レコード - みる会図書館

4.4dig を叩いてリソースレコードを確認してみようしかも AIias レコードには「 ZONEAPEX でも使える」だけでなく、「 CNAME と違って名前解決が 1 回で済む」という利点があります。たとえば startdns. fun というドメインに紐づく IP アドレスを調べようとしたとき、 CNAME レコードの場合は「 startdns. fun の CNAME レコードは cdn. example. jp で、 cdn. example. jp の A レコードは 203.0.113.222 」のように名前解決が 2 回発生します。対して Route53 の Alias レコードで「 startdns. fun のェイリアス先は cdn. example. jp である」という設定をしておけば、フルリゾルバが startdns. fun の A レコードを問い合わせに来たら「 startdns. fun の A レコードは 203.0.113.222 」のように一発で IP アドレスを返すので名前解決は 1 回で済みます。ネームサーバで Route53 を使っていても、参照先の CDN やロードバランサーが AWS 外なのであれば CNAME を使うしかありませんが、参照先が AWS 内のサービスであれば AIias レコードを使わない手はありません。 ZONE APEX に限らず積極的に使いま 4.4.13 グルーレコードところでドメインを買ったとき、お名前.com のネームサーバや Route53 を使う他に自力でネームサーバを立てて使うこともできます。 Linux サーバを立てて Apache をインストールすればウエプサーバになるように、 Linux サーバを立てて BIND をインストールすればもうそれは立派なネームサーバです。たとえば筆者が startdns. fun というドメインを買って、自分で作ったネームサーバに nsl. startdns. fun という名前を付け、 startdns. fun の NS レコードに nsl. startdns. fun を設定したとします。このとき、ブラウザで http : / / startd Ⅱ s. fu Ⅱ / を開こうとすると次のようになります。 123 きに行く 7. フルリゾルバはルートネームサーバに nsl. startdns. fun に紐づく IP アドレスを聞 6. a. nic. fun は「 startdns. fun のネームサーバは nsl. startdns. fun だよ」と教えてく 5. フルリゾルバは a. nic. fun に startdns. fun に紐づく IP アドレスを聞きに行く 4. ルートネームサーバは「 . fun のネームサーバは a. nic. fun だよ」と教えてくれる 3. フルリゾルバはルートネームサーバに startdns. fun に紐づく IP アドレスを聞きにことを確認 2. フルリゾルバは自分の中に startdns. fun に紐づく IP アドレスのキャッシュがない 1. フルリゾルバに startdns. fun に紐づく IP アドレスを聞きに行く

2. DNSをはじめよう

第 4 章 dig と whOis を叩いて学ぶ DNS 生 4.9 PTR レコード A レコードは前述のとおりドメインから IP アドレスを正引きできるレコードです。対して IP アドレスからドメインを逆引きできるレコードのことを PTR レコード * 26 と呼び $ dig —x IP アドレス + short きません。この IP に対して PTR レコードを設定できるのは、 IP アドレスの持ち主であ 203.0.113.222 だったとして、この IP の PTR レコードを Route53 で設定することはでですが、たとえばさくらインターネットの VPS で借りたサーバの IP アドレスがで設定ができます。用しているので、 startdns. fun の A レコードや MX レコード、 SPF レコードは Route53 ます。筆者は startdns. fun というドメインを持っており、ネームサーバは Route53 を使と、 PTR レコードのような IP アドレスのリソースレコードは設定依頼をする先が異なりなお A レコードや MX レコードや SPF レコードといったドメインのリソースレコード PTR レコードは次の dig コマンドで確認できます。きができること」という条件も満たさないと迷惑メールと判断することがあります。ドに登録されていること」だけでなく「メール送信元の IP アドレスからドメインの逆引メールを受信するメールサーバによっては「メール送信元の IP アドレスが SPF レコー 152. 195.38.205 CS1018. wpc. omicroncdn. net . $ dig aibO ・ sony ・ jp a + short んな風にドメインと IP アドレスが返ってくることがあります。ときどきドメインから IP アドレスを引こうとして dig で A レコードを調べたのに 4.4-10 CNAME レコードるさくらインターネットの管理画面からとなります。 118 https : //aibo. sony ・ jp/ * 27 * 26 poinTeR record の略然関係のなさそうなドメインが出てくるのでしよう ? 十 short オプションを外して、このなぜ aibo のサイト、 27 の A レコードを調べると CS1018. wpc. omicroncdn. net という全

3. DNSをはじめよう

第 4 章 dig と whOis を叩いて学ぶ DNS レコードは名前解決に使われることなく無視されてしまうのか、あるいは使われるのか動作が全く保証されません。このような理由から Route53 をはじめとするネームサーバのサービスでは、 CNAME レコードを設定した場合は他のリソースレコードが設定できないようになっています。また「ありとあらゆるレコード」には CNAME レコードも含まれるため、次のように CNAME レコードを複数設定することもできません。 campaign. example . CO 爪 . campaign ・ example . com. IN IN CNAME CNAME cdnl . example ・ jp ・ cdn2. example ・ jp ・ ZONE APEX は CNAME を使えない 122 * 31 startdns . fun. IN CNAME cdn. example ・ jp ・す。 * 33 Route53 の Alias の他に CloudFIare の CNAME Flattening など類似のサービスはいくっかありま ' 32 Elastic Load Balancing の略。 AWS のサービスの 1 つでいわゆるロード . バランサーのことです。 Domain や NakedDomain 、ホスト名なしドメインなどと呼ばれることもあります。レジストラやリセラで買ったいちばん短い表記のドメインのことを ZONE APEX と呼びます。 Apex startdns. fun や example. jp のように www や stg といったサブドメインを含まないドメインのこと。ができるのです。 * 33 Route53 の AIias レコードという独自拡張を使うと ZONE APEX でも CDN を使うことや ELB * 32 を使いたいと思っても ZONE APEX では使用できなかったのですが、なんとには NS レコードと SOA レコードが必ず存在する」という 2 つの制限から、たとえ CDN 前述の「 CNAME レコードは他のリソースレコードと共存できない」「 ZONEAPEX Route53 の AIias レコードなら ZONE APEX でも設定可能 SOA レコードと NS レコードが自動生成されていたのを覚えていますか ? ) です。 ( お名前.com で自分のドメインを買った後、 Route53 でホストゾーンを作成したらおよび「このドメインの管理情報はこれだよ」という SOA レコードが必ず存在するから ZONE APEX には「このドメインはこのネームサーバを使うよ」という NS レコード、なぜならば CNAME レコードが他のリソースレコードと共存できないのに対して、と思っても、次のような CNAME レコードは設定できないのです。 ZONE APEX*31 では CNAME を設定することができません。筆者が CDN を使いたい前述の℃ NAME レコードは他のリソースレコードと共存できない」という理由から、

4. DNSをはじめよう

4.4dig を叩いてリソ解答ースレコードを確認してみよう正解は A です。ただし B も CNAME レコードとその A レコードが返ってくるので、 B も正解で構いません。 CNAME レコードは CDN 、 29 を使うときによく利用されます。 $ dig kidokid. bornelund. co. JP cname + short b0 て nelund ー ELB ー 1960389134. ap-northeast-l. elb. amazonaws . com. CDN を使う場合だけでなく、 1 台のウェフ。サーバに大量のサイトが相乗りしているような場合も CNAME レコードを使うと便利です。たとえばウエプサーバにサイト A 、サイト B 、サイト C ・・と計 100 サイトが相乗りしていてそれそれ A レコードを設定していた場合、ウエプサーバを引っ越すとなったら 100 件の A レコードを書き換えなければなりません。ですが、 A レコードを設定しているのはサイト A のみで、それ以外のサイトは CNAME でサイト A のドメインを指定するという方法にしておけば、サーバ引っ越しに際して書き換えなければならないのはサイト A の A レコードのみです。 4.4.12 CNAME と他のリソースレコードは共存できない一見便利な CNAME レコードですが使用する際は注意点があります。それは「 CNAME レコードを設定したら、他のリソースレコードは設定できない」ということです。たとえば次のような CNAME レコードと MX レコードは共存ができません * 30 campaign ・ example. com. campaign ・ example ・ com. IN IN CNAME MX cdn. example ・ jp ・ mail .example.com/ campaign.example.com の CNAME レコードで cdn. example. jp を設定すると、 A レコードだけでなく MX レコードも TXT レコードも NS レコードも、ありとあらゆるリソースレコードが cdn. example. jp を参照しに行ってしまいます。そのため 2 行目で campaign.example.com の MX レコードで mail.example.com を設定しても、その MX 、 29 Contents DeIivery Network の略。アクセスしてきたエンドユーザに最も近いサーバからサイトのコンテンツを効率的に配信できる仕組みのこと。 CDN を使うとエンドユーザからのアクセスが分散されるため、 TVCM や LINE 砲で一気にアクセスが殺到してもサイトが落ちたり重くなったりしないで済みます。、 3 ( ) A CNAME record is not allowed to coexist with any other data. http : //www. ietf.org/rf c/ rfC1912. txt 121

5. DNSをはじめよう

2.4 リソースレコードつまり社長が A 部門というゾーンを A 部長に委任していたように、ルートネームサーバに任せることを委任と呼びます。このように自身が任されているゾーンを分割して、その一部のゾーンを他のネームサーリソースレコードには次 ( 表 2. I) のように A レコードや MX レコードといった種類は 03 一〇〇〇〇一〇〇〇〇」といったリソースレコードがあるのです。うゾーンの中には「 B さんの携帯番号は 090 一〇〇〇〇一〇〇〇〇」や「 B さんの自宅番号の C さんは B さんというゾーンを管理してます。そして C さんが管理する B さんとい先ほどの会社の例で言うと、 A 部長は A 部門というゾーンを管理していて、マネージャドを書くことができます。「 staging. startdns. fun とそれに紐づく IP アドレス」のようにたくさんのリソースレコーとそれに紐づく IP アドレス」や「 www.startdns.fun とそれに紐づく IP アドレス」、をリソースレコードと呼びます。たとえ tistartdns. fun のゾーンの中には「 startdns. fun そしてこのゾーンの中にある「ドメインと IP アドレスの紐づけ」ひとつひとつのこと帳が管理している範囲を前述のとおりゾーンと呼びます。「 example.com の電話帳」のようにドメインごとに分かれています。この一冊一冊の電話ネームサーバのお腹の中にある電話帳は管理しやすいように「 startdns. fun の電話帳」 2.4 リソースレコードり、任されたゾーンをさらに分割して他のネームサーバに委任したりできます。ているネームサーバは、そのドメインについて権威を持つので、サフ。ドメインを作ったバは . fun というゾーンを a. nic. fun に委任していた、ということです。ゾーンを委任されリソースレコードのタイプ値の意味を表 2.1 リソースレコードの種類があり、それぞれ書き方も決められています。 A レコード CNAME SOA TXT (SPF) MX レコード NS レコードドメインに紐づく IP アドレス ( 例 : ウェブサーバ ) ドメインのゾーンを管理するネームサーバドメインに紐づくメール受信サーバこのドメインのメール送信元サーバドメインのゾーンの管理情報このドメインの別名でリソースレコードの参照先それぞれのリソースレコードをどういうときに使うのか ? については第 3 章「 AWS のネームサーバ (Route53) を使ってみよう」や第 4 章「 dig と whois を叩いて学ぶ DNS 」で具体例を見て、手を動かしながら確認していきましよう。 67

6. DNSをはじめよう

4.4.5 4.4.6 4.4.8 4.4.9 4.4.11 4.4.13 グルーレコード 4.4.12 CNAME と他のリソースレコードは共存できない 1 2 0 【ドリル】 CNAME の調べ方と使いどころ 4.4.10 C N AM E レコード PT R レコード【ドリル】どうしてメールが迷惑メール扱いされるの ? SPF レコード (TXT レコード ) 【ドリル】他社へのサイト移管時にネームサーバの所在が不明 N S レコードートラブルシューティング 5.1 5.2 5.3 5.4 5.5 5.6 < トラブル > URL は www ありなしどっち ? くトラブル > . dev で終わるテストサイトが見られなくなったサイト移管の AtoZ 【ドリル】リニューアル後のサイトか人によって表示されないくトラブル > サブドメインを追加したのにサイトが見られない 126 .. 1 2 8 5.3.1 ] 2 9 . 1 2 7 < トラブル > CAA レコードが原因で SSL 証明書が発行できなかった < トラブル > AWS で突然ドメイン名が引けなくなった 5.6.1 レートリミットを超えると NXD 〇 M N を返す ] 3 8 1 3 8 ] 3 8 5.6.2 勝手に TTL を短くする 1 3 / 付録 A 本当の AWS A. 1 あとがき著者紹介 AWS - 愛はワガママサンシャイン凵 3 . 1 45 9 ] 42

7. DNSをはじめよう

4.4dig を叩いてリソースレコードを確認してみよう結果に至るまでの過程を見てみましよう。 $ dig aib0 ・ sony ・ jp a くく > > DiG 9.8.2 て cl ー RedHat ー 9.8.2 ー 0.62. rcl . e16 ー 9 . 5 くく > > aibo . sony ・ jp a global options : + cmd GOt answer : —>>HEADER くく一 opcode : QUERY , status : NOERROR, id : 58537 flags : qr rd ra; QUERY: 1 , ANSWER: 2 , AUTHORITY: 2 , ADDITIONAL: 4 ; QUESTION SECTION : ;aibO ・ sony ・ jp ・ ; ANSWER SECTION : aibO ・ sony ・ JP ・ 300 IN CS1018. wpc. omicroncdn. net . 3091 IN ; AUTHORITY SECTION : omicroncdn . net . omicroncdn . net . ・ ADDITIONAL SECTION : nsl . omicroncdn . net . nsl . omicroncdn . net . ns2. omxcroncdn . net . ns2. omicroncdn . net . Query time : 0 msec SERVER : 127.0.0.1 # 53 ( 127.0.0.1 ) ・ WHEN: Mon Mar 19 22 : 09 : 15 2018 を MSG SIZE rcvd: 209 IN CNAME CS1018. wpc. omicroncdn ・ net . 152. 195.38.205 ns2. omicroncdn. net . nsl . omicroncdn . net . 172518 IN 172518 IN NS NS 5 CO ロ 0 : ^ 0 ・ 0 ・ 0 0 0 0 0 8 8 8 8 ・ 2 ・ 2 つみ 6 つる CD ・ 0 ・ 0 CN 6 ワ】 ^ 0 っーっっー CN 172518 IN 172518 IN 172518 IN 172518 IN AAAA AAAA ANSWER SECTION を見てみましよう。 aibo. sony. jp の CNAME レコードに CS1018. wpc. ornicroncdn. net が設定されており、さらに CS1018. wpc. omicroncdn. net の A レコードに 152.195.38.205 が設定されていることが分かります。このとき「 aibo. sony. jp 」を aliases ( 別名 ) 、「 CS川18. wpc. omicroncdn. net 」を canonical name ( 正式名 ) と呼びフルリゾルバは aibo. sony. jp の A レコードを調べに行って、 A レコードの代わりに CNAME レコードが見つかった場合、名前解決の対象を正式名である CS1018. wpc. omicroncdn. net に置き換えて引き続き A レコードを調べ、最終的に CS1018. wpc. omicroncdn. net の A レコードに紐づく IP アドレスを返してきます。このように CNAME レコードが設定されているときは、 A レコードを問い合わせても結果として CNAME レコードと、その正式名の A レコードの両方が返ってきますが、 CNAME レコードだけを調べたいときは次の dig コマンドで確認できます。 $ dig ドメイン名 cname + short 119

8. DNSをはじめよう

第 5 章トラブルシューティング * 7 138 https : //dev. classmethod. jp/cloud/aws/amazon¯dns¯threshold—exceeded—action/ 囲が 172.31.0.0 / 16 の場合、 Amazon DNS の IP アドレスは 172.31.0.2 となります。オクテッドを 2 にした IP アドレスで自動的に作成されます。たとえば VPC の IPv4 ネットワークの範 * 6 正確にはインスタンスを立てたらではなく、 VPC を作成すると AmazonDNS は VPC の範囲で第 4 す。新ちなみに JPRS では co. jp や jp の CAA レコードは作成しておらず、当面作成する予定もないそうでいのですが、リソースレコードの TTL が 60 秒以上の場合、 Amazon DNS はすべて 60 ソースレコードで TTL が 60 になって返ってきました。公式ドキュメントでは記載がな AWS の EC2 で dig コマンドを叩いてみたところ、 TTL を 1000 にしているはずのリ 5.6.2 勝手に TTL を短くするかってきちんと応答が返ってこなくなるのです。、 7 ンスで大量に dig を叩いて、バケット数が秒間 1024 バケットを超えると、制限に引っかフェイスあたり最大 1024 バケット / 秒」に制限されています。つまり EC2 のインスタ Amazon DNS に対する名前解決の問い合わせのバケット数は「ネットワークインター 5.6.1 レートリミットを超えると NXDOMAIN を返すこの Amazon DNS は、次のように若干変わった挙動をするので注意が必要です。ムサーバですので全く別物です。呼ばれるフルリゾルバが用意されます。 Amazon DNS はフルリゾルバ、 Route53 はネー AWS の EC2 でインスタンスを立てると、自動的にネットワーク内に Amazon DNS*6 と 5.6 < トラブル > AWS で突然ドメイン名が引けなくなった定されていないか確認してみるのがよいでしよう。ず失敗してしまったときは、そのドメインの TLD までさかのぼって CAA レコードが設行が制限されてしまった、というトラブルが予想されます。 SSL 証明書の発行が思いがけのに、その親ドメインで CAA レコードを設定していたため、予期しない形で証明書の発そのため証明書を発行しようとした FQDN では CAA レコードを設定していなかったドまでさかのぼって順に確認していきます。 * 5 レコードを確認、それもなければ co. jp の CAA レコード、最終的には jp の CAA レコー www.example.co.jp の CAA レコードがないか確認し、なければ example. co. jp の CAA たとえば www.example.co.jp の証明書を取ろうとした場合、最初は見つからない場合の挙動には注意が必要です。通り証明書の発行に際してチェックや制限は一切行われません。ただし CAA レコードが

9. DNSをはじめよう

5.5 くトラブル > CAA レコードが原因で SSL 証明書が発行できなかった・ ANSWER SECTION : test . startdns . fun . ; AUTHORITY SECTION : startdns . fun . startdns . fun . startdns . fun . startdns . fun . , ADDITIONAL SECTION : nSー1072. awsdns—06. org ・ 168458 IN Ⅱ s ー 1072. awsdns ー 06. org. 168458 IN Ⅱ s ー 1605 . awsdns-08. co . uk . 168458 IN Ⅱ s ー 1605 . awsdns—08. co . Ⅱ k . 168458 IN nSー177. awsdns—22. com . 168459 IN nSー177. awsdns—22. com . 168459 IN nSー943. awsdns-53. net . 168459 IN nSー943. awsdns-53. net . 168459 IN Query time: 163 msec ; SERVER : 127.0.0.1 # 53 ( 127.0.0.1 ) , WHEN: Wed Mar 21 18 : 19 : 03 2018 MSG SIZE rcvd: 367 IN 203.0. 113.222 300 Ⅱ s ー 1605. awsd Ⅱ s ー 08. co . uk . ns ー 177. a sdns ー 22. com . nSー1072. awsdns—06. org. れSー943. awsdns-53. net . ャ 1 H H H 3599 3599 3599 3599 205.251. 196.48 2600 : 9000 : 5304 : 3000 : : 1 205.251. 198.69 2600 : 9000 : 5306 : 4500 : : 1 205.251. 192. 177 2600 : 9000 : 5300 : b100 : : 1 205.251. 195. 175 2600 : 9000 : 5303 : af00 : : 1 AAAA AAAA AAAA AAAA 新たにサイトをオープンするとき、まだリソースレコードが用意できていないのにプラウザでサイトを開いてしまい、リソースレコードが用意できた後で再度確認しようとしたらなぜか見られない・・という現象はこのネガテイプキャッシュが原因です。「もう A レコード用意できたかな ? 」と確認するときは、ネガテイプキャッシュが残っても困らない環境で dig を叩いてみるのがお勧めです。 5.5 くトラブル > CAA レコードが原因で SSL 証明書が発行できなかった最近、 SSL 証明書を取得するときに℃ AA レコード」という言葉を聞くようになってきました。 CAA レコードの CAA は Certification Authority Authorization の略で、 CAA レコードに「そのドメインの証明書を発行できる認証局」を書いておくことで、意図しない認証局による証明書の発行を防ぐ仕組みになっています。たとえば毎年 DigiCert で startdns. fun の SSL 証明書を発行をしており、それ以外の認証局に発行を依頼する予定はない、という場合は startdns. fun の CAA レコードで digicert.com を指定しておくことで、 DigiCert 以外の認証局に対して証明書の発行依頼があっても認証局は証明書を発行せず、ドメイン管理者に対して意図しない発行申請があったことを報告してくれます。 CAA レコードは必須ではありませんので、 CAA レコードを設定していなければ従来 137

10. DNSをはじめよう

第 4 章 dig と whOis を叩いて学ぶ DNS SPF レコードなのに txt なの ? と疑問に思われるかも知れません。昔は SPF を設定する方法として SPF レコードと TXT レコードという 2 種類のリソースレコードに書くことが推奨されていたのですが、 SPF レコードに書く方法は普及せず、最終的に「 SPF は TXT レコードで設定すること」となりました * 24 たとえばポケモンだいすきクラフ。 * 25 から届く「ポケモンだいすき ! 通信」というメールは、送信元のメールアドレスが noreply@pdc.pokemon.jp です。 pdc. pokemon. jp の SPF レコードを確認してみましよう。 ⅲ clude は引数で渡しているドメインの SPF レコードを含むという意味ですので、さらに spf. pdc. pokemon. jp と spf. pokemon. mailds. jp の SPF レコードを引いてみましよう。 $ dig pdc ・ pokemon ・ jp txt + short 'v=spf 1 include : spf . pdc. pokemon. jp include : spf . pokemon. mailds ・ jp ~ a11 " $ dig spf . pdc. pokemon ・ jp txt + short "v=spfl + ip4 : 203.216.217.0 / 24 + ip4 : 122.212.36.0 / 24 + ip4 : 202.8.80.0 / 23 + ip4 : 202.74.4.160 / 27 + ip4 : 59 .159.71.0 / 24 + ip4 : 220.110.139.188 / 32 + ip4 : 211.120.127.41 / 32 + ip4 : 125.29.35.0 / 26 + ip4 : 124.211.29.64 / 26 + ip4 : 122.215.202.64 / 26 + ip4 : 203.138.159.219 ~ a11 " $ dig spf . pokemon. mailds . jp txt + short "v=spfl ip4: 118.238.144.96 / 29 ip4: 118.238.144.120 / 30 ~ a11 " 一番最初の「十 ip4 : 203.216.217.0 / 24 」は「 203.216.217.0 ~ 203.216.217.255 の IP アドレスをメールの送信元サーバとして認める」という意味です。ひとつひとつ解説するには量が多すぎるので省略しますが、要はここに書いてある IP から届いたメールは本物で、それ以外は恐らく迷惑メールだよ、ということを示しています。実際に届いた「ポケモンだいすき ! 通信」の送信元 IP は「 118.238.144.99 」でしたので、きちんと SPF レコードの中に含まれており、メールは迷惑メール扱いされることなく受信ボックスに届きま * 24 https : / / t001S. ietf . org/htm1/rfc7208#section-3.1 で SPF records MUST be published as a DNS TXT (type 16 ) Resource Record(RR) [ RFC1035 ] only と書かれています。、 25 ポケモンの情報サイト。ミッキュのうたは名曲です。 http://www.pokemon ・ jp/ 116