フォワーダーは、外部 DNS 名の DNS クエリをそのネットワーク外の DNS サーバーに転送するために使用される、ネットワーク上の DNS サーバーです。 条件付きフォワーダーを使用して、特定のドメイン名に従ってクエリを転送することもできます。 この記事では、Windows Server での委任、条件付きフォワーダー、イントラネットの名前解決など、DNS 転送について説明します。
Forwarding
ネットワーク上の DNS サーバーは、他の DNS サーバーがその DNS サーバーに対してローカルで解決できないクエリに応答することで、フォワーダーとして指定されます。 フォワーダーを使用すると、インターネット上の名前など、ネットワーク外の名前の名前解決を管理し、ネットワーク内のコンピューターの名前解決の効率を向上させることができます。
次の図は、フォワーダーを使用して外部名クエリを送信する方法を示しています。
特定の DNS サーバーをフォワーダーとして設定しない場合、DNS サーバーはルート ヒントを使用してネットワークの外部にクエリを送信します。 この構成により、内部 DNS 情報がインターネットに公開され、セキュリティとプライバシーのリスクにつながる可能性があります。 また、多くの外部トラフィックを作成することもできます。これは、インターネット接続が遅いネットワークでは非効率的であり、インターネット コストの高い企業ではコストがかかります。
DNS サーバーをフォワーダーとして指定する場合、そのフォワーダーは外部トラフィックの処理を担当し、DNS サーバーによるインターネットへの露出を制限します。 フォワーダーは、ネットワーク内のすべての外部 DNS クエリが外部 DNS 情報を介して解決されるため、外部 DNS 情報の大きなキャッシュを構築します。 フォワーダーは、キャッシュされたデータを使用してほとんどの外部 DNS クエリを短時間で解決します。 つまり、ネットワーク経由のインターネット トラフィックが減少し、DNS クライアントの応答時間が短縮されます。
Behavior
フォワーダーを使用するように構成された DNS サーバーの動作は、フォワーダーを使用するように構成されていない DNS サーバーとは異なります。 フォワーダーを使用するように構成された DNS サーバーは、次のように動作します。
DNS サーバーは、クエリを受信すると、ホストするプライマリ ゾーンとセカンダリ ゾーンとそのキャッシュを使用して、このクエリの解決を試みます。
このローカル データを使用してクエリを解決できない場合は、フォワーダーとして指定された DNS サーバーにクエリが転送されます。
DNS サーバーは、フォワーダーからの応答を少し待ってから、ルート ヒントで指定された DNS サーバーへの接続を試みます。
DNS サーバーは、フォワーダーにクエリを転送すると、再帰クエリをフォワーダーに送信します。 この種類のクエリは、DNS サーバーが標準の名前解決中に別の DNS サーバーに送信する反復クエリとは異なります。 つまり、フォワーダーを介さない直接の名前解決です。
転送シーケンス
DNS サーバーは、DNS サーバーに IP アドレスが表示される順序に基づいてフォワーダーを使用します。 DNS サーバーは、最初の IP アドレスを使用してフォワーダーにクエリを転送した後、次の IP アドレスを使用して転送操作を再開する前に、そのフォワーダーからの応答 (DNS サーバーのタイムアウト設定に従って) を短時間待機します。 フォワーダーから肯定的な回答を受け取るまで、このプロセスを続行します。
DNS サーバーが使用するフォワーダーは、サーバーの構成によって異なります。 既定では、 動的フォワーダーの並べ替えが 有効になっています。既定値が保持されている場合、DNS サーバーはフォワーダーの一覧に従って使用します。
DNS サーバーを使用すると、管理者は優先順序でフォワーダーを作成できます。
フォワーダーの動的なリストが保持されます。 動的リストは、応答時間に基づいて並べ替えされます。 ただし、一覧は、約 15 分ごとに構成された注文にリセットされます。
各クエリについて、フォワーダーは動的リストに表示されるとおりに選択されます。
応答時間が 1 秒を超える場合は、応答が遅いと見なされます。 各フォワーダーは、2 つの連続する低速応答を許可され、3 番目の低速応答では動的リストの末尾に移動されます。
リスト内のすべてのサーバーが応答しない場合、DNS はサーバーがオフラインか低速であるかを知る方法がありません。 各 DNS サーバーの可用性の監視は、システムの外部で行う必要があります。
Tip
Windows Server 2022 以降では、フォワーダーの一覧からフォワーダーが応答しない場合、DNS サーバーサービスが再起動するまで、DNS サーバーは動的リストの最初のフォワーダーのみを使用します。
フォワーダーと委任
フォワーダーで構成され、親ゾーンをホストする DNS サーバーは、クエリを転送する前に委任情報を使用します。 クエリに DNS 名の委任レコードが存在しない場合、DNS サーバーはそのフォワーダーを使用してクエリを解決します。
フォワーダーとルート サーバー
DNS サーバーが再帰を適切に実行するには、まず DNS ドメイン名前空間内の他の DNS サーバーに関する有用な連絡先情報が必要です。 この情報は、ルート ヒントの形式で提供されます。 ルート ヒントは、DNS サービスが DNS ドメイン名前空間ツリーのルートに対して権限のある他の DNS サーバーを検索するために使用する予備リソース レコードの一覧です。 ルート サーバーは、DNS ドメイン名前空間ツリー内のドメイン ルートドメインと最上位ドメインに対して権限を持ちます。
ルート ヒントを使用してルート サーバーを見つけることで、DNS サーバーは再帰の使用を完了できます。 理論上、このプロセスにより、すべての DNS サーバーは、名前空間ツリー内の任意のレベルで使用される他の DNS ドメイン名に対して権限のあるサーバーを見つけることができます。
ルート サーバーを標準転送で構成することはできません。 ルート サーバーがドメイン名に関してクエリを実行すると、2 つの方法のいずれかで応答します。 (ローカル ゾーン、キャッシュから) 質問に回答できる DNS サーバーを参照するか、エラーで応答します。 エラー応答が NXDOMAIN 回答と共に表示されます。 特定のサーバーに転送するように構成することはできません。 転送を構成する際の一般的なエラーは、プライベート DNS 名前空間のルート サーバーで転送を構成しようとすることです。
ルート サーバーは、条件付きフォワーダーを使用して構成できます。 条件付き転送を使用すると、別の DNS 名前空間内のルート サーバー間でクエリを転送できますが、名前空間内の最上位ドメインの DNS サーバーは、この解決方法に適しています。
条件付きフォワーダー
条件付きフォワーダーは、ネットワーク上の DNS サーバーであり、クエリ内の DNS ドメイン名に従って DNS クエリを転送するために使用されます。 たとえば、DNS サーバーは、 north.contoso.com で終わる名前に対して受信するすべてのクエリを DNS サーバーの IP アドレスまたは複数の DNS サーバーの IP アドレスに転送するように構成できます。
イントラネットの名前解決
条件付きフォワーダーを使用すると、イントラネット内のドメインの名前解決を向上させることができます。 イントラネットの名前解決は、特定の内部ドメイン名のフォワーダーを使用して DNS サーバーを構成することで改善できます。 たとえば、ドメイン north.contoso.com内のすべての DNS サーバーは、south.contoso.comで終わる名前のクエリをsouth.contoso.comの権限のある DNS サーバーに転送したり、.contoso.comのルート サーバーに対してクエリを実行する手順を削除したり、north.contoso.comのセカンダリ ゾーンを持つsouth.contoso.com ゾーン内の DNS サーバーを構成する手順を削除したりできます。
インターネット名前解決
DNS サーバーは、条件付きフォワーダーを使用して、情報を共有する企業の DNS ドメイン名間のクエリを解決できます。 たとえば、Contoso と Tailspin Toys という 2 つの会社は、Contoso の DNS クライアントが Tailspin Toys のサーバーの名前を解決する方法を改善したいと考えています。 Tailspin Toys の管理者は、Contoso がドメイン outdoor.tailspintoys.comのクエリを送信できる Tailspin Toys ネットワーク内の DNS サーバーのセットについて Contoso の管理者に通知します。 Contoso ネットワーク内の DNS サーバーは、 outdoor.tailspintoys.com で終わる名前のすべてのクエリを、Tailspin Toys のネットワーク内の指定された DNS サーバーに転送するように構成されています。 そのため、Contoso ネットワーク内の DNS サーバーは、内部ルート サーバーやインターネット ルート サーバーに対してクエリを実行して、 outdoor.tailspintoys.comで終わる名前のクエリを解決する必要はありません。