先日、ioドメインの障害があったのだけど、自分がDNSの仕組みをよく分かっていないせいで、いまいちどういうことが起こっていたのか把握できなかった。そこで、DNSの仕組みについて軽く勉強したので、そのメモを残しておく。内容は間違っているかもしれないので、その場合は指摘してください。 DNSについて学んだこと Software Design 2015/4のDNSの教科書が非常に勉強になった。また、 インターネット10分講座:DNSキャッシュ - JPNICも参考になる。 権威サーバとフルリゾルバ まず、DNSサーバには権威サーバとフルリゾルバの二つの種類が存在する。 権威サーバ ドメインの情報を管理し、自分の管理しているゾーンの情報を提供するだけのサーバ 問い合わせたドメインが自分のゾーンの管理下ではない場合、別の権威サーバへ委任するという情報を返す コンテンツサーバとも言われる? 例) co
ICANNが、ルートゾーンに含まれる鍵(KSK/Key Signing Key)更新の予定を先送りすることを発表しました。 当初、2017年10月11日に鍵の署名が開始される予定でしたが、調査の結果、非常に多くのISPやネットワークオペレータの準備ができていないことがわかり、ロールオーバーの延期が決定したようです。 ICANN: KSK Rollover Postponed いまのところ、いつにKSKロールオーバーが開始されるのかは未定ですが、2018年第一四半期にできれば嬉しいと考えているようです。 KSKロールオーバーに関する参考リンク JPNICの解説 鈴木常彦先生の資料: DNSSECの仕組みとKSKロールオーバへの対応(PDF)
DNSのオンラインチェックツール集をメモする記事.色々ありますが,個人的に便利だと思ったものをリストアップしてます.見つけ次第更新. DNSSECを確認できるサイト http://dnsviz.net/ 図で視覚的に見せてくれて,どこまでが信頼できるかをわかりやすく見せてくれます. https://www.zonemaster.fr/ DNS Delegationをトレースして見せてくれるサイト http://dns.squish.net/ 個人的に好きなサイト.全て辿ってくれるのでわかりやすい. http://simpledns.com/lookup-dg.aspx dns.squishに比べてシンプルにテキストで表示してくれます. ちなみにローカルで動作するものも公開されてます.https://github.com/squish/dnstraverse # gem install dn
The Internet Corporation for Assigned Names and Numbers ("ICANN") today announced that the plan to change the cryptographic key that helps protect the Domain Name System (DNS) is being postponed. Changing the key involves generating a new cryptographic key pair and distributing the new public component to the Domain Name System Security Extensions (DNSSEC)-validating resolvers. Based on the estima
Mackerelサブプロデューサーの id:Songmu です。表題の件、ユーザーの皆様には度々ご迷惑をおかけしており大変申し訳ありません。 本件の詳細に関する説明と、今後の対応に関してお知らせいたします。 死活監視のアラート誤報に関して Mackerelでは、mackerel-agentから一定時間メトリック投稿が途絶えた事をもって、サーバーがダウンしたと判断し、死活監視アラートを発報する仕組みになっています。 現在、 mackerel.io ドメインの名前解決が不安定になっております。それに伴い、 mackerel.io ドメインの名前解決が一定期間失敗し、Mackerelへのアクセスが一時的にできない環境において、 mackerel-agent がMackerelへのメトリック投稿をおこなうことができず、Mackerelシステム側でサーバーがダウンしたと判断してしまい、死活監視のアラ
企業ネットワークや学術ネットワークなどでキャッシュDNSサーバーを運用しており、DNSSECを有効にしているのなら、KSK(Key Signing Key)という暗号鍵の更新が必要になる。その暗号鍵の更新処理が確実に実行されるように準備しておくことが極めて重要だ。 DNSSECを有効にしていないキャッシュDNSサーバーでは、暗号鍵の更新前後で何も変わらず、DNSのルックアップは問題なくできる。ただ当然ながらDNSSECを有効にしていないので、DNSSECによる保護は受けられない。 どの組織がDNSSECを有効にしているかを外部から判断するのは難しい。日本レジストリサービス(JPRS)によると、日本におけるDNSSECの普及率は12%くらい(「JP DNSサーバー」への名前解決の問い合わせに対する割合)だという。 影響を受けないようにするため注意が必要なのは、どのような企業か。 私が最も懸念
お客さま各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 2017年9月8日より、SSLサーバー証明書を発行の際、認証局はドメインのCAAレコードを 確認することが義務付けられます。それに伴い、当社のドメインメニューにおいて、ドメ インにCAAレコードを設定できる機能を、本日2017年9月7日から提供開始いたします。 詳細は下記をご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えるよう、精一杯努め てまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 <記> ■CAAレコード設定機能について ▼概要 さくらインターネットのドメインメニューで、ドメインにCAAレコードの設定ができ ます。 ▼料金 無料 ▼CAAレコードについて DNSのCAAレコードに自分が発行を許可する認証局を記述
DNSサーバだよ 自分の持っているゾーンファイルを参照して答えを返すよ 分からなければ「ごめん、分かんない」って返事するよ 簡単に書くよ 権威DNSサーバ(読:ケンイディーエヌエスサーバ 英:authoritative name server)とは IPアドレス(インターネットをするときにコンピュータに割り当てられる住所)とドメイン名(IPアドレスに付けた人間様向けの名前)の対応を管理するのが仕事のコンピュータ(DNSサーバ)の分類のひとつ であり 自分の管理している情報を教えてあげるのがお仕事のDNSサーバさんのこと です。 もう少し具体的に書くと IPアドレスとドメイン名の紐付けに関して、自分の管理する範囲内のIPアドレスとドメイン名の対応表を持っていて、問い合わせに対してはその対応表をもとに返事をするDNSサーバさんのこと です。 順番に見ていきましょう。 まずは予備知識として ・I
こんにちは、Windows プラットフォーム サポートの串田です。 今回は、先日総務省より通達があった DNSSEC を利用する際に使用されているルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性の確認方法についてご紹介いたします。 ICANN は、ルートゾーン KSK と呼ばれる、DNSSEC で使用される暗号化鍵のペアを更新することをアナウンスしました。 ルート DNS サーバーを経由する、DNSSEC を利用したインターネット上の名前解決には、ルートゾーン KSK が利用されるため、適切な対策が求められています。 これを受けて 2017 年 7 月 14 日(金) に、総務省からも対策の必要性が発表されています。 現在、サポート チームではそもそも運用環境にて DNSSEC を利用しているのか?利用していない場合でも対策が必要なのか?というご
# named -c /dev/null ! # unbound -c /dev/null ! ! ! ! ! access-list 100 permit udp any any eq 53 server 192.0.2.1 { edns-udp-size 1220; }; options { edns-udp-size 1220; }; edns-buffer-size: 1220; dig @192.0.2.1 www.example.com A +norec +dnssec +bufsize=4096 dig @192.0.2.1 www.example.com A +norec +dnssec +bufsize=1220 $ dig www.kernel.org ! ;; QUESTION SECTION: ;www.kernel.org. IN A ! ;; ANSWER SE
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く