【DNS】Name Server 総合スレ Part2
>>51
> GoogleDNSって、たしかUnbound使ってたと思うけど
それどこ情報? 「攻撃元IP」が偽装されたJP DNSだったりするからBANできないっしょ リゾルバは何回もバシバシ叩くことはほとんど無いし
基本的にパケットの分割も無いから
同じ相手にUDPのパケットを返すときに
2つ目以降のパケットは数秒待たせても
問題ないよね? フォワーダっぽいリゾルバ ?
自前でオープンリゾルバなDNS公開設定しようかと思ってるんだけど?? 質問を続けるなら名前入れといてくれ。
どれが誰だかわからん。 >>52
フォワーダっぽいリゾルバって何だ?
VIPで受けて大量のキャッシュDNSサーバへロードバランシングしてるんじゃなくて、
回送専用のDNSサーバで受けて、ドメイン単位で回送したら再起検索専用のDNSサーバで検索…ってこと?
なにそれ怖い。 TLDごとにその国に近いリゾルバに回送してそこで反復問い合わせさせれば、確かに理論的には速くなるな。 急にどうしたんだw
鍵更新をしくじりでもしたのか。 プロバイダがね、セカンダリがね、DNSSECはね、やってねえだって。 セカンダリならたいした手間でもないだろうけど、逆にプライマリ提供できないのが浮き彫りになるのが嫌なのかな。 へー、そんなところもあるのか。
ウチは DNSSEC に関して何もアナウンスしてないけど、問い合わせを受けたら「レジストリへの取次と
セカンダリ運用は承りますが、プライマリの運用はお受け出来ません。ごめんなさい」と回答する予定です。
まだ問い合わせは一度も来たこと無いけどね! (酷いオチ) 自分とこでDNSを二台たててDNSSECしてたんだけど、プロバイダにセカンダリをやってもらおうと思って。
zone転送の設定まではスイスイと行ったけど dnscheck.jp で見たら、プロバイダ側のDNSSECが×だらけ。
サポートに問い合わせして、「おかしいにゃー、調べてみるんで待ってて」ってことで待ってたら
「やっぱりDNSSECはやってないんで、メンゴ」ってことになった。 atnd 見えないね。権威サーバが何も返してこないんだけど、この時間になっても
復旧してないとは思わなかった。何やってんだ、中の人。
参考
↓
ttp://www.e-ontap.com/blog/20140527.html あ、ようやく見えるようになった。だけど TTL が 300 になってるねw
絶賛リカバリ中ってとこなのかな。 まともに運用できねえやつにかぎってDNSSECとか使いたがるんだよな。 ん? まだ atnd.org の TTL が 300 のままですね。権威サーバの ns[1-3].x.recruit.co.jp という
ホスト名がいかにも仮のものっぽいけど、しばらくこのままなのかな…… 数年前、名前解決の障害でrecruit.co.jp調べたとき、EDNS未対応だったか、
TCP非対応だったか忘れましたが変なサーバだったのを覚えてます。 で?
なぜインフラ予約ドメイン名を定義しないで、ねずみ講のようにドメイン登録をプッシュするんだ?
ARPAとかがあるから、今後は
おれんち.ARPAとかで逃げ始めるバカがわくと思うんだけど インテリやくざ集団に直接談判とかヤダー
判子屋と組んでうまい汁をすおうとかプレゼンかいてインターネットでシェアするような奴が集まるのがIT業界じゃないですか 重複をお許しくださいキター
# まだ7月じゃないのに・・・ DNSがオワコンなのに、気付いてないヤシが大杉留みたいね
合掌 みんな気付いてるよ。
気付いてるけどかわりがないから使わざるをえないだけで。 やっぱり僕は、王道を征く、Active Directoryですか FQDNを所定のハッシュ関数に通すとIPアドレスが一意に決まるようにしておけばいい。 >>91
DNS抜きでActiveDirectoryを使える? >>93
そのハッシュ関数はどのように実装されるのでしょうか?
IPアドレスが変わったら、どうなるのでしょうか? >>95
ハッシュ関数はだれかが「これ」と決める。
IPアドレスは変更できない。というか、使いたいIPアドレスになるようなFQDNをハッシュ関数から探して使う。 >>96
なるほどー
例えば192.168.10.203というIPを使う場合、それに該当するFQDNを採掘するわけですな。
あらかじめ発見しておいて、○.○.○.○に対応するFQDN教えます、という広告をオークションに出しおけばいいのか。
203.10.168.192.in-addr.arpa より分かりやすいものであることを願おう。 >>94
すいません許してください!なんでもしますから! >>98
ならば、これからは私利私欲ではなく、世の人のためにその力を使うのじゃ。 使うコマンドが dig (穴とかを掘る意味から)だからじゃない? ISCのBIND祭と言えば、六尺褌一丁のDNS担当者たちが、
namedをアップデートし合う、勇壮な祭りとして、
この地方に知られている。 Google Public DNS (8.8.8.8) から ようこそワロタ
うっせーよハゲ あーじゃあ浸透って言ってる奴には
浸透させなければいけないのは育毛剤です
と返せば良いのかw DNS名前衝突ブロックリストな件
ttp://internet.watch.impress.co.jp/docs/news/newgtld/20140812_661957.html
これ、DNSプリフェッチ機能で問い合わせされたドメインは、除外されてるの?
どうしても登録させたくないドメインを毎日機械的に問い合わせてれば、禁止にできるの?
中の人、あ意外とほっぽい。 あれ、この記事、申請拒否されたドメインがプレミアム予約リストに該当してるんなら、
やっぱりレジストラが腹黒ってことになるじゃね? >>113
そのページだと軽く流して、直ぐに名前衝突に話が進んでいるが、
付加価値がつく名前はレジストラが先に予約しているって書いてある
.network .dot .inspire .trust
.nt .do .nex .aegis .terra
とかプレミアついて人気レジストラになれそうじゃん
こういうのはレジストラがキープしてねずみ講の親になるから、パンピーにはやらんってことだよ 今に手数料の上納ルールが作られるだろうしね
仕組み上必ずルートに検索かける通り、上の方は負荷がかかるから保守費払え、インフラただ乗りすんなーってね nsdでセカンダリ建ててます。
プライマリのレコードが(SOAも)変更されたとき
セカンダリに転送かかるべきところ、そのタイミングでセカンダリ側のnsdが落ちます。
(プロセスにも残らない)
Sep 9 08:00:48 ubuntu14 nsd[14255]: database corrupted, cannot update
Sep 9 08:00:41 ubuntu14 nsd[1149]: message repeated 54 times: [ wait failed: No child processes]
Sep 9 08:00:48 ubuntu14 nsd[1149]: handle_reload_cmd: reload closed cmd channel
Sep 9 08:00:48 ubuntu14 nsd[1149]: Reload process 14255 failed with status 256, continuing with old database
Sep 9 08:00:48 ubuntu14 nsd[1149]: wait failed: No child processes
※ubuntu14 はホスト名
shutdown -r now で再起動かけると
ちゃんと起動直後にゾーン転送が行われ正常終了します。
プライマリのSOAが変わらないうちは好調に動作しますが、
またゾーン転送がかかると落ちます。
なにか原因として考えられることありますでしょうか。 再起動すると正常動作(かつゾーン転送も済んだ状態)になるから
実際にはデータベース壊れてないと思うんだけど・・・ >>117
nsdc patch してみてください DNS1で名前解決できなかったらDNS2に問い合わせ
という仕組みを構築したいんですが、これって無理ですかね?
DNS1の電源が落ちているとか通信自体ができない場合はDNS2へ問い合わせに行くのですが、
DNS1の応答が「そんなレコードありません」という応答だった場合、
DNS2に見に行かないのです。
おそらく通常の仕様なのはわかっているのですが、何とかなりませんか?
社内向けDNSサーバーで解決できなかったら
クラウド上のDNSサーバーで解決させたいのですが・・・。
同じレコードを持てない理由がありまして・・。 「同じレコードを持てない」というのをもちっと詳しく書けませんか?
なんとなくzoneとかforwarderとか
そんな感じのことで調べてみるとなんとかなったりするかもしれません。 DNS2だけ見に行くようにして
DNS2をforwarderにするのがよさそう hoge.jpは他者管理
「www.hoge.jp」←インターネット上のhoge.jpの名前解決はDNS2
|
(インターネット)
|
「自社:jiya.jp」-(VPN)-「wwwsec.hoge.jp」←VPN上のhoge.jpの名前解決はDNS1
VPN上はセキュアなネットワークというポリシーらしく、
DNS1-DNS2間の通信はできない hoge.jpという同名のドメイン名が
VPN上とインターネット上 両方にあるのが問題かなーっと
でも他者なので口を挟めない。
自社にDNSサーバーにwww.sec.hoge.jpの問い合わせが来たら
DNS1へフォワードするってのが簡単に思いついた事だけど、
hoge.jpのサーバーが増えたりするたぶに手で修正すうのは面倒・・・。
DNS1レコードがなかったらDNS2へ追い合わせ汁!っていう形とれないかな? hoge はあれなんで example.jp で話すけど
example.jp は他者が管理していて、そのサブドメイン sec.example.jp を
自分のところの中でだけ存在させたい、ってことかな。
もし、そうなら自分のところDNS(DNS1なのか?)に勝手に sec.example.jp のドメインを持たせてしまえばいいんじゃないか?
example.jp のDNSで委譲してもらわなくても、クライアントがDNS1に問い合わせるようにしとけば
sec.example.jp については名前解決できる。
サブドメインじゃないよ、ホスト名だよって場合でも、ホスト毎にzoneを作ることは可能。 localhostのサブドメインでやればいいだよ好き放題作っていいんだから >>122
そういう名前解決をしてくれるDNS3を用意したいけどどのDNSサーバだと実現できるんだろうって話?
>>132
RFC2606で予約されてるのは、.test、.example、.invalid、.localhost、example.com、example.net、example.org
example.jpは予約されてませんよ、という野暮なツッコミ example.jpは実在するレジストリサービスが例示用だと言ってなかった? VPSで逆引きホスト名って1つ設定できるようになっているけど
xxx.jp か www.xxx.jp にするべきか 例示にはアスタリスクとか、あり得ない文字使えばええんちゃいますの?
www.***.jp とか。 perlのバージョン違いのテスト用に
p516.localhost
p518.localhost
p520.localhost
とか
vmに振るなら
deb.localhost debian
net.localhost netbsd
ubu.localhost ubuntu アスタリスクかぁ
使い方としたら、こんな感じ?
zone "localhost" { type master; file "localhost.db"; }
@ IN SOA localhost. mail.localhost. ( 1 2 3 4 5 )
IN NS localhost.
@ IN A 127.0.0.1
* IN A 127.0.0.1
かなり遊んだ設定だけど。 DNSの仕様上は、名前に*という文字が含まれていても問題ない。
アプリケーションがそういう文字を含む名前を扱えるかどうかはそれとは別問題。
むかし、*.cnというAレコードが実際に存在してたことがあるよ。
ワイルドカードを作るつもりで間違ってそうなっちゃったのか、
意図してそうしたのか、cnのやることだからわからん。 >>146
> DNSの仕様上は、名前に*という文字が含まれていても問題ない。
その根拠は。 横から失礼するけど、DNSの仕様ってどの範囲までを言うのかよーわからん
RRのフォーマットまでが仕様っぽいように見えるけど、そんなんネームサーバの
実装ごとに違っても別にいいじゃんって思うし。 仕様っていったら、当然 RFC に書かれた文章そのままだろうに…
古いホテルの様な拡張につぐ拡張で、わかりにくいけどな。
いいんだぜ。 hosts に記載された内容を応答する named を作っても。 >>149
*を使っていいってどのRFCに書いてんのよ。 >>147
きっと大元は RFC2181 なんだろうけど、ラベル名の定義が他の RFC で
アップデートされてるのかどうかが、よくわからん。これを読めば DNS の
仕様が一通り把握できる便利な RFC とか、ポータルなサイトとか無いのかな?
Information on RFC 2181
ttp://www.rfc-editor.org/info/rfc2181 ドメイン名の管理を代行する企業であってすら、
設定ミスを浸透と呼んで誤魔化すのが日常だし…
そんな便利なもんがあったらこんな状況にはならん気が