DNSフォワーディングとは?

by

最終更新日:
7 読了時間:約7分
DNSフォワーディングとは?

DNSフォワーディングはネットワークのスピードアップに役立つので、ユーザーがドメイン名を要求しているのに、DNSサーバーが対応するIPアドレスをキャッシュで見つけられない場合は、実装する必要があります。広範なネームスペースを持つ企業は、しばしばこのプロセスを使用します。

DNSフォワーディングとは何か、外部アドレスと内部アドレスにどのように使用されるかを知るには、このブログを読み続けてください。 

主なポイント

  1. DNSフォワーディングは、未解決のクエリを別のサーバーに送り、解決してもらう。
  2. 条件付き転送は特定のドメインを対象とし、再帰的転送は解決のためのクエリーを別のサーバーに渡す。
  3. クエリの効率を高め、管理を一元化し、セキュリティを強化し、負荷を分散し、マルチドメイン設定をサポートする。
  4. 特定のクエリを専用サーバーに転送することで、外部トラフィックを減らし、効率を向上させる。
  5. 再帰を無効にする、DNSSECを有効にする、サーバーを監視する、代替設定を作成する、DNSデータを定期的にバックアップする。

DNSフォワーディングとは何ですか?

DNS転送は、最初に接触したサーバーが答えを持っていないため、別の指定されたサーバー(ルートヒントサーバー)が解決できないアドレスまたはDNSクエリを処理するプロセスである。一般に、ドメイン名をIPアドレスに変換するためのすべてのサーバーには、解決できないすべてのリクエストを転送するための特定のフォワーダーが割り当てられています。 

この手法は、非常に大きなネームスペースを持つ企業や、互いのネームスペースを解決できるため共同開発を行っている企業で使用されています。 

PowerDMARCでDMARCを簡素化!

DNSフォワーダーとは?

DNSフォワーダーは、ローカルで解決できないクエリを別のDNSサーバー(通常は外部)に転送するように設定されたDNSサーバーです。この転送DNSサーバーは通常、DNSリクエストをより権威のあるDNSサーバーに単純に渡して効果的なクエリ解決を行う中間サーバーとして機能します。 

DNSフォワーディングの仕組み

では、DNS転送の作業手順を説明します。

内部DNS情報が非公開の場合、内部ネットワークでDNSフォワーダを使用しないため、ルートヒントサーバが公開されていれば、オンラインで送信することが可能です。また、内部DNSフォワーダーがないために、ネットワークのISP料金が重い場合や、接続速度が出ない場合にも利用することができます。これは、内部DNSフォワーダーがあると外部からのトラフィックが増え、処理が複雑になるためです。 

DNSフォワーダーを使用することで、外部DNSデータの内部キャッシュを構築し、外部DNSトラフィックを軽減することができます。 

DNS転送タイプ

2つの主要なDNS転送タイプと、それぞれの仕組みについて説明しよう: 

1.条件付き転送

DNS条件付き転送は、すべてのクエリを転送する代わりに、特定のドメイン名のクエリを転送するDNSサーバーを使用して行われます。DNSサーバーは、クエリに記載されたホスト名に応じて、特定のフォワーダーにクエリを送信する。条件付き転送DNSは、名前ベースの条件をプロセスに追加することで、従来の転送を強化します。DNSの条件付き転送は、より安全で、より高速で、より信頼性の高いインターネット接続を確立するので有益です。この場合、DNSサーバーはフォワーダーに再帰的なクエリーを送信します。

2.再帰的フォワーディング

このDNS転送タイプでは、DNSサーバーがクエリを別のDNSサーバーに転送する。2番目のサーバーはクエリを解決するために再帰検索を行う。DNSサーバーがクエリを中央のDNSサーバーに転送して解決するような場合です。

フォワーディングとキャッシュの比較

DNSフォワーディングでは、DNSサーバーは、直接解決できないクライアントのクエリを別のDNSサーバー(フォワーダー)に送信します。これは、クエリ解決タスクをオフロードするため、または特定のクエリルーティングポリシーを実装するために使用されます。

DNSキャッシュは、待ち時間を短縮し、パフォーマンスを向上させるために、以前のクエリの結果を一時的に保存することです。DNSサーバーがキャッシュレコードを持っている場合、クエリを転送する代わりに、即座にクエリを処理します。 

DNS転送のメリット

DNS転送のさまざまな利点を探ってみよう: 

1.クエリー効率の向上

クエリを特定のDNSサーバーに転送することで、クエリ時間が大幅に短縮され、レスポンスが非常に速くなり、待ち時間も短縮されます。 

2.集中管理

DNS転送はDNS管理を簡素化します。管理者が少数の指定DNSサーバーを割り当てることで、DNSクエリ解決を集中管理できるため、これは特に大規模な組織で有益です。

3.セキュリティ

DNSクエリを安全で信頼できるDNSサーバーに転送することで、DNSスプーフィング攻撃などのサイバー攻撃を防ぐことができます。 

4.ロードバランシング

クエリ解決タスクを指定されたDNSサーバーに分散することで、DNSフォワーディングはネットワーク上の負荷分散に役立ちます。これにより、最終的に1つのDNSサーバーが過負荷になるのを防ぐことができます。 

5.マルチドメイン対応

複数の内部または外部ドメインを持つ組織では、条件付き転送によってドメイン固有のクエリをシームレスに解決できます。 

Microsoft Windows Server 2008 R2および2016でDNSフォワーダーを設定する方法

DNS 転送を設定する手順を開始する前に、SIA 再帰 DNS サーバーの IP アドレスをメモし、ルート・ファイルが設定されていることを確認してください。また、ルート・ファイルが設定されていることを確認します。 IPアドレス検索ツールを使用すると、独自ドメインのIPアドレスを簡単に見つけることができます。ルートヒントファイルは、再帰クエリー用のアクティブディレクトリードメインコンタクトを持つルートDNSサーバーをリストする。これは、Windows Serverのグラフィカル・ユーザー・インターフェースまたはコマンドラインで実行できる。

グラフィカルユーザーインターフェイス

以下の手順に従って、グラフィカル・ユーザー・インターフェースを使用して、Windows上でDNSフォワーダーを設定することができます。

  1. スタート]をクリックし、[管理ツール]>[DNS]に進みます。
  2. フォワーダーとして設定するDNSサーバーを右クリックします。
  3. アクション」メニューに移動し、「プロパティ」タブをクリックする。
  4. フォワーダ]タブを選択します。
  5. 編集]をクリックします。
  6. フォワーダの編集」ダイアログボックスで、SIA再帰DNSサーバーのプライマリIPアドレスを入力し、Enterを押します。
  7. SIA再帰的DNSサーバーのセカンダリIPアドレスを追加し、Enterキーを押します。
  8. DNSフォワーダーリストを確認し、フォワーダーとしてリストされている他のサーバーを削除する。プライマリとセカンダリの再帰サーバーだけをDNSフォワーダーリストに残してください。
  9. 転送クエリーがタイムアウトするまでの秒数」セクションに値を追加して、DNSサーバーが応答を待つ秒数を割り当てます。
  10. OKをクリックします。
  11. フォワーダーが利用できない場合はルートヒントを使用する」オプションを有効にします。このオプションは、ルートヒントファイル内のDNSサーバーがローカルで名前を解決することを保証します。
  12. プロパティダイアログで、[OK]をクリックします。

コマンドラインインターフェース

Windows でコマンドラインインターフェイスを使用して DNS 転送を設定するには、次の手順に従います。 

  1. 以下のコマンドプロンプトを開く。これは管理者として実行する必要があることに注意してください。 

Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.

 どこで 

  • <ServerName> is the DNS server’s domain name or IP address.
  • <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. 
  • 各IPアドレスをスペースで区切る必要があります。
  • <Time> refers to the time-out settings time. It is calculated in seconds.

外部アドレスのDNS転送ルート

DNSフォワーディングが重要なのは、すべての外部クエリをルーティングするフォワーダーとして指定されたDNSサーバーが存在しない場合、すべての内部DNSクエリにDNSフォワーディングが適用されるからである。 内部DNSサーバーがリクエストを処理しなければならない。これは望ましくない:

  1. DNSの転送経路が外部と内部で区別されていなければ、内部DNSのデータが漏れる可能性は十分にある。 
  2. DNS転送を暗記していないとトラフィック負荷が増加します。DNSサーバーをフォワーダーとして指定すると、すべての外部DNS解決を処理し、外部アドレスのキャッシュを作成して再帰的なクエリの数を最小限に抑えるため、トラフィックを削減することができます。 

会社の規模が小さく、帯域幅が限られている場合、DNS転送を暗示することで、ネットワークの効率化とスピードアップを図ることができます。

内部アドレスのDNSフォワーディング

専門家は、内部アドレスのサブセットをDNS転送で処理することを推奨している。また、複数のドメインやサブドメインを含む広範なイントラネットでは、これらのドメインのサブセットに対するDNSリクエストを 専用サーバー.これらのリクエストは、一般的に条件付き転送DNSの原則で転送されます。

DNSフォワーディングのベストプラクティス

DNSは、インターネットが普及した今日の世界では非常に重要です。DNSサーバーが1つしかない場合は、フォワーダーとして設定する必要があります。複数のDNSサーバーがある場合は、そのうちの1つ、いくつかのサーバー、またはすべてのサーバーをフォワーダーとして設定することができます。これとは別に、DNSフォワーダーが最適に動作するように、以下に挙げるプラクティスに従うことができます。 

再帰性を無効にする

再帰は、DNSサーバーがクライアントに代わって他のサーバーに問い合わせることを可能にします。これは、DNS転送処理に役立ちますが、ネットワークをセキュリティリスクにさらすことにもなります。そこで、これを無効にすれば、攻撃を受ける可能性が減少します。また、トラフィックの負荷も軽減され、ネットワークがスピーディーになりますよ。 

DNSSECの検証を有効にする

DNSSEC(DomainName System Security Extensions)とは、以下のようなセキュリティプロトコルです。 DNSスプーフィングおよび キャッシュポイズニング攻撃.DNSSECが有効な場合、DNSフォワーダーはデジタル署名をチェックします。署名が一致しない場合、レスポンスは破棄され、エラーメッセージがクライアントに送信される。

しかし、安全な接続でのみ使用する必要があります。そうでなければ、ハッカーが交換されるデータを傍受し、変更することができます。

私たちの DNSSECチェッカー.

DNSサーバーの監視

DNSサーバーを定期的に監視することで、潜在的な技術的問題を警告し、迅速な対処を可能にします。これにより、そうでなければビジネスに大きな影響を与えかねないダウンタイムを削減することができます。 

また、DNSフォワーダーのログをチェックして、不審なアクティビティや無責任なユーザーの行動に気づき、潜在的なセキュリティ・リスクを未然に防ぐ必要がある。 

代替コンフィギュレーションの作成とテスト

代替構成にすることで、障害発生時に別のフォワーダーに切り替えることができます。これにより、ダウンタイムを再び短縮し、リソースへのアクセスを維持することができます。新しいセットアップを確立する前に、代替構成のテストを省略しないようにしてください。 

DNSサーバーのデータを定期的にバックアップする

悪意のある行為者がサーバーを攻撃し、データの改ざんや削除を試みます。DNSサーバーのデータをバックアップしておけば、ネットワーク上のトラフィックフローを中断することなく、迅速にデータを復元することができます。バックアップがなければ、すべてを復元するのに数時間から数日かかり、ビジネスに大きな影響を与えることになります。