| /ConfigError /Recipe /d-n-s.info /dnscheck /minimal-responses /おかしな設定 /メイルサーバー /失敗 /演習 /要件 /調査 /迷惑な設定 /間違い |
1. DNS 設定 - 推奨編
DNS設定とはなにを指しているのでしょうか。あいまいな表現ですね。
1.1. 設定とは
ほとんどの人にとっては、リゾルバーのIPアドレスを手動設定することのようです。
- この解釈は除外するとします。
リゾルバーのオプションを設定するひともほとんどいない。
残るは権威サーバーでのレコード設定でしょう。
- 多くの場合はwebサーバーのIPアドレス(Aレコード)の変更を指しているようです。w
でも、意識しているかどうかは不明ながら、DNSゾーンサーバーの移転を「設定」とか「変更」とか言うひともいます。
- このケースが含まれていそうなら、要注意です。
webサーバーのアドレスだけを変更するというケースはほとんど見かけないのです。 -- ToshinoriMaeno 2018-04-16 00:49:57
1.2. なにを動かすか
設定以前になにを動かすかを決めなければいけないでしょう。
http://D/separation.html コンテンツサーバとキャッシュサーバとを分離する
DjbDns:jp/frombind.html BINDでも可能です。
1.3. コンテンツサーバの設定
DNS 関連のトラブルをさけるための DNSコンテンツサーバ のお勧め設定です。 DNS に関する誤解集
CNAME レコードはトラブルのもとです。 [http://www.iab.org/documents/docs/2003-09-20-dns-wildcards.html ワイルドカード ]]も避けた方がいい。
- 再帰検索はDDoS攻撃に利用される可能性もあります。 再帰検索を止めるには
http://D/separation.html コンテンツサーバとキャッシュサーバとを分離する必要があります。 [DjbDns:jp/frombind.html BINDでも可能です]]。
- 再帰検索はDDoS攻撃に利用される可能性もあります。 再帰検索を止めるには
サーバにはゾーン内の名前を付けること http://D/notes/glue.html (DJBの推奨)
- 外部のプロバイダのサーバにもゾーン内の名前をつけることを勧めます。 ネットワーク障害に強くなります。 ただし、IP アドレスは変化することがありますから、注意を怠らないようにする必要があります。
- NICや親サーバに登録した名前でサーバを動かすこと
- 登録したサーバは authoritative answer を返すように設定すること。
[http://dns.qmail.jp/server/lameserver.html (不完全サーバ)]] 複数のサーバを登録したら、すべてをきちんと動かすこと。 複数サーバを誤解していませんか
- 動いていないサーバは待ち時間を増し、ネットワーク全体に迷惑をかけます。
- 登録したサーバは authoritative answer を返すように設定すること。
- 登録したサーバの NS レコードを設定すること:
値部には A レコードをもつホスト名を書きます。 別名を書いてはいけません。 TTL は 3 日程度を推奨します。
[wiki:DjbDns:notes/expire.html グルーの期限切れサーバ]]にならないように、 NS サーバの A レコードの TTLを 3日 以上にします。
- SOA レコードにはプライマリサーバの名前, 管理者のメイルアドレスをいれること
DNS サーバ間で一致していることを確認すること。 SOA レコードの TTL と Minimum フィールドの値を大きく(3 時間以上)すること。 DNS/ネガティブキャッシング [http://dns.qmail.jp/rfc2308/ Negative Caching]] を効果的に利用するために、 qmail.jp ドメインでは 1 日にしています。
メイルサーバのためのDNSレコード設定 MX レコードを作成すること
- MX レコード値には CNAME は使ってはいけません。 ゾーン内の A レコードラベルを指定することを推奨します。 送信用メイルサーバの逆引き(PTR)レコードも設定しておく方がいいでしょう。
- プライベートアドレスを使うなら、 ローカルに逆引きできるように ローカルのコンテンツサーバの設定をしておく。
- ローカルキャッシュサーバは逆引きデータが設定されたローカルサーバを参照させる。
- 親サーバにセカンダリサーバを兼ねてもらっているときには、 親サーバのセカンダリサーバも要注意です。
- co.jp ドメインでの調査(良好な設定の調査)
[http://dns.qmail.jp/survey/cojp/809/ (1)8-09]] [http://dns.qmail.jp//survey/cojp/814/ (2)8-14]]
- co.jp ドメインでの調査(良好な設定の調査)
1.3.1. ネットワークへの負荷への配慮
- NS レコード の TTL は 一日 以上(三日程度)にしてください。
- TTL を短かく設定すことは上位サーバ(特にルートサーバ)に 無用な負荷をかける利己的な行為です。
- 一般にはどのタイプのレコードも 3600 秒以上を指定すべきです。
最近は [http://dns.qmail.jp/IPv6/ipv6config.html 無意味な IPv6 IP アドレスを問い合わせてくる迷惑なサーバ]]があります。
1.3.2. 頑健性
複数のサーバを設置しても片方がダウンしたら、 アクセスできなくなるような設定をしていませんか。
複数のサーバを設置しても同じネットワーク内にあったら、 外部接続点での故障に対しては二重化の効果がありません。
1.4. キャッシュサーバの設定
リゾルバーの設定 (config)
外部のリゾルバーを使うひとも多いでしょう。
localにリゾルバーを動かすことも重要です。(組織のため)
1.5. ローカル情報
-- ToshinoriMaeno 2017-01-17 02:19:12