在被視為非權(quán)威的（相關(guān)的）數(shù)據(jù)，它們不適合包含在響應(yīng)中。
服務(wù)器的確總是有一組完整的根服務(wù)器地址作為緩沖，只是有可能沒有包括全部的地址作為附加數(shù)據(jù)，這取決于它們最后接收的是響應(yīng)還是相關(guān)數(shù)據(jù)。你通�？梢允褂蔑@式查詢?nèi)纭癲ig a.root-servers.net A"來查找這些地址。
18、從BIND 9主服務(wù)器傳輸zone到Windows 2000從服務(wù)器失敗了。為什么？
答：這可能是由于Windows 2000 DNS服務(wù)器的一個bug所致，在Windows機器上，大于16K的DNS消息就無法正確處理。這可以通過設(shè)置選項"transfer-format one-answer;"來解決。也可以檢查你的zone是否包含了內(nèi)嵌的空格或其他的特殊字符，例如"John

感谢您访问我们的网站，您可能还对以下资源感兴趣：

亚洲av成人无遮挡网站在线观看