DNS ゾーンは、DNS サーバーでホストされている DNS 名前空間の特定の部分です。 DNS ゾーンにはリソース レコードが含まれており、DNS サーバーはその名前空間内のレコードのクエリに応答します。 たとえば、www.contoso.com
を IP アドレスに解決する権限がある DNS サーバーは、contoso.com
ゾーンをホストします。
DNS ゾーンのコンテンツは、ファイルまたは Active Directory Domain Services (AD DS) に格納できます。 DNS サーバーがゾーンをファイルに格納する場合:
- そのファイルは、サーバー上のローカル フォルダーにあります。
- 書き込み可能なゾーンのコピーは 1 つだけです。
- 読み取り専用である他のコピーは、セカンダリ ゾーンと呼ばれます。
AD DS に格納されている DNS ゾーンは、Active Directory 統合ゾーンと呼ばれます。 Active Directory 統合ゾーンは、DNS サーバーの役割がインストールされているドメイン コントローラーでのみ使用できます。
DNS ゾーンの種類
DNS サーバー サービスでは、次の種類のゾーンがサポートされています。
- 主要ゾーン。
- 第二ゾーン。
- スタブ ゾーンです。
- 逆引き参照ゾーン。
プライマリ ゾーン
プライマリ ゾーンをホストしている DNS サーバーは、このゾーンに関する情報のプライマリ ソースです。 ゾーン データは、ローカル ファイルまたは AD DS に格納されます。 リソース レコードを作成、編集、または削除するには、プライマリ ゾーンを使用する必要があります。 セカンダリ ゾーンは、プライマリ ゾーンの読み取り専用コピーです。
標準プライマリ ゾーンはローカル ファイルに格納することも、AD DS にゾーン データを格納することもできます。 AD DS にゾーン データを格納する場合は、セキュリティで保護された動的更新や、ゾーンをホストする各ドメイン コントローラーがプライマリとして機能し、ゾーンの更新を処理できる機能など、他の機能を利用できます。 ゾーンがファイルに格納されている場合、既定ではプライマリ ゾーン ファイルは zone_name.dns
という名前で、サーバー上の %windir%\System32\Dns
フォルダーにあります。
Active Directory を展開すると、組織の AD DS ドメイン名に関連付けられている DNS ゾーンが自動的に作成されます。 既定では、AD DS DNS ゾーンは、ドメイン内の DNS サーバーとして構成されている他のドメイン コントローラーにレプリケートされます。 AD DS フォレスト内のすべてのドメイン コントローラー、または特定の AD DS ドメイン パーティションに登録されている特定のドメイン コントローラーにレプリケートするように Active Directory 統合 DNS ゾーンを構成することもできます。
第2ゾーン
セカンダリ ゾーンは、プライマリ ゾーンの読み取り専用コピーです。 この DNS サーバーがホストするゾーンがセカンダリ ゾーンである場合、この DNS サーバーはこのゾーンに関する情報のセカンダリ ソースです。 このサーバーのゾーンは、ゾーンをホストする別のリモート DNS サーバー コンピューターから取得する必要があります。 この DNS サーバーは、ゾーンに関する更新された情報をこのサーバーに提供するリモート DNS サーバーへのネットワーク アクセス権を持っている必要があります。 セカンダリ ゾーンは、別のサーバーでホストされているプライマリ ゾーンのコピーのみであるため、ACTIVE Directory 統合ゾーンとして AD DS に格納することはできません。
ほとんどの場合、セカンダリ ゾーンでは、リソース レコードがプライマリ ゾーンから直接定期的にコピーされます。 ただし、一部の複雑な構成では、セカンダリ ゾーンは別のセカンダリ ゾーンからリソース レコードをコピーできます。
スタブ ゾーン
スタブ ゾーンには、ゾーンの権限のあるネーム サーバーに関する情報のみが含まれます。 DNS サーバーによってホストされるゾーンは、ゾーンをホストする別の DNS サーバーから情報を取得する必要があります。 ゾーンに関する権限のあるネーム サーバー情報をコピーするには、この DNS サーバーにリモート DNS サーバーへのネットワーク アクセス権が必要です。
スタブ ゾーンを使用すると、次のことができます。
- 委任されたゾーン情報を最新の状態に保ちます。 DNS サーバーは、子ゾーンのスタブ レコードを定期的に更新します。親ゾーンとスタブ ゾーンの両方をホストする DNS サーバーは、子ゾーンの権限のある DNS サーバーの現在の一覧を保持します。
- 名前解決を向上させる。 スタブ ゾーンを使用すると、DNS サーバーは、DNS 名前空間のインターネットまたは内部ルート サーバーに対してクエリを実行することなく、スタブ ゾーンのネーム サーバーの一覧を使用して再帰を実行できます。
- DNS 管理を簡略化します。 DNS インフラストラクチャ全体でスタブ ゾーンを使用すると、セカンダリ ゾーンを使用せずに、ゾーンの権限のある DNS サーバーの一覧を配布できます。 ただし、スタブ ゾーンはセカンダリ ゾーンと同じ目的を果たしません。冗長性と負荷の共有を強化するための代替手段ではありません。
スタブ ゾーンの読み込みとメンテナンスに関係する DNS サーバーの一覧は 2 つあります。
- DNS サーバーがスタブ ゾーンを読み込んで更新するネーム サーバーの一覧。 ネーム サーバーは、ゾーンのプライマリ DNS サーバーまたはセカンダリ DNS サーバーである可能性があります。 どちらの場合も、ゾーンの DNS サーバーの完全な一覧が表示されます。
- ゾーンの権限のある DNS サーバーの一覧。 このリストは、ネーム サーバー (NS) リソース レコードを使用するスタブ ゾーンに含まれています。
DNS サーバーは、widgets.tailspintoys.com
などのスタブ ゾーンを読み込むと、ゾーン widgets.tailspintoys.com
に対して権限のあるサーバーの必要なリソース レコードについて、異なる場所にあるネーム サーバーに対してクエリを実行します。 ネーム サーバーの一覧には、1 台のサーバーまたは複数のサーバーが含まれている場合があり、いつでも変更できます。
スタブ ゾーンは、そのゾーンの権限のあるドメイン ネーム システム (DNS) サーバーを識別するために必要なリソース レコードのみを含むゾーンのコピーです。 通常、スタブ ゾーンを使用して、個別の DNS 名前空間間の名前を解決します。
サブゾーンを使用する場合は、次の点を考慮する必要があります。
- スタブ ゾーンは、同じゾーンに対して権限のある DNS サーバーでホストすることはできません。
- スタブ ゾーンを AD DS に統合する場合は、スタブ ゾーンをホストしている DNS サーバーでネーム サーバーのローカル リストを使用するか、AD DS に格納されているリストを使用するかを指定できます。 ローカル ネーム サーバーの一覧を使用する場合は、各ネーム サーバーの IP アドレスが必要です。
逆引き参照ゾーン
ほとんどのドメイン ネーム システム (DNS) 参照では、通常、クライアントは前方参照を実行します。これは、ホスト (A) リソース レコードに格納されている別のコンピューターの DNS 名に基づく検索です。 この種類のクエリでは、応答された応答のリソース データとして IP アドレスが必要です。
DNS には逆引き参照プロセスも用意されており、クライアントは既知の IP アドレスを使用し、そのアドレスに基づいてコンピューター名を検索します。 逆引き参照は、たとえば「IP アドレス 192.168.1.20 を使用するコンピューターの DNS 名を教えてください」といった質問の形式を取ります。
in-addr.arpa
ドメインは DNS 標準で定義され、逆引きクエリを実行するための実用的で信頼性の高い方法を提供するためにインターネット DNS 名前空間に予約されています。 逆の名前空間を作成するには、IP アドレスのドット 10 進表記の数値の逆順を使用して、in-addr.arpa
ドメイン内のサブドメインが形成されます。
in-addr.arpa
ドメインは、インターネット プロトコル バージョン 4 (IPv4) アドレス指定に基づくすべての TCP/IP ネットワークに適用されます。 新しいゾーン ウィザードでは、新しい逆引き参照ゾーンを作成するときに、このドメインを使用していると自動的に想定されます。
in-addr.arpa
ドメイン ツリーを構築するときは、IP アドレス オクテットの順序を逆にする必要があります。 DNS in-addr.arpa
ツリーの IP アドレスは、インターネットで定義されたアドレス クラス内の特定の IP アドレスまたは制限された IP アドレスセットが割り当てられるため、組織に委任できます。
DNS データベースをレプリケートする
名前空間の同じ部分を表す複数のゾーンがある場合があります。 これらのゾーンには、次の 3 種類があります。
- 主要
- セカンダリ
- スタブ
プライマリは、そのゾーンに属するレコードのすべての更新が行われるゾーンです。 セカンダリ ゾーンは、プライマリ ゾーンの読み取り専用コピーです。 スタブ ゾーンは、DNS ドメイン名に対して権限のある DNS サーバーを識別するリソース レコードのみを含むプライマリ ゾーンの読み取り専用コピーです。 プライマリ ゾーン ファイルに加えられた変更は、セカンダリ ゾーン ファイルにレプリケートされます。 プライマリ、セカンダリ、またはスタブ ゾーンをホストしている DNS サーバーは、ゾーン内の DNS 名に対して権限があると言われます。
DNS サーバーは複数のゾーンをホストできるため、プライマリ ゾーン (ゾーン ファイルの書き込み可能なコピーを持つ) と別のセカンダリ ゾーン (ゾーン ファイルの読み取り専用コピーを取得する) の両方をホストできます。 プライマリ ゾーンをホストする DNS サーバーは、そのゾーンのプライマリ DNS サーバーと言われ、セカンダリ ゾーンをホストする DNS サーバーはそのゾーンのセカンダリ DNS サーバーと言われます。
手記
セカンダリ ゾーンまたはスタブ ゾーンは、同じドメイン名のプライマリ ゾーンをホストする DNS サーバーでホストすることはできません。
ゾーン転送
ゾーン ファイルを複数の DNS サーバーにレプリケートするプロセスは、ゾーン転送と呼ばれます。 ゾーン転送は、ゾーン ファイルを 1 つの DNS サーバーから 2 つ目の DNS サーバーにコピーすることによって実現されます。 ゾーン転送は、プライマリ DNS サーバーとセカンダリ DNS サーバーの両方から行うことができます。
プライマリ DNS サーバーは、ゾーン転送のソースとして構成されている権限のあるサーバーです。 DNS サーバーがプライマリ DNS サーバーの場合、ゾーン転送はプライマリ ゾーンをホストしている DNS サーバーから直接送信されます。 プライマリ サーバーがセカンダリ DNS ゾーンをホストしている場合、ゾーン転送でプライマリ DNS サーバーから受信したゾーン ファイルは、読み取り専用のセカンダリ ゾーン ファイルのコピーです。
ゾーン転送は、次のいずれかの方法で開始されます。
- プライマリ DNS サーバーは、ゾーン ファイル内の変更の 1 つ以上のセカンダリ DNS サーバーに通知 (RFC 1996) を送信します。
- セカンダリ DNS サーバー上の DNS サーバー サービスが開始されるか、ゾーンの更新間隔が切れると、セカンダリ DNS サーバーはプライマリ DNS サーバーに変更を照会します。 既定では、ゾーンの SOA RR では更新間隔が 15 分に設定されています。
ゾーン転送の設定
ゾーン転送を使用すると、プライマリ ゾーンからセカンダリ ゾーンをレプリケートする状況を制御できます。 DNS インフラストラクチャのセキュリティを強化するには、ゾーンまたは指定された DNS サーバーのネーム サーバー (NS) リソース レコード内の DNS サーバーに対してのみゾーン転送を許可します。 DNS サーバーでゾーン転送を実行できるようにする場合は、DNS サーバーに接続できる任意のホストに内部ネットワーク情報を転送できます。
ゾーン ファイル レプリケーションの種類
ゾーン ファイル レプリケーションには 2 種類あります。 1 つ目のフル ゾーン転送 (AXFR) では、ゾーン ファイル全体がレプリケートされます。 2 つ目の増分ゾーン転送 (IXFR) では、変更されたレコードのみがレプリケートされます。
BIND 4.9.3 以前の DNS サーバー ソフトウェアと Windows NT 4.0 DNS では、フル ゾーン転送 (AXFR) のみがサポートされます。 AXFR には 2 種類あります。1 つはパケットごとに 1 つのレコードを必要とします。もう 1 つはパケットごとに複数のレコードを許可します。 Windows サーバーの DNS サーバー サービスでは、両方の種類のゾーン転送がサポートされていますが、既定ではパケットごとに複数のレコードが使用されます。 BIND サーバー バージョン 4.9.4 以前など、パケットごとに複数のレコードを許可しないサーバーとの互換性のために、異なる方法で構成できます。
ゾーンの委任
ドメイン ネーム システム (DNS) 名前空間を 1 つ以上のゾーンに分割できます。 対応するゾーンの管理を委任することで、名前空間の一部の管理を組織内の別の場所または部門に委任できます。 たとえば、australia.contoso.com
ゾーンから contoso.com
ゾーンを委任します。
ゾーンを委任するときは、作成する新しいゾーンごとに、新しいゾーンの権限のある DNS サーバーを指す他のゾーンの委任レコードが必要であることを覚えておいてください。 委任レコードは、権限を転送し、新しいゾーンに対して権限が付与されている新しいサーバーの他の DNS サーバーとクライアントに正しい参照を提供するために必要です。
ゾーンと名前へのアクセス
Active Directory に格納されている DNS ゾーンとリソース レコードへのアクセスは、アクセス制御リスト (ACL) を使用して制御されます。 ACL は、DNS サーバー サービス、ゾーン全体、または特定の DNS 名に対して指定できます。 既定では、認証された Active Directory ユーザーは、任意のゾーンに A または PTR R を作成できます。 所有者が (リソース レコードの種類に関係なく) A または PTR レコードを作成すると、その名前に対応するレコードを変更するために、書き込みアクセス許可を持つその名前の ACL で指定されたユーザーまたはグループのみが有効になります。 ほとんどのシナリオではこの方法が望ましいですが、状況によっては個別に検討する必要があります。
DNSAdmins グループ
既定では、 DNSAdmins グループは Active Directory ドメイン内のすべてのゾーンとレコードを完全に制御します。 ユーザーが特定のドメイン内のゾーンを列挙できるようにするには、ユーザー (またはユーザーが属するグループ) を DNSAdmin グループに参加させる必要があります。
ドメイン管理者は、DNSAdmins グループに一覧表示されているすべてのユーザーにフル コントロールを付与したくない場合があります。 代わりに、ドメイン管理者は、1 つのゾーンに対して特定のユーザー セットにフル コントロールを付与し、他のゾーンに対する読み取り専用のアクセス許可を付与することができます。 これらのアクセス許可を構成するために、ドメイン管理者はゾーンごとに個別のグループを作成し、各グループに特定のユーザーを追加できます。 その後、各ゾーンの ACL には、そのゾーンのみのフル コントロールを持つグループが含まれます。 すべてのグループが DNSAdmins グループに追加されます。これは、読み取りアクセス許可のみを使用して構成できます。 ゾーンの ACL には常に DNSAdmins グループが含まれます。つまり、ゾーン固有のグループに参加しているすべてのユーザーは、ドメイン内のすべてのゾーンを読み取ることができます。
名前の予約
高レベルのセキュリティを必要とする環境では、ゾーン内の名前を予約し、認証されたユーザーがそのゾーンに新しい名前を作成できないようにすることが必要になる場合があります。これは既定の動作です。 DNS レコードをセキュリティで保護するために、既定の ACL を変更して、特定のグループまたはユーザーのみがオブジェクトを作成できるようにすることができます。 ACL の名前ごとの管理では、この問題に対する別の解決策が提供されます。 管理者は、ゾーンの残りの部分を開いたままにして、認証されたすべてのユーザーが新しいオブジェクトを作成できるようにゾーン内の名前を予約できます。 管理者は予約名のレコードを作成し、ACL 内のグループまたはユーザーの適切なリストを設定します。 つまり、予約名の下に別のレコードを登録できるのは、ACL にリストされているユーザーだけです。
次の手順
- DNS サーバー を使用して DNS ゾーンを管理する
- DNS ポリシーの概要
- Anycast DNS の概要