- PR -

DNSの逆引きゾーンの役割について

1
投稿者投稿内容
muko
常連さん
会議室デビュー日: 2002/06/18
投稿数: 25
投稿日時: 2002-07-08 23:57
はじめまして、この2年ぐらいよくわからないまま行ってきたDNSの設定で逆引きについてこの場を借りて質問させてください。
DNSの設定で正引きが必要なのはわかるのですが、逆引きが何に必要かがわかりません。
今まで、とりあえずお決まりのように設定してきましたが、何をする時に必要なのかわかる方がいらっしゃいましたら教えていただけませんか?
当方では、DNSサーバが動作するとき必要ということ以外用途がよくわからないまま運用しています。
また、会社で回線を2系統持っているのですが、ここでDNSは片方にしか用意していません。
(正引きについては1系統でどちらの正引きも行っているのですが、逆引きは片方しか出来ない状態です)
この時、逆引きの出来ない回線上の制限等(この回線上にこういった用途のサーバは置けない等)、また本来ならどういった構築が望ましいのか、当方はこういった運用を行っているというような例でも結構ですので教えていただけないでしょうか?
初歩的な質問で申し訳ありませんがよろしくお願いします。
Junbow
ぬし
会議室デビュー日: 2002/01/24
投稿数: 373
お住まい・勤務地: saga.jp
投稿日時: 2002-07-09 12:05
 差し当たり、逆引きができないときにありがちなトラブルですが、メールを読み出す(POPの)時に、逆引きができないアドレスのマシンですと、読み出しに非常に時間がかかることがあります。きっと、ネームサーバーに問い合わせに行っているのだと思われます。
 それと、使用する可能性があるかどうかは別として、掲示板に書き込んだときなど、多くの掲示板システムでは、逆引きからネームを割り出してデータに落としています。それができないときは、生のIPアドレスが表示されることになりますので、精神衛生上あまり良くありません(^^;。
muko
常連さん
会議室デビュー日: 2002/06/18
投稿数: 25
投稿日時: 2002-07-09 12:39
早速のご回答ありがとうございます。
ご指摘の様にメールサーバを立てた時、FWの設定でIDENTを通していなくて、POPに異常に時間がかかっていたのを覚えています。
IDENTを使用しないようにしてPOPを上げてしまえば、メールサーバについては逆引きできない所に置いていても特に問題はないのでしょうか?
確かに、逆引きできないIPで掲示板等にIPが残ってしまうのは問題で、
サーバ等のアクセスログにホスト名ではなくIPアドレスが残ってしまうのでしょう。
それ以外に逆引きできないと絶対にまずいというようなサービスはあるのでしょうか?
どうもこの逆引きの用途というのが、IPからホスト名を引きたい時以外見えないものですから・・・
よろしくお願いします。
トラちゃん
会議室デビュー日: 2002/07/09
投稿数: 5
投稿日時: 2002-07-09 12:47
>DNSの設定で正引きが必要なのはわかるのですが、逆引きが何に必要かがわかりません。

HTTPなどの(根幹部分として)IP通信はご存じの通りIPアドレスを用いて行われます。
ドメイン名では行いませんので、通信相手はIPアドレスでしか相手を知ることができ
ません。IPアドレスでも問題ないのですが、(諸々の)アクセスログを読む際IPアドレ
スでは読みにくい(と思う人もいる)。するとサーバ側でログを残すときに「ホスト名
直してあげよう」と逆引きを行います。

逆引きが登録されていれば要求元はDNSのタイムアウトになるまで待つ必要がないので
処理が速やかに行われますが、登録されていないと悲劇がおこります。たまぁ〜に、
telnetなどでも逆引きする設定がされていると逆引き登録されていない端末からアク
セスすると login: が表示されるまでに茶を一杯のめるくらいの時間がかかります。
そうならないように逆引きを登録しておいてあげるか、逆引きしない設定にするか、、、
(あきらめるか)

もう一つ。IPv4なら苦にもならないと思います。が、v6の:区切りの16オクテット
(より多少短い)のアドレスをログに残されても結構悲惨ですね。ただし、登録作業
も(AAAAとはいえ)結構苦痛ですがね(悩)。
muko
常連さん
会議室デビュー日: 2002/06/18
投稿数: 25
投稿日時: 2002-07-09 13:04
ご回答ありがとうございます。
確かにご指摘の様に、サーバを新規でインストールしてまだ見える位置にないDNSなどを設定してしまった時に、接続しようとしてかなりの時間待たされたのを覚えています。
(Telnet、SSH,ftp等全て)おそらく接続元を探しているのだとは思いましたが・・・
逆引きの用途についてはご指南いただきまして理解することができましたが、実情として逆引きのゾーンを置けない環境の場合どのように運用されているのでしょうか?
私の会社で回線を2系統持っていまして、片方はDNSを置いていますので逆引きも出来ますが
もう一方のほうには、DNSを置いていませんので逆引きできません。
こういった構成の場合どのように設定されているのでしょうか?
お恥ずかしいお話で、こういった基本的なところを理解しないままきております。
よろしくお願いします。
トラちゃん
会議室デビュー日: 2002/07/09
投稿数: 5
投稿日時: 2002-07-11 09:31
改行位置変更しました。
>実情として逆引きのゾーンを置けない環境の場合どのように運用されている
>のでしょうか?
RFCとかDNSの運用規約をちゃんと読まないと正確な答えにはなりませんが、
置かなくてもなんとかなるもんです。なんとかなっているでしょうし。
#Tier1/Tier2の管理者さんが読んでたら怒りそうな気もしますが(汗)

気をつけないといけないのは、タイムアウトの話、なにかトラブルが発
生したときにトレースする手間をかけなければならないと言うところで
しょう。それを覚悟できていれば、なんとかなります。後者は力業で
一台一台つぶしていくしかありませんから。/24が1つくらいならなんと
か総動員でどうにかなるもんですが、/24クラスのネットワークが複数
でてくると泣くに泣けない状態になります。逆引き未エントリの端末が
自動繁殖タイプのウィルス・ワームに汚染されたりしたら泣くに泣けま
せんから。
#うれしいことにそんな体験は今のところありませんが。

もう一つの「力業」としてはhostsファイルを準備することです。社内→社外
のアクセスは普通プロキシなどのアプリケーションゲートウェイを利用
されると思いますので、各自が利用している端末は外の世界を知らなく
てもどうにかなりますよね。すると、社内とか閉じた世界だけ把握して
おけばよいわけですから、閉じた世界=社内、の端末すべて、あるいは、
通信が閉じる範囲(社内サブドメインの切れ目とかですね)でエントリを
生成してしまいます。ただし最初にも書きましたが、この方法は「力業」
です。ホスト名変更のたびにファイルを更新してやる必要があります。
DNSは自動的にそれができますが、hostsファイルは管理者がせっせと
更新して回らなければいけません。まぁ、hostsファイルが必要なのは
逆引きをしたいマシン=デーモンの動いている端末だけですし、くわえ
てそのマシンへのアクセスする端末もある程度絞り込めれば多少ましで
しょう。
#一カ所に情報を集約して、その情報を一日一回cronで持ってくる方法
#もありますが、更新タイミング次第で漏れがでてきます。

>私の会社で回線を2系統持っていまして、片方はDNSを置いていますので
>逆引きも出来ますがもう一方のほうには、DNSを置いていませんので逆引
>きできません。こういった構成の場合どのように設定されているのでしょうか?

それぞれの系でネットワークは独立ですか?独立であればそれぞれDNSサーバ
を設置するか、hostsファイルを置くかしないとだめですね。系でネットワー
クが独立していないのであれば、ルーティングか運用ポリシー(アクセス方向が
一方のみとか)ですから、そのあたりを管理されている方に相談ですよね。

それでは〜
Junbow
ぬし
会議室デビュー日: 2002/01/24
投稿数: 373
お住まい・勤務地: saga.jp
投稿日時: 2002-07-11 09:42
>私の会社で回線を2系統持っていまして、片方はDNSを置いていますので
>逆引きも出来ますがもう一方のほうには、DNSを置いていませんので逆引
>きできません。こういった構成の場合どのように設定されているのでしょうか?

 JPNICとかのデータベースで、今DNSを置いていない側のネットワークの
逆引きネームサーバーの指定としてもう1方のDNSを指定して、肩代わりさせる
運用は可能です。(もちろん既存のDNSが、グローバルなアドレス配下にあって、
さらにNICのDBに登録されている必要がありますが・・・)



1

スキルアップ/キャリアアップ(JOB@IT)