Name Server 総合スレ【DNS】

**名無しさん＠お腹いっぱい。** · 2008/11/26(水) 01:14:36

立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/

**名無しさん＠お腹いっぱい。** · 2011/03/04(金) 14:59:11.03

CNAMEはさむ必要ないと思うけどな。
直接Aでいいじゃん。

**名無しさん＠お腹いっぱい。** · 2011/03/04(金) 15:39:33.87

DNSって鯖の死活なんて分からないよね？
仮にwww1が死んでもそのままアドレスは返すってことかな。

**名無しさん＠お腹いっぱい。** · 2011/03/04(金) 15:47:04.73

そうだよ。

**名無しさん＠お腹いっぱい。** · 2011/03/04(金) 18:52:10.35

名前解決するだけ

**名無しさん＠お腹いっぱい。** · 2011/03/04(金) 20:17:53.27

>>510
CNAMEの多重指定はRFC違反じゃ？
書くならAを2行書くべきだろう。

クライアントの地理情報によって返すアドレスを変えるという手法ならどこかの会社が特許取ってたな。
8.8.8.8とか使われるとアウトだが。

**名無しさん＠お腹いっぱい。** · 2011/03/04(金) 20:23:11.04

え、あれ特許なの？
どこの会社？

**名無しさん＠お腹いっぱい。** · 2011/03/04(金) 21:31:22.95

HTTP限定でいいならredirect使ってふりわけた方がいいと思う。

**名無しさん＠お腹いっぱい。** · 2011/03/05(土) 02:57:53.56

>>517
詳しく

**名無しさん＠お腹いっぱい。** · 2011/03/05(土) 08:23:05.12

DNSで負荷分散を解決するんじゃなくて、HTTPフロントエンドで解決するということだろう

**名無しさん＠お腹いっぱい。** · 2011/03/05(土) 18:15:55.95

webサーバを二重化したいのにそれをwebサーバにやらせてもしょうがなくね。
リダイレクタが落ちたら終わりじゃん。

**名無しさん＠お腹いっぱい。** · 2011/03/05(土) 18:56:09.72

ではリダイレクタも二重化するということで

**名無しさん＠お腹いっぱい。** · 2011/03/05(土) 19:00:32.90

大元の人の話は全然二重化の話じゃないんだけど

**名無しさん＠お腹いっぱい。** · 2011/03/05(土) 20:02:40.65

なら何がしたかったんだろう。

**名無しさん＠お腹いっぱい。** · 2011/03/05(土) 21:09:43.50

開発環境向け、イントラ向け、または、フィッシング詐欺

**名無しさん＠お腹いっぱい。** · 2011/03/06(日) 11:50:38.39

>>505
CNAMEじゃなくてAならやったことあるよ。
DNSラウンドロビンの負荷分散が効かないクライアント
向けに負荷分散したかったので（冗長性は別のしくみで確保）
CNAMEだとダメな理由は思いつかない

DNSラウンドロビン効かないクライアント向けに負荷分散して、
かつ冗長性を持たせたいなら、www1とwww2でDNSサーバ動かす
というテクニックもあるぞ

**名無しさん＠お腹いっぱい。** · 2011/03/07(月) 10:37:01.48

>CNAMEだとダメな理由は思いつかない

CNAMEは1個だけ、ってRFCに明記されてるから。
そうするとうまく動かないとかそういうことじゃなく。

**名無しさん＠お腹いっぱい。** · 2011/03/07(月) 11:08:15.00

DNSサーバそれぞれに1個だけ書くんでしょ。

**505** · 2011/03/07(月) 12:47:08.59

dns1とwww1、dns2とwww2をそれぞれセットにして、
2台の仮想サーバーに入れようと考えたのですが、
片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。

**名無しさん＠お腹いっぱい。** · 2011/03/07(月) 13:29:13.46

レコードがキャッシュされちゃってたら意味なくね？
それともダウンしたイベント契機とかでちゃんとシリアル上げるようにするの？

**名無しさん＠お腹いっぱい。** · 2011/03/07(月) 13:33:31.63

TTLを短くしとけばいける気もするな。
シリアルは別に上げなくてもいい。

まぁ、普通のやり方ではないけど。

**名無しさん＠お腹いっぱい。** · 2011/03/07(月) 20:11:09.20

TTL無視するクライアントあるからね。Internet ExplorerはDNSレコードを引いた結果を
TTLにかかわらず1800秒キャッシュするし（一度IE落とせばOK）、某携帯電話屋の
プロクシサーバは3600秒だった。某サーバソフトは起動時にDNS引いて
その結果を死ぬまで保持する。

それでもOKな用途なら、

> dns1とwww1、dns2とwww2をそれぞれセットにして、
> 2台の仮想サーバーに入れようと考えたのですが、
> 片側の仮想がダウンしたときでも、この方法ならサービスが継続できるかと思いまして。

同じようなようなことをやってるところは知ってる。
そこでは仮想サーバを分離せずに、ApacheとBIND を同時に動かす
サーバを2台用意して、
・どっちかのサーバのネットワークが落ちれば、そのサーバのBINDには
　到達できなくなるので、そのサーバのApacheのアクセスは無くなる。
・Webサーバプロセスの応答を自分自身で監視して、応答に異常があればBINDも停止させることで
　そのサーバのApacheへのアクセスを無くす。
・メンテで片方のサーバ止めたい時はBINDを止めるだけでいい。
ということをやってた。今でも動いてるけど、問題が起きたという話は聞いてないです。

**名無しさん＠お腹いっぱい。** · 2011/03/08(火) 10:19:19.62

ちょっと教えて。
ゾーンファイルを変更した後に適用させるのは、
/etc/init.d/bind9 restart でいいかな。

**名無しさん＠お腹いっぱい。** · 2011/03/08(火) 10:53:26.13

reload でいいんじゃないの。
その /etc/init.d/bind9 ってスクリプト読んでみ。

**名無しさん＠お腹いっぱい。** · 2011/03/08(火) 11:00:05.70

ごめん、reloadあった。
どうもです。

**名無しさん＠お腹いっぱい。** · 2011/03/08(火) 11:18:09.59

rndc reload example.com の方がよい。
ゾーンを指定しないと全ゾーンが読み直されるので、
大量のドメインを収容してる場合は非常に重くなる。
数ゾーン程度ならたいして変わらんけどさ。

**名無しさん＠お腹いっぱい。** · 2011/03/08(火) 12:08:53.36

ありがとう。覚えとく。

**名無しさん＠お腹いっぱい。** · 2011/03/08(火) 12:26:24.23

ああ、
viewで内外を分けたとき、外ゾーンの転送が使えないことがいま分かったよ...

**名無しさん＠お腹いっぱい。** · 2011/03/09(水) 00:57:18.88

>>531
それいいな！
dns1とdns2に持たせるレコードのTTLを違うようにすれば
不等負荷分散もできそうだ

**名無しさん＠お腹いっぱい。** · 2011/03/09(水) 16:44:19.87

メンテで片方のサーバ止めたい時はBINDを止め
た瞬間からlame delegationです

**名無しさん＠お腹いっぱい。** · 2011/03/09(水) 16:52:57.11

>>539
わかってないな。NSレコードは両方書いておくんだよ。
ってかやってることはGSLBと変わらん。

**名無しさん＠お腹いっぱい。** · 2011/03/09(水) 18:02:54.65

lameっちゃlameだけど、ゾーンに複数ある権威サーバのどれかが故障で
止まってる状態に過ぎないわな。
普通にあり。

**名無しさん＠お腹いっぱい。** · 2011/03/09(水) 18:07:12.73

計画メンテならちゃんとTTLを調整してレコードを書き換えてやれば良いだけ
必要もないのに故意に権威サーバを障害状態にして世のキャッシュに被害を与える
どこがありなのか明快に説明してほしい

**名無しさん＠お腹いっぱい。** · 2011/03/09(水) 18:48:07.92

複数ある権威サーバのうちどれかが故障して応答返せなかったり、
ネットワーク障害で到達できなかったり、パケロスで応答が帰らな
かったりは、普通にDNSで想定されてるし、しょっちゅう起こってる。
その時のキャッシュサーバ（フルリゾルバ）の動作も
RFC 1034の時代から明確に決められてる（別のNSを選択する）ので
lameを放置したりしない限り問題ないというのが俺の認識なんだけども。

> 計画メンテならちゃんとTTLを調整してレコードを書き換えてやれば良いだけ

そういう生真面目な態度は嫌いじゃないし、それが正しいことは同意する。
でも、自ゾーンの権威サーバのメンテのために、上位ゾーンの
レジストラにメンテ対象のNSレコード消してもらってメンテ終わったら
復活してもらうのか？（2台あったらそれを2回やるのか？）
NSレコードの変更に金がかかるレジストラもあるというのに。

**名無しさん＠お腹いっぱい。** · 2011/03/11(金) 07:23:55.68

DNSSECできないね

**名無しさん＠お腹いっぱい。** · 2011/03/11(金) 07:27:18.08

そうでもないか・・・

2台のサーバで同じZSKとKSK使えばOK？

**名無しさん＠お腹いっぱい。** · 2011/03/11(金) 09:06:04.28

2台でZSK/KSKが違っても問題なし
どちらも有効な署名があって両方のDSレコードが
親ゾーンに登録されていればいい
どうせDNSSECなんか難しすぎて誰も運用できないが

**名無しさん＠お腹いっぱい。** · 2011/03/15(火) 10:21:50.44

SOAレコードのアドレスってAレコードに書いてないといけないんだよね？
ttp://www.atmarkit.co.jp/flinux/rensai/bind02/bind02.html
のサンプルはそう書かれてないし、むしろ最後にはCNAMEに書いてるんだけど、
これは間違い？

**名無しさん＠お腹いっぱい。** · 2011/03/15(火) 11:27:57.50

そもそもあれ使われることあんのかな。

**名無しさん＠お腹いっぱい。** · 2011/03/15(火) 11:36:12.39

SOAよりNSのホスト名がCNAMEされてるのが気になるな。
RFC1912の7ページあたり。

**名無しさん＠お腹いっぱい。** · 2011/03/15(火) 18:40:27.76

素人はCNAME使うなと言いたい

**名無しさん＠お腹いっぱい。** · 2011/03/19(土) 15:26:20.92

bind9とheartbeatの組み合わせで片側を再起動したりすると
起動後に名前解決できなくなるってことある？
bind9をリスタートさせれば戻るんだけど。

**名無しさん＠お腹いっぱい。** · 2011/03/19(土) 16:08:34.94

>>551
heartbeat使ってないからわからないけど
BINDが自分のIPアドレスを認識してないんじゃない？
定期的にインターフェイスチェックして見つけてくれると思うけど。

**名無しさん＠お腹いっぱい。** · 2011/03/19(土) 16:27:01.63

>>552
netstat -lnで確認したらどうもそうらしい。
haresourcesにbind9を追加してheartbeatと連動するようにしたらできｔ。

**名無しさん＠お腹いっぱい。** · 2011/03/19(土) 23:06:13.53

>>552
ユーザーをrootから一般ユーザへ降格させてると特権ポートがバインドできなくなって(以下略
restartではなくstop->startが必要になる。

**名無しさん＠お腹いっぱい。** · 2011/03/22(火) 12:15:08.53

今まであまり意識したことなかったが、
BINDって 0.0.0.0 や :: に bind(2)できないのか……

**名無しさん＠お腹いっぱい。** · 2011/04/03(日) 01:52:48.53

.comドメインもDNSSEC対応か
verisign.comさえ署名してないのに誰が使ってるのかね

**名無しさん＠お腹いっぱい。** · 2011/04/06(水) 22:21:17.21

お名前で取得したドメインを、さくらのサーバーで使用するためにNSの設定を完了し、数分後にwhoisで確認するとNSはしっかりさくらになっており、サーバーのIPもさくらになっています。
aguseなどで確認したり、関東の友人数人に確認してもらうと、しっかり反映されてページが表示されるのですが、自分の住んでいる地域だけは、ISPを変えてもPCを変えても、お名前のドメインパーキングページが表示されます。pingで確認しても、IPはお名前のままです。
もちろん24時間ほどでしっかり見れるようになるのですが、なぜ自分の住んでいる地域だけが、反映が遅いのでしょうか…？
ちなみに、GMO系列以外で取得したドメインは、即反映されて自分の地域でも普通に閲覧できます。
何年もずっと疑問なのですが、説明してくれるようなサイト等はありませんか？

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 00:28:25.23

浸透いうな、の類？

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 00:43:07.12

単にネガティブキャッシュヒットしてただけだろ。
「ISPを変えても」が実際にはアクセス網のOEM提供で実態は一緒だったりもするし。

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 10:55:12.13

キャッシュサーバーなんぞ、自分で立てるなりgoogleのを使うなりすればいーんでね？

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 10:59:50.53

そもそも板違いじゃね。

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 11:11:04.43

あ

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 11:13:21.89

会社のHP、外からはhttp://www.・・・・で見ることができるのに、
社内から直接ローカルIPを叩かないと見れません。
なぜですか。

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 11:26:57.69

ネットワーク管理者に聞いてください。

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 12:09:54.12

>>557 plus
さ
っip
　　くらは咲いて居て始めてみれる物ですが…

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 18:33:25.81

turbolinuxをDNSに設定しろて…。
誰かおすすめサイト教えてくだちぃ

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 18:42:57.73

そんなのどうでもいいじゃん

**名無しさん＠お腹いっぱい。** · 2011/04/07(木) 19:00:11.72

>>566
やり方は環境によって違うので、
ネットワーク管理者に聞いてください。

**anonymous** · 2011/04/07(木) 20:02:04.86

turbolinuxってまだ生きてるのか

**名無しさん＠お腹いっぱい。** · 2011/04/08(金) 10:27:48.03

死んでます

**anonymous** · 2011/04/10(日) 05:47:36.90

>>556
exanames.com
infoblox.com
jasadvisors.com
verisignlabs.com

jpドメインは iij.ad.jp と jprs.co.jp くらいしかなさそう？

**名無しさん＠お腹いっぱい。** · 2011/04/10(日) 22:15:24.72

どのDNSを選べばいいんよ
iwayuru設定ファイルコピペと文字列置換だけで手軽に運用してえのよ

**名無しさん＠お腹いっぱい。** · 2011/04/11(月) 08:10:13.21

それなら設定ファイルを引っ張ってくるところにあわせればー

**名無しさん＠お腹いっぱい。** · 2011/04/11(月) 10:00:30.88

>>572
そういう人はサーバ運用しない方がいい。

**名無しさん＠お腹いっぱい。** · 2011/04/11(月) 10:23:18.39

>>571
jp だと、sannet のレンサバを使ってるドメインがほとんどすべて DNSSEC 化してる。
ユーザーがやめてくれと申し出ないかぎりデフォでやるという、
神対応なんだかひどい仕打ちなんだかよくわからんことになってる。

**アクロンなら毛糸洗いに自信が持てます** · 2011/04/11(月) 17:07:32.91

地震に強い、DNSの設定方法を教えてください

**名無しさん＠お腹いっぱい。** · 2011/04/11(月) 20:57:07.50

>>576
地域的分散

お金あるなら、IPAnycastオヌヌメ

**名無しさん＠お腹いっぱい。** · 2011/04/15(金) 03:24:38.58

>>575
おー本当だ

**名無しさん＠お腹いっぱい。** · 2011/04/16(土) 20:09:23.45

プロバイダー自らDNSポイズニングする日が来るとは思ってもいなかった・・・
8.8.8.8に逃げるか
でも遅いんだよな

**名無しさん＠お腹いっぱい。** · 2011/04/16(土) 20:32:49.86

別にブロッキング回避する目的ではないが、俺はUnboundのWin32版を動かしてるよ
インストールするだけで127.0.0.1でDNSSEC Validator付き
DNSサービス起動するので便利。
http://www.unbound.net/download.html

このやり方が普及するとDNS権威サーバの負荷が上がっちゃうな

**名無しさん＠お腹いっぱい。** · 2011/04/21(木) 23:49:15.12

ブロッキング始まったか
DNSポイゾニング方式ってどうやってるんだ？
BINDとかで簡単にできるのかな？

**名無しさん＠お腹いっぱい。** · 2011/04/22(金) 00:13:01.19

プロバイダにブロッキングされるこんな世の中じゃ

**名無しさん＠お腹いっぱい。** · 2011/04/22(金) 00:43:55.43

>>581
RPZ

**名無しさん＠お腹いっぱい。** · 2011/04/22(金) 00:49:42.62

RPZってBIND9.8の機能だからプロバイダはまだ使ってないんじゃね
普通に named.confに zone "blocked.example.com" { ... }
を延々と書いてるはず

**名無しさん＠お腹いっぱい。** · 2011/04/24(日) 16:36:54.93

DNSでフィルタリングなのか
Privoxyみたいなソフトを仲介させて全体か一部を逐一弾くめんどい形式なのかと思ってた

**名無しさん＠お腹いっぱい。** · 2011/04/24(日) 17:17:24.65

実施している所ってgoogleなどの8.8.8.8は使えないのかな
外部へのudp53は止めてるのかねえ

**名無しさん＠お腹いっぱい。** · 2011/04/24(日) 21:01:06.36

>>585
DNSが多いらしい

>>586
8.8.8.8では今のところフィルタリング無しみたいだ
googleってブロッキングリストの供給受けているのに
http://www.netsafety.or.jp/about/003.html

うちのISPが提供してるDNSサーバでは問題のドメインは
ブロックされてるが（Aを問い合わせるとニセのIPが返る）、
53/udpは素通しみたいなので、8.8.8.8やローカルのBINDを
使えばブロックされない
なんというザル。。。。

**名無しさん＠お腹いっぱい。** · 2011/04/24(日) 21:22:20.08

100%はムリでも、8割9割の人をブロックできればいいんじゃね
参照DNSを8.8.8.8に設定変更できる人がどれだけいるのかと

……エロの力は絶大だからわからんな

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 11:50:28.04

ISPのコールセンターにロリエロサイトを見れない問い合わせが相次いでたりすんのかな

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 12:25:41.19

>>587
googleはweb検索表示にリストを参照するらしい
http://www.netsafety.or.jp/news/press/press-003.html

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 13:39:36.31

検索結果じゃなくGoogle Public DNSの話でしょ？

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 13:46:54.60

間違えて見てはいけないので、リストください。

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 14:40:43.30

>>591
そうだね。
だからgoogleのDNSサーバーはブロッキングの影響を受けないと思われる

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 14:49:28.59

8.8.8.8ってグローバルサービスだからなぁ
一国内でしか有効でないフィルタかけても
って事なんでしょう
それともviewみたいにソースIPによってフィルタ変える？

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 16:54:59.96

通信の秘密を侵害しない方法としちゃ上策？

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 09:19:21.01

第二十一条　２
検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 10:27:36.72

>>596
憲法は、国家から国民に対しての保証であって、
国民が国民に対してやっちゃいけないことを規定するものじゃないんだ。

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 10:36:12.72

（検閲の禁止）
第三条　電気通信事業者の取扱中に係る通信は、検閲してはならない。

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 10:43:36.74

話それてますよー。

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 14:41:52.76

逸らさせたんだよ
計画通り・・・ｸｸｸ

**名無しさん＠お腹いっぱい。** · 2011/04/30(土) 04:59:32.93

DNSブロッキングによる児童ポルノ対策ガイドライン
http://good-net.jp/usr/imgbox/pdf/20110427091336.pdf

**名無しさん＠お腹いっぱい。** · 2011/05/06(金) 21:14:59.67

DNSSECについて教えてください。

たぶん何年か後にルートゾーンのトラストアンカー(DNSKEY)が更新されるタイミングがあると思いますが、そのときDNSキャッシュサーバ側の対応ってどうなるんでしょう？

1. ルートゾーンの署名に使われるDNSKEYが新しくなる瞬間にいっせーので世界中のキャッシュにセットするトラストアンカーを更新してキャッシュもクリアする
　⇒まさかそんなはずはない

2. ルートゾーンの新しいDNSKEYは実際に署名に使われるまで十分長い期間をもって周知されるので、世界各地のキャッシュサーバには事前にそれをセットしておく（ルートゾーンのトラストアンカーが2つセットされている状態になる）
　⇒たぶんこれ？　新旧のトラストアンカーを区別できるの？

3. RFC5011で自動更新なので素人は心配すんな
　⇒だったらいいなぁ

**名無しさん＠お腹いっぱい。** · 2011/05/07(土) 23:20:47.80

更新するまでDNSSECが廃れないといいですね

**名無しさん＠お腹いっぱい。** · 2011/05/09(月) 10:35:29.61

>　⇒たぶんこれ？　新旧のトラストアンカーを区別できるの？

yes
複数ある鍵のいずれかで検証成功すれば OK、ということになってる。

>3. RFC5011で自動更新なので素人は心配すんな

パーミッションがあいてなくて更新すべきファイルに書き込めなかったという
未来が見えるよ……

**名無しさん＠お腹いっぱい。** · 2011/05/10(火) 02:12:35.91

>>584
RPZ早速セキュリティホールかよ
http://jprs.jp/tech/security/bind980-vuln-rpz.html

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 13:30:46.00

DNSポイゾニングでブロックと聞いて久々にISPのDNS使ってみたら
行きつけのサイトが見れなかった
ウウウウウウウウウウウンン

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 16:41:14.71

>>606
話題のぷららですか。

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 17:03:45.96

ぷららならばしょうがないがさてどこだろう

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 18:19:53.16

ぷららってDNSポイゾニングじゃないんだな

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 20:47:40.60

コンテンツフィルタですた