1. DNS/1/ゾーンサーバ/引越/JPRS
Contents
1.1. いつもながらの羊頭狗肉
DNSサーバーの引っ越し ~トラブル発生を未然に防ぐ手順とポイント~
トラブルとはなんだ。w
- DNSSECのことは考慮しない、という重大な断りがあります。
1.2. 前提が不自然
なぜ以下のケースを取り上げるのか、背景を考えてみる必要がある。
今回は引っ越しの中でも特に (A)すべての権威DNSサーバーのホスト名とIPアドレスが変更される (B)Webサーバーやメールサーバーなど、権威DNSサーバー以外のサーバーのホスト名は変更されず、 IPアドレスのみが変更される 場合について、作業時のトラブル発生を未然に防ぐ、本来あるべき手順について解説します。
とある。 (B)の条件は作業を複雑にするので、DNSサーバ以外の変更は行わないことにする。
JPRSはDNSがすんなり移転できると過信したので、webの移転も含めてしまったのかもしれない。それが間違いだ。
1.3. webサーバーのIPアドレスは変更しない
webサーバーの移転とDNSサーバーの移転は分離するのがよい。
- もしDNSサーバーの移転を先行させるのであれば、DNS移転持にはwebサーバーの移転はしないことだ。
なぜ同時に行うかの検討もあと回し。
- 旧webサーバーのIPアドレスが固定されていないというケースは別途扱う。(CNAMEでしか指定されていないなど)
JPRSの説明でもwebサーバーのIPアドレスの変更には触れられていない。w
これは同時移転はしないようにという意味だと解釈しておく。-- ToshinoriMaeno2017-12-03 15:37:44
ここは読み間違いで、同時移転する話が書いてあった。
1.4. DNSサーバーの名前の変更
サーバーの名前がいわゆるドメイン内部名である場合:
- (A)をより簡単したケース:サーバーの名前は変更しないで、IPアドレスだけを変更する
場合を(A0) と呼び、こちらを先に検討することにします。
(A0)
qmail.jp は a.ns.qmail.jp をNSとして持つ。(JPサーバにもこの名で登録) 移転前のIPアドレスは 14.192.44.5 である。
名前はそのままで、IPアドレスを14.192.44.6 に変更するものとする。
BINDなどでは、このようなIPアドレスだけの変更は無視されるらしい。
- つまり、上位の委譲がTTL満了するまではIPアドレスは変わらないし、 Ghost Domain Names脆弱性のあるリゾルバーではどうなるか、不明である。 JPRS手順でDNSサーバーの名前を変更するように書いてある理由のひとつだろう。
1.5. サーバーの名前は変更した方がよいか
変更したからと言って、上位の委譲が満了になる前に変更後の名前が有効になるという保証はない。
毒盛の危険性を考慮するならば、有効にしない動作の方が安全と言える。
1.6. 結論
DNSサーバの移転が有効になると言えるまでには、 現状では委譲のTTLである1日を待つしかない。
webサーバーなどの移転を同時に行わないのがよいという根拠である。
webサーバーのIPアドレスを変更するだけであれば、あらかじめTTLを10分程度に縮めてあれば、 変更も10分待つだけでよいことになる。 その間、旧サーバーにやってくるアクセスをどう処理するかは運用次第だ。 -- ToshinoriMaeno 2017-12-02 10:30:37
1.7. JPRSのいう正しい委任
正しい委任成立のための三つの条件
DNSの仕様では正しい委任を成立させるために、 ① 親がNSで示したすべての権威DNSサーバーが、権威を持つ応答を返す ② 子がNSで示したすべての権威DNSサーバーが、権威を持つ応答を返す ③①と②の権威DNSサーバーが同じ応答を返す の三つの条件をすべて満たしている必要があります。
どこにこんな仕様があるのだろう。(望ましい振る舞いであることはわかる) -- ToshinoriMaeno 2017-12-03 15:08:04
親が委任したNS(子)に自身が含まれていないのは正しいと言えるのだろうか。
NSレコードを追加作業中はどうなんだろう、とか。
まあ、どこかの実装が文句を言わなければいいとするのだろう。 -- ToshinoriMaeno 2017-12-03 15:28:42
1.8. 委譲を変更する
レジストラを経由して変更することになるので、それなりの権限が必要になる。
- ドメイン権利者がこのことを理解していればいいのだが、JPRS文書では触れられていない。
いつ有効になるか。TTLは1日から2日が多いが、6日というTLDもある。
-- ToshinoriMaeno 2017-12-03 15:36:07