DNS(BIND9) BIND9.x のエラーをまとめたものですエラーと原因ジオシティーズ容量大幅アップセキュリティならお任せ! マイクロソフト少ない初期導入コストでクラウド環境を構築! Ads by Yahoo!JAPAN 主にゾーン転送に関するエラー

DNS(BIND9) BIND9.x のをまとめたものですと原因ジオシティーズ容量大幅アップセキュリティならお任せ! www.microsoft.com マイクロソフト少ない初期導入コストでクラウド環境を構築! Ads by Yahoo!JAPAN 主にゾーン転送に関するを載せています ( 一部文法的なものもあります ) 原因については書かれていることが全てではありませんが検証に基づいて書いています general: warning: zone ( ソーン名 )/IN: expired 現在保持しているゾーン情報の有効期限が切れましたセカンダリ DNS サーバで出力されるです以前取得していたゾーン情報が何らかの原因で転送元 DNS サーバとのゾーン転送ができなくなったため refresh できなくなり SOA レコードに登録されている expire 時間を過ぎてしまったことをしていますそのためこのゾーンに対する問い合わせがあるとこのサーバは (SERVFAIL) を返すようになりますゾーン転送失敗の原因は他のも出力されていますのでそちらを参考にしてください xfer in: error: transfer of '( ソーン名 )/IN' from (IP アトレス )#53: failed to connect: host unreachable 転送元 DNS サーバとのゾーン転送に失敗しました ( 接続に失敗ホストに届きません ) セカンダリ DNS サーバで出力されるです転送元 DNS サーバに ping を打ってみると Destination Host Unreachable になると思います原因としては以下のことが考えられます転送元 DNS サーバが存在していません xfer in: error: transfer of '( ゾーン名 )/IN' from (IP アトレス )#53: failed to connect: connection refused 転送元 DNS サーバとのゾーン転送に失敗しました ( 接続に失敗接続が拒否されました ) セカンダリ DNS サーバで出力されるですプライマリ DNS サーバ側で TCP53 番宛のパケットを REJECT(DROP ではなく ICMP を返す ) している場合に出力されますゾーン転送ができませんのでほかのも出力されることがあります xfer in: error: transfer of '( ソーン名 )/IN' from (IP アトレス )#53: failed to connect: timed out 転送元 DNS サーバとのゾーン転送に失敗しました ( 接続に失敗時間切れ ) セカンダリ DNS サーバで出力されるです原因としては以下のことが考えられます転送元 DNS サーバが存在していません転送元 DNS サーバ側で接続を許可していません ( たとえばゾーン転送に使う TCP53 番を許可していないなど ) (named.conf でゾーン転送を拒否している場合は REDUSED のになります ) security: error: client (IP アトレス )#xx: zone transfer ' ( ソーン名 )/IXFR/IN' denied security: error: client (IP アトレス )#xx: zone transfer ' ( ソーン名 )/AXFR/IN' denied ゾーン転送要求がありましたが拒否しましたプライマリ DNS サーバで出力されるですがセカンダリ DNS サーバでもゾーン転送要求があれば出力しますそのゾーンに対するゾーン転送を許可していませんゾーン転送要求をした DNS サーバ側では複数回ゾーン転送を試みた後 failed while receiving responses: REFUSED のを出力します xfer in: error: transfer of ' ( ソーン名 )/IN' from (IP アトレス )#53: failed while receiving responses: REFUSED 転送元 DNS サーバとのゾーン転送に失敗しました ( ゾーン転送が拒否されました ) セカンダリ DNS サーバで出力されるです転送元 DNS サーバ側の named.conf でゾーン転送が拒否されていますこのをだした DNS サーバは何度かゾーン転送を試した後でこのを出力します転送元 DNS サーバ側では client (IP アトレス )#xx: zone transfer ' ( ソーン名 )/AXFR/IN' denied のが出力されます general: info: zone ( ソーン名 )/IN: refresh: unexpected rcode (REFUSED) from master (IP アトレス )#53 (source 0.0.0.0#0) ゾーン転送をしようとしたところ転送元 DNS サーバから REDUSED( 問い合わせ拒否 ) という回答が返ってきましたセカンダリ DNS サーバで出力されるです転送元 DNS サーバ側でそのゾーンに対する問い合わせに対して拒否設定をしているためゾーン転送前に行う SOA 問い合わせに失敗していますリフレッシュの場合 SOA の問い合わせに失敗するのでシリアル番号が変わったかどうか判断できずゾーン転送要求はされませんしかしプライマリ DNS サーバからの notify を受信した場合このは出しますが notify でシリアル番号が変わったことは知っているのでゾーン転送要求を出します xfer out: info: client (IP アトレス )#xx: bad zone zone transfer request: ' ( ソーン名 )/IN': non authoritative zone (NOTAUTH) ゾーン転送要求がありましたが権威がありません ( 設定をしていません )

を出した DNS サーバではそのゾーンに対する設定がされていませんそしてその DNS サーバに対して dig の axfr オプションでゾーン転送要求を出すと DNS サーバはこのを出力しますゾーン転送要求を出した DNS サーバ側では non authoritative answer from master~ のを出力します general: info: zone ( ソーン名 )/IN: refresh: non authoritative answer from master (IPアトレス)#xx (source 0.0.0.0#0) ゾーン転送前にSOAを問い合わせたところ転送元 DNSサーバから権威がない ( ゾーン情報を持っていない ) という回答がありましたセカンダリDNSサーバで出力されるですリフレッシュの時や設定の再読み込みをした時にSOAの問い合わせをしますがプライマリDNSサーバからそのゾーン情報は持っていないという回答が返ってきました原因としては以下のことが考えられますプライマリ DNS サーバ側でそのゾーンの設定していないセカンダリ DNS サーバ側でゾーン名を間違っている転送元 DNS サーバを誤っている xfer in: error: transfer of ' ( ソーン名 )/IN' from (IP アトレス )#53: failed while receiving responses: NOTAUTH 転送元 DNS サーバとのゾーン転送に失敗しました ( 転送元 DNS サーバはそのゾーン情報を持っていません ) セカンダリ DNS サーバで出力されるです上記の non authoritative answer from master の原因に加えてクエリー (SOA) の問い合わせが拒否されている場合このが出力されます general: info: zone ( ソーン名 )/IN: refresh: unexpected rcode (NXDOMAIN) from master (IPアトレス)#53 (source 0.0.0.0#0) ゾーン転送をしようとしたところ転送元 DNSサーバから NXDOMAIN( そのようなドメインはありません ) という回答が返ってきましたセカンダリDNSサーバで出力されるです原因は non authoritative answer from master~ と同じですが例えばプライマリDNSサーバでexample.co.jpとsub1.example.co.jp のゾーンが作られている場合にセカンダリDNS 側で sub2.example.co.jp のゾーンを作った時 sub2.example.co.jpのゾーンに対してこのが出ますプライマリDNSサーバでexample.co.jpのゾーンが作られている場合にセカンダリDNS 側でsub1.example.co.jpと sub2.example.co.jpのゾーンを作った時 sub1.example.co.jpとsub2.example.co.jp のゾーンに対してこのが出ますしかしプライマリDNSサーバでexample.co.jpのゾーンが作られている場合にセカンダリDNS 側でsub2.example.co.jpのゾーンを作った時このが出力されず sub2.example.co.jpのゾーンに対して non authoritative answer from master~ が出力されますプライマリDNSサーバでexample.co.jpのゾーンが作られてない場合にセカンダリDNS 側でsub1.example.co.jpと sub2.example.co.jpのゾーンを作った時 sub1.example.co.jpとsub2.example.co.jp のゾーンに対して non authoritative answer from master~ が出力されます general: info: zone ( ソーン名 )/IN: refresh: unexpected rcode (SERVFAIL) from master (IP アトレス )#53 (source 0.0.0.0#0) ゾーン転送をしようとしたところ転送元 DNS サーバから SERVFAIL という回答が返ってきましたセカンダリ DNS サーバで出力されるです転送元 DNS サーバのほうでゾーンの設定や状態がきちんとできていませんその原因の一つとして例えば転送元 DNS サーバもセカンダリ DNS サーバであった場合何らかの理由でゾーン転送が失敗し続けてゾーン情報が expire( 期限切れ ) となると問い合わせに対して (SERVFAIL) を返すようになります転送元 DNS サーバがこのような状況の時にゾーン転送を要求した場合このが出力されます general: info: zone ( ソーン名 )/IN: got transfer quota: skipping zone transfer as master (IP アトレス )#53 (source 0.0.0.0#0) is unreachable (cached) 転送元 DNS サーバに接続できません ( キャッシュ済 ) のでゾーン転送をスキップしましたセカンダリ DNS サーバで出力されるです転送元 DNS サーバに以前接続できていなかったことをキャッシュしていたのでゾーン転送をスキップしました原因として以下のようなことが考えられます転送元 DNS サーバが存在していません転送元 DNS サーバ側で接続を許可していません general: info: zone ( ソーン名 )/IN: refresh: retry limit for master (IP アトレス )#53 exceeded (source 0.0.0.0#0) ゾーン情報の refresh ができないため retry を繰り返しましたがその上限回数を超えましたセカンダリ DNS サーバで出力されるです転送元 DNS サーバへ接続ができないためにゾーン情報の refresh ができていません検証したところ転送元ネームサーバに対して SOA 問い合わせを EDNS0 あり (UDPsize=2048) 3 EDNS0 なし 3 を 15 秒ごとに実施した後にこのを出力しています ( 検証時では refresh 30, retry 20, expire 60 に設定 ) 出力後 Transfer started の出力と同時に. 今度はゾーン転送 (TCP) を試みます他のを出している場合もありますので原因はそちらのも参照にしてください notify: info: client ( 自分自身のIPアドレス )#xx: received notify for zone '( ソーン名 )' 自分自身から送信されたゾーンに対するnotifyメッセージを受信しました再検証できなかったため情報不足として一時的に内容を取り消します ( バージョンの違いかもしれません ) notify: notice: client (IP アトレス )#xx: received notify for zone '( ソーン名 )': not authoritative (IP アドレス ) からそのゾーンの更新の通知メッセージを受信しましたがこちら側では権威がありません ( 設定していません ) ( マスターサーバはゾーンファイルの NS レコードで指定しているサーバに対して notify メッセージを送信します )

プライマリ DNS サーバではそのゾーンファイルの NS レコードにこのを受けた DNS サーバを登録しているのでゾーン情報を更新したりすると notify メッセージが送られてきますしかしこのを受けた DNS サーバはセカンダリ設定をしていませんのでこのを出しますセカンダリ設定が必要かどうかそのゾーンの管理者に確認をしてください general: info: zone ( ソーン名 )/IN: refused notify from non master: (IP アトレス )#xx 転送元 DNS サーバに指定しているサーバ以外からゾーン更新の通知メッセージを受信しましたがそれを拒否しました ( マスターサーバはゾーンファイルの NS レコードで指定しているサーバに対してゾーン更新の通知メッセージを送信します ) セカンダリ DNS サーバで出力されるですこのを受けた DNS サーバではセカンダリ設定をしていますが転送元 DNS サーバに指定しているところ以外から notify が送信されてきましたのでこれを拒否します原因としては以下のことが考えられますこのを出した DNS サーバのセカンダリ設定で転送元 DNS サーバのアドレスを間違っている notify を送信した DNS サーバ側で誤ってこの DNS サーバを NS レコードに登録している general: error: zone: zone ( ゾーン名 )/IN: zone serial has gone backwards ゾーン情報のシリアル番号を変更前よりも小さくしていますプライマリ DNS サーバのほうで出ますゾーン情報を更新した場合はシリアル番号を大きくする必要がありますが誤って以前よりも小さくしていますただしこのを出しても変更後のゾーン情報を読み込みますこのは最初の設定の再読み込みのときだけ出力されその後は出力されませんセカンダリ DNS サーバのほうではゾーン転送を試みる度に下のを出します general: info: zone ( ソーン名 )/IN: serial number ( ) received from master (IP アトレス )#xx < ours ( ) 転送元 DNS サーバが持つゾーン情報のシリアル番号が自身が持つゾーン情報のシリアル番号よりも小さいですセカンダリ DNS サーバで出力されるです転送元 DNS サーバのほうでゾーン情報のシリアル番号を小さくしたなどが原因でゾーン転送に失敗していますこのは refresh によりゾーン転送を試みようとする度に出力されます転送元 DNS サーバでは最初の設定読み込みのときだけ error: zone ( ゾーン名 )/IN: zone serial has gone backwards のを出します general: warning: ( ソーンファイル名 ):( 行番号 ): no TTL specified; using SOA MINTTL instead $TTL が設定されていませんそのため代わりに SOA レコード内のネガティブ TTL の値を使用しますプライマリ DNS サーバで出力されるです BIND9 ではゾーンファイル内の先頭 ( コメント行や $ORIGIN は除く ) に $TTL を記述する決まりになっていますが設定されていませんその場合 BIND9 は SOA レコードのネガティブ TTL の値を $TTL として利用するようになっています general: error: zone ( ソーン名 )/IN: zone serial unchanged. zone may fail to transfer to slaves. ゾーンファイルのシリアル番号が変更されていませんのでスレーブサーバがあればゾーン転送に失敗しますプライマリ DNS サーバで出力されるですゾーンファイルにある SOA レコードのシリアル番号の数値を上げるのを忘れていますこのを出した DNS サーバ側では変更後のゾーン情報を読み込みますがスレーブサーバ側ではゾーン転送をしようとしてもシリアル番号が同じなのでゾーン情報を更新しませんもし ( ゾーン名 ) が empty zone であれば下を参照してください general: error: zone (empty zone で作られた逆引きゾーン名 )/IN: zone serial unchanged. zone may fail to transfer to slaves. ゾーンファイルのシリアル番号が変更されていませんのでスレーブサーバがあればゾーン転送に失敗します BIND9ではプライベートIPアドレスやブロードキャストアドレス未使用アドレスなどインターネット上のDNSへ問い合わせる必要のないアドレスの逆引きについて empty zoneとして自動的に生成してこれを防ぐようになっています ( 自動生成を無効にすることもできます ) errorとなっていますが実際のところではなくいくつかのバージョンで調べてみましたが BIND9.6 ESV R5 だけこのを出すようです rndc reloadをする度にこのを出力します./configure オプションで disable ipv6 を指定してもインターフェースで IPv6 を無効にしてもこのはでます named.conf の option で empty zone を無効にすればこのはでません general: warning: zone ( ソーン名 )/IN: ( ソーン名 )/MX ' ( ホスト名 )' is a CNAME (illegal) general: error: zone ( ソーン名 )/IN: ( ソーン名 )/NS ' ( ホスト名 )' is a CNAME (illegal) NS レコードや MX レコードで指定したホスト名は CNAME です (RFC に違反しています ) プライマリ DNS サーバで出力されるです MX CNAME PTR NS 等の右辺で指定しているホスト名については CNAME でつけた別名を使うことはできませんメールソフトによってはこれをと処理して名前解決ができずメールの送受信ができない可能性があります NS レコードの右辺で指定しているホスト名が CNAME にしている場合設定の再読み込み時や再起動時の挙動がバージョンによって異なります BIND9.7.3 の場合 rndc reload をすると設定の再読み込み失敗のを出し変更前の情報で回答します service named restart をすると named の再起動に失敗し named が起動しませんセカンダリ DNS サーバではは出しますが再読み込みや再起動は可能です BIND 9.6 ESV R1 の場合 rndc reload をすると設定の再読み込み失敗のを出し変更後の情報で回答します

service named restart をするとは出しますが named は起動しますセカンダリ DNS サーバではは出しますが再読み込みや再起動は可能です general: error: zone ( ソーン名 )/IN: has no NS records general: error: zone ( ソーン名 )/IN: not loaded due to errors. NSレコードが登録されていませんゾーンファイルの読み込みができませんプライマリDNSサーバで出力されるですゾーンファイル内で NS レコードが設定されていません設定の再読み込みの場合は最初の 1 回だけこのを出して変更前の情報で回答します notify メッセージを送信しませんのでセカンダリ DNS へゾーン転送されません named の再起動をする場合はを出して named の起動に失敗します general: error: zone ( ソーン名 )/IN: NS ' ( ホスト名 )' has no address records (A or AAAA) general: error: zone ( ソーン名 )/IN: ( ソーン名 )/MX '( ホスト名 )' has no address records (A or AAAA) NS レコードに登録したホスト名に対する A( または AAAA) レコードがありませんプライマリ DNS サーバで出力されるですゾーンファイル内で NS レコードに登録したホスト名に対する A( または AAAA) レコードが登録されていません設定の再読み込みの場合は最初の 1 回だけこのを出して変更後の情報で回答します notify メッセージを送信しませんのですぐにセカンダリ DNS へゾーン転送されませんが refresh のタイミングでゾーン転送されます named の再起動は可能ですがは出しません general: warning: zone ( ソーン名 )/IN: NS ' ( ホスト名 )' has no address records (A or AAAA) NS レコードに登録したホスト名に対する A( または AAAA) レコードがありません上記とは同じですがこちらはセカンダリ DNS サーバ側で出る警告のですセカンダリ DNS サーバではゾーン転送時や設定の再読み込み時にはこのを出しません named の再起動時にこのを出しますがゾーン情報は読み込んで named の起動はします general: error: zone ( ソーン名 )/IN: ( サフソーン名 )/NS '(DNS サーハ名 )' has no REQUIRED GLUE address records (A or AAAA) サブドメインに対する DNS サーバホスト名について必要なグルーレコードがありませんプライマリ DNS サーバで出力されるです例えば example.co.jp ゾーン内でサブドメイン sub.example.co.jp を ns1.sub.example.co.jp サーバに委譲する場合 example.co.jp ゾーン内で sub.example.co.jp IN NS ns1.sub.example.co.jp だけ記述すると ns1.sub.example.co.jp の名前解決ができないので sub1.example.co.jp の問い合わせは失敗します ns1.sub.example.co.jp IN A 192.168.24.1 このためと ns1.sub.example.co.jp の A( または AAAA) レコードも記述する必要があります ( これをグルーレコードといいます ) これを設定した DNS サーバでは最初の設定の再読み込みの時と named の再起動の時にこのを出しますが設定は読み込みますセカンダリ DNS サーバでは設定の再読み込みや named の再起動をしてもは出しません zone ( ソーン名 )/IN: refresh: failure trying master (IP アトレス )#53 (source 0.0.0.0#0): operation canceled refresh のため転送元 DNS サーバへの接続をしようとしましたが失敗しました作業をキャンセルしましたセカンダリ DNS サーバで出力されるです refresh のため転送元 DNS サーバへ接続しようとしている最中に rndc reload や service named restart などを行った場合ゾーン転送が中止されることがありますゾーン転送で取得したファイルが更新されていればタイミングが悪かっただけで問題ありません zone ( ソーン名 )/IN: notify from (IP アトレス )#xx: refresh in progress, refresh check queued notify メッセージを受信しましたがすでにリフレッシュの最中なのでそのリフレッシュチェックをキューに入れましたセカンダリ DNS サーバで出力されるです notify メッセージを受信したことによってリフレッシュチェックが行われますがすでにリフレッシュチェックをしていたのでキューに入れられましたたまたまこのがでることもありますがよく出るようでしたら DNS サーバの処理能力に問題があるかもしれませんまたプライマリ DNS サーバ側で TCP53 番を許可していない場合リフレッシュ動作に時間がかかりますのでプライマリ DNS サーバ側で連続してゾーンの更新 (=notify の送信 ) があるとこのがでやすくなります general: error: zone ( ソーン名 )/IN: refresh: could not set file modification time of '( ファイル名 )': permission denied general: error: dumping master file: (tmp ファイル名 ): open: permission denied xfer in: error: transfer of '( ソーン名 )/IN' from (IP アトレス )#53: failed while receiving responses: permission denied ゾーンのリフレッシュをしましたがファイルの修正時間を設定することができませんでしたマスターファイルをダンプしようとしましたがファイルの作成が許可されていませんゾーン転送に失敗しました ( 許可されていません ) 許可されていませんセカンダリ DNS サーバで出力されるですセカンダリ DNS サーバはゾーンのリフレッシュをするとゾーンファイルの更新を行います ( これによって最終更新時間が変わります ) しかし named サービスを起動しているユーザがそのゾーンファイルの更新を許可されていないためにゾーン転送に失敗してしまいますゾーンファイルのあるディレクトリやゾーンファイルのパーミッションを named サービスを起動しているユーザが書き込めるように変更してください update unsuccessful: (FQDN ホスト名 )/CNAME: 'rrset does not exist' prerequisite not satisfied (YXRRSET) クライアントから DynamicDNS の UPDATE の要求がありましたが成功しませんでした ( 更新しませんでした )

YXRRSET は FQDN ホスト名に対応するレコードが DNS サーバ側に登録されていない場合は更新しますが DNS サーバ側ですでにそのレコードが登録されている場合は更新をしません WindowsPC の設定でこの接続のアドレスを DNS に登録するにチェックがあると UPDATE 要求を出します DNS サーバ側で DynamicDNS の設定をしている場合は UPDATE の処理ができていないので設定の見直しが必要です DNS サーバ側で DynamicDNS の設定をしていない許可をしていない場合は問題ありません security: warning: zone '( ゾーン名 )' allows updates by IP address, which is insecure DynamicDNS において IP アドレスによるアップデート許可だけでは安全ではありません設定の再読み込みや再起動のたびに出力されますではなくセキュリティ上の注意です named.conf 内で allow update でゾーン情報の更新を許可する相手を IP アドレスで指定している場合にこのが出力されますこのを出したくない方法としては TSIG によるゾーン情報の更新許可に変更する方法があります security: warning: client (IP アトレス )#xx: RFC 1918 response from Internet for xx.xx.xx.xx.in addr.arpa RFC1918 で予約されているプライベート IPv4 アドレスの問い合わせに対してインターネットから応答がありました RFC1918 で予約されているプライベート IPv4 アドレスとは 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 ですこれらはインターネット上では使われませんので通常はルーティングしませんし逆引き問い合わせをする必要もありませんそのためこれらのアドレスに対する逆引き問い合わせがインターネットに向けてされた場合その警告としてこのようなが出力されますプライベート IP アドレスの問い合わせをインターネット上に出さないためには不要なプライベートアドレスに対する逆引き設定を行うことです