[root@test named]# tail -f /var/log/messages Mar 18 05:32:29 test named[10810]: running Mar 18 05:32:29 test named[10810]: resolver priming query complete Mar 18 05:32:29 test named[10810]: checkhints: b.root-servers.net/A (170.247.170.2) missing from hints Mar 18 05:32:29 test named[10810]: checkhints: b.root-servers.net/A (199.9.14.201) extra record in hints Mar 18 05:32:29 test named[10810]: checkhints: b.root-servers.net/AAAA (2801:1b8:10::b) missing from hints Mar 18 05:32:29 test named[10810]: checkhints: b.root-servers.net/AAAA (2001:500:200::b) extra record in hints Mar 18 05:32:29 test named[10810]: managed-keys-zone: Key 20326 for zone . acceptance timer complete: key now trusted Mar 18 05:32:29 test named[10810]: managed-keys-zone: Key 38696 for zone . acceptance timer complete: key now trusted Mar 18 05:32:36 test named[10810]: REFUSED unexpected RCODE resolving 'germ1.net/A/IN': 195.238.3.18#53 Mar 18 05:32:36 test named[10810]: REFUSED unexpected RCODE resolving 'germ1.net/A/IN': 195.238.3.17#53

<think>嗯，用户想排查DNS服务器配置的问题，特别是关于root server hints和REFUSED RCODE的问题。首先，我需要回忆一下DNS服务器配置中常见的root hints相关的内容。root hints文件通常包含根域名服务器的地址，如果这个文件缺失或配置错误，DNS服务器可能无法正确解析外部的域名。用户提到“named DNS”，也就是BIND的情况，所以应该检查BIND的配置文件中的根提示设置。 接下来是REFUSED RCODE的问题。当DNS查询返回REFUSED时，通常表示服务器拒绝了查询请求。这可能是因为权限问题，比如访问控制列表（ACL）配置不当，或者服务器配置了不允许递归查询。我需要考虑用户是否在递归查询时被拒绝，或者存在其他安全设置导致的问题。 首先，用户需要确认root hints文件是否存在。在BIND中，默认的root hints文件是named.ca或named.root，通常位于/etc/bind或/var/named目录下。如果这个文件缺失，可以使用dig命令生成新的根提示文件，比如dig @a.root-servers.net . ns > named.ca。然后检查named.conf配置文件是否正确引用了这个文件，比如在zone "."中设置type hint。 关于REFUSED错误，可能需要检查named.conf中的allow-query和allow-recursion选项。如果这些选项配置得过于严格，可能阻止了某些客户端的查询。例如，如果allow-recursion没有包含本地网络，外部客户端的递归查询会被拒绝。此外，检查是否启用了递归功能，递归默认是开启的，但如果在全局或某个zone中设置为关闭，也会导致问题。 另外，还要注意日志文件的检查，查看named.log中的错误信息，可能会有更具体的线索。比如，如果日志显示拒绝查询的客户端IP，可以检查该IP是否在允许的列表中。同时，验证DNS服务器的转发配置是否正确，如果配置了转发器但地址错误，也可能导致REFUSED响应。 用户可能需要逐步检查这些配置点，确认每个部分是否正确设置。同时，生成相关问题可以帮助用户更全面地排查问题，比如如何更新root hints文件，或者如何配置ACL来允许递归查询。还要注意用户提到的REFUSED RCODE是否出现在特定查询中，比如是否只影响某些域名，或者所有外部查询，这有助于缩小问题范围。</think>### DNS服务器配置问题排查：Root Hints缺失与REFUSED RCODE #### 1. Root Server Hints缺失问题排查 **根提示文件（Root Hints）**是DNS服务器递归查询的基础配置文件，包含根域名服务器地址。若文件缺失或配置错误，会导致无法解析外部域名。排查步骤： - **检查文件路径**：BIND默认根提示文件为`named.ca`或`named.root`，路径通常为`/etc/bind/named.ca`或`/var/named/named.ca`。确认文件是否存在且内容完整。 - **动态生成根提示文件**（若缺失）： ```bash dig @a.root-servers.net . ns > /etc/bind/named.ca ``` - **配置文件声明**：在`named.conf`中添加根区域声明： ```plaintext zone "." { type hint; file "named.ca"; }; ``` #### 2. REFUSED RCODE问题分析 当DNS响应返回`REFUSED`状态码时，通常表示服务器拒绝响应请求。常见原因： - **递归查询限制**：检查`named.conf`中是否禁用递归查询 ```plaintext options { allow-recursion { 192.168.1.0/24; }; # 仅允许指定网段递归查询 recursion yes; # 确保开启递归功能 }; ``` - **访问控制限制**：验证`allow-query`配置是否包含请求来源IP - **权威区域配置错误**：若请求的域名属于本地权威区域，检查区域文件SOA记录和NS记录是否一致 #### 3. 综合验证方法 - **日志检查**：查看`/var/log/named.log`获取详细错误信息 - **dig命令测试**： ```bash dig @your_dns_server example.com +norecurse # 测试非递归查询 dig @your_dns_server example.com # 测试递归查询 ``` - **配置语法检查**： ```bash named-checkconf -zj /etc/named.conf ``` [^1]: 配置路径示例参考自PostgreSQL主从配置案例 [^2]: SSH公钥配置方法参考自vCenter部署流程