DNSがよくわかる教科書 ch12 権威サーバーの移行
- ホスティング事業者の移行に伴う権威サーバーの移行
- DNSの引っ越しにおいて考慮すべき項目
- 本来あるべき引っ越し手順
- 権威サーバーと他のサーバーの移行を同時に行う場合
- Column: 幽霊ドメイン名脆弱性
ホスティング事業者の移行に伴う権威サーバーの移行
DNSの引っ越しにおいて考慮すべき項目
2つの移行対象(権威サーバーとゾーンデータ)
- 権威サーバーの移行においてもさらに、移行対象は2つある
- 権威サーバーそのもの
- 権威サーバーが保持するゾーンデータ
- 別々に移行すべき
- 同時に移行するとトラブりがち
並行運用期間
- 古いゾーンデータがインターネット上のフルリゾルバーのキャッシュから消えるまで、十分な並行運用期間が必要
- さもないと変更前と変更後のどちらのサーバーにも問い合わせが到達する可能性がある
委任情報変更のタイミング
フルリゾルバーの実装による動作の違い
- 一時的に親子間で異なるNSリソースレコードが設定される
- その状態のフルリゾルバーの動作は一定していない
- DNSソフトウェアの種類、バージョン、キャッシュの状況等による
- 特定のフルリゾルバー利用者のみ引っ越しがうまくいかないことも
アクセスタイミングによるキャッシュの状況の違い
- いつ新しいデータを提供するようになるかは各フルリゾルバーのキャッシュの状況次第
非協力的なDNS運用者(Non-Cooperating DNS Operators)
- 移行元の権威サーバーのNSリソースレコードに移行先の権威サーバーのみを設定可能でなければならない
- 移行元のホスティング事業者から見れば「出ていく顧客」なので協力してもらえないことがある
本来あるべき引っ越し手順
- 移行先のサーバーの用意
- 権威サーバー
- メールサーバー
- Webサーバー など
- MX/A/AAAAのTTL値の短縮
- メールサーバー・Webサーバーなどの移行
- 移行元の権威サーバーに移行先のメールサーバーのMX、WebサーバーのA/AAAAなどを設定する
- キャッシュが消えるのを待つ
- 権威サーバーの移行
- 委任元(親)と移行元(子)のNSリソースレコードを変更し、移行先の権威サーバーに向ける
- 非協力的なDNS運用者はこれを呑んでくれなかったりする
- キャッシュが消えるのを待つ
- 委任元(親)と移行元(子)のNSリソースレコードを変更し、移行先の権威サーバーに向ける
- MX/A/AAAAのTTL値の復旧
権威サーバーと他のサーバーの移行を同時に行う場合
- 権威サーバーの移行
- 委任元(親)と移行元(子)のNSリソースレコードを変更し、移行先の権威サーバーに向ける
- 非協力的なDNS運用者はこれを呑んでくれなかったりする
- キャッシュが消えるのを待つ
- これができなかったりする
- 移行元の権威サーバーのNSレコードを変更できない
- 変更できるが、よそのサーバーのIPアドレスを指すレコードを設定できない
- 移行先の権威サーバー
- 移行先のメールサーバー・Webサーバー
- インターネット上のフルリゾルバーにデータのキャッシュが残ってしまう
- 移行元の権威サーバーへの委任情報
- 移行元の権威サーバーに設定された、移行元のメールサーバーのMX、WebサーバーのA/AAAA
- 移行元のゾーンデータと移行先のゾーンデータがインターネット上に混在した不安定な状態になる
- 俗に「浸透待ち」などと呼ばれる
- DNSのキャッシュに浸透といった仕組みはないので不適
- 俗に「浸透待ち」などと呼ばれる