1. DNS/浸透いうな論外編
Contents
警告:DNS初心者は読んでも混乱するだけだろうから、読まないことを勧める。
- ここを読む時間があるなら、RFC 1034を読み直せ。
リゾルバーの動作を熟知していると思うひとなら、大した時間をかけることなく読み飛ばせるだろう。(注釈を付けておいたし)
私自身、当初はなにを言っているのか理解できなかった。そのため、読む価値なしとして無視していた。 なんども参照するひとがいて、初心者が頭を抱えているので、読みなおしてみた。
実はこのスライドの中身の意味未だによくわかってない。
- このひとに分かるような説明になっていないことは以前から分かっていたが、
- 「ワタシDNSモハヤリカイデキルキガシナイ」の理由にされたのでは、読まないわけにはいかない。
作業内容のミスもあるが、それよりも説明がDNS初心者にはわかりづらい。
- 十分に分かっているひとであれば、理解できるだろうが、それならひとことですむ。
分かってみれば、当然やるべきこと(設定の確認)が不十分だという結論になるはず。
- 文書としても「未熟!」できまり。
注釈をつけてみよう。(もう一回読みなおす意欲はないので、読み損なっているという指摘は具体的にお願いします。) -- ToshinoriMaeno 2016-12-01 13:11:51
2. 引用元
http://www.slideshare.net/ohesotori/dns-23491023
- このスライドでは分かりづらいので、なにが起きたのか、推測してみます。
こういうことではないか。/要約
- これを先に言っておいてくれれば、よかったのに。
3. とあるDNSの移転失敗
DNS移転失敗体験談
1. 引越しってこんな感じ●とあるリニューアル案件 ●ホスティングの業者変更するよ
<< DNSゾーンサーバとwebサーバの移転らしい。 >>
●旧ゾーンをコピペして新権威 DNS を用意した ●一ヶ月前にはレジストラ変更 ●whois の NS レコードを新権威 DNS に変更 ●TTL も短くしたよ
- ●リリース日に新権威 DNS で IP アドレス変更 !
<< 移転先にDNS(ゾーン)サーバを用意しておき、webサーバの移転前にDNSだけ移転しておいたようだ。
- 客先でのDNS動作確認が不十分であったことはすぐに明らかになるはずだが、...
レジストラ変更はどういう意味があるのか。
短くしたというTTLはどのTTLなのか。ひょっとすると、一意に決まる? $TTLのことか。 >>
2. 古いほうってほら
●引越し先のゾーンなんて設定してくれるわけがないと思い込んでたし ●レジストラも変えたし、 whois の NS レコード変更したし、放置だよね ●ホスティング契約が切れたら旧 DNS も削除されるだろうし契約終了はリリース日だし ●リリース日はまだまだ先だし大丈夫だよね!
<<移転元ではなんの作業もしなかったらしい。できない・しなくてもよいという「思い込み」があったらしい。 >>
<< 客先でのDNS切り替えを確認しなかったのが痛恨のミスだ。 >>
基本が分かっていないと批判する理由はここにある。
3. 当日
●新権威 DNS で A レコード変更〜 ●TTL も短くしてたし●300 秒くらい座して待つ ●電話連絡「切り替えました !! 」
webサーバの切り替えのことらしい。
- ここでも客の立場に立つことは視野にない。一貫している。(まずい意味で。)
4. お客さん激怒
- 新しい方みれない●どうなってんだ●おかしい
●客先では古い IP アドレスを見続けている
- ●何故だ●引越し元のホスティングに連絡して聞く●「見てきますー」●( えっ ?)
<< 体制に問題がありそう; なぜ自分の手を動かさないのか。動かせない理由は? >>
6. 「言ってもらったら消したのにー」「客先のルータの設定、直しときましたー」
- 「・・・・えっ ? 」( 何 ? 意味不明だろ何いってんだお前 )
<< 誰の仕事なのか >>
<<< ここでも自分のミスに気づいていない >>>
7. 検証タイム
●引越し元の業務内容はウェブサイト制作兼ISP 兼ホスティング兼レジストラ ●お客さんが使ってるプロバイダは引越し元の企業だった プロバイダ事業辞めたと思ったらほそぼそとまだやってたらしい ●多分、激怒しているお客さんが使っているルータの 「プライマリ DNS 」「セカンダリ DNS 」に、引越し元が指定していたキャッシュ DNS サーバ名が記述されていた
<< 客の環境を確認していないというミス >>
- webサーバだって、当日にならなくても、確認する方法はある。それもやっていない。
8. つまり旧権威 DNS| |お客さんが使ってるキャッシュ DNS
9. 旧権威のゾーンを消さない限り絶対に浸透しない
- ただし、その権威兼キャッシュ DNS使ってる人だけ
<< ただのゾーンサーバではなくて、客はリゾルバーとしても指定していたことにやっと気づく。(遅い)
- ここでも作業手順のミスには気づいていないらしい。
>>
11. 「言ってもらったら消したのにー」「言ってもらったら消したのにー」....
- 悪いけどそれは思いつかなかった
13. ついでにその権威兼キャッシュ DNS サーバの設定をルータから消す、
- もしくはパソコンから消せばいいじゃん、と思うかもしれないけどそれでは解決しない。
だって、他にもその DNS サーバをルータやパソコンに設定してる人いるかもしれない。
- なんせプロバイダが設定してくださいって案内をだしていた代物。
14. 最後にキャッシュと権威を兼用するな !
15. おわり
4. 外野からのやじ
「やるべきことをやってない」という適切な指摘がある。
<< 反省がたりないな >>
- 8以降は言い訳に終始しているようにも見える。技術力の不足。浸透待ちとかわらない。
反省することは負けだと思っているのだろう。
- そういう考えの人達の中で育ったのだろう。(自分の経験でも、そういう環境があることは分かる。)
指摘を受けても、こう言っている。(ど素人!) https://twitter.com/ohesotori/status/801995725320003584
失敗であることは認めている。(認めるしかない)
- でも、どこが悪かったかの反省はない。いや、悪いのは自分ではない。おかしな設定のDNSだといわんばかり。
5. 教訓
webサーバーとDNSゾーンサーバーとを別々に移転することは十分条件ではない。
- 分けて移転していることはある程度の知識があることを示しているが、十分ではない。
分けて移転したはずのDNSサーバーの移転完了を確認していないのだから、移転したとは言えないのかも。
病的ともいえるおかしな設定を気にかける必要はない。
- 通常の確認手段を行っていれば、事前に発見できたはずだから。
移転の確認を怠ったことの言い訳はできない。
- 確認していれば、問題点を発見できた可能性は大きい。
分離した移転だけでは十分ではない病的なケースもある。
- そこまで想定して移転作業を引き受けたとは思えないから、(以下自粛)
6. キャッシュ兼用サーバは珍しいのか
分離せよという声をあげてもうすぐ20年だが、大手のゾーンサーバでも再帰検索を許している ところは残っている。そういうところから移転するなら、同様の問題が起きても不思議ではない。
tssさんの指摘で、追記。
7. 類似設定の業者
ゾーンサーバで再帰検索を許しているだけなら、ここまでひどくはならない。
- 兼用サーバをリゾルバーとして設定させていることが問題を引き起こす。
- 2012年に指摘済み。(リンクがいるか)
-- ToshinoriMaeno 2016-11-27 16:16:05