障害に備えてDNSサーバーを冗長化、鍵を握る「ゾーン転送」の ... - ITpro

全1326文字

　DNSでは、権威DNSサーバーに障害が発生して名前解決ができなくなると、ドメイン名によるWebアクセスができなくなったりメールが届かなくなったりする。また、サブドメインの権威DNSサーバーへの反復問い合わせもできなくなる。

　このため権威DNSサーバーは、冗長化の仕組みが必須となる。その要となるのが「ゾーン転送」という仕組みと、「SOA（Start Of Authorit）レコード」というリソースレコードだ。

ゾーンファイルを同期

　DNSの運用では、バックアップ用の権威DNSサーバーを用意するのが一般的である。オリジナルのサーバーを「プライマリーサーバー」、バックアップ用のサーバーを「セカンダリーサーバー」と呼ぶ。

　ゾーン内で複数の権威DNSサーバーを稼働させる場合、すべてのサーバーのゾーンファイルの内容を同一に保つ必要がある。管理者がこれを手作業で行うのは手間がかかるし、設定ミスのリスクもある。

　このためDNSでは、複数のサーバーでゾーンファイルを同期するゾーン転送という仕組みを備える。管理者がプライマリーサーバーのゾーンファイルを更新すると、更新したゾーンファイルがセカンダリーサーバーに自動的にコピーされる。

プライマリーの情報をセカンダリーにコピー

[画像のクリックで拡大表示]

SOAに管理用の情報を登録

　権威DNSサーバーのゾーン転送は、ゾーンファイルのSOAレコードで制御する。SOAレコードは、ゾーンの管理に必要な情報を登録するリソースレコードだ。AレコードやMXレコードなどとは異なり、1つのゾーンファイルに複数記載することはできない。通常はゾーンファイルの冒頭に記載する。

　SOAレコードの詳細を見ていこう。「MNAME」はプライマリーサーバー名、「RNAME」は管理者のメールアドレスである。「SERIAL」はゾーンファイルの新しさを示す値である。

ゾーン転送のタイミングを制御

[画像のクリックで拡大表示]

　「REFRESH」と「RETRY」は、ゾーン転送のタイミングを決定する値だ。REFRESHは、セカンダリーサーバーがプライマリーサーバーにゾーンファイルの更新（リフレッシュ）を確認する間隔である。RETRYには、ゾーン転送に失敗した場合にセカンダリーサーバーがプライマリーサーバーにゾーン転送を再度要求するまでの待ち時間を指定する。

　「EXPIRE」には、セカンダリーサーバーの有効期間を指定する。この期間を超えてゾーン転送に失敗した場合には、そのセカンダリーサーバーのゾーンファイルは期限切れと見なし、名前解決を要求されても応答しないようにする。

Adblock test (Why?)