Upload File

コンテンツdnsサーバの移行...

  • Home
  • Documents
  • コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。
13
コンテンツDNSサーバの移行 Matsuzaki maz Yoshinobu <[email protected]> この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。 2009/6/11 1 Copyright (c) 2009 Internet Initiative Japan Inc.

Upload: others

Post on 19-Apr-2020

1 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

コンテンツDNSサーバの移行

Matsuzaki ‘maz’ Yoshinobu

<[email protected]>

この資料はINTEROP2009で行ったDNSホットトピックス向けに作成した資料から内容を抜粋して作成したものです。

2009/6/11 1Copyright (c) 2009 Internet Initiative Japan Inc.

Page 2: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

コンテンツDNSサーバの移行

• コンテンツDNSサーバが変更になる事はある

– IPアドレスの変更

–利用している接続やDNSサービスの変更

• なるべくスムーズな移行を行いたい

–様々な手法が伝承されている

• レコードのTTLを短くする etc.

–思ったより切り替わりが遅いなどの事象

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 2

Page 3: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

登場人物

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 3

キャッシュDNS

.jp DNS

example.jp DNS

example.jp DNS

主な作業範囲

各ISPやその利用者など

端末

Glueの登録場所

Page 4: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

みんながやる事前準備

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 4

example.jp DNS

example.jp DNS

主な作業範囲

なるべく早く情報が反映されることを期待して、該当するレコードのTTLを短く設定する

ゾーン情報を同期する

旧サーバをそのまま移設する場合もある

Page 5: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

移行の当日

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 5

.jp DNS

example.jp DNS

example.jp DNS

主な作業範囲

Glueの登録場所

指定事業者経由でネームサーバの変更申請を行う。最近は高頻度更新なのでちょっと安心

新サーバがネームサーバとなるように、ゾーン情報の更新

旧サーバでも新サーバに準拠してゾーン情報を更新

Page 6: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

移行後の遷移期間

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 6

キャッシュDNS

.jp DNS

example.jp DNS

example.jp DNS

各ISPやその利用者など

端末

Glueの登録場所

上位サーバでの書き換えは完了

ゾーン情報も新しいDNSに準拠

キャッシュDNSサーバ

は移行後もしばらくは旧サーバを参照

Page 7: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

鍵を握るのはキャッシュDNS

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 7

キャッシュDNS

各ISPやその利用者など

端末

そのドメインを参照するユーザへの影響を小さくしたい

移行の際の注意点はキャッシュDNSの実装にひどく依存する

Page 8: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

glueとdelegationと

• キャッシュDNSサーバによって、何を信じるかポリシが違う

–委譲先の情報も利用する

• キャッシュに残っている情報

• 情報の得られ方によって信頼度を変えている

• BIND9等

–委譲元の情報を頑なに信じる

• CNS等

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 8

Page 9: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

委譲先の情報も利用する実装

• 上位のサーバが切り替わる前から新サーバにqueryを投げる

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 9

.jp DNS

example.jp DNS

example.jp DNS

IN NS 旧DNS

IN NS 新DNS

IN NS 新DNS

キャッシュDNS

委譲先に書いてある、新DNSという情報を信じる

Page 10: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

委譲元の情報を信じる実装

• 上位のゾーンに書いてある情報に基づいて旧DNSにqueryを送る

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 10

.jp DNS

example.jp DNS

example.jp DNS

IN NS 旧DNS

IN NS 新DNS

IN NS 新DNS

キャッシュDNS

委譲元から教えられた情報のみを信じる

Page 11: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

glueのTTLと、委譲元を信じる実装

• .jpではTTLが1日(86400)

–ユーザ側で変更できない

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 11

.jp DNS

example.jp DNS

example.jp DNS

IN NS 新DNS

IN NS 新DNS

IN NS 新DNS

キャッシュDNS

.jp DNSで新DNSへ更新が完了してからも、最悪1日間程度は旧サーバを参照する

TTL 86400 = 1日

Page 12: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

CNSではglueとキャッシュを別管理

• 外部からはglueの状態を確認できない

– example.jpのNSを問い合わせると、新DNSを回答

– しかし実際にqueryを送っているのは旧DNS向け

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 12

example.jp DNS

IN NS 新DNS

キャッシュDNS

glue: 旧サーバキャッシュ: 新サーバ

Page 13: コンテンツDNSサーバの移行 この資料はINTEROP2009で行ったDNSホットトピックス向けに 作成した資料から内容を抜粋して作成したものです。

良い移行手順

• 上位DNSのTTL程度は新旧サーバを平行運用–できないなら、複数台あるうちの1台は残す

–いきなり旧サーバを全て落とすと、名前解決に問題が発生するかも

–平行運用後、旧サーバでゾーン情報を削除

• ゾーン情報は新旧サーバで一致させる– NSレコードなども含めて

–切り替わりを確認するために、敢えて新旧で異なるレコードをテスト用に登録しておく手法もある

2009/6/11 Copyright (c) 2009 Internet Initiative Japan Inc. 13


初心者のためのDNS運用入門 トラブルとその解決の …...Question 権威 DNS サーバ キャッシュ DNS クライアント サーバ • クライアントからキャッシュDNSサーバーへのクエリ

インターネッツの繋がるしくみ(DNS編) #sa_study

動きだしたDNSSEC · 2012-01-27 · 権威dnsサーバの運用 • dnssec対応した権威dnsサーバを運用するためにする こと – 鍵生成 – ゾーンへの署名

DNS アウトソーシング コントロールパネル操作マニュアル · いたします。登録したゾーンのレコード編集ができるWeb 管理画面を提供します。

DNS キャッシュポイズニング対策 ~DNSの役割と …DNS(Domain Name System)とは、 DNSは、ホスト名(例:)とIPアドレス(例:202.229.63.242)とを紐付ける情報を提供します。Webサー

DHCP/DNSサーバーアプライアンス - Allied Telesis...DHCP/DNSサーバーアプライアンス ネットアテスト ディースリー 安心なネットワークのために

Windows Server 2008 R2 IPv6 的 DNS 及 IIS 設定 · DNS f6e5d4 (SOA) IPv6 (AAAA) 17 CTR) DNS DNS w1N2008 imntcedll im_ntc _ ed u _ tv im.ntc.edn.tv DNS DNS DNS w1N2008 imntcedll

dns-Drechselkurse - Drechselstube Neckarsteinach · dns-Einsteigerkurs dns-Fortgeschrittenenkurs dns-Themenkurse dns-Profikurse dns-Betriebseventkurs Anmeldung / Anfahrt / Übenrachtung

OctoDNSとGitLab CI/CDを利⽤した 複数DNSプロバイダー構成の … · •OctoDNSをインストールしたDockerコンテナを起動して、 •octodns-syncを実⾏するようにする。

広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―

DNSトラブルシューティング - DNSOPS.JP · – DNS に特化した統計情報取得・グラフ作成ツール& • 障害通知(異常なクエリを検知してアラートを上げたりとか)はしない&

Webinar DNS 1550 DNS 1100

iR W1040 使用説明書 付録 - cweb.canon.jp · dnsを使用しているとき dnsサーバー上のデータファイルに設定したホストを使用します。 dhcpを使用してプリンターのipアドレスを設定しているとき

たせしました アンフォーレオープンしました! - 安 …...お待たせしました アンフォーレオープンしました!アンフォーレグランドオープニングイベント(6月1日)にて

リモートパワーオン設定...入力欄が表示されたら、PCに設定されている代替DNSサー バを入力し【Enter】を押します。 ※ 代替DNSサーバが存在しない場合は,初期値の「0.0.0.0」で【Enter】を押しま

DNS Summer Days - 日本DNSオペレーターズグループdnsops.jp/event/20150724/DNS_Summer_Days_tutorial_hirabayashi_final-1.pdf · • DNSが検討されたのはARPANETからThe

nginxを利 した DNS over TLS 対応フルリゾルバの作り

Windows DNS Active Directory...2005/10/07  · Active Directory (ドメインコントローラ)を探 しだし自身のドメインにログオンを行う ¾DNS サーバー上のレコード(SRV)として

ネットワーク接続(TCP/IP)設定手順書【 編】...優先DNSサーバー 代替DNSサーバー ③上記①及び②の数値が入力されたことを確認して ... ゲートウェイ

NetAttest EPS 設定例 - SolitonRECHALLENGE=OFF VJC=ON - 19 - 2012/07/20 3-5 DNSリレーの設定 1. DNSリレー機能を有効にします。 2. 接続確立までISPのDNSサーバーアドレスが不明なため、DNSリクエストの転

NW2010 411 560 10(06) - Nikkei BPec.nikkeibp.co.jp › item › contents › brouse › t_P84250.pdf①PC1がDNSサーバに対してのDNSリクエストを送信する ②DNSサーバは、DNSリプライとしてのIPアドレス192.168.1.1を

DNS の仕組みの基本を理解しよう集中連載:DNS の仕組みと運用(1) DNS の仕組みの基本を理解しよう DNSはなぜ必要か? まず最初に,「DNSとは何か」を説明するために,「なぜDNSが必要になるのか」を考えて

お得祭り2020 - エプソン...予定販売台数に達した為 販売終了いたしました 予定販売台数に達した為 販売終了いたしました 販売終了いたしました

Microsoft Failover Cluster を利用した IMail Server …...2) 起動後、探索タブ内の【ポータルの検索】をクリックし、「IP アドレス又はDNS 」に iSCSI

セカンダリDNSサービスについてdnsops.jp/event/20160624/zone-axfr.pdf · 2016-07-04 · セカンダリDNSサービスについて ゾーン転送を実装・改造してみた

Red Hat Satellite 6.3 インストールガイド...5.8.1. GSS-TSIG 認証を使用した動的 DNS 更新の設定 5.8.2. TSIG 認証を使用した動的 DNS 更新の設定 5.8.3

今さら聞けないIP アドレスとドメイン名 ~見抜く …サーバ net DNS サーバ com DNSサーバ DNS DNS DNS DNS example DNS サーバ exampleの DNSサーバが

コンテンツプロバイダから見た 権威DNSサーバ · 2017. 1. 25. · コンテンツプロバイダから見た 権威DNSサーバ 2016年12月1日 株式会社DMM.com

DNS トラフィックに着目した C&C ドメイン検知手法の検討

DNS...DNSを利用したブロッキング(以下、DNSブロッキング方式)をあげていることから、広く利用 されることが想定されるDNSブロッキング方式についての標準的な実施方法等をドキュメント

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS …• BIND, djbdns, NSD, Microsoft DNSなどほぼ全てのDNSサーバが対応 • ASPサービスを利用している場合には事業者の対応次第

DNS Cache y DNS Zonas_Dquintero

動かしてみました DNSSEC - JANOG...CentOS 5.5 DNS Query.1 IP Address .2 192.168.1.2 Subnet Mask 255.255.255.0 Gateway 192.168.1.1 DNS Server 192.168.1.1 2001:db8:café::4 26

コンテンツプロバイダから見た 権威DNSサーバ

DNS キャッシュポイズニング対策 ~DNSの役割と …1.2 DNSキャッシュポイズニング DNSキャッシュポイズニングによる脅威(その1) 【攻撃者が罠をはったWebサーバへの誘導】