DNS 設定 - 推奨編

コンテンツサーバの設定

DNS 関連のトラブルをさけるための DNSコンテンツサーバ のお勧め設定です。 DNS に関する誤解集

  1. CNAME レコードはトラブルのもとです。

  2. 再帰検索サービスはしないこと

    • 再帰検索はDDoS攻撃に利用される可能性もあります。 再帰検索を止めるには

      http://D/separation.html コンテンツサーバとキャッシュサーバとを分離する

    • http://D/frombind.html BINDでも可能です。

  3. サーバにはゾーン内の名前を付けること
    • 外部のプロバイダのサーバにもゾーン内の名前をつけることを勧めます。 ネットワーク障害に強くなります。 ただし、IP アドレスは変化することがありますから、注意を怠らないようにする必要があります。
  4. NICや親サーバに登録した名前でサーバを動かすこと
    • 登録したサーバは authoritative answer を返すように設定すること。

      DNS/不完全移譲

    複数のサーバを登録したら、すべてをきちんと動かすこと。

    複数サーバを誤解していませんか 動いていないサーバは待ち時間を増し、ネットワーク全体に迷惑をかけます。

  5. 登録したサーバの NS レコードを設定すること:
  6. SOA レコードにはプライマリサーバの名前, 管理者のメイルアドレスをいれること
    • DNS サーバ間で一致していることを確認すること。 SOA レコードの TTL と Minimum フィールドの値を大きく(3 時間以上)すること。

      DNS/ネガティブキャッシング Negative Caching を効果的に利用するために、qmail.jp ドメインでは 1 日にしています。

  7. メイルサーバのためのDNSレコード設定 MX レコードを作成すること

    • MX レコード値には CNAME は使ってはいけません。 ゾーン内の A レコードラベルを指定することを推奨します。
    送信用メイルサーバの逆引き(PTR)レコードも設定しておく方がいいでしょう。
  8. プライベートアドレスを使うなら、 ローカルに逆引きできるようにローカルのコンテンツサーバの設定をしておく。
    • ローカルキャッシュサーバは逆引きデータが設定されたローカルサーバを参照させる。
  9. 親サーバにセカンダリサーバを兼ねてもらっているときには、 親サーバのセカンダリサーバも要注意です。
    • co.jp ドメインでの調査(良好な設定の調査)

ネットワークへの負荷への配慮

  1. NS レコード の TTL は 一日 以上(三日程度)にしてください。
    • TTL を短かく設定すことは上位サーバ(特にルートサーバ)に 無用な負荷をかける利己的な行為です。
  2. 一般にはどのタイプのレコードも 3600 秒以上を指定すべきです。

最近は無意味な IPv6 IP アドレスを問い合わせてくる迷惑なサーバがあります。

頑健性

複数のサーバを設置しても片方がダウンしたら、 アクセスできなくなるような設定をしていませんか。

複数のサーバを設置しても同じネットワーク内にあったら、 外部接続点での故障に対しては二重化の効果がありません。

でも、DNS だけ二重化することに意味はありません。


前野年紀