-
- いいね!3
taxi@ohmo.to
@TaxiJPN
.@TaxiJPN MSのtechnetにも記載されているActiveDirectoryと.localの関係。 technet.microsoft.com/ja-jp/library/… #dnsops
2014-06-26 17:09:41
Yoshikazu GOTO
@goto_ipv6
石田さん:英語でも揺れているのは、結局、RFCで揺れているからですね。 森下さん:最近は、統一されつつありますね。また、例えばWindowsでも、「DNSサーバー」ってなっていますよね?どっちなんだ、となります。 #dnsops
2014-06-26 17:10:01
Yoshikazu GOTO
@goto_ipv6
質問10:RRでCNAMEを、NSやMXで使ってはいけないというのは? 滝澤さん:RFCで定義されています。RFC 2181で。1034と1035で曖昧な部分をはっきりさせているRFCです。 #dnsops
2014-06-26 17:10:47
Yoshikazu GOTO
@goto_ipv6
滝澤さん:なぜダメなのか?については、何度もひくことになるので、リソースを食う、ということです。 #dnsops
2014-06-26 17:11:36
Yoshikazu GOTO
@goto_ipv6
質問11:委任元のDNSサーバー兄権威委任先のAレコードなどを挿入した場合について、キャッシュサーバーの挙動はどうなる?また、権威サーバーが複数ある場合、問い合わせを上手く制御する方法は? #dnsops
2014-06-26 17:12:36
西口昌宏
@mahbo
#dnsops メールサーバが自身の名前より優先順位の高いMXレコードを判定するためというような話を聞いたような。 < MXでCNAME駄目
2014-06-26 17:13:09
Yoshikazu GOTO
@goto_ipv6
いとうさん:1番目は、ゾーンカットの部分の親のゾーンに、子供のAレコードを書いた場合ですよね。親のゾーンにとっては、書かれている名前のゾーンを子に委任しているので、親のサーバーは、ここで話題になっているAレコードについて権威を持っていません。 #dnsops
2014-06-26 17:13:17
Yoshikazu GOTO
@goto_ipv6
キャッシュDNSサーバーとしては、親に書いてあるグルーを手がかりに、子供に聞いて、そこで初めて、権威を持った答えが得られる、と。 2番めですが、何とかする方法は思いつきません。 #dnsops
2014-06-26 17:13:58
Yoshikazu GOTO
@goto_ipv6
質問12:攻撃が常に発生していると思いますが、対策を取ろうとしても、現状難しい物があります 石田さん:IETFやOARCなどで、議論が始まったばかりで、特に、ここ数ヶ月のSSL、DNSを合わせたところの問題は、それでよくないのではないか、と出始めているが、 #dnsops
2014-06-26 17:15:02
Yoshikazu GOTO
@goto_ipv6
具体的に、再設計しましょう、といったところまでは出ていないです。 高田さん:というような話が、明日、されると思います。 #dnsops
2014-06-26 17:15:27
Yoshikazu GOTO
@goto_ipv6
石田さん:もちろん、問題意識を持っている人はグローバルにいます。また、今動いているものが、IPv4からIPv6への移行で苦労していることも含めて、課題があると。 #dnsops
2014-06-26 17:16:03
Yoshikazu GOTO
@goto_ipv6
質問13:特定ユーザーからの再帰検索は受け付けるが、フォワードは受け付けない設定は?また、内部専用ドメインへの設定はstubとフォワードのどちらが? いとうさん:受ける側からすると、RDが立っているかどうかしか無いので分からない、と。 #dnsops
2014-06-26 17:17:32
Yoshikazu GOTO
@goto_ipv6
質問14:使っているキャッシュDNSサーバーの実装が何かを知る方法は? いとうさん:version.bind を聞いてみると。しかし、セキュリティ上の理由で、答えない場合もあります。 #dnsops
2014-06-26 17:18:48
Yoshikazu GOTO
@goto_ipv6
島村さん:Unboundは、RDが立っていないallow-snoopを指定していると、答えないので、という挙動からみることに。しかし、他のソフトの場合も。 #dnsops
2014-06-26 17:19:41
Yoshikazu GOTO
@goto_ipv6
森下さん:DNSFP というものがあります 質問14-2:重複の時のオペレーションについて 森下さん:patchを当ててコンパイルして、テストしてが基本ですね。ただ、Pが増えた場合は、中の動作は変更されているわけではないので、大規模なテストは不要です。 #dnsops
2014-06-26 17:21:11
Yoshikazu GOTO
@goto_ipv6
左側の数字が増えると、大規模です。右側は、さほど規模が大きくないです。 島村さん:BINDに特化していると思いますが、まず、BINDをやめる、と。真面目な話。viewとか AAAAフィルターとか、BINDの機能を使っているならしかたが無いが。 #dnsops
2014-06-26 17:22:24
Yoshikazu GOTO
@goto_ipv6
BINDをやめられない場合は、BINDが刺さる場合はしかたが無いですが、落ちる場合は、スーパーバイザーを入れると、数秒で復帰してきます。 #dnsops
2014-06-26 17:23:07
Yoshikazu GOTO
@goto_ipv6
質問14-3:権威とキャッシュの区別は? いとうさん:中で使っている名前とか、ルートサーバーで折り返す設定をご覧になったのかも? キャッシュ専用サーバーとか、潔い分け方をしがたい設定を入れた場合は、バシッとしたわけかたもしがたい。 #dnsops
2014-06-26 17:24:31
Yoshikazu GOTO
@goto_ipv6
水野さん:キャッシュ「機能」と、権威の「機能」ということで、機能としてみたほうがいいのでは?と。例えば、キャッシュ機能のプロセス、権威のプロセス、みたいな。 #dnsops
2014-06-26 17:25:12
Yoshikazu GOTO
@goto_ipv6
質問15:おすすめの参考ブログ、書籍は? 石田さん:実践DNSを 高田さん:dnsops のページに結構上がっています。また、InternetWeekでも DNSDAYをやっています。そちらの過去の資料もWebmに公開されています。また、JPRSさんも。 #dnsops
2014-06-26 17:26:34
Yoshikazu GOTO
@goto_ipv6
森下さん:DNS関連技術情報、あそこにいくつか。また、InternetWeekでブランチセミナーが。その時の資料も後悔しています。 昨今、キャッシュポイズニングの原理を理解することは、DNSの理解につながりますので、ちゃんと理解することは重要です。 #dnsops
2014-06-26 17:27:27