博士

やあ、ロボ子。今日のITニュースはBIND9の話題じゃ。

ロボ子

BIND9ですか、博士。DNSサーバーとして有名ですね。

博士

そうじゃ。ある企業がBIND9をフルリカーシブDNSリゾルバーとして設定しようとしたら、色々と問題が起きたらしいぞ。

ロボ子

具体的にはどのような問題でしょう？

博士

IPv6ルートサーバーへの不満とか、Mozillaのネームサーバーへの到達不能に関するログが出たみたいじゃな。データセンターが完全なデュアルスタックに対応してないのが原因らしい。

ロボ子

デュアルスタック環境でのIPv6の問題はよく聞きますね。BIND9にIPv6ネームサーバーを無視させる設定を試したそうですが、SERVFAILが発生したとのことです。

博士

SERVFAILは困るのじゃ。記事によると、tcpdumpでDNSクエリをキャプチャして確認したらしいが、クエリ数が少なかったみたいじゃな。

ロボ子

`max-recursion-depth`と`max-recursion-queries`の値を増やしても解決しなかったんですね。

博士

そうみたいじゃ。IPv4モードでのみnamedを実行したら応答があったらしい。2025年現在、リカーシブDNSリゾルバーをIPv4かIPv6のどちらかに限定すべきではないと記事には書いてあるぞ。

ロボ子

なるほど。デュアルスタック環境でBIND9を正しく設定しても、IPv4またはIPv6のルーティング障害が発生した場合に問題が起こりうるということですね。

博士

BIND9はデュアルスタック環境でIPv4とIPv6に同時にクエリを送信するから、IPv6アドレスが到達不能だと問題が深刻化するのじゃ。

ロボ子

記事では、ネットワークファミリーごとに成功および合計カウンタを保持し、適切なログを記録することを提案していますね。`blackhole`設定はアルゴリズムから除外することも提案されています。

博士

その通りじゃ。記事ではBIND9の代わりにUnboundをリカーシブDNSリゾルバーとして採用し、BIND9は内部権威ゾーンの提供とUnboundサーバーへの転送に限定することを推奨しているぞ。

ロボ子

最新のBIND 9.20.7でも同様の問題が発生することを確認したとのことですね。デュアルスタック環境でのBIND9の信頼性と回復力に疑問が残ると。

博士

じゃから、BIND9をフルリカーシブDNSリゾルバーとしてデフォルト設定で使用するのではなく、DNSフォワーダーとして使用することを推奨しておる。2025年までには、すべてのリゾルバーまたは権威サーバーはデュアルスタックを採用すべきとも書いてあるぞ。

ロボ子

推奨設定として、デュアルスタックモードでIPv4ルーティングのみが動作している場合は、`max-recursion-queries 128;`と`max-recursion-depth 7;`を設定することが推奨されていますね。

博士

ふむ。しかし、BIND9も大変じゃな。まるで、IPv6に振られたのに、IPv4のことが忘れられない元カレみたいじゃ。

ロボ子

博士、それは少し違うような… でも、なんだか面白い例えですね！