1. DNS/NS移転
NSレコードの変更が見えるようになるまでには時間がかかる。
トラブルが多い。下手するとなりすまし攻撃もあり得る。-- ToshinoriMaeno 2019-05-21 23:35:26
1.1. 背景
ウェッブサーバーの移転なのにDNSサーバーまで移転して、「浸透待ち」と呟いているのを見かける。
DNSサーバーを移転する必要はありません。
webサーバー、DNSサーバー、ドメイン名管理は別々に管理できます。
ここでは、どうしてもDNSサーバーを移転する場合の話を書きます。
| /問題例1 /説明例 |
1.2. why
なぜNSを変更するのか。変更の必要があるのか、よく検討しましょう。
- 一番多いのは業者の説明にしたがっているだけの場合だ。NS変更させている業者が多い。
- 意味もわからずにしたがっているのだろう。
DNSサーバー提供業者がDDoS攻撃を受けて、しかたなく移転するという場合も見かけた。
- 移転が解決になるわけではないが、今後も発生することを恐れての移転かもしれない。
1.3. what
zoneを保持するDNSゾーンサーバーを変更すること。
使っているドメイン名により、かかる時間が変わる。
委譲元である上位のサーバーにNS(またはglue)変更を依頼する。(ドメイン名に権利を持つことを示す必要がある。)
- ドメイン登録業者(レジストラ)に依頼する。
委譲に使われるNS(とglue)のTTLは1日以上のことが多く、しかも短縮指定ができないという不都合が存在する。
1.4. how
委譲元である上位のサーバーにNS変更を依頼する。
- master/slave 現在使っているサーバーを移転予定のサーバーに依存する。
1.5. who, when
1.6. トラブル
TLDレジストリ(レジストラ)に登録したNS(A)レコードのTTLは1日程度になっています。(JPドメインなど)
- czのように1時間になっているところもあります。
このTTL期間が過ぎるまでは、旧DNSサーバーへ問い合わせが行われる可能性があります。
- 旧サーバーを落としたとしても、問い合わせを続けるリゾルバーもあります。
- 共用DNSサービスを使っている場合には、注意が必要です。(なりすまし攻撃)
旧サーバーを落とした場合にUnboundで問い合わせると、待たされることになる。-- ToshinoriMaeno 2018-03-07 01:38:27
$ dig skr2.qmail.jp @127.0.0.2 ; <<>> DiG 9.12.0 <<>> skr2.qmail.jp @127.0.0.2 ;; global options: +cmd ;; connection timed out; no servers could be reached
旧サーバーでのNSレコードなども新サーバーに向けておくのがいいでしょう。
- slaveサーバーが存在する場合には特に。
委譲用のNSレコードを変更する依頼をする前にやれることがあります。
あるいは委譲変更依頼のあとにやれることもあります。
DNSサービス業者によって、やれることとやれないことがあります。
webサービス、ドメイン名販売業者がおまけで提供しているDNSサービスには制約があるかもしれません。
1.7. 制約の例
TTL変更ができない。NS設定ができない。NS名のAレコードが設定できない。
1.8. 移転の加速
移転もとのNSを書換できるのであれば、TTLを短縮しておいて、
委譲の変更にあわせて、移転元のNSも変更するのがよい。-- ToshinoriMaeno 2019-05-21 05:27:22