DNSフォワーディングはネットワークのスピードアップに役立つので、ユーザーがドメイン名を要求しているのに、DNSサーバーが対応するIPアドレスをキャッシュで見つけられない場合は、実装する必要があります。広範なネームスペースを持つ企業は、しばしばこのプロセスを使用します。
DNSフォワーディングとは何か、外部アドレスと内部アドレスにどのように使用されるかを知るには、このブログを読み続けてください。
DNSフォワーディングとは何ですか?
DNS転送は、最初に接触したサーバーが答えを持っていないため、別の指定されたサーバー(ルートヒントサーバー)が解決できないアドレスまたはDNSクエリを処理するプロセスである。一般に、ドメイン名をIPアドレスに変換するためのすべてのサーバーには、解決できないすべてのリクエストを転送するための特定のフォワーダーが割り当てられています。
この手法は、非常に大きなネームスペースを持つ企業や、互いのネームスペースを解決できるため共同開発を行っている企業で使用されています。
DNSファウンダーとは?
DNSフォワーダーは、ローカルで解決できないクエリを別のDNSサーバー(通常は外部)に転送するように設定されたDNSサーバーです。この転送DNSサーバーは通常、DNSリクエストをより権威のあるDNSサーバーに単純に渡して効果的なクエリ解決を行う中間サーバーとして機能します。
DNSフォワーディングの仕組み
では、DNS転送の作業手順を説明します。
内部DNS情報が非公開の場合、内部ネットワークでDNSフォワーダを使用しないため、ルートヒントサーバが公開されていれば、オンラインで送信することが可能です。また、内部DNSフォワーダーがないために、ネットワークのISP料金が重い場合や、接続速度が出ない場合にも利用することができます。これは、内部DNSフォワーダーがあると外部からのトラフィックが増え、処理が複雑になるためです。
DNSフォワーダーを使用することで、外部DNSデータの内部キャッシュを構築し、外部DNSトラフィックを軽減することができます。
DNS転送タイプ
2つの主要なDNS転送タイプと、それぞれの仕組みについて説明しよう:
1.条件付き転送
DNS条件付き転送は、すべてのクエリを転送する代わりに、特定のドメイン名のクエリを転送するDNSサーバーを使用して行われます。DNSサーバーは、クエリに記載されたホスト名に応じて、特定のフォワーダーにクエリを送信する。条件付き転送DNSは、名前ベースの条件をプロセスに追加することで、従来の転送を強化します。DNSの条件付き転送は、より安全で、より高速で、より信頼性の高いインターネット接続を確立するので有益です。この場合、DNSサーバーはフォワーダーに再帰的なクエリーを送信します。
2.再帰的フォワーディング
このDNS転送タイプでは、DNSサーバーがクエリを別のDNSサーバーに転送する。2番目のサーバーはクエリを解決するために再帰検索を行う。DNSサーバーがクエリを中央のDNSサーバーに転送して解決するような場合です。
フォワーディングとキャッシュの比較
DNSフォワーディングでは、DNSサーバーは、直接解決できないクライアントのクエリを別のDNSサーバー(フォワーダー)に送信します。これは、クエリ解決タスクをオフロードするため、または特定のクエリルーティングポリシーを実装するために使用されます。
DNSキャッシュは、待ち時間を短縮し、パフォーマンスを向上させるために、以前のクエリの結果を一時的に保存することです。DNSサーバーがキャッシュレコードを持っている場合、クエリを転送する代わりに、即座にクエリを処理します。
DNS転送のメリット
DNS転送のさまざまな利点を探ってみよう:
1.クエリー効率の向上
クエリを特定のDNSサーバーに転送することで、クエリ時間が大幅に短縮され、レスポンスが非常に速くなり、待ち時間も短縮されます。
2.集中管理
DNS転送はDNS管理を簡素化します。これは、管理者が少数の指定DNSサーバーを割り当ててDNSクエリ解決を集中管理できるようにすることで、特に大規模な組織で有益です。
3.セキュリティ
DNSクエリを安全で信頼できるDNSサーバーに転送することで、DNSスプーフィング攻撃などのサイバー攻撃を防ぐことができます。
4.ロードバランシング
クエリ解決タスクを指定されたDNSサーバーに分散することで、DNSフォワーディングはネットワーク上の負荷分散に役立ちます。これにより、最終的に1つのDNSサーバーが過負荷になるのを防ぐことができます。
5.マルチドメイン対応
複数の内部または外部ドメインを持つ組織では、条件付き転送によってドメイン固有のクエリをシームレスに解決できます。
Microsoft Windows Server 2008 R2および2016でDNSフォワーダーを構成する方法とは?
DNS 転送を設定する手順を開始する前に、SIA 再帰 DNS サーバーの IP アドレスをメモし、ルート・ファイルが設定されていることを確認してください。DNS転送 IPアドレス検索ツールを使用すると、独自ドメインのIPアドレスを簡単に見つけることができます。ルートヒントファイルは、アクティブディレクトリードメインが再帰クエリーのためにコンタクト するルートDNSサーバーをリストする。これは、Windowsサーバーのグラフィカルユーザーインターフェイスまたはコマンドラインで行うことができます。
グラフィカルユーザーインターフェイス
以下の手順に従って、グラフィカル・ユーザー・インターフェースを使用して、Windows上でDNSフォワーダーを設定することができます。
- スタート]をクリックし、[管理ツール]>[DNS]に進みます。
- フォワーダーとして設定するDNSサーバーを右クリックします。
- アクション」メニューに移動し、「プロパティ」タブをクリックする。
- フォワーダ]タブを選択します。
- 編集]をクリックします。
- フォワーダの編集」ダイアログボックスで、SIA再帰DNSサーバーのプライマリIPアドレスを入力し、Enterを押します。
- SIA再帰的DNSサーバーのセカンダリIPアドレスを追加し、Enterキーを押します。
- フォワーダーとしてリストアップされている他のサーバーを削除します。プライマリおよびセカンダリの再帰的DNSサーバーのみを転送先リストに残す。
- 転送クエリーがタイムアウトするまでの秒数」セクションに値を追加して、DNSサーバーが応答を待つ秒数を割り当てます。
- OKをクリックします。
- フォワーダーが利用できない場合はルートヒントを使用する」オプションを有効にします。このオプションは、ルートヒントファイル内のDNSサーバーがローカルで名前を解決することを保証します。
- プロパティダイアログで、[OK]をクリックします。
コマンドラインインターフェース
Windows でコマンドラインインターフェイスを使用して DNS 転送を設定するには、次の手順に従います。
- 以下のコマンドプロンプトを開く。これは管理者として実行する必要があることに注意してください。
Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
どこで
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries.
- 各IPアドレスをスペースで区切る必要があります。
- <Time> refers to the time-out settings time. It is calculated in seconds.
外部アドレスのDNSフォワーディング
DNSフォワーディングが重要なのは、すべての外部クエリをルーティングするフォワーダーとして指定されたDNSサーバーが存在しない場合、すべての内部DNSクエリにDNSフォワーディングが適用されるからである。 内部DNSサーバーがリクエストを処理しなければならない。これは望ましくない:
- DNSが外部と内部で区別されていなければ、内部DNSのデータが漏れる可能性は十分にある。
- DNS転送を暗記していないとトラフィック負荷が増加します。DNSサーバーをフォワーダーとして指定すると、すべての外部DNS解決を処理し、外部アドレスのキャッシュを作成して再帰的なクエリの数を最小限に抑えるため、トラフィックを削減することができます。
会社の規模が小さく、帯域幅が限られている場合、DNS転送を暗示することで、ネットワークの効率化とスピードアップを図ることができます。
内部アドレスのDNSフォワーディング
専門家は、内部アドレスのサブセットをDNS転送で処理することを推奨している。また、複数のドメインやサブドメインを含む広範なイントラネットでは、これらのドメインのサブセットに対するDNSリクエストを 専用サーバー.これらのリクエストは、一般的に条件付き転送DNSの原則で転送されます。
DNSフォワーディングのベストプラクティス
DNSは、インターネットが普及した今日の世界では非常に重要です。DNSサーバーが1つしかない場合は、フォワーダーとして設定する必要があります。複数のDNSサーバーがある場合は、そのうちの1つ、いくつかのサーバー、またはすべてのサーバーをフォワーダーとして設定することができます。これとは別に、DNSフォワーダーが最適に動作するように、以下に挙げるプラクティスに従うことができます。
再帰性を無効にする
再帰は、DNSサーバーがクライアントに代わって他のサーバーに問い合わせることを可能にします。これは、DNS転送処理に役立ちますが、ネットワークをセキュリティリスクにさらすことにもなります。そこで、これを無効にすれば、攻撃を受ける可能性が減少します。また、トラフィックの負荷も軽減され、ネットワークがスピーディーになりますよ。
DNSSECの検証を有効にする
DNSSEC(Domain Name System Security Extensions)とは、以下のようなセキュリティプロトコルです。 DNSスプーフィングおよび キャッシュポイズニング攻撃.DNSSECが有効な場合、DNSフォワーダーはデジタル署名をチェックします。署名が一致しない場合、レスポンスは破棄され、エラーメッセージがクライアントに送信される。
しかし、安全な接続でのみ使用する必要があります。そうでなければ、ハッカーが交換されるデータを傍受し、変更することができます。
DNSサーバーの監視
DNSサーバーを定期的に監視することで、潜在的な技術的問題を警告し、迅速な対処を可能にします。これにより、そうでなければビジネスに大きな影響を与えかねないダウンタイムを削減することができます。
また、DNSフォワーダーのログをチェックして、不審なアクティビティや無責任なユーザーの行動に気づき、潜在的なセキュリティ・リスクを未然に防ぐ必要がある。
代替コンフィギュレーションの作成とテスト
代替構成にすることで、障害発生時に別のフォワーダーに切り替えることができます。これにより、ダウンタイムを再び短縮し、リソースへのアクセスを維持することができます。新しいセットアップを確立する前に、代替構成のテストを省略しないようにしてください。
DNSサーバーのデータを定期的にバックアップする
悪意のある行為者がサーバーを攻撃し、データの改ざんや削除を試みます。DNSサーバーのデータをバックアップしておけば、ネットワーク上のトラフィックフローを中断することなく、迅速にデータを復元することができます。バックアップがなければ、すべてを復元するのに数時間から数日かかり、ビジネスに大きな影響を与えることになります。
- フィッシング攻撃強化における口実詐欺の台頭- 2025年1月15日
- 2025年からDMARCがペイメントカード業界に義務付けられる- 2025年1月12日
- NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響- 2025年1月11日