3.1. Management Console の機能
3.2.6. サービス
- 104 -
- 105 -
3.2.6.1.
ネームサーバ( named )( DNS/DHCP 強化オプション)
DNSのサービスが利用可能です。
DNS/DHCP強化オプションのライセンス追加によりビューを含めた管理を強化すること
が可能となります。以下の機能がオプションライセンスで追加することができます。
・ビューの管理
・ACLの管理
・DNSSECの管理
ネームサーバでDNSサーバの構築を行うにあたって、考慮しなければならないこととして ビューの設定とゾーンタイプの決定があります。
ビュー ゾーンをグループとして管理し DNSクライアントへの応答を制御する ために設定します。
オプションライセンスの追加により管理することができます。追加しない 場合は、初期状態の、“default”ビューのみで構成されます。
例えば、あるゾーンについて内部ネットワークに属するクライアントから の名前解決要求に対する応答と外部ネットワーク(インターネットなど)
からの名前解決要求に対する応答を異なる内容にしたい場合、内部ネット ワーク向けのビューと外部ネットワーク向けのビューを作成します。内部 ネットワーク向けのみのDNSサーバなどの構築の場合は、一つのビューを 作成します。ビューは、任意のビュー名を設定できます。
ゾーンタイプ DNSサーバが管理するゾーンのタイプを指定します。
ゾーンタイプには、「マスター(ゾーン)」「スレーブ(ゾーン)」「ス タブ (ゾーン)」「転送(ゾーン)」「ヒント(ゾーン)」の5種類があ ります。
次頁では一般的に使用される「マスターゾーン」「スレーブゾーン」「転 送ゾーン」の構築について説明しています。
- 106 -
DNSサーバの構築は、まずビューの作成を行ってください。次に作成したビューについて ゾーンを作成してください。
初期状態では、“default”ビューを作成しています。特に複数のビューを作成する必要がな い場合などは“default”ビューにゾーンを作成して問題ありません。
内部クライアント
外部クライアント
ビューとゾーンの関係
● マスターゾーンの構築
マスターゾーンは、該当するゾーンのレコードを管理します。
マスターゾーンを管理するDNSサーバは、DNSクライアントからの名前解決要求 に対して相応する名前解決結果を返答します。
マスターゾーンの構築は、「サービス>DNSサーバ>ビューの編集>ゾーンの編集」
画面の「タイプ」に「master」を指定してください。
● スレーブゾーンの構築
スレーブゾーンは、該当するゾーンのレコードの管理は行いません。
スレーブゾーンとして設定されたゾーンは、ゾーンの全てのレコードを、マスターゾ ーンを管理するDNSサーバから複製します。スレーブゾーンを管理するDNSサーバは、
ゾーンのレコードを管理しないこと以外は、マスターゾーンの場合と同様にDNSクラ イアントからの名前解決要求に対して名前解決結果を返答します。
DNSサーバ
マスタゾーン 名前解決要求
マスターゾーン ゾーンレコード
DNSクライアント
名前解決応答
- 107 -
スレーブゾーンの構築は、「サービス>DNSサーバ>ビューの編集>ゾーンの編集」
画面の「タイプ」に「slave」を指定してください。また、同画面の「Master」にマス ターゾーンを管理するDNSサーバの「IPアドレス」を末尾にセミコロン(;)を付けて 指定してください。
● 転送ゾーンの構築
転送ゾーンは、該当するゾーンのレコードの管理は行いません。
転送ゾーンの場合、DNSクライアントから受けた名前解決要求を設定された転送先サ ーバに転送します。
転送ゾーンの構築は、「サービス>DNSサーバ>ビューの編集>ゾーンの編集」画面 の「タイプ」に「forward」を指定してください。また、同画面の「Forwarders」に 転送先サーバの「IPアドレス」を末尾にセミコロン(;)を付けて指定してください。
DNSサーバ
マスタゾーン
全てのゾーンレコードをコピー
マスターゾーンとスレーブゾーン ゾーンレコード
DNSサーバ
スレーブゾーン
複製した ゾーンレコード
DNSサーバ
名前解決要求
転送ゾーン
DNSサーバ
転送ゾーン
DNSクライアント
名前解決要求 名前解決応答
- 108 -
● 構築例
ここでは、example.co.jpドメインを持つネットワークについてDMZ上に外部向けと内 部向け双方にDNSサービスを提供するサーバのDNS構築例を記載します。
Express5800/R110d-1M(MW400h2)は、内部ネットワーク(192.168.0.0/24)からの名前 解決要求に対しては内部ネットワークのIPアドレスに沿った返答を行い、外部ネット ワーク(インターネット)からの名前解決要求に対しては、インターネット向けのIPアド レスに沿った返答を行います。また、Express5800/R110d-1M(MW400h2)が管理しな
いexample.co.jp以外のゾーンに対する名前解決要求は、インターネット上に存在する
(例えばISPが持つ)DNSサーバに要求を転送するものとします。
次頁にDNS設定の例を記載します。例ではファイル内容を記載していますが、実際の設定 はManagementConsoleのDNSサーバの設定から行います。
ファイアウ ォール機器 インターネット
DMZ
内部ネットワーク(192.168.0.0/24)
DNSサーバ
内部向け
Webサーバ
内部向け メールサーバ 192.168.0.11 192.168.0.12
内部向け
Webサーバ
内部向け メールサーバ
192.168.100.11 192.168.100.12 10.0.0.1
192.168.100.1 MW400h2
- 109 -
$TTL 38400
exmaple.co.jp. IN SOA example.co.jp. admin.example.co.jp. ( 1201141421 10800 3600 604800 38400 )
example.co.jp. IN NS mw.example.co.jp.
mw IN A 192.168.0.10
www IN A 192.168.0.11
$TTL 38400
exmaple.co.jp. IN SOA example.co.jp. admin.example.co.jp. ( 1201141421 10800 3600 604800 38400 )
mw.co.jp. IN NS mw.example.co.jp.
www IN A 10.0.0.11
mail IN MX 10 10.0.0.12
named.confの設定例
INTRANETビューに属するexample.co.jpゾーンの設定例
INTERNETビューに属するexample.co.jpゾーンの設定例
acl INTRANET_CLIENT { 192.168.0.0/24;
}; options {
forwarders { 10.0.0.1;
forward only; };
}: view INTRANET { match-clients {
INTRANET_CLIENT;
localhost;
};
zone”example.co.jp” { type master;
file”INTRANET/z_example.co.jp”;
};
zone”0.168.192.in-addr.arpa” { type master;
file”INTRANET/z_0.168.192.in-addr.arpa”;
};
}; view INTERNET {
zone”example.co.jp” { type master;
file”INTERNET/z_exzample.co.jp”;
};
zone”0.0.10.in-addr.arpa” { type master;
file”INTERNET/z_0.0.10.in-addr.arpa”;
};
};
内部ネットワークを指定するアクセス制御リストを定義します。
自ホストが解決できなかった要求に対して、要求を転送するサーバを指定 します。また、要求を転送した後は、自ホストでの名前解決を試みません (forward only)。
ビューINTRANETを定義します。
ビューINTRANETにアクセス可能おなクライアントを定義します。
マスターゾーン「example.co.jpを定義します。また、その逆引きゾーンを 定義します。
ビューINTERNETを定義します。
外部ネットワーク向けのゾーン example.co.jpをマスターゾンと して定義します。また、その逆引 きゾーンも定義します。
- 110 -
Management Console 画面のサービス一覧において[[DNSサーバ]リンクを押下すると
[DNSサーバ]画面が表示されます。
[DNSサーバ]画面では、以下の機能を管理できます。
・オプションの設定 ・ビューの設定
IPv6有効化設定
IPv6でDNSサーバを使用する場合に[IPv6を有効化する]に設定します。デフォルトは、[IPv6を利用しな い]です。
オプションの設定
[■DNSサーバの設定]から[オプションの設定]ボタンを押すと、[オプション]画面が表示 されます。
[オプション]画面では、以下の機能を管理できます。
・転送設定 ・ACLの設定
- 111 -
■転送設定
DNSサーバのクエリ転送に関する設定を行います。
転送方法(forward)
DNSサーバが返答できない問い合わせを受けた場合、他のDNSサーバにクエリの転送 を行うかどうかを選択します。
転送優先(forward first) [転送先サーバ]で指定した DNS サーバにクエリの転
送を行い、応答が無かった場合は再帰問い合わせなど 他の方法で名前解決を試みます。
転送のみ(forward only) [転送先サーバ]で指定した DNS サーバにクエリの転
送を行い、応答が無かった場合は名前解決を終了しま す。
転送先サーバ(forwarders)
[転送方法]の項目で[転送優先]または[転送のみ]を選択した場合にクエリの転送を行う DNSサーバのIPアドレスを指定します。
IPアドレスの末尾には、“;”(セミコロン)を付けてください。
複数指定する場合は、それぞれの値の末尾に“;”(セミコロン)を付けてください。
設定例:192.168.10.1;
- 112 - 問い合わせ許可(allow-query)
問い合わせを許可するクライアント(130Hアドレスマッチリスト)を指定します。
何も入力しない場合は、すべてのクライアントに対しての問い合わせが許可されます。
また、再帰問い合わせ元は”localhost”および “localnets”が設定されます。本パラメータ を指定した場合は、問い合わせ許可 及び 再帰問い合わせ許可アドレスとして使用され ます。
この設定を利用すると、指定したクライアント以外からの問い合わせが拒否されます。
転送許可(allow-transfer)
DNSサーバのゾーン転送を許可するクライアント(131Hアドレスマッチリスト)を指定しま す。何も入力しない場合は、すべてのクライアントに対しての転送が許可されます。
この設定を利用すると、指定したクライアント以外からのゾーン転送が拒否されます。
更新許可(allow-update-forwarding)
動的DNSの更新要求の転送を許可するクライアント(132Hアドレスマッチリスト)を指定し ます。何も入力しない場合は、すべてのクライアントに対して転送が拒否されます。
この設定を利用すると、指定したクライアントのみ転送が許可されます。
バージョン情報(version)
デフォルトのバージョンの値を変更したい場合に、サーバのバージョン情報を指定する。
“localnets”とは自己のネットワークカードに設定されているネットワー
クと同一セグメントを示します。
たとえば、 192.168.1.0/255.255.255.0がeth0に設定されている場合は、
192.168.1.0/192.168.1.255) の範囲をしめします。
- 113 -
■ACL設定
ACL(アクセス制御リスト)の設定を行います。
ACLとは、問い合わせの許可および制限をするクライアントを指定するものです。
[DNSサーバ]画面の[■DNSサーバの設定]から[オプションの設定]ボタンを押 すと、[オプション]画面が表示されます。
ACL名
ACLの名称を指定します。
指定できる文字は、半角の英数文字(大文字・小文字)・“-”(ハイフン)・“_”(アンダーバー) です。それ以外の文字を指定すると、DNSサーバが正しく動作できない場合があります。
アドレスマッチリスト
アドレスマッチリストを指定します。
書式については、「アドレスマッチリスト」を参照してください。
操作
[削除]ボタンを押すと、該当する行のACLを削除します。
- 114 -
■DNSSEC の有効化設定
DNSSEC(DNS SECurity extensions)の設定を行います。
DNSSEC とは、登録情報に電子署名を付加することで、正しく管理者によって登録さ
れたレコードであること、レコードが改竄されていないことを検出する DNSのセキュ リティ機能です。
DNSSECを使用する
本サーバでDNSSECの有効および無効を指定します。
DNSSECの設定はそれぞれのゾーン管理において必要になります。
詳細は、ゾーン編集の画面および操作を確認してください。
DNSSEC検証を有効にする
本サーバでDNSSECの検証の有効および無効を指定します。
有効とすることでDNSSECで正しいレコードであることが認識できない場合は、DNS の動作が正しく動作しません。無効とした場合は、従来の動作に切り替えてアドレス解 決を実施します。
なお、本機能を有効にしている場合、DLV の設定が正常に行われていない状態では名 前解決が行えなくなります。本機能を有効にする場合は、事前に DLVの設定を行って ください。