DNSフォワーディングとは何ですか？

DNS転送は、ネットワークの高速化に役立ちます。ユーザーがドメイン名を要求しても、DNSサーバーがキャッシュ内の対応するIPアドレスを見つけられない場合、これを実装する必要があります。このプロセスは、一般に、広範なネームスペースを持つ企業で使用されます。

DNS転送とは何か、外部アドレスと内部アドレスにどのように使用されるかを知るために、このブログを読み続けてください。 

DNSフォワーディングとは何ですか？

DNSフォワーディングとは、別の指定サーバー（ルートヒントサーバー）が、最初にコンタクトしたサーバーが答えを持っていないために、解決できないアドレスやDNSクエリを処理するプロセスです。一般に、ドメイン名をIPアドレスに変換するすべてのサーバーには、解決できないすべてのリクエストを転送するための特定のフォワーダーが割り当てられています。 

この手法は、非常に大きなネームスペースを持つ企業や、互いのネームスペースを解決できるため共同開発を行っている企業で使用されています。 

DNSフォワーディングの仕組み

では、DNS転送の作業手順を説明します。

内部DNS情報が非公開の場合、内部ネットワークでDNSフォワーダを使用しないため、ルートヒントサーバが公開されていれば、オンラインで送信することが可能です。また、内部DNSフォワーダーがないために、ネットワークのISP料金が重い場合や、接続速度が出ない場合にも利用することができます。これは、内部DNSフォワーダーがあると外部からのトラフィックが増え、処理が複雑になるためです。 

DNSフォワーダーを使用することで、外部DNSデータの内部キャッシュを構築し、外部DNSトラフィックを軽減することができます。 

Microsoft Windows Server 2008 R2および2016でDNSフォワーダーを構成する方法とは？

DNS 転送を設定する手順を開始する前に、SIA 再帰 DNS サーバーの IP アドレスをメモし、ルートファイルが設定されていることを確認してください。IPアドレスルックアップを使用して、ドメインのIPアドレスを見つけることができます。ルートヒントファイルは、アクティブディレクトリードメインが再帰クエリーのために連絡するルートDNSサーバーをリストアップします。これは、Windows Serverのグラフィカルユーザーインターフェイスまたはコマンドラインを使用して行うことができます。

グラフィカルユーザーインターフェイス

Windowsでグラフィカルユーザーインターフェースを使用してDNSフォワーダーを設定するには、次の手順に従います。

1. スタート] > [管理ツール] > [DNS]をクリックします。
2. フォワーダーとして設定するDNSサーバーを右クリックします。
3. アクション]メニューから[プロパティ]を選択します。
4. フォワーダ］タブを選択します。
5. 編集]をクリックします。
6. Edit Forwarders］ダイアログボックスで、SIA recursive DNSサーバーのプライマリIPアドレスを入力し、［Enter］キーを押します。
7. SIA再帰的DNSサーバーのセカンダリIPアドレスを追加し、Enterキーを押します。
8. フォワーダーとしてリストアップされている他のサーバーを削除します。プライマリおよびセカンダリの再帰的DNSサーバーのみを転送先リストに残す。
9. 転送クエリーがタイムアウトするまでの秒数」セクションに値を追加して、DNSサーバーが応答を待つ秒数を割り当てます。
10. OKをクリックします。
11. フォワーダーが利用できない場合はルートヒントを使用する]オプションを有効にします。このオプションは、ルートヒントファイルのDNSサーバーがローカルで名前を解決することを保証します。
12. プロパティダイアログで、[OK]をクリックします。

コマンドラインインターフェース

Windows でコマンドラインインターフェイスを使用して DNS 転送を設定するには、次の手順に従います。 

1. コマンドプロンプトを開き、管理者権限で実行する。 
2. Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.

 どこで 

• <ServerName> is the DNS server’s domain name or IP address.
• <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
• <Time> is the time in seconds for time-out settings.

条件付きフォワーディング

DNS条件付き転送は、すべてのクエリを転送するのではなく、特定のドメイン名に対するクエリを転送するDNSサーバーを使用して行われます。DNSサーバーは、クエリに記載されたホスト名に応じて、クエリを特定のフォワーダーに送信します。 

条件付き転送DNSは、転送の際に名前に基づく条件を付けることで、従来の転送を改善する。

DNS条件付き転送は、より安全、高速、かつ信頼性の高いインターネット接続を確立するため、有益です。これでは、DNSサーバーはフォワーダーに再帰的なクエリーを送信します。

外部アドレスのDNSフォワーディング

DNSフォワーディングが重要なのは、すべての外部クエリをルーティングするフォワーダーとして指定されたDNSサーバーがない場合、すべての内部DNSサーバーがリクエストを処理しなければならないからです。これは望ましくない：

1. 外部DNSと内部DNSを区別しないと内部DNSのデータが漏えいする可能性がある。これは、セキュリティやプライバシーに関する潜在的な脆弱性として懸念されるものです。
2. DNS転送を暗記していないとトラフィック負荷が増加します。DNSサーバーをフォワーダーとして指定すると、すべての外部DNS解決を処理し、外部アドレスのキャッシュを作成して再帰的なクエリの数を最小限に抑えるため、トラフィックを削減することができます。 

会社の規模が小さく、帯域幅が限られている場合、DNS転送を暗示することで、ネットワークの効率化とスピードアップを図ることができます。

内部アドレスのDNSフォワーディング

専門家は、内部アドレスのサブセットをDNS転送で処理させることを推奨しています。また、複数のドメインやサブドメインを含む大規模なイントラネットの場合、それらのドメインのサブセットに対するDNSリクエストを専用サーバーで制御することが現実的です。これらのリクエストは、一般に条件付き転送DNSの原理で転送されます。

DNSフォワーディングのベストプラクティス

DNSは、インターネットが普及した今日の世界では非常に重要です。DNSサーバーが1つしかない場合は、フォワーダーとして設定する必要があります。複数のDNSサーバーがある場合は、そのうちの1つ、いくつかのサーバー、またはすべてのサーバーをフォワーダーとして設定することができます。これとは別に、DNSフォワーダーが最適に動作するように、以下に挙げるプラクティスに従うことができます。 

再帰性を無効にする

再帰は、DNSサーバーがクライアントに代わって他のサーバーに問い合わせることを可能にします。これは、DNS転送処理に役立ちますが、ネットワークをセキュリティリスクにさらすことにもなります。そこで、これを無効にすれば、攻撃を受ける可能性が減少します。また、トラフィックの負荷も軽減され、ネットワークがスピーディーになりますよ。 

DNSSECの検証を有効にする

DNSSEC（Domain name System security Extensions）とは、以下のようなセキュリティプロトコルのことです。 DNSスプーフィングと キャッシュポイズニング攻撃.これが有効な場合、DNSフォワーダーはデジタル署名をチェックします。署名が一致しない場合、応答は破棄され、エラーメッセージがクライアントに送信されます。

しかし、安全な接続でのみ使用する必要があります。そうでなければ、ハッカーが交換されるデータを傍受し、変更することができます。

DNSサーバーの監視

DNSサーバーを定期的に監視することで、潜在的な技術的問題を警告し、迅速な対処を可能にします。これにより、そうでなければビジネスに大きな影響を与えかねないダウンタイムを削減することができます。 

また、DNSフォワーダーのログをチェックして、不審な活動や無責任なユーザーの行動に気づき、潜在的なセキュリティリスクに先手を打つ必要があります。 

代替コンフィギュレーションの作成とテスト

代替構成にすることで、障害発生時に別のフォワーダーに切り替えることができます。これにより、ダウンタイムを再び短縮し、リソースへのアクセスを維持することができます。新しいセットアップを確立する前に、代替構成のテストを省略しないようにしてください。 

DNSサーバーのデータを定期的にバックアップする

悪意のある行為者がサーバーを攻撃し、データの改ざんや削除を試みます。DNSサーバーのデータをバックアップしておけば、ネットワーク上のトラフィックフローを中断することなく、迅速にデータを復元することができます。バックアップがなければ、すべてを復元するのに数時間から数日かかり、ビジネスに大きな影響を与えることになります。

• について
• 最新記事

Ahona Rudra

AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。

最新記事 by Ahona Rudra(全て見る)

• ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには？- 2024年4月25日
• PowerDMARCとZendata、ドメイン・セキュリティ強化のためのパートナーシップを締結- 2024年4月25日
• PowerDMARC、中東における電子メールセキュリティの実践を推進するためCNSと提携- 2024年4月24日