- PR -

DMZに複数のプライマリDNSが...

1
投稿者投稿内容
エド
会議室デビュー日: 2005/01/21
投稿数: 5
投稿日時: 2005-01-21 14:47
はじめまして、シス管一年生です。

現在お守りをしているシステムを見ていると、DMZと指定されている同一ネット
ワーク内に、Windows2000ServerのDNSサーバーとLinuxのSquidを使ったプロキシー
サーバーにそれぞれDNSが稼動していました。
コンフィギュレーションを見ると、それぞれがtype "master"となっており、
それぞれのゾーンデータにはお互いに相手がセカンダリとして設定されています。
正引き、逆引き、共に全く同じゾーンデータ(セカンダリ設定以外)をお互いに
持っています。
LAN内部の各クライアントPCは、w2kのDNSサーバーをプライマリーに、LinuxのDNS
をセカンダリーに設定されていました。


先輩方の説明は、グローバルIPをもつ外部のDNSは上位プロバイダが運営している
こと、DMZに存在するDNSサーバーは内部向けであること、構築した担当者が既に
不在で経緯も不明だが今までトラブルが発生していないことから、問題なしという
ことでした。
未だこのような構成例を見たことも聞いたこともないのですが、こういった構成
では問題が発生しないのでしょうか?

今後メンテを担当することになりそうなので学習をしているのですが、なかなか
追いつかずとても不安です。
ニック
ベテラン
会議室デビュー日: 2004/10/20
投稿数: 60
投稿日時: 2005-01-21 16:13
こんにちは。

Windows同士だと、Active Directory統合ゾーン・モードの場合、
複数のプライマリサーバ構成もあるようです。http://www.atmarkit.co.jp/fwin2k/operation/adprimer004/adprimer004_02.html
しかしWindowsとLinuxの場合はどうなんでしょう・・・

引用:

コンフィギュレーションを見ると、それぞれがtype "master"となっており、
それぞれのゾーンデータにはお互いに相手がセカンダリとして設定されています。
正引き、逆引き、共に全く同じゾーンデータ(セカンダリ設定以外)をお互いに
持っています。


"相手をセカンダリとして設定"というのが良く分からないのですが、
問題無ければ、コンフィグ内容を書くことは出来ますか?

引用:

未だこのような構成例を見たことも聞いたこともないのですが、こういった構成
では問題が発生しないのでしょうか?


お互いゾーン転送を行わない?ので、更新する際は両サーバとも手動で
更新が必要になり、データの不整合等の問題が出てくるんじゃないで
しょうか。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-01-21 19:29
引用:

それぞれのゾーンデータにはお互いに相手がセカンダリとして設定されています。

これは、ゾーン転送を許可するサーバを明示的に指定しているだけでしょう。
なので、片方をmasterにして、片方はslaveにするために設定してあるように
見えるんだけど、実際は両方ともmasterに設定してあるだけでしょう。

引用:

正引き、逆引き、共に全く同じゾーンデータ(セカンダリ設定以外)をお互いに
持っています。

ここについてはすでに言われてる通り。

引用:

LAN内部の各クライアントPCは、w2kのDNSサーバーをプライマリーに、LinuxのDNS
をセカンダリーに設定されていました。

これはDNSサーバとしてのマスター/スレーブとは関係ないです。
DNSクライアントとしてどちらのDNSを見に行くか、だけの問題です。

引用:

DMZに存在するDNSサーバーは内部向けであること、

内部向けにしか情報を提供してないのであれば、DMZに置く必要は無いですよね。
まさか、ファイアウォールで、このDMZ上のDNSサーバに対し、DNSリクエストを
受け付けるような設定になってたりしないでしょうね?
なってれば、そのDNSサーバに問い合わせれば、ご丁寧にLAN内のホスト名/IPアドレス情報を
答えてくれる状況なんですが。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-01-21 23:00
こんばんわ.
引用:

エドさんの書き込み (2005-01-21 14:47) より:

現在お守りをしているシステムを見ていると、DMZと指定されている同一ネット
ワーク内に、Windows2000ServerのDNSサーバーとLinuxのSquidを使ったプロキシー
サーバーにそれぞれDNSが稼動していました。

大きな問題はお二方が書かれているので,気になる点だけ.
squid はどこの DNS を見ているのでしょうか?
自力で DNS を稼動して,そこから ISP の DNS Server に forward している?
それとも自分の中の DNS は無視して,外へ直接見に行っている?
そこに矛盾が生じなければ,管理の都合上,一方を 2ndary にした方がよろしいかと.
二重管理した場合,一方の書き間違いなどで client で矛盾が生じてしまうかも.

Mattun 様のご指摘どおり,DMZ に置く意味がないようです.
が,外部に見せるために内部の環境と隔離するので,
或いは「内部から護るため」とか?
エド
会議室デビュー日: 2005/01/21
投稿数: 5
投稿日時: 2005-01-25 10:02
ニック様、mattun様、kaz様、アドバイス有難うございます。

このネットワークを構築されたソフトベンダーのエンジニアさんから、
イントラ向けのDNSなのでF/W内部で完結しているから、サービスアタック等や
クラッキングを受ける心配はないとのこと。
資料にはDMZと銘打ってあるので「何故に?」と質問したところ、用語ぐらい
調べてくれと怒られました(質問の意図を酌んでもらえませんでした...)。

F/Wの外側には外部DNSと公開Webサーバーがあり、委託業者がホスティングして
いるそうです。

masterが2台あることに関しては、内部DNSと銘打っているサーバー(W2Kのサーバー)が
ダウンしたときに、プロキシーサーバーのDNSがプライマリとして機能するとのこと。
どうやらセカンダリだということのようです。ご指摘頂いた「ソーン情報の更新が
反映されないのでは?」という質問をしたところ、両方に同じ更新をして欲しいという
指示と、そういう運用で承認を得ているから、問題なら内部で話し合ってくれという
回答が来ました。

前任者の方のドキュメントが一切ないので、この構成の意図は良く分からないのですが、
今回の「この設定でどんな問題が発生するのか」という懸念に関して、皆様からの
アドバイスはとても参考になりました。

自分でもっと学習しないとダメですね。
本当にありがとうございました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-01-25 23:55
こんばんわ.
引用:

エドさんの書き込み (2005-01-25 10:02) より:

このネットワークを構築されたソフトベンダーのエンジニアさんから、
イントラ向けのDNSなのでF/W内部で完結しているから、サービスアタック等や
クラッキングを受ける心配はないとのこと。
資料にはDMZと銘打ってあるので「何故に?」と質問したところ、用語ぐらい
調べてくれと怒られました(質問の意図を酌んでもらえませんでした...)。

お気の毒です.
firewall に護られていても,DNS 本来の通信は普通に出来るわけで,
その通信については「護る」ことはできない,
つまりその通信に基づいた攻撃には耐えられないのではないかと.
もっとも,「訊きに行くだけ」しか許可していないなら
或いは「護られている」と言えますけど,なんとなく「言い訳」じみてます.
要するに "DMZ" という用語しか思いつかなかっただけではないかと.
引用:

両方に同じ更新をして欲しいという
指示と、そういう運用で承認を得ているから、問題なら内部で話し合ってくれという
回答が来ました。

意図があるんでしょうか?
実は良くわからないだけでは?
実際そのような業者さんに遭遇したことがあります.
「primary/2ndary と両方の DNS に同じ設定をしてください」と言われたそうです.
なので,「こうすればそんな必要ないんですよ」と教えてあげたことがあります.
その類であれば,普通に変更してよろしいのではないかと思います.
内部向けならある程度慎重にやれば可能だと思いますが?

余計なお世話であれば読み捨ててください.
1

スキルアップ/キャリアアップ(JOB@IT)