名前衝突の有無の確認方法、衝突へ対応するための設定(概要)
本ページは「IT専門家向けの名前衝突問題に関するアドバイス」
(Guide to Name Collision Identification and Mitigation for IT
Professionals)の抜粋です。
詳細は
https://www.icann.org/en/system/files/files/name-collision-mitigation-05dec13-en.pdf
(株式会社日本レジストリサービスによる日本語訳)をご参照ください。
1. 衝突の可能性の確認
- 自組織が使っているプライベートの名前空間とDNSサーチリストのすべてを特定する。
- https://gtldresult.icann.org/application-result/applicationstatusのリストと名前の重複があるかどうか確認する。
2. 名前衝突への対応手順
2.1. 内部利用目的のドメイン名(プライベート名)を利用するサーバ、PC、ネットワーク機器等をすべてリストアップする
方法として、
- 権威DNSサーバ、キャッシュサーバへのクエリを監視する。
- ファイアウォール等のログを確認する。
- パケットキャプチャ等を利用しDNSクエリを取得する。
などが挙げられます。
2.2. リストアップした機器の構成を把握する
- 機器上で動作しているOSの設定、アプリケーション等をご確認ください。
2.3. プライベート名の名前空間のルートをグローバルDNSの名前を使うように変更する
- 例えば自組織のグローバルなドメイン名がourcompany.comの場合、ad1.ourcompany.comを選択する等です。
2.4. プライベート名の名前空間に基づいたサーバ証明書を利用している場合、グローバルDNSの名前を持った証明書を追加する
- 場合によってはIPアドレスを追加する必要があります。
2.5. 新旧の名前解決の結果が同値であることを監視するためのシステムを作成する
2.6. システムの変更を管理者やユーザーに周知する
- ユーザーが新しい名前を使うようトレーニングします。
2.7. 関連システムをすべて新しい名前に変更する
- 古いプライベート名から新しい名前への移行をネットワーク上のすべてのシステム(PC、ネットワーク機器、プリンタなど)で実施します。
2.8. ネームサーバで古いプライベート名の利用の監視を開始する
- 古いプライベート名に関するすべてのクエリの監視をするように、権威ネームサーバを設定します。
2.9. 古いプライベート名を監視するために周辺での長期的監視を行う
- ネットワークの外部接続点にあるすべてのファイアウォールにルールを追加し、誤送信されているDNSクエリを検知できるようにします。
