BIND 9で設定は絶対してはいけない設定:query-source port 53; #dnsops
2015-07-24 10:37:40NATとソースポートランダマイゼーション。NAT(NAPT)でもポート番号が一致すれば外からの偽の応答が届く。また、一部のNAT機器では推測されやすい形でポート番号変換がなされるので注意。 #dnsops
2015-07-24 10:39:06パフォーマンスチューニング。recursive-clientsやnum-queries-per-threads、max-cache-sizeやrrset-cache-size/msg-cache-sizeの引き上げ。 #dnsops
2015-07-24 10:41:18DNS応答が大きい場合に起こる問題。IPフラグメントが届かない問題、TCPに対応しないクライアントの問題。 #dnsops
2015-07-24 10:42:04応答サイズを小さくするための手法の一つとして、minimal-responsesオプションの紹介。 #dnsops
2015-07-24 10:42:46フルリゾルバーの挙動をたどる:dig/drillコマンド、全体を俯瞰(ふかん)する:Squish.net(Jamesさん提供)、dnscheck.jp(JPRS提供)。 #dnsops
2015-07-24 10:44:25フルリゾルバーのトラブル:古いキャッシュのクリアに関する問題、resolv.conf設定変更に関する問題(変更後も旧IPアドレスで問い合わせるケース)。 #dnsops
2015-07-24 10:47:40権威DNSサーバーのトラブル:SOAシリアルの上げ損ね、シリアル巻き戻し(RFC 1982)の紹介。 #dnsops
2015-07-24 10:48:24ゾーンファイルの記述ミス。ピリオドの付け忘れ。対策としては設定ファイル表記の流儀を決めておくことが有用。 #dnsops
2015-07-24 10:50:18CNAMEでしてはいけないこと。CNAMEを定義したownerに対し他のRRを定義するのはだめ、NSやMXのRDATAにCNAMEで定義したaliasを書くのはだめ。 #dnsops
2015-07-24 10:52:13多段CNAMEについて。何段まで動作するかは実装による。BINDは16段。Unboundは8段。 #dnsops
2015-07-24 10:53:36ここまでの総まとめ。 #dnsops pic.twitter.com/6Tr14IzpMs
2015-07-24 10:54:17最後に、今回詳細を紹介しなかった参考資料の紹介。DNS Summer Daysの資料以外に、Internet WeekのDNS Dayのいくつかの発表資料も紹介。 #dnsops
2015-07-24 10:56:09慶樹さん:このチュートリアルの資料は公開されているので、そちらを参照いただきたい。 #dnsops
2015-07-24 10:57:56なかたにさん:スライド22の「フルリゾルバーの機能で」は「スタブリゾルバーの機能で」ではないか。平林さん:書き方が不適切な点があるので、事後資料で対応します。 #dnsops
2015-07-24 11:01:33(以降はポイントのみをつだります。というかそれはもはやつだりではないな) #dnsops
2015-07-24 11:03:14多段CNAMEって最近のCDN事業者とか使いまくってる気がするんだけど実際のところどうなんだろうなぁ?わかって使う分には自己責任でどーぞという感じか? #dnsops
2015-07-24 11:03:56