DNS設定におけるよくある間違い
&
DNS設定チェックリスト
インターネット総合研究所
伊藤 高一
[email protected]
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.1
PC UNIXより遅いので始末に困っていた3
年前のワークステーションをネームサーバ
にした。
保守契約には入っていないのでOSは3年
前のままだが、運よくnamedがOSについて
きていたので、それを使っている。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.1
×
3年前のnamedにはセキュリティホールが存在します。
BINDでセキュリティホールが見つかっていないのは
以下のバージョンだけです。
–
–
–
–
4.9.11
8.2.7
8.3.4
9.2.1
• 資料作成時点、TxB、rcなどは除く。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.2
BIND 9.2.1をインストールしているが、レゾ
ルバライブラリのセキュリティ対策のため
にOSのパッチを当てた。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.2
○
BIND 9では、意識的にインストールしないとレゾル
バライブラリはコンパイルすらされません。
後からレゾルバライブラリをインストールしても、バ
イナリを再リンクしたり動的ライブラリのモジュール
を差し替えるなどしないと、元々のルーチンが使わ
れています。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.3
11月の頭にメーリングリストでnamed.rootが
どーのこーのと書いてあるメールが流れて
きたが、英語だったので読み飛ばした。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.3
×
11月5日にJ.ROOT-SERVERS.NET.のアド
レスが変更されたnamed.rootが配布されま
した。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.4
メールサーバはyamada.nishiki.gr.jp.という
ホストがやっているが、MXレコードには
mail.nishiki.gr.jp.と書きたかったので、
yamadaとは別にmailというAレコードを作っ
てyamadaと同じIPアドレスを書いた。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.4
○
mailのAレコードを作らずにyamadaを指す
CNAMEレコードを作ってはいけません。同様
にNSのRDATAもaliasではいけません。
– (RFC2181)
送信元のMTAによってはMXを要求して
CNAMEが返ってくると無視する実装もあるそ
うです。
ちなみに次ホップでのReceived:ヘッダにはmail
ではなく逆索きして得られたyamadaが表示され
る可能性があります。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.5
ルータのSerial4/0:17に振ったアドレスを
DNSに登録するのに
Serial4/0:17.ko.nishiki.gr.jp.
という名前でAレコードとPTRレコードを設
定した。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.5
×
ホスト名は
– 数字またはアルファベットで始まり
– 数字、アルファベット、ハイフンを繰り返し
– 数字またはアルファベットで終わること
になっています。
– (RFC1035,RFC1123)
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.6
メールサーバは
– yamada.nishiki.gr.jp.
– sasa.nishiki.gr.jp.
の2台なのでnishiki.gr.jp.ゾーンに
@
IN
IN
MX 10 yamada.nishiki.gr.jp.
MX 20 sasa.nishiki.gr.jp.
と設定した。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.6
○
末尾の‘.’を忘れると相対表記と解釈され
yamada.nishiki.gr.jp.nishiki.gr.jp.
sasa.nishiki.gr.jp.nishiki.gr.jp.
に展開されてしまいますので注意しましょう。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.7
ISPから来たセカンダリネームサービスの案
内という紙に書いてあったセカンダリのホス
ト名を自分のところのNSレコードに書いた。
プライマリの設定さえしておけば、商売なん
だから後はISPが勝手に設定して当然だ。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.7
×
参照すべきマスタのIPアドレスがわからな
ければISP側も設定のしようがありません。
ましてやセカンダリの希望の有無は、言わ
れなければもっとわかりません。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.8
ISPからの案内にしたがって
32/27.0.168.192.in-addr.arpa.
というゾーンを設定したが、逆索きできない
のでメーカーのサポートを呼んだところ、
「ゾーン名が間違ってますね」と言って
0.168.192.in-addr.arpa.
に直してくれたら索けるようになった。
やはりISPのサポートよりメーカーのサポー
トの方が腰も低いしソフトのことをよく知って
いるので頼りになる。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.8
×
RFC2317を使う場合はISP側の設定が済まないと
逆索きできません。
ユーザ側が/24に対応するゾーン名で設定してし
まうとISP側からauthorityが委任できないばかり
でなく、ユーザ側でも同じ/24に同居するサイトの
逆索きができなくなります。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.9
古い本に載っていた例ではSOAレコードの
最後の数字が86400になっていたが、
$TTL 86400と書いたので、SOAレコードの
最後の数字は7200に設定した。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.9
○
SOAレコードの最後の数字は、以前はTTL
のデフォルト値でしたが、BIND 8以降では
negative cacheのTTLに意味が変更されて
います。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.10
マスタサーバのホスト名は
miyama.nishiki.gr.jp.で
@ IN NS miyama.nishiki.gr.jp.
と設定しているが、ns.nishiki.gr.jp.の方が体
裁がいいので、JPRSにはns.nishiki.gr.jp.とい
うホスト名で登録した。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.10
×
例えばクライアント側のサーバで
nishiki.gr.jp. IN NS ns.nishiki.gr.jp.
はキャッシュ上にあり、ns.nishiki.gr.jp.のAレ
コードのTTLが切れるとauthorityにたどり着
けなくなります。
また実装によってはmiyamaが返したNSレコー
ドを無視する物もあるようです。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.11
www.nishiki.gr.jp.とimap.nishiki.gr.jp.は
tochi.nishiki.gr.jp.を指すCNAMEレコードと
して定義していたが、tochi.nishiki.gr.jp.の
リースが切れたので、tochi.nishiki.gr.jp.の
Aレコードもkoto.nishiki.gr.jp.を指す
CNAMEレコードに書き換えた。
これでwwwとimapもkoto.nishiki.gr.jp.を指
すようになった。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.11
△
循環参照を避けるために、多段CNAMEの
段数が制限されている実装もあります。
– BIND 4.x/8.x: 8段
– BIND 9.x: 16段
– djbdns: 4段
Authority側のサーバではなくクライアント
側のサーバに依存するので、使わないの
が無難です。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
Q.12
NOTIFYが導入されたので、ゾーンデータ
を変更した後、serialを増やす必要はなく
なった。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
A.12
×
NOTIFYが届かないこともありますし、解釈
しない実装もあります。
それ以前にNOTIFYはSOAが変更された
ことの通知なので、NOTIFYが飛んできた
のに実際にはserialが変化していなければ、
slaveはゾーン転送しないかもしれません。
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
FIN
• 最後までお付き合いありが
とうございました。
• あなたのサーバ、大丈夫で
したか?
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
石田氏コメント
Dec/19/2002
IW2002 DNS Day
Copyright(C) 2002 Koh-ichi Ito, All rights, reserved,
ダウンロード

DNS設定におけるよくある間違い & DNS設定チェックリスト