番ポートへのアクセスを許可する

DNS サーバー

TCP 53 番ポートへのアクセスを許可する

ok!

 TCP 53 番ポートへのアクセスを許可する

 UDP だけの許可かも……？

 そもそも DNS サーバーでは TCP 53 番のオープンが必須！

結果

dig コマンド実行ゾーン転送

要求

DNS サーバー

2. マスターサーバー側のファイヤーウォールでブロックされている場合

Copyright © 2014

株式会社日本レジストリサービス

62 Copyright © 2014 株式会社日本レジストリサービス 62

1. ゾーン転送がうまくいかない _– 調査と具体例

dig コマンド実行

Slave Master

$ dig +norec @( マスター ) example.jp axfr

; <<>> DiG 9.9.2-P2 <<>> +norec @( マスター ) example.jp axfr

; (1 server found)

;; global options: +cmd

; Transfer failed.

実行結果例

3. マスターサーバー側でゾーン転送が許可されていない場合

君は許可

していないよ！

ゾーン転送要求

DNS サーバー結果

Copyright © 2014

株式会社日本レジストリサービス

63 Copyright © 2014 株式会社日本レジストリサービス 63

1. ゾーン転送がうまくいかない _– 調査と具体例

slave master

許可します！

 ゾーン転送の設定を見直す

 許可ホストの設定を間違えているかも……

dig コマンド実行ゾーン転送

要求

DNS サーバー結果

3. マスタサーバー側でゾーン転送が許可されていない場合

Copyright © 2014

株式会社日本レジストリサービス

64 Copyright © 2014 株式会社日本レジストリサービス 64

2. ピリオドを忘れた _{– [} 出題編 ]

$ORIGIN a.example.

$TTL 86400

@ IN SOA ns1.a.example. root.localhost. ( 1047 604800

86400 2419200 3600 )

IN NS ns1.a.example.

IN MX 10 mail.a.example ns1.a.example. IN A 192.0.2.54

ns1.a.example. IN A 2001:db8:53::53 mail.a.example. IN A 192.0.2.57

mail.a.example. IN AAAA 2001:db8:53::25 www.a.example. IN A 192.0.2.58

mail.a.example. IN AAAA 2001:db8:53::80

Copyright © 2014

株式会社日本レジストリサービス

65 Copyright © 2014 株式会社日本レジストリサービス 65

2. ピリオドを忘れた _{– [} 回答編 ]

$ORIGIN a.example.

$TTL 86400

@ IN SOA ns1.a.example. root.localhost. ( 1047 604800

86400 2419200 3600 )

IN NS ns1.a.example.

IN MX 10 mail.a.example.

ns1.a.example. IN A 192.0.2.54

ns1.a.example. IN A 2001:db8:53::53 mail.a.example. IN A 192.0.2.57

mail.a.example. IN AAAA 2001:db8:53::25 www.a.example. IN A 192.0.2.58

mail.a.example. IN AAAA 2001:db8:53::80

Copyright © 2014

株式会社日本レジストリサービス

66 Copyright © 2014 株式会社日本レジストリサービス 66

2. ピリオドを忘れた _{– [} 回答編 ] ～ dig の場合～

$ dig a.example. MX @127.0.0.1

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> a.example. MX @127.0.0.1

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8642

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:

;a.example. IN MX

;; ANSWER SECTION:

a.example. 15 IN MX 10 mail.a.example.a.example.

;; AUTHORITY SECTION:

a.example. 8 IN NS ns1.a.example.

;; ADDITIONAL SECTION:

ns1.a.example. 8 IN A 192.0.2.54

;; Query time: 4 msec

;; SERVER: 127.0.0.1#53(127.0.0.1)

;; WHEN: Thu Jul 18 20:47:26 2013

;; MSG SIZE rcvd: 92

mail.a.example.a.example.

3. SOA のシリアルを上げ忘れた

株式会社日本レジストリサービス

$ORIGIN a.example.

$TTL 86400

@ IN SOA ns1.example. root.example.jp. ( 2014062001

3600 900 64800 3600 )

• マスター / スレーブを構築している場合、スレーブが情報更新されない

• 権威 DNS サーバーによって返す応答が違う

– ゾーンデータの新しさは、シリアルの値の大小のみによって判断 – ゾーン情報を書き換えた後は、

$ dig @ ( スレーブ ) domain SOA +norec を実行

⇒ マスターと一致していることを確認！

更新したよ！シリアルあがってない。

更新しなくてよいか。

master

(ns1.example.jp)

slave

(ns2.example.jp) 情報

新

情報

旧

[ 補足 ] NOTIFY ^{（変更通知）} によるゾーン情報の更新

• 権威 DNS サーバーを複数設置

– ゾーン情報を全て手作業で更新するのは大変！

– 1 台をマスターにして、残りのマシンもこれに追従させる

ドキュメント内初心者のためのDNSの設定とよくあるトラブル事例 (ページ 60-67)

DNS サーバー

TCP 53 番ポートへのアクセスを許可する

ok!

 TCP 53 番ポートへのアクセスを許可する

 UDP だけの許可かも……？

 そもそも DNS サーバーでは TCP 53 番のオープンが必須！

結果

dig コマンド実行 ゾーン転送

要求

DNS サーバー

2. マスターサーバー側のファイヤーウォールでブロックされている場合

Copyright © 2014

62

Copyright © 2014 株式会社日本レジストリサービス 62

Copyright © 2014 株式会社日本レジストリサービス 62

1. ゾーン転送がうまくいかない – 調査と具体例

dig コマンド実行

Slave Master

$ dig +norec @( マスター ) example.jp axfr

; <<>> DiG 9.9.2-P2 <<>> +norec @( マスター ) example.jp axfr

; (1 server found)

;; global options: +cmd

; Transfer failed.

実行結果例

3. マスターサーバー側でゾーン転送が許可されていない場合

君は許可

していないよ！

ゾーン転送 要求

DNS サーバー 結果

Copyright © 2014

63

Copyright © 2014 株式会社日本レジストリサービス 63

Copyright © 2014 株式会社日本レジストリサービス 63

1. ゾーン転送がうまくいかない – 調査と具体例

slave master

許可します！

 ゾーン転送の設定を見直す

 許可ホストの設定を間違えているかも……

dig コマンド実行 ゾーン転送

要求

DNS サーバー 結果

3. マスタサーバー側でゾーン転送が許可されていない場合

Copyright © 2014

64

Copyright © 2014 株式会社日本レジストリサービス 64

2. ピリオドを忘れた – [ 出題編 ]

$ORIGIN a.example.

$TTL 86400

@ IN SOA ns1.a.example. root.localhost. ( 1047 604800

86400 2419200 3600 )

IN NS ns1.a.example.

IN MX 10 mail.a.example ns1.a.example. IN A 192.0.2.54

ns1.a.example. IN A 2001:db8:53::53 mail.a.example. IN A 192.0.2.57

mail.a.example. IN AAAA 2001:db8:53::25 www.a.example. IN A 192.0.2.58

mail.a.example. IN AAAA 2001:db8:53::80

Copyright © 2014

65

Copyright © 2014 株式会社日本レジストリサービス 65

2. ピリオドを忘れた – [ 回答編 ]

$ORIGIN a.example.

$TTL 86400

@ IN SOA ns1.a.example. root.localhost. ( 1047 604800

86400 2419200 3600 )

IN NS ns1.a.example.

IN MX 10 mail.a.example.

ns1.a.example. IN A 192.0.2.54

ns1.a.example. IN A 2001:db8:53::53 mail.a.example. IN A 192.0.2.57

mail.a.example. IN AAAA 2001:db8:53::25 www.a.example. IN A 192.0.2.58

mail.a.example. IN AAAA 2001:db8:53::80

Copyright © 2014

66

Copyright © 2014 株式会社日本レジストリサービス 66

2. ピリオドを忘れた – [ 回答編 ] ～ dig の場合～

$ dig a.example. MX @127.0.0.1

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> a.example. MX @127.0.0.1

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8642

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

dig コマンド実行ゾーン転送

1. ゾーン転送がうまくいかない _– 調査と具体例

ゾーン転送要求

DNS サーバー結果

1. ゾーン転送がうまくいかない _– 調査と具体例

dig コマンド実行ゾーン転送

DNS サーバー結果

2. ピリオドを忘れた _{– [} 出題編 ]

2. ピリオドを忘れた _{– [} 回答編 ]

2. ピリオドを忘れた _{– [} 回答編 ] ～ dig の場合～

• マスター / スレーブを構築している場合、スレーブが情報更新されない

更新したよ！シリアルあがってない。

[ 補足 ] NOTIFY ^{（変更通知）} によるゾーン情報の更新