総合演習と全問レビュー
別ケースの総合演習 8 問で、委任・TTL・レコード型・DNSSEC・調査手順を一気に復習する。
ここで仕上げる
この章ではケース問題 8 問を通して、委任・TTL・レコード型・DNSSEC・調査手順をまたいで解きます。1 章ごとの知識ではなく、複数の章を組み合わせた視点で判断できるかを確認します。
合格の目安: ケース問題 8 問のうち 6 問以上正解できていれば、実務での一次切り分けにかなり強くなっています。
総合演習で使う視点
| 章 | この章で使う見方 |
|---|---|
| 第 2 章 | zone cut がどこか、委任済みの範囲はどちらが権威か |
| 第 3 章 | referral / authoritative / NODATA の見分け |
| 第 4 章 | MX から配送先ホストの A / AAAA へ、apex と CNAME の関係 |
| 第 5 章 | expires_at = fetched_at + TTL と miss 回数 |
| 第 6 章 | dig のセクション読みと DNSSEC の守備範囲 |
総合演習 7-1 — 委任・TTL・MX を横断して考える
1 章ごとの知識ではなく、複数の章をまたいだ視点で解きます。
Q35. shop.example.com が別ゾーンに委任済みです。api.shop.example.com A を parent の権威サーバに聞いたとき、もっとも起こりやすい返し方はどれですか。
委任済みの子ゾーン配下は parent の権威範囲ではないので、通常は子ゾーンの NS を示す referral が返ります。
Q36. 09:55 に TTL 600 秒の旧 A レコードを取得した resolver があり、権威側では 10:00 に新 A へ切り替わりました。10:00 時点から、その resolver で旧値が残りうる最大時間は何分ですか。
09:55 + 600 秒 = 10:05 が失効時刻なので、10:00 時点から見ると最大 5 分旧値が残りえます。
Q37. example.com MX 10 mail.example.net を得たあと、配送先 IP を知るために次に見るべきものはどれですか。
MX が返すのは配送先ホスト名なので、その次は mail.example.net の A / AAAA を引いて IP を求めます。
Q38. dig www.example.com A の結果が status: NOERROR、ANSWER なし、AUTHORITY に SOA ありでした。なお www.example.com には AAAA だけ存在します。もっとも近い解釈はどれですか。
名前自体は存在し、別の型のデータだけがある状況では、NOERROR だが欲しい型の Answer は返らない、いわゆる NODATA に近い応答になります。
総合演習 7-2 — キャッシュ・DNSSEC・トラブルシュートを仕上げる
最後は『どこから調べ始めるか』まで含めて確認します。
Q39. 50 回の同一問い合わせが 1 つの resolver を共有し、すべて 1 つの TTL の内側で発生します。最初はキャッシュが空です。この RRset について権威サーバへ届く問い合わせは何回ですか。
同じ resolver が 1 回目で RRset を取得すれば、TTL が有効なあいだ残りはキャッシュヒットになるので、権威サーバへの問い合わせは 1 回です。
Q40. DNSSEC の検証チェーンを考えるとき、直接関係する要素にあてはまらないものはどれですか。
DS は親から子への接続、DNSKEY は公開鍵、RRSIG は署名で、いずれも DNSSEC の検証チェーンに直接関係します。MX はメール配送先のレコードで、検証チェーンそのものの要素ではありません。
Q41. zone apex に plain CNAME を置きづらい理由として最も近いものはどれですか。
zone apex にはそのゾーンの SOA と NS が必要です。CNAME は同じ owner 名に他のデータを混在させないのが基本なので、plain CNAME は apex と衝突します。
Q42. 『レコードは変更したはずなのに、まだ古い IP が見える』ときの最初の切り分けとして、もっとも良いものはどれですか。
まず実際の DNS 応答を観察し、どの権威が担当しているか、TTL が残っていないか、委任の途中でおかしな曲がり方をしていないかを切り分けるのが近道です。
なお『ブラウザを連打で更新する』が無意味なのは、再帰リゾルバや OS のキャッシュに残った RRset の TTL が切れていない限り、何度 HTTP リクエストを発行しても 同じキャッシュ応答 が返るからです。連打しても DNS 層の TTL は短くならず、古い IP が見える状況は解消しません。
この講座の着地点
- DNS 応答を見たときに、権威 / キャッシュ / referral / 否定応答 を分けて読める。
expires_at = fetched_at + TTLを使って、残り TTL や miss の回数を秒数で手計算できる。- MX → 配送先ホストの A / AAAA、apex と CNAME の衝突など、レコード型ごとの落とし穴を避けられる。
- DNSSEC の守備範囲(データ起源認証・完全性・改ざん検知)と、秘匿は別物であることを説明できる。
- トラブル時に
dig name type、dig zone NS、dig +traceを入口として動けるようになる。
次にやると定着しやすいこと
- 自分の管理ドメインで
dig NS、dig SOA、dig +traceを実行し、委任の流れを目で確認する。 - TTL を変えられるテスト用レコードを 1 つ作り、変更前に TTL を下げる / 変更後に戻す運用を体験する。
- メール用ドメインがあるなら、MX → 配送先ホストの A / AAAA まで紙に書いて辿ってみる。