ゾーンとは、DNSサーバーが管理する「範囲」や「領域」のことです。会社の組織図で言えば「部署」のようなイメージです。DNSの世界では、この「ゾーン」の考え方がとても重要です。ゾーンには主に2つの種類があります。
「名前からIPアドレスを調べる」ためのゾーンです。最もよく使われ、DNS構築時には必須です。日常的に最も多く利用されるのがこの正引きゾーンです。
問い合わせ:「server01 のIPアドレスは?」→ 応答:「192.168.1.10 です」
「IPアドレスから名前を調べる」ためのゾーンです。ログ解析やトラブルシューティングで役立つため「推奨」です。必須ではありませんが、設定しておくと障害発生時の原因究明がスムーズになります。
なお、インターネットへのメール送信で到達性に影響するreverse DNS (rDNS) は、送信元グローバルIPに対してISP/クラウド事業者側で設定するものであり、社内DNSの逆引きゾーンとは役割が異なります。
Forwarder (フォワーダー) は、社内DNSが解決できない外部ドメインの問い合わせを、指定した上流DNSへ転送するための設定です。
たとえば、社内のDNSサーバーは「server01」の場所は知っていますが、「www.google.com」は知りません。そこで「知らない名前が来たら、Google Public DNS (8.8.8.8) に聞いてきて」と設定しておくのがフォワーダーです。
フォワーダーを設定すると外部問い合わせが特定のDNSに集約され、キャッシュ効率や管理性が向上します。なお、フォワーダーが未設定でもWindows DNSはroot hintsを使って外部名前解決を試みますが、ファイアウォールで外部DNS通信 (TCP/UDP 53) を遮断している環境では実質必須です。社内DNSを構築する際には、フォワーダーの設定を忘れずに行いましょう。
DNSサーバーに登録する情報をレコードと呼びます。電話帳に例えるなら、「名前」「電話番号」「住所」のように、さまざまな種類の情報を登録できます。主要なレコードタイプは以下のとおりです。
|
レコードタイプ |
用途 |
設定例 |
|
A |
ホスト名 → IPv4アドレス |
server01 → 192.168.1.10 |
|
AAAA |
ホスト名 → IPv6アドレス |
server01 → 2001:db8::1 |
|
PTR |
IPアドレス → ホスト名 (逆引き) |
192.168.1.10 → server01 |
|
CNAME |
別名 → 正式名 (エイリアス) |
mail → server01 |
|
MX |
メール配送先の指定 |
example.com → mail.example.com |
最初はAレコードとPTRレコードだけ覚えておけば大丈夫です。この2つが基本中の基本です。
クライアントがDNSサーバーに問い合わせたとき、DNSサーバーが「わからないから自分で調べて」と返すのではなく、わかるまで他のDNSサーバーに問い合わせて最終的な答えを返すのが再帰クエリです。
言い換えると、社員が総務部に質問したとき、総務部が「知りません」と返すのではなく、他の部署にも確認してから回答してくれるようなイメージです。
社内DNSでは通常この機能を有効にしますが、セキュリティー上、社外からの再帰クエリは拒否する設定にするのが安全です。
DNSサーバー機能は、以下のWindows Serverで利用できます。
どのバージョンでも基本的な考え方は同じです。エディションは「Standard」でも「Datacenter」でも利用可能です。なお、Windows Server 2012 R2以前のバージョンはサポートが終了しているため、新規構築には最新バージョンの利用をおすすめします。
DNSサーバーには必ず固定IPアドレスを設定する必要があります。DHCP (自動取得) のままだと、再起動時にIPが変わり、すべてのクライアントからの接続が切れてしまいます。DNSサーバーの固定IP運用は絶対に守るべき鉄則です。構築を始める前に、ネットワーク管理者と相談して使用するIPアドレスを決めておきましょう。
構築前に決める重要な項目の一つが、社内で使用するドメイン名です。
.localを避けるべき理由:IETF RFC 6762により、.localはmDNS (Multicast DNS) で特別扱いされるドメインです。企業のユニキャストDNSで使用すると、名前解決の衝突を招く可能性があります。
また、Microsoft 365との同期では、.localを含むUPNは検証済みドメインと一致せず問題が生じるため、検証済みドメインの利用が推奨されています。
|
候補 |
例 |
備考 |
|
推奨 |
ad.example.co.jp |
自社所有の公開ドメイン配下のサブドメイン |
|
注意 |
company.local |
.localはmDNS special-use ( RFC 6762 )。衝突リスクあり |
|
参考 |
company.internal |
private-use TLDとして予約 ( ICANN 2024年7月 ) |
Active Directory環境ではDNSゾーンを「AD統合ゾーン」として作成すると、複数のドメインコントローラー間でDNS情報が自動同期され、冗長性が高まります。下の表で、AD環境の有無による違いを確認しましょう。
|
環境 |
DNSの役割 |
ポイント |
|
AD未導入 |
社内の名前解決専用 |
スタンドアロンDNSとして運用 |
|
AD導入済み |
AD DSの必須基盤 + 名前解決 |
AD統合ゾーンで冗長性を確保 |
AD環境がない場合でも、DNSサーバーは社内の名前解決に十分活用できます。
外部への問い合わせ転送先として、以下のパブリックDNSがよく使われます。
|
サービス |
プライマリ |
セカンダリ |
特徴 |
|
Google Public DNS |
8.8.8.8 |
8.8.4.4 |
高速・高信頼 |
|
Cloudflare |
1.1.1.1 |
1.0.0.1 |
プライバシー重視・高速 |
|
Quad9 |
9.9.9.9 |
149.112.112.112 |
マルウエアブロック機能あり |
企業のセキュリティーポリシーに合わせて、最適なフォワーダーを選択してください。複数のフォワーダーを設定しておけば、一つが応答しない場合でも別のDNSに問い合わせることができます。
今回は、DNSサーバーを構築する前に知っておくべき基礎用語と前提知識を解説しました。ゾーン、レコード、フォワーダーといった専門用語は、一つひとつ理解すれば決して難しくありません。また、固定IPアドレスの設定やドメイン名の選び方など、構築前の準備が成功の鍵を握ります。次回の構築フロー編に備えて、今回の内容をしっかり押さえておきましょう。
第3回 (最終回) では、構築の全体フロー、初心者がつまずきやすいポイント、そして運用・保守の考え方を解説します。実際の構築を検討されている方は、ぜひご覧ください!
横河レンタ・リース株式会社は日本ヒューレットパッカード社の Platinum パートナーとして、25年以上にわたり販売・提案・構築を支援してきました。HPEの最新技術と当社独自のノウハウを組み合わせ、DNSの設計から構築まで一貫して対応しています。保守管理の見直しや外注をご検討の際は、お気軽にご相談ください。