ホスティング事業者の移行に伴う権威サーバーの移行

• 「DNSの引っ越し」

  • そのゾーンのすべての権威サーバーのIPアドレスを変更する
  • メールサーバーやWebサーバーなど、そのゾーンのサーバーのホスト名はそのまま、IPアドレスのみ変更する
• トラブりやすい

DNSの引っ越しにおいて考慮すべき項目

2つの移行対象(権威サーバーとゾーンデータ)

• 権威サーバーの移行においてもさらに、移行対象は2つある

  • 権威サーバーそのもの
  • 権威サーバーが保持するゾーンデータ
• 別々に移行すべき
• 同時に移行するとトラブりがち

並行運用期間

• 古いゾーンデータがインターネット上のフルリゾルバーのキャッシュから消えるまで、十分な並行運用期間が必要

  • さもないと変更前と変更後のどちらのサーバーにも問い合わせが到達する可能性がある

委任情報変更のタイミング

• 委任元のNSレコード (+グルーレコード)の変更を伴う
• レジストリが変更申請を受けてから実際に変更が行われるまでの時間はレジストリによって異なる

フルリゾルバーの実装による動作の違い

• 一時的に親子間で異なるNSリソースレコードが設定される

• その状態のフルリゾルバーの動作は一定していない

  • DNSソフトウェアの種類、バージョン、キャッシュの状況等による
• 特定のフルリゾルバー利用者のみ引っ越しがうまくいかないことも

アクセスタイミングによるキャッシュの状況の違い

• いつ新しいデータを提供するようになるかは各フルリゾルバーのキャッシュの状況次第

非協力的なDNS運用者(Non-Cooperating DNS Operators)

• 移行元の権威サーバーのNSリソースレコードに移行先の権威サーバーのみを設定可能でなければならない
• 移行元のホスティング事業者から見れば「出ていく顧客」なので協力してもらえないことがある

本来あるべき引っ越し手順

1. 移行先のサーバーの用意

   • 権威サーバー
   • メールサーバー
   • Webサーバー など
2. MX/A/AAAAのTTL値の短縮

3. メールサーバー・Webサーバーなどの移行

   • 移行元の権威サーバーに移行先のメールサーバーのMX、WebサーバーのA/AAAAなどを設定する
   • キャッシュが消えるのを待つ

4. 権威サーバーの移行

   • 委任元(親)と移行元(子)のNSリソースレコードを変更し、移行先の権威サーバーに向ける

     • 非協力的なDNS運用者はこれを呑んでくれなかったりする
   • キャッシュが消えるのを待つ
5. MX/A/AAAAのTTL値の復旧

権威サーバーと他のサーバーの移行を同時に行う場合

4. 権威サーバーの移行

   • 委任元(親)と移行元(子)のNSリソースレコードを変更し、移行先の権威サーバーに向ける

     • 非協力的なDNS運用者はこれを呑んでくれなかったりする
   • キャッシュが消えるのを待つ

• これができなかったりする

  • 移行元の権威サーバーのNSレコードを変更できない

  • 変更できるが、よそのサーバーのIPアドレスを指すレコードを設定できない

    • 移行先の権威サーバー
    • 移行先のメールサーバー・Webサーバー

• インターネット上のフルリゾルバーにデータのキャッシュが残ってしまう

  • 移行元の権威サーバーへの委任情報
  • 移行元の権威サーバーに設定された、移行元のメールサーバーのMX、WebサーバーのA/AAAA

• 移行元のゾーンデータと移行先のゾーンデータがインターネット上に混在した不安定な状態になる

  • 俗に「浸透待ち」などと呼ばれる

    • DNSのキャッシュに浸透といった仕組みはないので不適

Column: 幽霊ドメイン名脆弱性

• 古いフルリゾルバーの脆弱性
• NSリソースレコードのキャッシュがTTL値込みで上書きされ、いつまでも古いゾーンデータが参照されてしまう