Transcript ppt
情報システム管理
第9回 DNSサーバ
水野嘉明
本日の内容
1. ドメイン名
1.1 ドメイン名
1.2 ホスト名とドメイン名
1.3 ドメイン名の管理
2. DNSサーバの役割と仕組み
3. DNSサーバの設定
2
1. ドメイン名
IPアドレスは、全世界のホストを識別
するための ユニークなID
32ビット(IPv4) または 128ビッ
ト(IPv6)の数値
例) 192.168.11.1
人間には覚えにくい
⇒ ドメイン名とホスト名で、
ホストを特定する
3
1.1 ドメイン名
ドメイン名
ネットワークの所属を表す
(住所のようなもの)
階層構造を持つ
これにより、重複を避けることが
可能
管理主体を分割
4
1.1 ドメイン名
ドメイン名の階層構造
toyo.ac.jp
jp ドメイン
ac ドメイン
toyoドメイン
5
1.1 ドメイン名
ドメイン名の規則
toyo.ac.jp
(3)
(2) (1)
← 右から
第一レベル (TLD:Top Level Domain)
ccTLD:国を表す
gTLD :組織の属性
第二レベル
第三レベル
6
1.1 ドメイン名
ドメイン名の種類
ccTLD (countrycode TLD)
国別ドメイン名
gTLD (generic TLD)
国や地域の概念のない、世界中
を対象としたドメイン名
Infrastructure TLD
インターネットインフラ用 (後出)
7
1.1 ドメイン名
ccTLD
(countrycode TLD)
国別ドメイン名 -- 日本は jp
属性型JPドメイン名
汎用JPドメイン名
地域型JPドメイン名
ccTLDは、国別に管理する
8
1.1 ドメイン名
toyo.ac.jp
第一レベル
2文字のアルファベットで国を表す
–jp: 日本
–uk: イギリス
–fr: フランス
–ca: カナダ
等
9
1.1 ドメイン名
toyo.ac.jp
第二レベル (属性型の場合)
組織の種類を表す
co
or
ne
ac
ed
go
:会社組織
:医療法人,宗教法人,協同組合
:ネットワークサービス
:大学
:小学校、中学、高校
:官庁、国立機関
など
10
1.1 ドメイン名
toyo.ac.jp
第三レベル
自分の好きな名前で申請する
すでに存在していたら、ダメ
11
1.1 ドメイン名
汎用ドメイン名
第二レベルのドメイン名を、自由
に取得できる
例) toyota.jp
canon.jp
12
1.1 ドメイン名
地域型ドメイン名
登録者の所在地をもとに、都道
府県名、市町村名などで分類
自治体などの利用が多い
例) city.kawagoe.saitama.jp
mizuno.aoba.yokohama.jp
13
1.1 ドメイン名
gTLD
(generic TLD)
国名はなく、第一レベルに属性
アメリカでは、gTLDの方が一般的
日本でも、広まってきた
誰でも登録できるもの(.com等) と、
一定の要件があるもの(edu, .gov
等)がある
14
1.1 ドメイン名
主な gTLD
.com
.net
.org
.edu
.gov
.int
:
:
:
:
:
:
商業組織
ネットワーク
非営利組織
教育機関
米国政府機関
国際機関
15
1.2 ホスト名とドメイン名
ホスト名+ドメイン名により、ホストを
識別する
www
PC1
PC2
インターネット
toyo.ac.jp
www.toyo.ac.jp
ホスト名
ドメイン名
16
1.2 ホスト名とドメイン名
ドメインは、さらにサブドメイン
に分割
されることもある
eng.toyo.ac.jp
toyo.ac.jp
17
1.3 ドメイン名の管理
ICANN
(The Internet Corporation for Assigned
Names and Numbers)
ドメイン名、IPアドレス、ポート
番号等の割り振り・調整
DNSルートサーバシステムの運用
これらの技術的業務に関連するポ
リシー策定の調整
18
1.3 ドメイン名の管理
日本の
.jpドメインは、「(株)日
本レジストリサービス(JPRS)」と
いう組織が管理
以前は、JPNICが管理していた
19
本日の内容
1. ドメイン名
2. DNSサーバの役割と仕組み
2.1 DNSサーバの役割
2.2 DNSの仕組み
2.3 プライマリとセカンダリ
3. DNSサーバの設定
20
2. DNSサーバの役割と仕組み
DNS
(Domain Name Service) とは
名前 ⇒ IPアドレスの変換 を行う
インターネット上のコンピュータに
アクセス = IPアドレスを指定
IPアドレスは覚えにくい
⇒ 名前でアクセスしたい
(例)
http://home.a01.itscom.net/mizuno/
21
2.1 DNSサーバの役割
ドメインを取得したら、ドメイン管理の
ため、DNSサーバ が必要
ドメイン名を取得
= 外部から、そのネットワーク
内のホストにアクセスする
外部から、ドメイン内のホスト名を
検索できるようにすることが必要
22
2.1 DNSサーバの役割
ドメイン内のホスト名とIPアドレス
の変換
DNSサーバ
ホスト名と
IPアドレスの
対応表
ゾーンデータベース
23
2.1 DNSサーバの役割
IPアドレスへの変換
www.toyo.ac.jpのIP
アドレスを問い合わせ
ゾーン
データベース
DNSサーバ
133.79.224.15を
返答
133.79.224.15にアクセス
ホスト名
www.toyo.ac.jp
IPアドレス
133.79.224.15
24
2.1 DNSサーバの役割
正引きと逆引き
ゾーンデータベースには、正引き
用と逆引き用がある
www.toyo.ac.jp
正引き
(名前解決)
逆引き
133.79.224.15
25
2.2 DNSの仕組み
自ドメイン内のホストについて
ゾーンデータベースを調べ、
名前⇔IPアドレスの変換をする
他のドメインの情報
上位のDNSサーバに問い合わせる
インターネット全体に広がる「分散
データベース」となっている
26
2.2 DNSの仕組み
DNSサーバは、ドメインの階層構造
に従い、以下のような構成である
ルートサーバ
TLDのDNSサーバ
第二レベルドメインのDNSサーバ
:
実際に各ホスト名を登録する(末
端の)DNSサーバ
27
2.2 DNSの仕組み
Root Server
Find DNS server:
.com
jp
co
ac
…
…
ne
…
com
org
edu
…
Find DNS server:
google.com
google
toyo
cs
Find IP address:
www.google.com
Find host’s IP address:
nantoka www.google.com
www
28
2.2 DNSの仕組み
一度問い合わせた結果は、しばらく
の間は キャッシュ しておく
同じドメインへの参照を繰り返すとき
は、問い合わせは1回ですむ
29
2.3 プライマリとセカンダリ
DNSサーバがダウンすると・・・
名前をIPアドレスに変換できない
= ほとんど、インターネットに
アクセスできない
DNSサーバを
多重化
30
2.3 プライマリとセカンダリ
プライマリとセカンダリの、どちらに問
い合わせてもよい
プライマリ(マスタ)
DNSサーバ
セカンダリ(スレーブ)
DNSサーバ
定期的に同期
31
本日の内容
1. ドメイン名
2. DNSサーバの役割と仕組み
3. DNSサーバの設定
3.1 BINDのインストール
3.2 BINDの設定
3.3 BINDの起動とテスト
32
3. DNSサーバの設定
BIND
とは
(Berkeley Internet Name Domain)
最も広く使われているDNSサーバ
名前解決を行う実体は named と
いうデーモン
33
3.1 BINDのインストール
「アプリケーションのインストール」を
参照
bind9_9.7.3.dfsg-1_i386.deb
BINDのバージョン
4.x、8.xは、古いためセキュリティ
ホールがある
9.x 以降を使用すること
34
3.2 BINDの設定
BINDの設定ファイルは、2種類
BIND自体の設定
/etc/named.conf
ゾーンデータベース
(ゾーンの数だけある)
ディレクトリやファイル名は、
named.conf で指定する
–通常 /var/named/ にある
35
3.2 BINDの設定
設定の流れ
① 基本的な設定を、設定ファイル
(/etc/named.conf)に記述
② ゾーン名を決定し、追加
③ ゾーンデータベースを各ゾーンに
対して作成する
正引き用/逆引き用
④ BINDの起動とテストを行う
36
3.2 BINDの設定
ゾーン
ホスト名とIPアドレスの対応表を管
理する単位
正引きゾーンと逆引きゾーンがあ
り、セットで設定する
正引きゾーン名は、設定するドメイ
ン名、サブドメイン名と一致
" cs.toyo.ac.jp "
37
3.2 BINDの設定
逆引きゾーン名
ネットワークアドレス部を逆
+
"in-addr.arpa"
例
133.79.60.0 / 24
60.79.133.in-addr.arpa
38
3.2 BINDの設定
/etc/named.conf
の設定項目
option
全体的なサーバ設定オプション
や 各種デフォルトを記述
–作業ディレクトリ名
–PIDファイル名
–アクセス制御 など
39
3.2 BINDの設定
zone
ゾーンを定義する
logging
ログに関する設定
acl
アドレスリストを定義
include
他のファイルをインクルード
その他
40
3.2 BINDの設定
/etc/named.conf
の例
// アドレスリスト
acl toyo {
133.79.0.0/16;
};
// オプション設定
options {
directory "/etc/namedb";
pid-file "/var/run/named.pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";
41
3.2 BINDの設定
(続き)
forwarders {
133.79.5.1;
};
allow-query {
toyo;
localhost;
};
allow-transfer {
127.0.0.1;
192.168.254.1;
};
// sinet.toyo.ac.jp
42
3.2 BINDの設定
(続き)
allow-recursion {
toyo;
};
};
ルートサーバの定義
// Root DNS
zone "." {
type hint;
file "root.cache";
};
43
3.2 BINDの設定
(続き)
// ゾーンファイル
zone "prrc.itakura.toyo.ac.jp" {
type master;
file "master/prrc.zone";
};
ドメイン名
プライマリ
ゾーンデータベース
設定ファイル名
44
3.2 BINDの設定
逆引き用ゾーン名
(続き)
zone "254.168.192.in-addr.arpa" {
type master;
file "master/192.168.254.rev";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "master/localhost.rev";
};
45
3.2 BINDの設定
ゾーンデータベース
レコードの基本構造
server
IN
A
名前: 検索
のキー
クラス: INはイン
ターネットを表す
219.166.277.154
レコードの
種類
データ: 検索
の結果となる
46
3.2 BINDの設定
cs.toyo.ac.jpゾーンの例
$TTL
@
86400
IN
SOA
csgwy.cs.toyo.ac.jp.
postmaster.cs.toyo.ac.jp. (
2006061501 ; Serial #
10800
; Refresh (3h)
3600
; Retry (1h)
3600000
; Expire (1000h)
86400
; Minimum TTL (1day)
)
(続く)
47
3.2 BINDの設定
IN
IN
IN
localhost IN
;; aliases for
mail
IN
www
IN
;; define host
tanigawa IN
IN
(続き)
NS
A
MX 10
A
service
CNAME
CNAME
names
A
MX 10
csgwy.cs.toyo.ac.jp.
133.79.60.1
csgwy.cs.toyo.ac.jp.
127.0.0.1
csgwy
csgwy
133.79.60.23
csgwy
48
3.2 BINDの設定
各レコードの説明
(正引き用)
$TTL (Time To Live)
データの有効期限。キャッシュに
保存される時間
SOAレコード (Start Of Authority)
ドメイン自体に関する情報
ゾーンデータベースの最初に記述
する
49
3.2 BINDの設定
NSレコード
(Name Server)
ゾーンを管理するDNSサーバの
一覧
MXレコード (Mail Exchange)
メールの配送先の設定
Aレコード (Address)
ホスト名に対応したIPアドレスを
設定する
50
3.2 BINDの設定
CNAMEレコード (Canonical Name)
別名をつける
www
IN CNAME csgwy
"www.cs.toyo.ac.jp" は、
"csgwy.cs.toyo.ac.jp" の別名と
なる
51
3.2 BINDの設定
逆引き用ゾーンデータベース
正引き用と同様、$TTLが必要
SOAレコードでゾーン名と有効時
間等を宣言する
ゾーンを管理するネームサーバを
NSレコードで列挙する
逆引きゾーンでは、PTRレコードで
ホスト名を宣言する
52
3.2 BINDの設定
PTRレコード (Pointer)
IPアドレスをホスト名に変換する
ためのレコード
23
IN
PTR
tanigawa.cs.toyo.ac.jp.
(60.79.133.in-addr.arpa ゾーンの例)
IPアドレス133.79.60.23 を、ホスト名
"tanigawa.cs.toyo.ac.jp"に変換する
53
3.3 BINDの起動とテスト
BINDの起動
$ invoke-rc.d named
$ service
named
start
start
自動起動の設定
$ update-rc.d named defaults
$ chkconfig named on
54
3.3 BINDの起動とテスト
データベースの読み直し
$ kill
-HUP
(リロード)
2345
$ invoke-rc.d named
reload
プロセスIDは、/etc/named.conf で
指定されたファイルに書き込まれ
ている
設定を変更した場合は、必ずシリ
アル番号を増やしてリロードする
55
3.3 BINDの起動とテスト
ファイアウォールの設定を変更
DNSサーバへの接続を許可する
★ iptablesでの設定例
$ iptables -I INPUT -p udp -m udp
--dport domain -j ACCEPT
$ iptables -I INPUT -p tcp -m tcp
--dport domain -j ACCEPT
$ service iptables save
56
3.3 BINDの起動とテスト
問い合わせ先のDNSサーバを変更
Linux の場合
/etc/resolve.conf ファイルを修
正
nameserver
192.168.11.4
57
3.3 BINDの起動とテスト
Windowsの場合
58
3.3 BINDの起動とテスト
DNSサーバの動作テスト
nslookup コマンド
UNIX、Windowsなどに付属
DNSに様々な問い合わせを行う
引数にホスト名やIPアドレスを指
定すると、該当するDNSレコード
が表示される
dig コマンド
DNSに様々な問い合わせを行う
59
【付録】 hosts ファイル
DNSが使用できないとき
/etc/hosts ファイルを、個々のホス
トに設定
IPアドレスとホスト名の対応表
アップデートが大変
102.54.94.97
38.25.63.10
127.0.0.1
rhino.acme.com #source server
x.acme.com
#x client host
localhost
60
【課題7】
下記の話題について、討論し、自分の
考えをまとめよ
『 情報システムを管理するにあたっ
ての、システム管理者としての責務
や役割、心構えについて 』
61
【課題7】
最終講義(7月19日)の最後の45
分間に、討論します
各人、必ず発言してもらいます
発言内容を用意しておいて下さい
討論の結果により、自分の考えをま
とめて下さい
62
お疲れ様でした