Unboundを有効活用する その3 (FreeBSD 13.3R、2024/04/08) [FreeBSD]
不具合の状況がよく分からないので、まずはログですね。以下を追加してログを残すようにします。なお、chroot環境なので、ログのひな形を事前touchする際は作成場所の注意が必要です。
で、分かったのは以下の大量のエラーが表示されているということ。
DNSSEC絡みか…とちょっと頭が痛い感じです。最近、DNSSEC関連のトラブルはよく聞きますよね。私は正直なところあまり理解できてないです。エラーメッセージはGoogle検索してみたのですが、これといった有力な解決策は提示されていない感じです。
ただ、個人的な感覚として、そもそもコンフィグファイルで設定されている内容がほとんどなく、ルートキー関連の設定も問題なさそうなので、ハマる要素はないように思えるのですが。。。
で、Google見つけた回答(翻訳)ですが、「フォワーダーに設定しているISPのDNSサーバがDNSSECに対応していないので、DNSSEC自体を無効にすればいいよ」というものです。確証はないですが、私もなんとなくそんな気がしました。(笑)
DNSSECを無効化するにはauto-trust-anchor-fileの設定をコメントアウトすれば良いので、修正してサービスを再起動します。
…うまく動きました。
その4へ続く。
root@MyFreeBSD:/etc # cat /etc/unbound/unbound.conf server: verbosity: 1 logfile: /var/log/unbound.log
で、分かったのは以下の大量のエラーが表示されているということ。
[1712290383] local-unbound[40359:0] info: generate keytag query _ta-4f66. NULL IN [1712290384] local-unbound[40359:0] info: failed to prime trust anchor -- could not fetch DNSKEY rrset . DNSKEY IN [1712290384] local-unbound[40359:0] info: generate keytag query _ta-4f66. NULL IN [1712290384] local-unbound[40359:0] info: failed to prime trust anchor -- could not fetch DNSKEY rrset . DNSKEY IN [1712290384] local-unbound[40359:0] info: generate keytag query _ta-4f66. NULL IN [1712290384] local-unbound[40359:0] info: failed to prime trust anchor -- could not fetch DNSKEY rrset . DNSKEY IN [1712290384] local-unbound[40359:0] info: generate keytag query _ta-4f66. NULL IN [1712290384] local-unbound[40359:0] info: failed to prime trust anchor -- could not fetch DNSKEY rrset . DNSKEY IN [1712290384] local-unbound[40359:0] info: generate keytag query _ta-4f66. NULL IN [1712290384] local-unbound[40359:0] info: failed to prime trust anchor -- could not fetch DNSKEY rrset . DNSKEY IN
DNSSEC絡みか…とちょっと頭が痛い感じです。最近、DNSSEC関連のトラブルはよく聞きますよね。私は正直なところあまり理解できてないです。エラーメッセージはGoogle検索してみたのですが、これといった有力な解決策は提示されていない感じです。
ただ、個人的な感覚として、そもそもコンフィグファイルで設定されている内容がほとんどなく、ルートキー関連の設定も問題なさそうなので、ハマる要素はないように思えるのですが。。。
で、Google見つけた回答(翻訳)ですが、「フォワーダーに設定しているISPのDNSサーバがDNSSECに対応していないので、DNSSEC自体を無効にすればいいよ」というものです。確証はないですが、私もなんとなくそんな気がしました。(笑)
DNSSECを無効化するにはauto-trust-anchor-fileの設定をコメントアウトすれば良いので、修正してサービスを再起動します。
…うまく動きました。
その4へ続く。
コメント 0
コメントの受付は締め切りました