Windows2008Serverの キャッシュDNSサーバと.biz

Similar documents
PowerPoint プレゼンテーション

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

学生実験

Microsoft PowerPoint 版_Root_JPの状況.ppt

ご挨拶

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

DNSSEC性能確認手順書v1.2

Microsoft PowerPoint - DNSSECとは.ppt

DNSとメール

DNSSEC導入に関する世界的動向

初心者のためのDNSの設定とよくあるトラブル事例

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

DNSハンズオンDNS運用のいろは

セキュアなDNS運用のために

1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

Microsoft PowerPoint - private-dnssec

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

DNSの負荷分散とキャッシュの有効性に関する予備的検討

スライド 1

<4D F736F F F696E74202D E656D6F73837D836C815B C B CC90DA91B182CC8E DD82F0979D89F082B582E682A F38DFC E >

■POP3の廃止について

DNSサーバー設定について

DNSSEC最新動向

クラウドDNS へのネームサーバー切替手順

DNS浸透の都市伝説を斬る~ランチのおともにDNS~

キャッシュポイズニング攻撃対策

「DNSSECの現状と普及に向けた課題」

DNSSECの基礎概要

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

DNS と blocking anti-blocking 要素技術 ( みえてしまう要素技術 ) 藤原和典 株式会社日本レジストリサービス (JPRS) Internet Week 2018, DNS Day 2018 年 11 月 29 日 Copyrigh

DNSOPS.JP BoF nginxを利 した DNS over TLS 対応フルリゾルバの作り ( 株 ) ハートビーツ滝澤隆史

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

DNS DNS 2002/12/19 Internet Week 2002/DNS DAY 2

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

PowerPoint プレゼンテーション

ドメインコントローラを冗長化していてもバックアップは必要です! Active Directory データベースの複製の仕組み DC1 2 変更された情報を定期的に他の DC に複製 DC2 同期 1 ドメインコントローラ (DC) で変更が行われる Active Directory データベース上で

SOC Report

Microsoft PowerPoint attacktool.pptx

enog-ryuichi

Microsoft認定資格問題集DEMO(70-642)

SURFNAVIへのW2003SP2適用時の注意

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

Root KSK更新に対応する方法

MCP Windows Server 2008 Active Directory, Configuring 出題あなたのネットワークには Windows Server 2008 R2 を実行する Server1 という名前のサーバーがあります Server1 は Active Dire

スライド 1

ESMPRO/JMSS Ver6.0

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

ボリュームライセンスのアップグレードライセンス : Windows アップグレードライセンスは ライセンスが最初に割り当てられたデバイスでのみ使用できるため 再割り当てを行うことはできません ただし ボリュームライセンスでは 適切なライセンスを取得した交換用のデバイスにソフトウェアアシュアランスを再

DNSにおけるキャッシュ汚染攻撃

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

Windows 10 推奨アップグレードについて

PowerPoint Presentation

SOC Report

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

Outlook2010 の メール 連絡先 に関連する内容を解説します 注意 :Outlook2007 と Outlook2010 では 基本操作 基本画面が違うため この資料では Outlook2010 のみで参考にしてください Outlook2010 の画面構成について... 2 メールについて

Samba3.0/LDAPによるドメイン移行トラブル事例

ServerView RAID Manager 補足情報

2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

見抜く力を!データを見て対策を考える(権威サーバ)

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

2014/07/18 1

BIND 9 BIND 9 IPv6 BIND 9 view lwres

権威DNSサーバ 脱自前運用のススメ

Windows10の標準機能だけでデータを完全バックアップする方法 | 【ぱそちき】パソコン初心者に教えたい仕事に役立つPC知識

スライド 1

DNSSECトラブルシューティング

Microsoft Azure 基礎 : Azure ID - 実践演習 概要 このコースにはオプションの実習が含まれ コースで実演されたテクニックをご自分でお試しいただくことができ ます このガイドには 個々の実習の手順が示されています 開始の詳細については コースの実習 > 概要ページをご参照く

スライド 1

初心者のためのDNSの設定とよくあるトラブル事例

DNSSEC技術実験報告書

いきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re

DNS誕生日攻撃再び

PowerPoint Presentation

PASSEXAM

業務サーバパック for 奉行シリーズスタートアップガイド

10年オンプレで運用したmixiをAWSに移行した10の理由

Microsoft PowerPoint - bind ppt

rndc BIND

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

poisoning_ipsj

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

Microsoft Word - SE第15回.doc

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

スライド 1

無償期間中に Windows10 に アップグレードをお考えのお客様へ 現在 御太助.net で使用している SQL Server のバージョンは Windows10 ではその動作が保証されていません そのため 御太助.net を WIndows10 で使用するにあたっては SQL Server の

DNSのセキュリティとDNSに関する技術

1. 開発ツールの概要 1.1 OSS の開発ツール本書では OSS( オープンソースソフトウェア ) の開発ツールを使用します 一般に OSS は営利企業ではない特定のグループが開発するソフトウェアで ソースコードが公開されており無償で使用できます OSS は誰でも開発に参加できますが 大規模な

本資料の内容は マイクロソフトの公式見解を基にはしていますが あくまでも私の経験に基づく個人見解です マイクロソフトの公式見解ではない部分もありますので よろしくお願いします 1

Zone Poisoning

キャッシュポイズニング攻撃対策

Microsoft Word - 【重要】ASM200_V4.10バージョンアップ手順rev2.docx

研究室LANの設定方法

untitled

PowerPoint プレゼンテーション

2.

Transcription:

Windows キャッシュ DNS サーバ と 社内情シスの私 株式会社ブロードバンドタワー 大本貴

職歴 2000 年インターネット総合研究所入社 2001 年プロデュースオンデマンド (PoD) に出向 ストリーミング配信技術担当 2007 年インターネット総合研究所に帰任 主に社内情報システムのサーバ ネットワーク運用 コンサルなど 2010 年春からDNSSECジャパンの活動に参加 2010 年ブロードバンドタワーに転籍 DNSSEC ジャパンの活動終了に伴い DNSOPS.jp の活動に合流 twitterでたまにdnssec 関連のつぶやきをしています @taxijpn こんなカバンで街中ほっつき歩いてます

社内情シス担当の皆さん キャッシュDNSサーバは どのソフトウェアをお使いですか?

社内ネットワークというと 多くの企業で利用されているのが Active Directory

Active Directory を導入しているなら必須なサービス それが Windows DNS サービス AD 認証機能で利用する内部ドメインの構成にもよりますが AD 認証対象となるドメインの権威 DNS 兼キャッシュ DNS サーバとするのが一般的ですよね?

( 決して MS の回し者ではありません ) そして 大丈夫ですか? 2015/7/14 Windows Server 2003 は MS サポート終了しました

アップグレードを考える server2003 server2008 R2 延長サポート 2020/01/14 まで server2003 server2012 R2 延長サポート 2023/01/10 まで server2008 を選択する主観的メリット server2012 のメトロ UI インターフェイスが くっそ使いにくくて作業がはかどらない! ( 個人の感想です ) サポートまだ 5 年あるし 2012 の次 (2016) は もうちょっと使いやすいの 出るかな? server2012 を選択する主観的メリット AD が完全仮想化出来るようになったとか DNSSEC 対応がようやくまともになったとか (R2)

で 2014 年の春に私の取った選択としては まだ6 年以上サポート期間あるし 2008R2にアップグレードや! 2012は自分一人で運用するだけでもしんどいのに チーム全体の練度を考えると生産効率落ちすぎで使えるかぃぃぃ! ~プロローグ完 ~

そして本題へ server2008r2 を導入して半年経過 ある社員から問い合わせが 社員 A なんか あるお客さんのドメイン だけが名前解決できないんだけど?

状況整理 お客さんのドメインは example.biz ( 仮 ) 主要な TLD のうち.biz なドメインだけが名前解決できない.com や.jp などのドメインの名前解決は正常動作 よくよく調べると example.biz だけでなく 他の ***.biz も名前解決できない というか.biz の NS すら ただし 社内キャッシュ DNS サーバを介さずに 8.8.8.8 などに問い合わせると.biz の各ドメインも名前解決できる 社内キャッシュ DNS サーバは DNSSEC 非対応 (server2008 は NSEC3 非対応だったりするので )

色々調べてみると MS の公式フォーラムの記事にたどり着いた Server 2008 DNS not caching.biz https://social.technet.microsoft.com/forums/wi ndowsserver/en-us/cde90577-0e42-40b5- b3c3-8f348805d2ad/server-2008-dns-notcaching-biz

Server 2008 DNS not caching.biz 2010 年の MS 公式フォーラムでの記事 投稿者たちの発言を要約すると やはり server2008 の Windows DNS サービスでは.biz は名前解決できないことがある が 原因は分からない ただし解決方法としてはこの記事内で 2 つの手法が提示されている EDNS0 を無効化する フォワーダー設定に *.biz の名前解決は 8.8.8.8 などにフォワードする設定を入れる

え EDNS0 が関係するの?! ファイアウォールが 512byte 以上の UDP パケットを叩き落す事例もあるらしい だが.biz の NS レコードを dig ると 302byte だが 当該 server2008 上からは nslookup できない そもそもファイアウォールが問題ならば 他の TLD も名前解決できないはず じゃあ TCP フォールバックは? WireShark でパケットを見ている限り 少なくとも問題のクエリについては どうやら TCP フォールバックせずに Server failed 判定しているように見える

社内ネットワーク内では DNSSEC 対応予定はまだない ので 試しに EDNS0 を無効化してみた 確かに *.biz の名前解決ができるようになった 残る疑問なぜ EDNS0 と server2008 と *.biz の組み合わせだけなのか EDNS0 が問題ならば 512byte を超えてないのに EDNS0 が関係するのか? もし DNSSEC 周りが問題ならば.jp や.com なドメインなどでも現象が発生しててもおかしくない DNSSEC 対応している 8.8.8.8 でも現象が出ておかしくないのでは? 納得いかないが すでに社内では騒ぎになっているし 復旧を優先し これで乗り切ることとした

と ここで終わってもネタ的に浅いので Windows Server2012 をセットアップして検証してみた Server2012 Server2012R2 のいずれも問題再現せず ちなみに server2003 でも問題再現しませんでした もちろん bind や unbound でも再現せず

まとめ ということで server2003 からの乗り換えは メトロ UI が辛くとも server2012r2 への乗り換えをお勧めします でも なんで EDNS0 無効化で解決できたんだろうか 納得できないが 社内情シスの立場として これ以上運用しているシステムを巻き添えにして深追いする余裕もない 興味のある誰かが追ってくれるだろうことを期待しよう ま ともかく 暫定復旧した Windows2008 先生の今後にご期待ください的 完

と 思っていたら 更に数か月後 別の社員から問い合わせが 社員 B なんか あるお客さんのドメインだけが 名前解決できないんだけど え 何このデジャヴ感 ま まさか ( ゴゴゴゴゴ )

He came back. 社員 B ********.biz です

キャッシュ DNS サーバの設定を再確認 レジストリを確認しても EDNS0 は無効設定のまま つまり EDNS0( とか 512byte 以上とか DNSSEC) はどうやら無罪 挙動を更に追跡して見ると どうも *.biz の NS である *.gtld.biz の A レコードの TTL が切れた時に A レコードの更新問い合わせをせずにそのままネガティブな状態を保持し続けているっぽい ( が 事象発生間隔から 複数の要素がトリガーな可能性もある もしかすると A レコードの TTL が切れている かつ NS レコードのキャッシュが有効なまま存在している時か?) ただ Cache バグに関するパッチは昨年 server2008 を構築した時点ですでに導入済み Windows Server 2008 R2 の DNS サーバーサービスは しばらく正常に動作した後 一部の外部 DNS 名を解決しません https://support.microsoft.com/en-us/kb/2508835/ja

その後 もう一つの回避策 で条件付きフォワーダーに設定投入 名前解決できない *.biz をを 8.8.8.8 に転送問い合わせする設定 再度 *.biz の名前解決できるようになった 暫定復旧 その後 フォワーダー設定を消去し 現在こちらのパッチで経過観察中 Windows Server 2008 and Windows Server 2008 R2 DNS Servers may fail to resolve queries for some top-level domains https://support.microsoft.com/en-us/kb/968372 レジストリの MaxCacheTTL 値を default の 1 日から 2 日以上に伸ばす処置.co.uk.br.cn で起きている現象への対策パッチだが 前述のドメインに限らない と書いてあるのでもしかすると.biz もこれか? 報告されている現象も酷似している ちなみに co.uk や.br の NS A レコード周りの TTL は 2 日.biz の NS と a.gtld.biz の A レコードは @*.gtld.biz 上は 6 日 root-servers は 2 日 gtld.biz の NS レコードの TTL は 2 時間 なのに server2008 のキャッシュ DNS サーバを介して gtld.biz の NS レコード ( キャッシュ済み ) を問い合わせると キャッシュクリア直後は 2 時間なのに しばらくすると TTL3 日以上の値が返ってくることがある あらやだ 何これ

再度のまとめ というような苦労もあるので server2003 で Active Directory をまだお使いの方は server2012r2 への乗り換えおすすめ ( もちろん 2012 は 2012 で DNS 周りの修正パッチがいくつか出ているので注意は必要ですが ) server2008 を使う ( 使っている ) ならキャッシュ DNS 周り見直してみてください ( 今把握しているのは.biz だけですが 新 gtld とか考えると震える ) dnscmd /clearcache コマンドをバッチで定期実行するとかも検討してみてください Windows DNS サービスに加えてフォワーダー用キャッシュ DNS サーバを unbound などで別建てすることをおすすめ ( その費用が出ないなら 8.8.8.8 へ )

おしまい より良い社内情シス運用ライフを!

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック