初心者のためのDNSの設定とよくあるトラブル事例

Size: px

Start display at page:

Download "初心者のためのDNSの設定とよくあるトラブル事例"

としみおうじ
9 years ago
Views:

2 本日の内容 1. DNSの基礎知識とトラブルシューティングの基本 DNSの全体構成区別すべき2 種類のDNSサーバー/ 問い合わせトラブルシューティングの基本 2. 道具の使い方コマンドラインツールの使い方便利なWebサービスの紹介 3. よくあるトラブル事例とトラブルシューティング設定がうまくいかない名前が引けない名前を引くのに時間がかかる Copyright 2015 株式会社日本レジストリサービス 2

3 ポイントと想定する対象者 DNSに関するツールやトラブルシューティング事例を紹介コマンドラインツールとWebサービストラブルシューティングについて具体例を挙げながら解説対象 DNSサーバーをこれから運用される方 DNSサーバーの運用を始めて間もない初学技術者の方そして初学技術者ではない方々の知識のおさらい再確認社内セミナーの資料としても活用可能かと思います Copyright 2015 株式会社日本レジストリサービス 3

5 区別すべき2 種類のDNSサーバー DNSには DNSの階層構造を構成する( 分散管理 ) DNSの階層構造をたどる( 名前解決 ) という 2つの役割がある DNSサーバーにはそれぞれの役割を担当する 1. 権威 DNSサーバー階層構造を構成 2. キャッシュDNSサーバー階層構造をたどるの 2 種類が存在するキャッシュ DNSサーバークライアントユーザー example.jp サーバー JP サーバー example2.jp サーバー kr サーバークエリ応答権威 DNSサーバールートサーバー net サーバー example3.jp サーバー Copyright 2015 株式会社日本レジストリサービス 5

8 区別すべき2 種類のクエリクライアントからキャッシュDNSサーバーへのクエリキャッシュDNSサーバーから権威 DNSサーバーへのクエリこの2 種類のクエリを明確に区別することがすべての基本 DNSの動作の理解トラブルシューティング権威 DNSサーバールートキャッシュ DNSサーバー TLD (.jp,.net,.com ) クエリ応答クライアント 2LD( 各組織 ) Copyright 2015 株式会社日本レジストリサービス 8

10 再帰的クエリ(recursive query) Header RD=1 Header RD=0 Question Question クライアント再帰的クエリキャッシュDNS サーバー非再帰的クエリ権威 DNS サーバークライアントからキャッシュDNSサーバーへのクエリクエリ中のRDビットがセットされているクライアントはRDビットをセットしたクエリを送信することによりキャッシュDNSサーバーに階層構造をたどらせるこれを名前解決要求という Copyright 2015 株式会社日本レジストリサービス 10

11 非再帰的クエリ(non-recursive query) Header RD=1 Header RD=0 Question Question クライアント再帰的クエリキャッシュDNS サーバー非再帰的クエリ権威 DNS サーバーキャッシュDNSサーバーから権威 DNSサーバーへのクエリクエリ中のRDビットがセットされていないクライアントからの名前解決要求によって発生する再帰的クエリと同じ内容がRDビットをクリアした上で送信される非再帰的クエリが発生するかはキャッシュの有無に左右される Copyright 2015 株式会社日本レジストリサービス 11

14 キャッシュDNSサーバーにキャッシュがある場合 (1) キャッシュ DNSサーバーキャッシュクエリ応答権威 DNSサーバールートのキャッシュあり JP サーバー TLD (.jp,.net,.com ) 2LD ( 各組織 ) example.jp サーバークライアントからキャッシュDNS サーバーへ問い合わせが行われキャッシュを元に応答が返される Copyright 2015 株式会社日本レジストリサービス 14

15 キャッシュDNSサーバーにキャッシュがある場合 (2) キャッシュ DNSサーバーキャッシュクエリ応答 example.jp のキャッシュはあるけど www2.example.jp のキャッシュはない権威 DNSサーバー JP サーバールート TLD (.jp,.net,.com ) www2.example.jp/a 2LD ( 各組織 ) example.jp サーバー example.jp のキャッシュはあるがのキャッシュなし example.jp に問い合わせ Copyright 2015 株式会社日本レジストリサービス 15

16 ここまでのまとめ権威 DNSサーバー DNSサーバーの階層構造を構成通常クライアントは直接利用しないキャッシュDNSサーバークライアントが直接利用する名前解決の結果をしばらく保持する(キャッシュ機能 ) キャッシュを利用し名前解決処理を高速 / 簡略化クライアントからのクエリを受ける再帰的クエリ / RDビット = 1 キャッシュにあればそこから応答を返すキャッシュになければ非再帰クエリを発行してその結果を返す非再帰的クエリ / RDビット = 0 再帰的クエリのRDビットをクリアし同じ内容にて非再帰クエリを発行する Copyright 2015 株式会社日本レジストリサービス 16

17 トラブルシューティングの基本 Where? - 原因はどこか? 手元のキャッシュDNSサーバーか? 権威 DNSサーバーのいずれかか? 各 DNSサーバーまでのネットワークか? How? - どこをどう調べればよいか? どんなツールやWebサービスを使えばよいか? 調査の際には再帰的クエリと非再帰的クエリを明確に区別すべき調査対象がキャッシュDNSサーバーか? 権威 DNSサーバーか? それぞれのサーバーに合った形での調査が必要 digコマンドの使い方など以降で詳しく説明します Copyright 2015 株式会社日本レジストリサービス 17

18 トラブルシューティングの心構えキャッシュDNSサーバーの気持ちになって考える権威 DNSサーバーからの応答の意味を考える権威 DNSサーバの応答を読み解く必要があるその道具がdig/drill 全体を俯瞰するのには向かない目的に合った道具を選ぶキャッシュDNSサーバーの気持ちになる dig/drill 全体を俯瞰する Squish.net DNS traversal checker dnscheck.jp Copyright 2015 株式会社日本レジストリサービス 18

20 調査の基本どのコマンドを使うべきか? DNSサーバーにクエリを送り調査するリクエストに関するパラメーターを細かく調整して応答を調査する基本はコマンドラインツール nslookup コマンドは使うべきでないクエリの細かいパラメーターが指定不可応答のフラグやセクションの情報を得ることができないでは何を使うか? digコマンド drillコマンド Copyright 2015 株式会社日本レジストリサービス 20

21 nslookupとdigの違い nslookup dig $ nslookup jprs.co.jp Server: Address: #53 Non-authoritative answer: Name: jprs.co.jp Address: $ dig jprs.co.jp ; <<>> DiG P2 <<>> jprs.co.jp ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 6 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;jprs.co.jp. IN A ;; ANSWER SECTION: jprs.co.jp IN A ;; AUTHORITY SECTION: jprs.co.jp IN NS ns2.jprs.co.jp. jprs.co.jp IN NS ns1.jprs.co.jp. jprs.co.jp IN NS ns3.jprs.co.jp. 情報量の差 ;; ADDITIONAL SECTION: ns1.jprs.co.jp IN A ns1.jprs.co.jp IN AAAA 2001:df0:8::a153 ns2.jprs.co.jp IN A ns2.jprs.co.jp IN AAAA 2001:df0:8::a253 ns3.jprs.co.jp IN A ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Wed Jul 17 21:08: ;; MSG SIZE rcvd: 213 Copyright 2015 株式会社日本レジストリサービス 21

23 digとdrill の違い dig drill $ jprs.co.jp ; <<>> DiG P1 <<>> jprs.co.jp ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 5 ;; QUESTION SECTION: ;jprs.co.jp. IN A ;; ANSWER SECTION: jprs.co.jp IN A ;; AUTHORITY SECTION: jprs.co.jp IN NS ns2.jprs.co.jp. jprs.co.jp IN NS ns1.jprs.co.jp. jprs.co.jp IN NS ns3.jprs.co.jp. ;; ADDITIONAL SECTION: ns1.jprs.co.jp IN A ns1.jprs.co.jp IN AAAA 2001:df0:8::a153 ns2.jprs.co.jp IN A ns2.jprs.co.jp IN AAAA 2001:df0:8::a253 ns3.jprs.co.jp IN A $ jprs.co.jp ;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: ;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 5 ;; QUESTION SECTION: ;; jprs.co.jp. IN A ;; ANSWER SECTION: jprs.co.jp IN A ;; AUTHORITY SECTION: jprs.co.jp IN NS ns3.jprs.co.jp. jprs.co.jp IN NS ns1.jprs.co.jp. jprs.co.jp IN NS ns2.jprs.co.jp. ;; ADDITIONAL SECTION: ns1.jprs.co.jp IN A ns1.jprs.co.jp IN AAAA 2001:df0:8::a153 ns2.jprs.co.jp IN A ns2.jprs.co.jp IN AAAA 2001:df0:8::a253 ns3.jprs.co.jp IN A ;; Query time: 0 msec ;; SERVER: ;; WHEN: Fri Jun 20 01:36: ;; MSG SIZE rcvd: 202 ;; Query time: 0 msec ;; SERVER: #53( ) ;; WHEN: 火 6 月 24 06:12:09 JST 2014 ;; MSG SIZE rcvd: 202 Copyright 2015 株式会社日本レジストリサービス 23

24 dig コマンドが使える環境 Unix 系 OS ほとんどの環境で標準添付 FreeBSD 10 以降ではベースシステムから削除 drill(1)コマンドを用いるか ports/pkg からインストール(dns/bind-tools) OS Xにも標準添付 Windows Windows 版 BIND 9のバイナリキットに含まれている開発元のISCが無償で公開 Copyright 2015 株式会社日本レジストリサービス 24

25 dig コマンド使い方 $ dig example.jp. SOA 重要なオプション RD bit オン = 階層構造をたどって = +recurse または +rec オフオプション DNSサーバー対象ドメイン名クエリタイプ = 持ってる情報を教えて = +norecurse または +norec RD bit = Recursion Desired bit クエリタイプ A NS SOA ANY サーバーに対して DNSの階層構造をたどって! と伝えるためにクライアント側でセット digコマンドやdrillコマンドではデフォルトでオン問合せる内容ホストのIPアドレス対象ドメイン名のネームサーバー対象ドメイン名のゾーンの設定情報対象ドメイン名の全ての情報権威 DNSサーバーに対してリクエストを送信する( 権威 DNSサーバーの動作を調べる) 場合にはオフにしておくこと Copyright 2015 株式会社日本レジストリサービス 25

27 dig コマンド +rec / +norec の使いどころ(1) 顧客や組織内の利用者から引けない! と連絡が来たときキャッシュDNSサーバーの状況を調査する際に使用 +rec をつけての調査から開始クライアントとキャッシュDNSサーバーとの通信は問題なさそうなら権威 DNSサーバーかその経路がおかしい? +norec で各権威 DNSサーバーの調査を開始キャッシュ DNSサーバー権威 DNSサーバールートクエリ応答ここから調査開始名前が引けないよ! TLD (.jp,.net,.com ) 2LD ( 各組織 ) Copyright 2015 株式会社日本レジストリサービス 27

28 dig コマンド +rec / +norec の使いどころ(2) 顧客から登録したドメイン名が利用できないと連絡がきたとき権威 DNSサーバーの設定不具合? +norec をつけて権威 DNSサーバーから調査開始特定のキャッシュDNSサーバーのみおかしい? +rec をつけて該当のキャッシュDNSサーバーを調査権威 DNSサーバーキャッシュ DNSサーバールートクエリ応答 example.jp 登録したのに使えない! TLD (.jp,.net,.com ) 2LD ( 各組織 ) ここから調査開始 example.jp サーバー Copyright 2015 株式会社日本レジストリサービス 28

29 [ 補足 ] ネガティブキャッシュとは顧客から登録したドメイン名が利用できないと連絡がきたとき顧客が利用するキャッシュDNSサーバー以外は名前が引けるネガティブキャッシュが原因かも? ネガティブキャッシュとは? そのドメイン名は存在しないその情報は存在しないという情報のキャッシュドメイン名の登録設定 ( 親ゾーンからの委任の設定 )が行われる前に名前を引こうとするとネガティブキャッシュが残ってしまう RFC Negative Caching of DNS Queries (DNS NCACHE) (DNSクエリのネガティブキャッシュ) Copyright 2015 株式会社日本レジストリサービス 29

30 dig コマンド出力の読み方 $ dig jprs.jp ; <<>> DiG P2 <<>> jprs.jp ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 5 ;; QUESTION SECTION: ;jprs.jp. IN A ;; ANSWER SECTION: jprs.jp IN A ;; AUTHORITY SECTION: jprs.jp IN NS ns2.jprs.jp. jprs.jp IN NS ns3.jprs.jp. jprs.jp IN NS ns1.jprs.jp. 特に注目ヘッダー Question Answer Authority ;; ADDITIONAL SECTION: ns1.jprs.jp IN A ns1.jprs.jp IN AAAA 2001:df0:8::a153 ns2.jprs.jp IN A ns2.jprs.jp IN AAAA 2001:df0:8::a253 ns3.jprs.jp IN A ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Thu May 02 15:20: ;; MSG SIZE rcvd: 199 Additional 応答時間サーバーの IPアドレスサイズなど Copyright 2015 株式会社日本レジストリサービス 30

31 dig コマンド出力の読み方 (ヘッダー)(1/2) ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 5 ヘッダの内容各セクションに関する情報やステータスフラグなどを格納主な status (RCODE: 応答コード) NOERROR 正常な応答 ( 該当するタイプがない場合も含む) FORMERR DNSメッセージのフォーマットが不正 SERVFAIL DNSサーバー側の異常 NXDOMAIN リクエストされた名前が存在しない REFUSED リクエストが拒否された Copyright 2015 株式会社日本レジストリサービス 31

32 dig コマンド出力の読み方 (ヘッダー)(2/2) ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 5 注目すべき主な flags (ヘッダなどに含まれるビット) qr: 応答であることを示す(Query / Response) dig/drill コマンドの出力 ( 応答 )では通常オン aa: 権威を持つ応答であることを示す(Authoritative Answer) 通常問い合わせたゾーンの権威 DNSサーバーからの応答はオンキャッシュDNSサーバーからの応答や他の権威 DNSサーバーに委任していることを示す応答ではオフ ra: 再帰検索要求が処理可能なことを示す(Recursion Available) 通常キャッシュDNSサーバーからの応答ではオン tc: 応答の一部が切り捨てられたことを示す(TrunCation) TCPに切り替えて(TCPフォールバック) 再度問い合わせる必要がある digコマンドは自動的にTCPフォールバックするため通常は表示されない ( +ignore オプションで抑制できる) Copyright 2015 株式会社日本レジストリサービス 32

33 [ 補足 ] TCPフォールバック DNS の 512bytes の壁応答はできるだけ 512 bytes 以下に収め UDP で送信できるのがよい近頃のトレンド: 応答サイズの増大どうなる? IPv6 DNSSEC spam 対策 (SPF 情報 :TXTレコード) 最初に UDP で問い合わせて 512 bytes に収まらないことが分かったら TCP で再度問い合わせる再問い合わせの分遅くなる Copyright 2015 株式会社日本レジストリサービス 33

35 dig コマンド出力の読み方 (Answer) ;; ANSWER SECTION: jprs.jp IN A Answerセクション問い合わせた内容に対応するリソースレコードセット(RRSet)が格納される RRset : その名前に存在する当該リソースレコードのセット問い合わせた名前 /タイプが存在しない場合や他のDNSサーバーにゾーンが委任されている場合は空 Copyright 2015 株式会社日本レジストリサービス 35

36 dig コマンド出力の読み方 (Authority) ;; AUTHORITY SECTION: jprs.jp IN NS ns2.jprs.jp. jprs.jp IN NS ns3.jprs.jp. jprs.jp IN NS ns1.jprs.jp. Authorityセクション権威を持っているDNSサーバーの情報が格納される問い合わせた名前 /タイプが存在しないことを示す場合 SOA RRが格納される委任応答の場合委任先の権威 DNSサーバーのホスト名 (NS)が格納される Copyright 2015 株式会社日本レジストリサービス 36

37 dig コマンド出力の読み方 (Additional) ;; ADDITIONAL SECTION: ns1.jprs.jp IN A ns1.jprs.jp IN AAAA 2001:df0:8::a153 ns2.jprs.jp IN A ns2.jprs.jp IN AAAA 2001:df0:8::a253 ns3.jprs.jp IN A Additionalセクション付加的な情報が格納される Authorityセクションに含まれるDNSサーバーのA AAAA RRなど委任応答で委任先が内部名の場合グルーレコードと呼ばれる Copyright 2015 株式会社日本レジストリサービス 37

38 dig コマンド出力例 (1) $ dig jprs.jp PTR ; <<>> DiG P2 <<>> jprs.jp PTR ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;jprs.jp. IN PTR (2)Answerセクションなし (1)ステータスは NOERROR ;; AUTHORITY SECTION: jprs.jp IN SOA ns1.jprs.co.jp. postmaster.jprs.co.jp (3)AuthorityセクションにSOAレコードヘッダー Question Authority ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Thu May 02 15:20: ;; MSG SIZE rcvd: 199 応答時間サーバーの IPアドレスサイズなど問い合わせた名前は存在するがタイプが存在しないケース Copyright 2015 株式会社日本レジストリサービス 38

39 dig コマンド出力例 (2) $ dig nameerror.jprs.jp ; <<>> DiG P2 <<>> nameerror.jprs.jp ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: ;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;nameerror.jprs.jp. IN A (2)Answerセクションなし (1)ステータスは NXDOMAIN ;; AUTHORITY SECTION: jprs.jp IN SOA ns1.jprs.co.jp. postmaster.jprs.co.jp (3)AuthorityセクションにSOAレコードヘッダー Question Authority ;; Query time: 1 msec ;; SERVER: #53( ) ;; WHEN: Thu May 02 15:20: ;; MSG SIZE rcvd: 199 応答時間サーバーの IPアドレスサイズなど問い合わせた名前自体が存在しないケース Copyright 2015 株式会社日本レジストリサービス 39

40 dig コマンド結果が違う? % jprs.co.jp ; <<>> DiG P1 jprs.co.jp ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 6 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;jprs.co.jp. IN A ;; ANSWER SECTION: jprs.co.jp IN A ;; AUTHORITY SECTION: jprs.co.jp IN NS ns1.jprs.co.jp. jprs.co.jp IN NS ns2.jprs.co.jp. jprs.co.jp IN NS ns3.jprs.co.jp. ;; ADDITIONAL SECTION: ns1.jprs.co.jp IN A ns1.jprs.co.jp IN AAAA 2001:df0:8::a153 ns2.jprs.co.jp IN A ns2.jprs.co.jp IN AAAA 2001:df0:8::a253 ns3.jprs.co.jp IN A ;; Query time: 934 msec ;; SERVER: #53( ) ;; WHEN: Fri Jun 20 00:40:21 JST 2014 ;; MSG SIZE rcvd: 213 % jprs.co.jp ; <<>> DiG P1 jprs.co.jp ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;jprs.co.jp. IN A ;; ANSWER SECTION: jprs.co.jp IN A ;; Query time: 238 msec ;; SERVER: #53( ) ;; WHEN: Fri Jun 20 00:49:54 JST 2014 ;; MSG SIZE rcvd: 55 AUTHORITY SECTION ADDITIONAL SECTION がないキャッシュDNSのサーバーの実装設定による右の例はキャッシュDNSサーバーにBIND 9を用い minimal-responses オプションを有効にした場合 Copyright 2015 株式会社日本レジストリサービス 40

41 調査に使えるWebサービス DNSの設定などを GUIで可視化チェック可能ここでは2 種類のツールを紹介します(この他にもあります) Squish.net DNS traversal checker( 個人提供 :James 氏 ) DNS 可視化ツール応答のおかしいDNSサーバーなどを調べることが可能 dnscheck.jp(jprs 提供 ) 指定したドメイン名のDNS 設定が適切かどうかをチェックできるドメイン名に加え権威 DNSサーバーも指定できる権威 DNSサーバーを指定することで引っ越し先のサーバ設定が正しいかの事前チェックなどにも使える Copyright 2015 株式会社日本レジストリサービス 41

46 トラブル事前回避設定を事前にチェック named-checkconf named.conf の構文チェック $ named-checkconf named 設定ファイル名 named-checkzone $ named-checkzone ゾーン名ゾーンファイル名 ) や ; の抜けなどの文法チェック用シリアル番号の上げ忘れ( 後述 )やホスト名末尾の. 付け忘れなどはチェックしてくれない Copyright 2015 株式会社日本レジストリサービス 46

47 トラブル事前回避サーバーの分離とアクセス制限キャッシュDNSサーバーと権威 DNSサーバーの分離ドメイン名の浸透問題の原因になるかも? DNSリフレクター攻撃の加害者になるかも? DNSキャッシュポイズニングされるかも? 分離しましょう分離前権威 DNSサーバーキャッシュ DNSサーバー分離後権威 DNSサーバーキャッシュ DNSサーバー外部のキャッシュ DNSサーバー利用者外部のキャッシュ DNSサーバー利用者外部ネットワーク組織内ネットワーク外部ネットワーク組織内ネットワーク Copyright 2015 株式会社日本レジストリサービス 47

48 DNSキャッシュポイズニング?DNSリフレクター攻撃? DNSキャッシュポイズニング偽のDNS 情報をキャッシュとして蓄積させるフィッシングサイトなどへ誘導権威 /キャッシュDNSサーバーの兼用によるDNSポイズニングの危険性について DNSリフレクター攻撃問い合わせパケットサイズよりも応答パケットサイズが大きくなるDNS サーバーの特性を利用した攻撃手被害者ではなく加害者になる可能性がある技術解説 : DNS Reflector Attacks(DNSリフレクター攻撃 ) について Copyright 2015 株式会社日本レジストリサービス 48

49 今日紹介するトラブル事例 A) 設定がうまくいかない間違えた 1. ゾーン転送がうまくいかない 1. マスタサーバーにDNSが稼動していない 2. マスタサーバー側のファイアーウォールでブロックされている 3. マスターサーバー側でゾーン転送が許可されていない 2. SOAシリアルを上げ忘れた B) 名前が引けない 1. DNSサーバーがダウンしている 2. CNAMEの循環 3. ふぞろいのzone 情報たち C) 名前を引くのに時間が掛かる 1. 権威 DNSサーバーの一部がダウンしている 3. SOAシリアルを上げ間違えた (シリアルを巻き戻したい) Copyright 2015 株式会社日本レジストリサービス 49

52 1. ゾーン転送がうまくいかない正常な例ゾーン転送要求 dig コマンド実行 Master DNS サーバー ok! 結果 Slave $ dig example.jp. AXFR ; <<>> DiG P1 <<>> example.jp. AXFR ; (1 server found) ;; global options: +cmd example.jp IN SOA ( 中略 ) example.jp IN NS ns1.example.jp. ( 中略 ) example.jp IN SOA ns1.example.jp. root.example.jp. ( 中略 ) ;; Query time: 1 msec ;; SERVER: (Master)#53((Master)) ;; WHEN: Fri Jul 12 17:56: ;; XFR size: 31 records (messages 1, bytes 3380) Copyright 2015 株式会社日本レジストリサービス 52

54 1. ゾーン転送がうまくいかない調査と具体例 1. マスターサーバーでDNSサーバープロセスが稼動していない場合ゾーン転送要求 dig コマンド実行 Master DNS サーバー結果 Slave OS そのものは動作実行結果例 $ dig example.jp axfr ;; Connection to #53( ) for example.jp failed: connection refused. Copyright 2015 株式会社日本レジストリサービス 54

55 1. ゾーン転送がうまくいかない調査と具体例 1. マスターサーバーでDNSサーバープロセスが稼動していない場合ゾーン転送要求 dig コマンド実行 Master DNS サーバー結果 Slave OS そのものは動作 DNS サーバープロセスを立ち上げ直す実は気づかないうちに落ちていたのかも必ず原因究明を並行してすすめることサーバーのログのチェックなど Copyright 2015 株式会社日本レジストリサービス 55

56 1. ゾーン転送がうまくいかない調査と具体例 2.マスターサーバー側のファイアーウォールでブロックされている場合 tcp 53 block! ゾーン転送要求 dig コマンド実行 Master DNS サーバー結果 Slave 実行結果例 $ dig example.jp axfr ; <<>> DiG P2 <<>> example.jp axfr ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached Copyright 2015 株式会社日本レジストリサービス 56

57 1. ゾーン転送がうまくいかない調査と具体例 2.マスターサーバー側のファイアーウォールでブロックされている場合 tcp 53 ok! ゾーン転送要求 dig コマンド実行 Master DNS サーバー結果 Slave 実行結果例 TCP 53 番ポートへのアクセスを許可する UDP だけの許可かも? そもそもDNSサーバーでは TCP 53 番のオープンが必須! Copyright 2015 株式会社日本レジストリサービス 57

58 1. ゾーン転送がうまくいかない調査と具体例 3. マスターサーバー側でゾーン転送が許可されていない場合ゾーン転送要求 dig コマンド実行 Master DNS サーバー君は許可していないよ! 結果 Slave 実行結果例 $ dig example.jp axfr ; <<>> DiG P2 <<>> example.jp axfr ; (1 server found) ;; global options: +cmd ; Transfer failed. Copyright 2015 株式会社日本レジストリサービス 58

60 2. SOAのシリアルを上げ忘れた $ORIGIN a.example. $TTL IN SOA ns1.example. root.example.jp. ( ) マスター/スレーブを構築している場合スレーブが情報更新されない権威 DNSサーバーによって返す応答が違うゾーンデータの新しさはシリアルの値の大小のみによって判断ゾーン情報を書き換えた後は $ domain SOA +norec を実行マスターと一致していることを確認! 更新したよ! 情報新 master (ns1.example.jp) シリアルあがってない更新しなくてよいか情報旧 slave (ns2.example.jp) Copyright 2015 株式会社日本レジストリサービス 60

61 [ 補足 ] NOTIFY( 変更通知 )によるゾーン情報の更新権威 DNSサーバーを複数設置ゾーン情報を全て手作業で更新するのは大変! 1 台をマスターにして残りのマシンもこれに追従させる NOTIFY( 変更通知 )による zone 情報の更新 Master (ns1.example.jp) 1. 変更通知 (NOTIFY) 2. 転送要求 (AXFR, IXFR ) 3. ゾーンデータ転送 Slave (ns2.example.jp) 外部からは権威 DNSサーバーのプライマリとセカンダリは区別されない本スライドでのマスター / スレーブはゾーン転送のときにのみに用いる概念もしシリアルの上げ忘れでスレーブへのゾーン転送が失敗していると AXFRはゾーンデータを全て転送 IXFR は差分転送 Copyright 2015 株式会社日本レジストリサービス 61

63 3. SOAのシリアルを上げ間違えたシリアルの巻き戻しシリアルを2 度上げる 1. マスターで現在の値 + 2^31-1(= ) をセット反映例 ) = をセット 2. スレーブへの反映 / 確認 $ domain SOA +norec 3. マスターで目的の値をセット例 ) をセット 4. スレーブへの反映 / 確認もう一度 dig して目的のシリアル番号になっていることを確認 Copyright 2015 株式会社日本レジストリサービス 63

64 [ 補足 ] なぜシリアルを巻き戻せる? をに戻す(1) シリアルは常に加算だから巻き戻せないのでは? SOAシリアルの数値空間は 0と2^32が接続されたリング状 SOAシリアルは現在値から相対的に大小判断が行われる現在の値現在の値から31bit 後方小さい現在の値から31bit 前方大きいシリアルの空間は 0 とが繋げられリング状になっている RFC Serial Number Arithmetic(シリアル番号の計算 ) Copyright 2015 株式会社日本レジストリサービス 64

70 2. CNAME の循環 - dig の実行結果 $ dig ; <<>> DiG rpz2+rl P1 <<>> ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;cname.a.example. IN A ;; ANSWER SECTION: cname.a.example. 15 IN CNAME cname.b.example. cname.b.example. 15 IN CNAME cname.a.example. ;; Query time: 15 msec ;; SERVER: #53( ) ;; WHEN: Thu Jul 18 20:40: ;; MSG SIZE rcvd: 69 Copyright 2015 株式会社日本レジストリサービス 70

71 2. CNAME の循環 example1.jpの権威 DNSサーバー example2.jpの権威 DNSサーバー example1.jp は example2.jp のことだよ example2.jp は example1.jp キャッシュのことだよ DNSサーバーぐるぐるぐるぐるクライアント example2.jp は example1.jp で example1.jp は example2.jp? アプリケーションによってはエラーが出たりそのまま固まったり Copyright 2015 株式会社日本レジストリサービス 71

73 3. ふぞろいのゾーン情報たち(2) slave master slave しばらく経過してキャッシュが満了すると再度問い合わせるこの際スレーブに問い合わせると名前が引けなくなる(マスターに問い合わせていたら引けるようになる) キャッシュ DNSサーバーキャッシュ DNSサーバーあれ? 名前引けなくなった? 名前引けるようになったクライアントクライアント Copyright 2015 株式会社日本レジストリサービス 73

78 権威 DNSサーバーの一部がダウンしている (2/2) DNSサーバーの一部がダウンしている場合キャッシュサーバーに一度キャッシュされてしまえば遅延は発生しない遅延が発生するのはキャッシュされていないときの問い合わせ今回の例の場合 ns1 にいきなり問い合わせに行ったら遅延は発生しない権威 DNS サーバーの選択にプライマリやセカンダリという概念はないどの権威 DNSサーバーに問い合わせに行くかは各キャッシュDNSサーバーの実装やネットワークの状況に依存くじ引きのようなもの気づくのが遅れることも Copyright 2015 株式会社日本レジストリサービス 78

79 まとめどこを調べているのか?を理解しよう再帰問い合わせ? 非再帰問い合わせ? 道具の使い方を知ろう dig は友達 nslookupはやめようよくあるトラブル事例まずはログを確認! TCPの53 番ポート確認! ファイヤーウォール確認! CNAME 確認! シリアル確認! Windowsでも動指定 +norecオプション便利なWebサービス DNS 可視化の Squish.net DNS traversal checker エラーチェックの dnscheck.jp Copyright 2015 株式会社日本レジストリサービス 79