この記事では、Azure パブリック DNS ゾーンからドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) を削除する方法について説明します。
DNSSEC を使用してゾーンに署名するには、「DNSSEC を使用して Azure パブリック DNS ゾーンに署名する方法」を参照してください。
前提条件
- DNS ゾーンは、Azure パブリック DNS によってホストされている必要があります。 詳細については、「DNS ゾーンの管理」を参照してください。
- 親 DNS ゾーンから DS レコードを削除するアクセス許可が必要です。 ほとんどのトップ レベル ドメイン (.com、.net、.org) では、レジストラーを使用してこれを実行できます。
ゾーンの署名を削除する
重要
DNS ゾーンから DNSSEC を削除するには、最初に親ゾーンから委任署名者 (DS) レコードを削除し、DS レコードの有効期限 (TTL) が切れるまで待つ必要があります。 DS レコードの TTL の有効期限が切れた後は、ゾーンの署名を安全に削除できます。
Azure portal を使用してゾーンの署名を削除するには:
Azure portal のホーム ページで DNS ゾーン を検索して選択します。
DNS ゾーンを選択し、ゾーンの [概要] ページから [DNSSEC] を選択します。
[DNSSEC] は、上部のメニュー、または [DNS 管理] から選択します。
このゾーンのレジストラーで DS レコードが正常に削除された場合、DNSSEC の状態は [署名されているが委任されていない] と表示されます。 この状態が表示されるまで続行しないでください。
[DNSSEC を有効にする] チェックボックスをオフにし、DNSSEC を無効にすることを確認するポップアップ ダイアログ ボックスで [OK] を選択します。
[DNSSEC を無効にする] ペインで、ドメイン名を入力し、[無効にする] を選択します。
ゾーンの署名が削除されました。
Azure CLI を使用して DNSSEC で署名されたゾーンの署名を削除します。
- 署名済みゾーンの署名を削除するには、次のコマンドを発行します。 サブスクリプション ID、リソース グループ、ゾーン名の値を実際の値に置き換えます。
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Disable DNSSEC for the DNS zone
az network dns dnssec-config delete --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration has been removed
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
- 最後のコマンドの実行後に、"(NotFound) DNS ゾーン 'adatum.com' で DNSSEC が有効になっていません" と表示されることを確認します。 ゾーンの署名が削除されました。
- 次のコマンドを使用して、ゾーンから DNSSEC 署名を削除し、PowerShell を使用してゾーンの状態を表示します。 サブスクリプション ID、リソース グループ、ゾーン名の値を実際の値に置き換えます。
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Disable DNSSEC for the DNS zone
Remove-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# View the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
- 最後のコマンドの実行後に、"DNS ゾーン 'adatum.com' で DNSSEC が有効になっていません" と表示されることを確認します。 ゾーンの署名が削除されました。
次のステップ