特集 インターネット「常時」接続計画

第6回 DNSサーバの設定と確認

4.正引きDNSゾーンの定義(3)

デジタルアドバンテージ
2002/03/06

SOAレコードにおけるネーム・サーバ情報

 ゾーン・プロパティの「ネーム サーバー」タブでは、このドメインのネーム・サーバ(プライマリDNSサーバとセカンダリDNSサーバ)を指定する。ここで登録した値はDNSのデータベースにおける「NS(Name Server)レコード」になる。デフォルトではウィザードで作成されたエントリが入っているが、これが正しくない場合は削除して、2つの正式なDNSサーバを登録しておく。DNSのクライアントは、このネーム・サーバ情報を参照して、どのDNSサーバに問い合わせればよいかを決定する。

SOAレコードにおけるネーム・サーバ情報
ここにはd-advantage.jpドメインの正式なDNSサーバを登録する。DNSのクライアントは、このネーム・サーバ情報(NSレコード)を参照して、どのDNSサーバに問い合わせればよいかを決定する。今回の例ではjpのネーム・サーバに公式に登録された(whoisデータベースに登録された)2つのネーム・サーバを登録する。
  ドメインのネーム・サーバを登録するために使用する。
  このネーム・サーバは、ウィザードが登録したホスト名。このマシンには、実際にはwin2kserver01というホスト名を付けているため、デフォルトではこのようなネーム・サーバ名になる。だがこれは正式なネーム・サーバ情報ではないので、削除しておき、公式なネーム・サーバ名とそのIPアドレスを追加する。
  新しくサーバを追加する場合にはこれをクリックする。
  登録されたネーム・サーバ情報を編集する場合にはこれをクリックする。
  登録されたネーム・サーバを削除する場合にはこれをクリックする。

 新しいNSレコードを追加するには、上の画面で[追加]をクリックする。すると以下のような画面が表示されるので、ネーム・サーバのFQDN名とそのIPアドレスを入力する。今回の例では、このDNSサーバが稼働しているホスト名(プライマリDNSサーバ)と、プロバイダ側にあるネーム・サーバ(セカンダリDNSサーバ)の2つのレコードを作成・登録する。

新しいNSレコードの登録
ネーム・サーバの情報を作成すると、DNSのNSレコードとして登録される。このNSレコードには、このドメインの情報を保持しているDNSサーバを列挙しておく。
  ネーム・サーバ(DNSサーバ)のFQDN名。
  自分のドメイン(今回ならばd-advantage.jp)内にあるネーム・サーバならばこの[参照]ボタンを使って選択し、簡単に入力することができる。しかし外部のドメインにあるネーム・サーバ(今回ではプロバイダ側にあるセカンダリDNSサーバ)ならば、直接FQDN名を入力する。
  で入力したFQDN名から自動的にIPアドレスを求めるためのボタン。DNSのリゾルバがすでにセットアップされていれば(インターネットへの接続環境が正しくセットアップされ、外部のDNSサーバへの参照が可能ならば)このボタンが利用可能だが、そうでない場合は手動でIPアドレスを入力する。
  ネーム・サーバのIPアドレスを入力する。
  のIPアドレスを登録する。
  列挙されたネーム・サーバのIPアドレス。
  IPアドレスを削除するためのボタン。
  ネーム・サーバに複数のIPアドレスが割り当てられている場合に、その優先順位を決めるためのボタン。上位の方が優先順位が高い。
  NSレコードのTTL(有効期限)。

 以上のダイアログを使って、2つのネーム・サーバを登録すると、以下のようになるはずである。この2つのレコードは、このドメインのNSレコードとして登録され、外部から参照できるようになる(このNSレコードは、コマンドプロンプト上で「nslookup -type=ns ドメイン名」を実行すると確認できる)。

登録されたネーム・サーバ(NS)レコード
d-advantage.jpドメインに対して割り当てらた2つのネーム・サーバ情報。whoisデータベースに登録されている2つの公式なネーム・サーバ情報を登録する。
  プライマリDNSサーバ。このホスト上で動作しているDNSサーバ。
  プロバイダ側にあるセカンダリDNSサーバ。

WINS参照の禁止

 Windows 2000 Serverに含まれるDNSサーバは、Windowsネットワーク環境で使用する場合には、WINSサーバと連携する機能を持っている。ホスト名がDNSゾーン内で定義されていないと、WINSサーバに問い合わせ、そのIPアドレスを返すという機能である。LAN上に多くのWindowsマシンが存在するような環境では有用であるが、インターネット向けのDNSサーバでは外部にホスト名が漏洩する危険性があるので、この機能は無効にしておきたい。

WINS設定の無効化
WINSサーバと連携する機能を使うと、内部ネットワーク上のホスト名などが外部へ漏洩する可能性があるので、無効化しておくことが望ましい。
  WINSとの連携を設定するには[WINS]をタブを使う。
  WINSサーバと連携する場合はこれをチェックする。
  連携するWINSサーバの一覧を設定する。

ゾーン転送の設定

 ゾーン転送とは、プライマリDNSサーバからセカンダリDNSサーバへゾーン・データを一括で転送する機能である。今回の場合は、Windows 2000 Server上のDNSサーバからプロバイダ側にあるセカンダリDNSサーバへ転送することになる。転送のトリガ(きっかけ)は、一般的にはセカンダリDNSサーバからの定期的なSOAレコードのポーリング(チェック)結果に基づいて、ゾーンのシリアル番号が変更されているとゾーン転送が行われる。

 ゾーン転送は、プライマリDNSサーバとセカンダリDNSサーバ間でのゾーン情報のコピーに使われるため、ゾーン内で定義されている情報(レコード)がすべて転送されることになる。そのため、必要のないDNSサーバにまでこのゾーン転送を許可してしまうと、ドメイン内の重要な情報(例えば外部には公開していないようなホスト名やそのほかのレコードなど)が漏洩してしまう可能性がある。そこで、ゾーン転送を許可する場合には、その相手をセカンダリDNSサーバだけに限定しておくのが望ましい。またゾーン転送機能のセキュリティ・ホールを突くようなウイルスやクラッキグング手法も存在するので、これを防ぐという意味もある。

 ただし転送の相手をセカンダリDNSサーバだけに限定すると、ローカルのマシン上でDNSサーバのゾーン転送テスト(nslookupコマンドなどを使う)をすることもできなくなってしまうので、ローカル・マシンも許可するホストに追加する必要がある。

ゾーン転送の設定
ゾーン転送ではあらゆるレコードが送信されるので、セキュリティ上の観点からすると、ゾーン転送をセカンダリDNSサーバ以外に許可する必要性はない。きちんと制限をかけておきたい。
  ゾーン転送の許可する相手ホストを設定するには、この[ゾーン転送]タブを使う。
  ゾーン転送を許可する場合にはこれをチェックする。
  相手を限定しない場合にはこれを選択する。
  [ネーム サーバー]タブで列挙されているサーバ(この場合はプライマリとセカンダリのDNSサーバの2つが記述されている)だけに限定する場合にはこれを選択する。
  ゾーン転送を許可する相手を個別に選定するにはこれを選択する。
  ここにゾーン転送を許可したいマシンのIPアドレスを入力する。
  IPアドレスを追加する。
  ゾーン転送を許可するホストの一覧。
  ゾーンの変更があったことを、プライマリDNS側から能動的に通知する場合に使用する(通常はセカンダリDNS側がプライマリDNS側を周期的にポーリングする)。だがこのような方法は一般的ではないので、ここでは使わない。

メール・サーバの指定

 以上で基本的な設定が完了したので、次は一般的なDNSレコードなどの登録を行う。まずはメール・サーバの設定である。

 通常ドメインを設定すると、そのドメインに対するメール・サーバも定義する。例えばd-advantage.jpドメインでは「XXX@d-advantage.jp」というアドレスを持つメールを受け付けるが、このようなメールを受け付けるホストの名前を指定するために「MX(Mail eXchanger)レコード」を用意する。MXレコードにはメール・サーバのホスト名(FQDN名)とその「優先順位(preference)」を指定する。「優先順位」は、複数のメール・サーバが用意されている場合に、どのサーバへ優先して送信するかを決めるための数値である。複数のMXレコードが定義されていると、送信側ではまず優先順位の数値が一番小さいホストへメールを送信しようとする。もしそのサーバがダウンしていれば、次に数値の小さいサーバへメールが送信される。このようにして複数のメール・サーバを用意することにより、1台がダウンしていてもほかのサーバでメールを受け付けることができ、メール・システムとしての信頼性が向上する。

 MXレコードを定義するには、ドメイン名を右クリックして[新しいメール エクスチェンジャ]をクリックする。

メール・サーバの定義
ドメインごとに、メールを受け付けるためのメール・サーバ(メール・エクスチェンジャ)をMXレコードを使って定義することができる。
  新しいMXレコードを定義するには、ドメイン名を右クリックして表示されるポップアップ・メニューから[新しいメール エクスチェンジャ]を選択する。

 [新しいメール エクスチェンジャ]を選択すると、次のようなダイアログが表示されるので、メール・サーバ名と優先度を指定する。

新しいMXレコードの定義
ドメインのメール・サーバを定義するには、MXレコードを作成する。
  MXレコードを定義するドメイン名。ここではd-advantage.jpドメイン宛のメール・サーバを定義する。
  サブドメイン名の指定。通常は空白のままでよい。
  メール・サーバのFQDN名。1台のメール・サーバで複数のドメインを担当する場合は、別のドメイン内にあるメール・サーバなどを指定することもできる。
  メール・サーバの優先順位。標準的なメール・サーバには5とか10、100などを使い、バックアップのメール・サーバに対しては20とか200などを使うことが多い。数値には特に意味はなく、その大小関係だけが使用するメール・サーバを選択する基準になる。数値が小さいサーバの方が優先度が高い。複数のメール・サーバを用意することにより、メール・システムとしての信頼性が向上する。

そのほかのレコードの定義

 以上でSOAレコードとNS、MXレコードの定義が完了したので、あとはそのほかのホストを順次定義していけばよい。最初にネーム・サーバのAレコードを定義した場合と同様に、ドメイン名を右クリックして[新しいホスト]というメニューを選択し、ホスト名とそのIPアドレスを入力する。以下に正引きゾーンの定義が完了した直後の状態を示しておく。

定義の完了したd-advantage.jpの正引きゾーン
SOA、MX、NS以外のすべてのホストをAレコードとして定義したところ。正引きゾーンでは、名前からIPアドレスを求めるために、Aレコードを定義する。1つのIPアドレスに対して複数の名前を付けたい場合は、複数のAレコードを定義すればよい。
  正引きゾーンを定義したドメイン。
  メール・サーバを表すMXレコード。“[10]”は優先度を表している。
  SOAレコード。ドメイン定義の基本となる一番重要なレコード。“[5]”はシリアル番号。その右にあるのはプライマリのネーム・サーバ名と管理者のメール・アドレス。
  ドメインのネーム・サーバを表すNSレコード。プライマリとセカンダリの2つのネーム・サーバを定義しているが、クライアントから見れば違いはない。
  定義したホスト名(Aレコード)。
 
更新履歴
【2002.3.8】MXレコードの説明において、レコード中に記述する数値についての説明を加筆・修正しました。


 INDEX
  [特集]インターネット「常時」接続計画
  第6回 DNSサーバの設定と確認
     1.DNSサーバの管理
     2.正引きDNSゾーンの定義(1)
     3.正引きDNSゾーンの定義(2)
   4.正引きDNSゾーンの定義(3)
     5.逆引きDNSゾーンの定義(1)
     6.逆引きDNSゾーンの定義(2)
     7.DNSサーバの動作確認
 
 インターネット「常時」接続計画


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT