DNS ゾーン

2025-05-02
適用対象: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

DNS ゾーンは、DNS サーバーでホストされている DNS 名前空間の特定の部分です。 DNS ゾーンにはリソースレコードが含まれており、DNS サーバーはその名前空間内のレコードのクエリに応答します。たとえば、www.contoso.com を IP アドレスに解決する権限がある DNS サーバーは、contoso.com ゾーンをホストします。

DNS ゾーンのコンテンツは、ファイルまたは Active Directory Domain Services (AD DS) に格納できます。 DNS サーバーがゾーンをファイルに格納する場合:

そのファイルは、サーバー上のローカルフォルダーにあります。
書き込み可能なゾーンのコピーは 1 つだけです。
読み取り専用である他のコピーは、セカンダリゾーンと呼ばれます。

AD DS に格納されている DNS ゾーンは、Active Directory 統合ゾーンと呼ばれます。 Active Directory 統合ゾーンは、DNS サーバーの役割がインストールされているドメインコントローラーでのみ使用できます。

DNS ゾーンの種類

DNS サーバーサービスでは、次の種類のゾーンがサポートされています。

主要ゾーン。
第二ゾーン。
スタブゾーンです。
逆引き参照ゾーン。

プライマリゾーン

プライマリゾーンをホストしている DNS サーバーは、このゾーンに関する情報のプライマリソースです。ゾーンデータは、ローカルファイルまたは AD DS に格納されます。リソースレコードを作成、編集、または削除するには、プライマリゾーンを使用する必要があります。セカンダリゾーンは、プライマリゾーンの読み取り専用コピーです。

標準プライマリゾーンはローカルファイルに格納することも、AD DS にゾーンデータを格納することもできます。 AD DS にゾーンデータを格納する場合は、セキュリティで保護された動的更新や、ゾーンをホストする各ドメインコントローラーがプライマリとして機能し、ゾーンの更新を処理できる機能など、他の機能を利用できます。ゾーンがファイルに格納されている場合、既定ではプライマリゾーンファイルは zone_name.dnsという名前で、サーバー上の %windir%\System32\Dns フォルダーにあります。

Active Directory を展開すると、組織の AD DS ドメイン名に関連付けられている DNS ゾーンが自動的に作成されます。既定では、AD DS DNS ゾーンは、ドメイン内の DNS サーバーとして構成されている他のドメインコントローラーにレプリケートされます。 AD DS フォレスト内のすべてのドメインコントローラー、または特定の AD DS ドメインパーティションに登録されている特定のドメインコントローラーにレプリケートするように Active Directory 統合 DNS ゾーンを構成することもできます。

第2ゾーン

セカンダリゾーンは、プライマリゾーンの読み取り専用コピーです。この DNS サーバーがホストするゾーンがセカンダリゾーンである場合、この DNS サーバーはこのゾーンに関する情報のセカンダリソースです。このサーバーのゾーンは、ゾーンをホストする別のリモート DNS サーバーコンピューターから取得する必要があります。この DNS サーバーは、ゾーンに関する更新された情報をこのサーバーに提供するリモート DNS サーバーへのネットワークアクセス権を持っている必要があります。セカンダリゾーンは、別のサーバーでホストされているプライマリゾーンのコピーのみであるため、ACTIVE Directory 統合ゾーンとして AD DS に格納することはできません。

ほとんどの場合、セカンダリゾーンでは、リソースレコードがプライマリゾーンから直接定期的にコピーされます。ただし、一部の複雑な構成では、セカンダリゾーンは別のセカンダリゾーンからリソースレコードをコピーできます。

スタブゾーン

スタブゾーンには、ゾーンの権限のあるネームサーバーに関する情報のみが含まれます。 DNS サーバーによってホストされるゾーンは、ゾーンをホストする別の DNS サーバーから情報を取得する必要があります。ゾーンに関する権限のあるネームサーバー情報をコピーするには、この DNS サーバーにリモート DNS サーバーへのネットワークアクセス権が必要です。

スタブゾーンを使用すると、次のことができます。

委任されたゾーン情報を最新の状態に保ちます。 DNS サーバーは、子ゾーンのスタブレコードを定期的に更新します。親ゾーンとスタブゾーンの両方をホストする DNS サーバーは、子ゾーンの権限のある DNS サーバーの現在の一覧を保持します。
名前解決を向上させる。スタブゾーンを使用すると、DNS サーバーは、DNS 名前空間のインターネットまたは内部ルートサーバーに対してクエリを実行することなく、スタブゾーンのネームサーバーの一覧を使用して再帰を実行できます。
DNS 管理を簡略化します。 DNS インフラストラクチャ全体でスタブゾーンを使用すると、セカンダリゾーンを使用せずに、ゾーンの権限のある DNS サーバーの一覧を配布できます。ただし、スタブゾーンはセカンダリゾーンと同じ目的を果たしません。冗長性と負荷の共有を強化するための代替手段ではありません。

スタブゾーンの読み込みとメンテナンスに関係する DNS サーバーの一覧は 2 つあります。

DNS サーバーがスタブゾーンを読み込んで更新するネームサーバーの一覧。ネームサーバーは、ゾーンのプライマリ DNS サーバーまたはセカンダリ DNS サーバーである可能性があります。どちらの場合も、ゾーンの DNS サーバーの完全な一覧が表示されます。
ゾーンの権限のある DNS サーバーの一覧。このリストは、ネームサーバー (NS) リソースレコードを使用するスタブゾーンに含まれています。

DNS サーバーは、widgets.tailspintoys.comなどのスタブゾーンを読み込むと、ゾーン widgets.tailspintoys.comに対して権限のあるサーバーの必要なリソースレコードについて、異なる場所にあるネームサーバーに対してクエリを実行します。ネームサーバーの一覧には、1 台のサーバーまたは複数のサーバーが含まれている場合があり、いつでも変更できます。

スタブゾーンは、そのゾーンの権限のあるドメインネームシステム (DNS) サーバーを識別するために必要なリソースレコードのみを含むゾーンのコピーです。通常、スタブゾーンを使用して、個別の DNS 名前空間間の名前を解決します。

サブゾーンを使用する場合は、次の点を考慮する必要があります。

スタブゾーンは、同じゾーンに対して権限のある DNS サーバーでホストすることはできません。
スタブゾーンを AD DS に統合する場合は、スタブゾーンをホストしている DNS サーバーでネームサーバーのローカルリストを使用するか、AD DS に格納されているリストを使用するかを指定できます。ローカルネームサーバーの一覧を使用する場合は、各ネームサーバーの IP アドレスが必要です。

逆引き参照ゾーン

ほとんどのドメインネームシステム (DNS) 参照では、通常、クライアントは前方参照を実行します。これは、ホスト (A) リソースレコードに格納されている別のコンピューターの DNS 名に基づく検索です。この種類のクエリでは、応答された応答のリソースデータとして IP アドレスが必要です。

DNS には逆引き参照プロセスも用意されており、クライアントは既知の IP アドレスを使用し、そのアドレスに基づいてコンピューター名を検索します。逆引き参照は、たとえば「IP アドレス 192.168.1.20 を使用するコンピューターの DNS 名を教えてください」といった質問の形式を取ります。

in-addr.arpa ドメインは DNS 標準で定義され、逆引きクエリを実行するための実用的で信頼性の高い方法を提供するためにインターネット DNS 名前空間に予約されています。逆の名前空間を作成するには、IP アドレスのドット 10 進表記の数値の逆順を使用して、in-addr.arpa ドメイン内のサブドメインが形成されます。

in-addr.arpa ドメインは、インターネットプロトコルバージョン 4 (IPv4) アドレス指定に基づくすべての TCP/IP ネットワークに適用されます。新しいゾーンウィザードでは、新しい逆引き参照ゾーンを作成するときに、このドメインを使用していると自動的に想定されます。

in-addr.arpa ドメインツリーを構築するときは、IP アドレスオクテットの順序を逆にする必要があります。 DNS in-addr.arpa ツリーの IP アドレスは、インターネットで定義されたアドレスクラス内の特定の IP アドレスまたは制限された IP アドレスセットが割り当てられるため、組織に委任できます。

DNS データベースをレプリケートする

名前空間の同じ部分を表す複数のゾーンがある場合があります。これらのゾーンには、次の 3 種類があります。

主要
セカンダリ
スタブ

プライマリは、そのゾーンに属するレコードのすべての更新が行われるゾーンです。セカンダリゾーンは、プライマリゾーンの読み取り専用コピーです。スタブゾーンは、DNS ドメイン名に対して権限のある DNS サーバーを識別するリソースレコードのみを含むプライマリゾーンの読み取り専用コピーです。プライマリゾーンファイルに加えられた変更は、セカンダリゾーンファイルにレプリケートされます。プライマリ、セカンダリ、またはスタブゾーンをホストしている DNS サーバーは、ゾーン内の DNS 名に対して権限があると言われます。

DNS サーバーは複数のゾーンをホストできるため、プライマリゾーン (ゾーンファイルの書き込み可能なコピーを持つ) と別のセカンダリゾーン (ゾーンファイルの読み取り専用コピーを取得する) の両方をホストできます。プライマリゾーンをホストする DNS サーバーは、そのゾーンのプライマリ DNS サーバーと言われ、セカンダリゾーンをホストする DNS サーバーはそのゾーンのセカンダリ DNS サーバーと言われます。

手記

セカンダリゾーンまたはスタブゾーンは、同じドメイン名のプライマリゾーンをホストする DNS サーバーでホストすることはできません。

ゾーン転送

ゾーンファイルを複数の DNS サーバーにレプリケートするプロセスは、ゾーン転送と呼ばれます。ゾーン転送は、ゾーンファイルを 1 つの DNS サーバーから 2 つ目の DNS サーバーにコピーすることによって実現されます。ゾーン転送は、プライマリ DNS サーバーとセカンダリ DNS サーバーの両方から行うことができます。

プライマリ DNS サーバーは、ゾーン転送のソースとして構成されている権限のあるサーバーです。 DNS サーバーがプライマリ DNS サーバーの場合、ゾーン転送はプライマリゾーンをホストしている DNS サーバーから直接送信されます。プライマリサーバーがセカンダリ DNS ゾーンをホストしている場合、ゾーン転送でプライマリ DNS サーバーから受信したゾーンファイルは、読み取り専用のセカンダリゾーンファイルのコピーです。

ゾーン転送は、次のいずれかの方法で開始されます。

プライマリ DNS サーバーは、ゾーンファイル内の変更の 1 つ以上のセカンダリ DNS サーバーに通知 (RFC 1996) を送信します。
セカンダリ DNS サーバー上の DNS サーバーサービスが開始されるか、ゾーンの更新間隔が切れると、セカンダリ DNS サーバーはプライマリ DNS サーバーに変更を照会します。既定では、ゾーンの SOA RR では更新間隔が 15 分に設定されています。

ゾーン転送の設定

ゾーン転送を使用すると、プライマリゾーンからセカンダリゾーンをレプリケートする状況を制御できます。 DNS インフラストラクチャのセキュリティを強化するには、ゾーンまたは指定された DNS サーバーのネームサーバー (NS) リソースレコード内の DNS サーバーに対してのみゾーン転送を許可します。 DNS サーバーでゾーン転送を実行できるようにする場合は、DNS サーバーに接続できる任意のホストに内部ネットワーク情報を転送できます。

ゾーンファイルレプリケーションの種類

ゾーンファイルレプリケーションには 2 種類あります。 1 つ目のフルゾーン転送 (AXFR) では、ゾーンファイル全体がレプリケートされます。 2 つ目の増分ゾーン転送 (IXFR) では、変更されたレコードのみがレプリケートされます。

BIND 4.9.3 以前の DNS サーバーソフトウェアと Windows NT 4.0 DNS では、フルゾーン転送 (AXFR) のみがサポートされます。 AXFR には 2 種類あります。1 つはパケットごとに 1 つのレコードを必要とします。もう 1 つはパケットごとに複数のレコードを許可します。 Windows サーバーの DNS サーバーサービスでは、両方の種類のゾーン転送がサポートされていますが、既定ではパケットごとに複数のレコードが使用されます。 BIND サーバーバージョン 4.9.4 以前など、パケットごとに複数のレコードを許可しないサーバーとの互換性のために、異なる方法で構成できます。

ゾーンの委任

ドメインネームシステム (DNS) 名前空間を 1 つ以上のゾーンに分割できます。対応するゾーンの管理を委任することで、名前空間の一部の管理を組織内の別の場所または部門に委任できます。たとえば、australia.contoso.com ゾーンから contoso.com ゾーンを委任します。

ゾーンを委任するときは、作成する新しいゾーンごとに、新しいゾーンの権限のある DNS サーバーを指す他のゾーンの委任レコードが必要であることを覚えておいてください。委任レコードは、権限を転送し、新しいゾーンに対して権限が付与されている新しいサーバーの他の DNS サーバーとクライアントに正しい参照を提供するために必要です。

ゾーンと名前へのアクセス

Active Directory に格納されている DNS ゾーンとリソースレコードへのアクセスは、アクセス制御リスト (ACL) を使用して制御されます。 ACL は、DNS サーバーサービス、ゾーン全体、または特定の DNS 名に対して指定できます。既定では、認証された Active Directory ユーザーは、任意のゾーンに A または PTR R を作成できます。所有者が (リソースレコードの種類に関係なく) A または PTR レコードを作成すると、その名前に対応するレコードを変更するために、書き込みアクセス許可を持つその名前の ACL で指定されたユーザーまたはグループのみが有効になります。ほとんどのシナリオではこの方法が望ましいですが、状況によっては個別に検討する必要があります。

DNSAdmins グループ

既定では、 DNSAdmins グループは Active Directory ドメイン内のすべてのゾーンとレコードを完全に制御します。ユーザーが特定のドメイン内のゾーンを列挙できるようにするには、ユーザー (またはユーザーが属するグループ) を DNSAdmin グループに参加させる必要があります。

ドメイン管理者は、DNSAdmins グループに一覧表示されているすべてのユーザーにフルコントロールを付与したくない場合があります。代わりに、ドメイン管理者は、1 つのゾーンに対して特定のユーザーセットにフルコントロールを付与し、他のゾーンに対する読み取り専用のアクセス許可を付与することができます。これらのアクセス許可を構成するために、ドメイン管理者はゾーンごとに個別のグループを作成し、各グループに特定のユーザーを追加できます。その後、各ゾーンの ACL には、そのゾーンのみのフルコントロールを持つグループが含まれます。すべてのグループが DNSAdmins グループに追加されます。これは、読み取りアクセス許可のみを使用して構成できます。ゾーンの ACL には常に DNSAdmins グループが含まれます。つまり、ゾーン固有のグループに参加しているすべてのユーザーは、ドメイン内のすべてのゾーンを読み取ることができます。

名前の予約

高レベルのセキュリティを必要とする環境では、ゾーン内の名前を予約し、認証されたユーザーがそのゾーンに新しい名前を作成できないようにすることが必要になる場合があります。これは既定の動作です。 DNS レコードをセキュリティで保護するために、既定の ACL を変更して、特定のグループまたはユーザーのみがオブジェクトを作成できるようにすることができます。 ACL の名前ごとの管理では、この問題に対する別の解決策が提供されます。管理者は、ゾーンの残りの部分を開いたままにして、認証されたすべてのユーザーが新しいオブジェクトを作成できるようにゾーン内の名前を予約できます。管理者は予約名のレコードを作成し、ACL 内のグループまたはユーザーの適切なリストを設定します。つまり、予約名の下に別のレコードを登録できるのは、ACL にリストされているユーザーだけです。

次の手順

DNS サーバーを使用して DNS ゾーンを管理する
DNS ポリシーの概要
Anycast DNS の概要