DNSの健全な運用のために 〜Lame Delegation編〜 (JPRSより転載)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
開始行:
---------------------------------------------------------...
■DNSの健全な運用のために 〜Lame Delegation編〜
2003/05/20(Tue)
---------------------------------------------------------...
▼はじめに
DNSは、インターネットの基盤を支える大規模な分散データベー...
DNSが全体として正しく動作することは、それぞれのゾーンが正...
ているかどうかにかかっています。
DNSの設定が正しくないと、そのゾーンの情報を正しく参照する...
いだけでなく、トラフィックの増大など、他のネットワークに...
ことがあります。DNSのオペレータはこのことを十分に認識し、...
用を行う必要があります。
本文書では、DNSの運用の上で特に注意する必要がある「Lame D...
呼ばれる設定誤りについて解説しています。
本文書は、DNSに関する基礎的な知識を持ったDNSオペレータを...
す。また、具体的な設定に関する記述は、BIND 9およびBIND 8...
例としています。
▼1. Lame Delegationとは
DNSは、上位ゾーンから下位ゾーンへのdelegation(委任)によ...
れて構築されます。ゾーンのdelegationは、ドメインに対するN...
定によって行われ、下位ゾーン側ではNSレコードによって指定...
バホストを正しく動作させることが必要です。
例:.jpゾーンからexample.jpゾーンのdelegation
+- .jp zone ------------------------------------+
| |
| example.jp. IN NS ns1.example.jp. |
| |
+-----------------------------------------------+
.jpのネームサーバ example.jpのネームサーバ
+---------------+ delegation +----------------+
| ns0.nic.ad.jp | ----------> | ns1.example.jp |
+---------------+ +----------------+
この例では、.jpのゾーンから、example.jpのゾーンをdelegati...
delegationにあたっては、example.jpゾーンのNSをns1.example...
しています。このDNSサーバが正しく動作していることが、exam...
の正常なdelegationの条件です。
Lame Delegationとは、delegationの際に上位ゾーンに登録した...
何らかの理由によりそのドメインのDNSサーバとして正しく動作...
態を指します。
▼2. Lame DelegationがDNSに及ぼす悪影響
Lame Delegationとなった状態では、そのゾーン内の情報に対す...
行われても、DNSサーバが正しく動作していないために正しい応...
ができません。また、それだけでなく、インターネット全体へ...
起こしてしまいます。
(1) 無駄なトラフィックの発生
DNSはルートサーバからの階層構造を順に辿って目的の名前解決...
上位ゾーンに対するアクセス集中を緩和するため、DNSにはキャ...
用意されています。キャッシュには、名前解決を行った際に参...
バの情報などが保存され、無駄なトラフィックを削減すること...
す。
DNSのキャッシュには2種類あり、「○○の検索結果は△△である」...
以外に、「○○の検索結果は得られなかった」という情報も保持...
これをネガティブキャッシュと言います。ネガティブキャッシ...
索しても答えが得られないようなクエリはそもそも行わない、...
れます。
ネガティブキャッシュは、名前解決の中で「そのレコードは存...
う応答を得た時に作られますが、Lame Delegationの場合にはDN...
い応答を返さないために、ネガティブキャッシュが作られませ...
Lame Delegation状態にあるゾーンの中の名前解決が行われた場...
なDNSクエリが発生し、インターネット上で無駄なトラフィック...
ことになります。
また、キャッシュされていない名前に対するDNSクエリは上位ゾ...
バから探索しなおすことになり、これらのDNSサーバにも負荷を...
なります。example.jpがLame Delegationになっていると、ルー...
ゾーンのDNSサーバに影響を及ぼすことになります。
(2) パケットストーム
Lame Delegationのように、DNSの設定が正しくない場合に、DNS...
イアントなどのソフトウェアが異常な動作を起こすことがあり...
不具合ですが、DNSが正しく運用されていれば発生しないもので...
現に、2002年1月にリリースされたBIND 8.3.0では、指定された...
属するドメイン名がLame Delegationであった場合の処理に不備...
ような名前に対する名前解決リクエストを処理しようとした場...
バに対して膨大なクエリパケットを発生させてしまう問題があ...
時には実際に異常な数のクエリが発生し、JPRSが管理する.jpゾ...
バでもそれを検出しました。
関連文書:「BIND ネームサーバの更新に関するお願い」(200...
http://jpinfo.jp/topics/020207.html
このような事象はパケットストームと言われています。パケッ...
生するとネットワークトラフィックが爆発し、帯域を占有して...
他の通信ができなくなったり、過大なクエリに耐えられずにサ...
てしまうことがあります。
▼3. Lame Delegationの原因と対策
Lame Delegationを引き起こす原因は様々ですが、代表的な原因...
なものです。
(1)delegation先DNSサーバでのnamed.confファイルの設定ミス
named.confにおける文法誤り等の理由でDNSサーバが正しく起...
場合や、あるいは該当するゾーンに関する設定が記述されて...
Lame Delegationとなります。
(2)ゾーンファイルの設定ミス
NSレコードで設定するネームサーバホスト名のピリオドのつ...
ンファイルに文法的な誤りがある場合、DNSサーバはそのゾー...
報を正しく提供することができません。この場合もLame Dele...
ます。
(3)上位のゾーンへのネームサーバ登録ミス
CNAMEレコードで設定した別名をDNSサーバとして上位ゾーン...
り、ゾーン中で指定しているDNSサーバと上位ゾーンに登録し...
一致していないなど、ゾーンのDNSサーバが、上位のゾーンに...
登録されていないとLame Delegationとなります。
また、上位ゾーンにDNSサーバを登録しても、そのDNSサーバ...
がされていない場合にもLame Delegationとなります。
(4)セカンダリへのゾーン転送の障害による影響
何らかの理由で、プライマリDNSサーバとセカンダリDNSサー...
転送が正しく行われていない場合、Lame Delegationとなる場...
ゾーン転送が正しく行われなくなると、セカンダリサーバは...
定されたゾーンそのものの情報を保持する期間に従い、ゾー...
ます。この期間を過ぎるとDNSサーバはゾーン情報を破棄し、...
答えられなくなります。
またゾーン転送が正しく行われなくなることにより、プライ...
とセカンダリDNSサーバが持つゾーン情報の内容に差異ができ...
報の不一致を招き、例えば新たに更新したNSレコードがセカ...
バのゾーン情報に反映できず、Lame Delegationとなる場合な...
ゾーン転送が正しく行われなくなる原因としては、該当ゾー...
ドのバージョン番号の上げ忘れや、セカンダリにおけるディ...
るゾーンファイルの転送の失敗、プライマリ側におけるゾー...
し忘れ、経由するネットワーク機器等における、TCP/53 によ...
可の出し忘れ(ゾーン転送にはUDP/53ではなく、TCP/53を使用...
リDNSサーバがSOAチェックを行う時にはUDP/53を使用します)...
クの障害等があげられます。
Lame Dalegationを発生させないためには、次のような点に注意...
要です。
- ピリオドのつけ忘れなど、ゾーンファイルの文法をチェッ...
する。
- ゾーンファイルの更新時にバージョン番号を上げ忘れない...
- 自ゾーンのDNSサーバの指定が、上位ゾーンと自ゾーンとで...
かどうかをチェックする。DNSサーバを増設・変更した場合...
の情報も更新することを忘れない。
- DNSサーバの指定の際に、CNAMEで指定されている別名を使...
ゾーンに登録した名前と異なる名前を指定してはならない。
- DNSサーバの運用監視を怠らず、ディスク溢れなどでゾーン...
ていないかどうかチェックするようにする。
- セカンダリDNSサーバに対してゾーン転送に必要なアクセス...
る。ネットワーク構成を変える時など、ゾーン転送が通る...
よるアクセスを許可しておくことを忘れない。
▼4. JPドメイン名の登録・運用の中でLame Delegationを発生さ...
JPドメインの登録・管理はJPRSが行っており、.jpゾーンのDNS...
管理しています。JPドメイン名の運用を行うためには、それぞ...
けるDNSサーバを用意し、そのDNSサーバをJPRSに登録する必要...
例:example.jpの登録から運用まで
1. 指定事業者を通してJPRSにexample.jpを登録する。
2. example.jpのためのDNSサーバを用意する。(ns1.example...
3. ns1.example.jpで正しいゾーンの設定を行う。
4. 指定事業者を通してJPRSにexample.jpのDNSサーバとしてn...
を登録する。
この手順の中で、Lame Delegationを発生させないためには、特...
意する必要があります。
- 該当するドメイン名のDNSサーバを立ち上げてから、JPRSに...
録する。DNSサーバが動いていない状態で、JPRSにDNSサー...
Lame Delegationとなってしまいます。
- DNSサーバを増設・変更した場合には、JPRSへの登録情報更...
自ゾーン内での情報も更新する。ここに差異があるとLame ...
なってしまいます。
終了行:
---------------------------------------------------------...
■DNSの健全な運用のために 〜Lame Delegation編〜
2003/05/20(Tue)
---------------------------------------------------------...
▼はじめに
DNSは、インターネットの基盤を支える大規模な分散データベー...
DNSが全体として正しく動作することは、それぞれのゾーンが正...
ているかどうかにかかっています。
DNSの設定が正しくないと、そのゾーンの情報を正しく参照する...
いだけでなく、トラフィックの増大など、他のネットワークに...
ことがあります。DNSのオペレータはこのことを十分に認識し、...
用を行う必要があります。
本文書では、DNSの運用の上で特に注意する必要がある「Lame D...
呼ばれる設定誤りについて解説しています。
本文書は、DNSに関する基礎的な知識を持ったDNSオペレータを...
す。また、具体的な設定に関する記述は、BIND 9およびBIND 8...
例としています。
▼1. Lame Delegationとは
DNSは、上位ゾーンから下位ゾーンへのdelegation(委任)によ...
れて構築されます。ゾーンのdelegationは、ドメインに対するN...
定によって行われ、下位ゾーン側ではNSレコードによって指定...
バホストを正しく動作させることが必要です。
例:.jpゾーンからexample.jpゾーンのdelegation
+- .jp zone ------------------------------------+
| |
| example.jp. IN NS ns1.example.jp. |
| |
+-----------------------------------------------+
.jpのネームサーバ example.jpのネームサーバ
+---------------+ delegation +----------------+
| ns0.nic.ad.jp | ----------> | ns1.example.jp |
+---------------+ +----------------+
この例では、.jpのゾーンから、example.jpのゾーンをdelegati...
delegationにあたっては、example.jpゾーンのNSをns1.example...
しています。このDNSサーバが正しく動作していることが、exam...
の正常なdelegationの条件です。
Lame Delegationとは、delegationの際に上位ゾーンに登録した...
何らかの理由によりそのドメインのDNSサーバとして正しく動作...
態を指します。
▼2. Lame DelegationがDNSに及ぼす悪影響
Lame Delegationとなった状態では、そのゾーン内の情報に対す...
行われても、DNSサーバが正しく動作していないために正しい応...
ができません。また、それだけでなく、インターネット全体へ...
起こしてしまいます。
(1) 無駄なトラフィックの発生
DNSはルートサーバからの階層構造を順に辿って目的の名前解決...
上位ゾーンに対するアクセス集中を緩和するため、DNSにはキャ...
用意されています。キャッシュには、名前解決を行った際に参...
バの情報などが保存され、無駄なトラフィックを削減すること...
す。
DNSのキャッシュには2種類あり、「○○の検索結果は△△である」...
以外に、「○○の検索結果は得られなかった」という情報も保持...
これをネガティブキャッシュと言います。ネガティブキャッシ...
索しても答えが得られないようなクエリはそもそも行わない、...
れます。
ネガティブキャッシュは、名前解決の中で「そのレコードは存...
う応答を得た時に作られますが、Lame Delegationの場合にはDN...
い応答を返さないために、ネガティブキャッシュが作られませ...
Lame Delegation状態にあるゾーンの中の名前解決が行われた場...
なDNSクエリが発生し、インターネット上で無駄なトラフィック...
ことになります。
また、キャッシュされていない名前に対するDNSクエリは上位ゾ...
バから探索しなおすことになり、これらのDNSサーバにも負荷を...
なります。example.jpがLame Delegationになっていると、ルー...
ゾーンのDNSサーバに影響を及ぼすことになります。
(2) パケットストーム
Lame Delegationのように、DNSの設定が正しくない場合に、DNS...
イアントなどのソフトウェアが異常な動作を起こすことがあり...
不具合ですが、DNSが正しく運用されていれば発生しないもので...
現に、2002年1月にリリースされたBIND 8.3.0では、指定された...
属するドメイン名がLame Delegationであった場合の処理に不備...
ような名前に対する名前解決リクエストを処理しようとした場...
バに対して膨大なクエリパケットを発生させてしまう問題があ...
時には実際に異常な数のクエリが発生し、JPRSが管理する.jpゾ...
バでもそれを検出しました。
関連文書:「BIND ネームサーバの更新に関するお願い」(200...
http://jpinfo.jp/topics/020207.html
このような事象はパケットストームと言われています。パケッ...
生するとネットワークトラフィックが爆発し、帯域を占有して...
他の通信ができなくなったり、過大なクエリに耐えられずにサ...
てしまうことがあります。
▼3. Lame Delegationの原因と対策
Lame Delegationを引き起こす原因は様々ですが、代表的な原因...
なものです。
(1)delegation先DNSサーバでのnamed.confファイルの設定ミス
named.confにおける文法誤り等の理由でDNSサーバが正しく起...
場合や、あるいは該当するゾーンに関する設定が記述されて...
Lame Delegationとなります。
(2)ゾーンファイルの設定ミス
NSレコードで設定するネームサーバホスト名のピリオドのつ...
ンファイルに文法的な誤りがある場合、DNSサーバはそのゾー...
報を正しく提供することができません。この場合もLame Dele...
ます。
(3)上位のゾーンへのネームサーバ登録ミス
CNAMEレコードで設定した別名をDNSサーバとして上位ゾーン...
り、ゾーン中で指定しているDNSサーバと上位ゾーンに登録し...
一致していないなど、ゾーンのDNSサーバが、上位のゾーンに...
登録されていないとLame Delegationとなります。
また、上位ゾーンにDNSサーバを登録しても、そのDNSサーバ...
がされていない場合にもLame Delegationとなります。
(4)セカンダリへのゾーン転送の障害による影響
何らかの理由で、プライマリDNSサーバとセカンダリDNSサー...
転送が正しく行われていない場合、Lame Delegationとなる場...
ゾーン転送が正しく行われなくなると、セカンダリサーバは...
定されたゾーンそのものの情報を保持する期間に従い、ゾー...
ます。この期間を過ぎるとDNSサーバはゾーン情報を破棄し、...
答えられなくなります。
またゾーン転送が正しく行われなくなることにより、プライ...
とセカンダリDNSサーバが持つゾーン情報の内容に差異ができ...
報の不一致を招き、例えば新たに更新したNSレコードがセカ...
バのゾーン情報に反映できず、Lame Delegationとなる場合な...
ゾーン転送が正しく行われなくなる原因としては、該当ゾー...
ドのバージョン番号の上げ忘れや、セカンダリにおけるディ...
るゾーンファイルの転送の失敗、プライマリ側におけるゾー...
し忘れ、経由するネットワーク機器等における、TCP/53 によ...
可の出し忘れ(ゾーン転送にはUDP/53ではなく、TCP/53を使用...
リDNSサーバがSOAチェックを行う時にはUDP/53を使用します)...
クの障害等があげられます。
Lame Dalegationを発生させないためには、次のような点に注意...
要です。
- ピリオドのつけ忘れなど、ゾーンファイルの文法をチェッ...
する。
- ゾーンファイルの更新時にバージョン番号を上げ忘れない...
- 自ゾーンのDNSサーバの指定が、上位ゾーンと自ゾーンとで...
かどうかをチェックする。DNSサーバを増設・変更した場合...
の情報も更新することを忘れない。
- DNSサーバの指定の際に、CNAMEで指定されている別名を使...
ゾーンに登録した名前と異なる名前を指定してはならない。
- DNSサーバの運用監視を怠らず、ディスク溢れなどでゾーン...
ていないかどうかチェックするようにする。
- セカンダリDNSサーバに対してゾーン転送に必要なアクセス...
る。ネットワーク構成を変える時など、ゾーン転送が通る...
よるアクセスを許可しておくことを忘れない。
▼4. JPドメイン名の登録・運用の中でLame Delegationを発生さ...
JPドメインの登録・管理はJPRSが行っており、.jpゾーンのDNS...
管理しています。JPドメイン名の運用を行うためには、それぞ...
けるDNSサーバを用意し、そのDNSサーバをJPRSに登録する必要...
例:example.jpの登録から運用まで
1. 指定事業者を通してJPRSにexample.jpを登録する。
2. example.jpのためのDNSサーバを用意する。(ns1.example...
3. ns1.example.jpで正しいゾーンの設定を行う。
4. 指定事業者を通してJPRSにexample.jpのDNSサーバとしてn...
を登録する。
この手順の中で、Lame Delegationを発生させないためには、特...
意する必要があります。
- 該当するドメイン名のDNSサーバを立ち上げてから、JPRSに...
録する。DNSサーバが動いていない状態で、JPRSにDNSサー...
Lame Delegationとなってしまいます。
- DNSサーバを増設・変更した場合には、JPRSへの登録情報更...
自ゾーン内での情報も更新する。ここに差異があるとLame ...
なってしまいます。
ページ名: