さくらインターネットのセカンダリ DNS を切り替えようとしてハマる

専用サーバで運用している DNS サーバを VPS に移行するにあたって、セカンダリサーバにしているさくらインターネットの DNS の同期先を新しいモノに切り替えようしたらハマってしまいました。

† 障害は突然に

まず、さくらのネームサーバのサービスは一度セカンダリとして設定してしまうと、同期先のサーバを変更することはできません。変更したい場合には、同期設定を一旦削除してから再設定する必要があります。なかなか面倒な仕様なのですが、軽い気持ちで一旦削除してから再登録しようとしたら画像のようなエラーが出て困ってしまいました。

ゾーンにはさくらの DNS サーバ ( ns1.dns.ne.jp. / ns2.dns.ne.jp. ) が登録されたままのなので、このままだと DNS 情報に不整合が生じてウェブやメールなどのサービスに到達できなくなる可能性があります。というわけで、まずは復旧を最優先。DNS 移行のために TTL は短くしてあったので、おちついて以下の２点を実施。

1. プライマリサーバのゾーンファイルからさくらの DNS サーバ の NS レコードを削除
2. ルートサーバのネームサーバ定義からさくらの DNS サーバ の定義を削除

† そういえばドメインハイジャックができる脆弱性が・・・・

ns レコードが1つだけの状態ですが、まずは正常に DNS が稼働していることを確認してトラブルシュートを開始します。
しばらく前にドメインハイジャックができる件が騒ぎになって、さくらの DNS のサービスの仕様が変更されたことを思い出しました。

検索してみましたが、2012年のこの辺の事件ですね。

• さくらDNSにサブドメインハイジャックを許す脆弱性 | 徳丸浩の日記
• メンテナンス・障害情報・機能追加｜さくらインターネット公式サポートサイト
• 当社DNSに関するお知らせ | さくらインターネット

全く同じパターン（セカンダリ DNS の同期先変更）でハマっている人の記録も発見。

• さくらの VPS。大阪から石狩へ引っ越し。 » かけまわる子犬。

その後、もう一度操作をおこなったところ、無事セカンダリとして登録することができました。前述の「プライマリサーバのゾーンファイルからさくらの DNS サーバ の NS レコードを削除」と「ルートサーバのネームサーバ定義からさくらの DNS サーバ の定義を削除」を行っていたことで、登録制限である「登録しようとしているドメインが当社ネームサーバと他のネームサーバの両方に委譲されている場合には登録出来ない(いわゆるセカンダリ設定がされている場合)」を回避できたようです。

脆弱性を直すのは当たり前なのですが、さくらさんはD5-01 のエラーについてちゃんとマニュアルに書いてくれませんかね。