treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

ルートゾーンのDNSで変更があるよう?

ルートゾーンKSKロールオーバー、というプロセスが開始されます、という話が静かに話題となっています。
システム管理者じゃないと意識しないけど、世の中のDNSサーバ全般に関わる動作の変更がある、という感じの認識です。

ちょっと調べてみたのでご報告。

DNSサーバの運用が変わるわけではない

まずは、ここ。
いままで使っていたDNSサーバがどうこうというわけではない、と言う点。重要ですね。

ルートゾーンKSKの更改、といわれるとなんだかよく分からないのですが、どうやらDNSSECで利用される署名に用いられている鍵データの更新(DNSSEC 鍵署名鍵 (KSK) の更新)が発生するらしい、ということです。

総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ)

ポイントはDNSSECの運用が開始されてから、今回が初めての暗号鍵の更新となる点、世界的に影響するルートDNS側の変更なのですがこの変更は運用開始からまだ一回もやったことない、ってわけです。それだけに、「前回○○ってのが起きた」とか「前回○○ができなくなった」というような経験値がない状態で今回の変更を迎えることになります。運用者としてはちょっと不安。

主に関係するのはDNSSEC

DNSSEC検証を実施している場合に確認事項が発生する、とされています。

じゃあDNSSECを使ってないからいいのかな?と思いきや…

DNSリクエストに対する応答サイズが増大することになるので、DNSSEC検証を使ってないキャッシュDNSサーバであっても影響を受けることがあるらしい。よって全てのキャッシュDNSサーバで正常動作の確認をしておきたいと思える内容とされています。

では、結局すべてのDNSサーバは何らかの影響を受けるのかもしれない、ということで、こういう話もあるということくらいは頭の片隅に入れておきたいなぁと思いました。

JPRSのドキュメントが詳しい。

https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf

これ以降、上記PDFを読んで必要と思った部分のメモ

何をやらないといけない?

大きくは2点。

  1. 従来よりサイズが大きくなるDNS応答が正しく受信できるかを確認する
  2. DNSSEC検証を使っているDNSサーバでトラストアンカーの更新を実行する

DNSSECは利用していないので該当するのは(1)のみ

digコマンドの確認方法も掲載されていたけど、Windows環境なのでdigコマンド使えないのですね、というわけで

DNSSEC Key Size Test(Verisign Labs)」
 ⇒URLは<http://keysizetest.verisignlabs.com/>

で確認できるらしいため、さっそく確認してみます。

Webブラウザで上記にアクセスすると、DNS応答サイズ別にテストを実行し、大きなDNS応答が受け取れる、ということが確認できる、という事らしいです。さっそくやってみました。

メインPCからアクセス(イントラのDNSサーバを利用)

f:id:treedown:20181004153926p:plain
別のDNSサーバから実行(Active DirectoryのDCのDNS)

f:id:treedown:20181004153941p:plain

Windows Server 2012 R2 EssentialsのDCで実行してみた結果。

一番下の行「This should fail」とある個所は、テスト結果ではなく"失敗の時の状態表示(比較)用"なので気にしなくていいそうです。(Result(結果)はFAIL(失敗)で固定表示される欄らしい。)

結局、どっちも大丈夫そう?なのであまり気にしなくてよかったのかも。