DNS転送と条件付き転送

BY admin
|
アンソニー-E-アルバレス
アンソニー-E-アルバレス

フォローしている

2016年3月10日·8分読み取り

DNS転送は、パフォーマンス、負荷分散を向上させ、ネットワークの回復力を高めます。 これは、ローカルドメインネームシステム(DNS)サーバーのゾーンに含まれていない名前空間またはリソースレコードをリモートDNSサーバーに渡して、ネットワーク内と外の両方の名前クエリを解決する方法を提供します。

ここでは、転送と条件付き転送の2つの方法について説明します。 条件付き転送の利点を理解するには、まず転送がどのように機能するかを理解する必要があります。

簡単な例では、DNSフォワーダは、解決のためにローカルネットワークの外部のリモートDNSサーバーに外部ドメインの名前クエリを送信します。 内部名クエリは、内部DNSサーバーによって処理されます。

ソース:https://technet.microsoft.com/en-us/library/cc782142(v=ws.10).aspx

DNSクライアントは、ローカルDNSサーバーに名前クエリを送信します。 要求されたドメインに対して条件付き転送が設定されていません。 要求は解決のためにルートヒントに送信されます。 ソースBlogspot.com

DNSサーバーにクエリで指定された名前のフォワーダーがリストされていない場合、ルートヒントファイルを使用して標準再帰を使用してクエリの解決を試

DNS名クエリには、再帰的クエリと反復的クエリの2つのタイプがあります。 DNS転送と条件付きDNS転送の両方が上記の一般的な手順に従いますが、それぞれが少し異なります。

再帰名クエリ
転送されたクエリは再帰として送信されます。 このシナリオでは、DNSクライアントは、DNSサーバーが要求されたリソースレコードまたはレコードまたはドメイン名が存在しないことを示すエラーメッセー DNSサーバーは、DNSクライアントを別のDNSサーバーに参照することはできません。

Iterative Name Query
DNSクライアントは、DNSサーバーがキャッシュまたはゾーンデータに基づいて与えることができる最良の答えを返すことを可能にします。

再帰的な名前クエリは、反復的な名前クエリよりも高速です

フォワーダーを使用するように構成されたDNSサーバーは、フォワーダーを使用するように構成されていないDNSサーバーとは動作が異なります。 転送を使用するときのDNSサーバーの動作は次のとおりです。

1.DNSサーバーは、名前クエリを受信すると、プライマリゾーン、セカンダリゾーン、および最後にキャッシュを使用してこのクエリをこの順序で解決しようとし

2. 名前クエリがローカルゾーンデータまたはキャッシュを使用して解決できない場合は、フォワーダーとして指定されたDNSサーバーにクエリを転送します。 その結果、名前解決のルートヒントメソッドは使用されません。

3. 最初のクエリを受信した元のDNSサーバーは、フォワーダーからの回答を短時間待機します。 それが失敗した場合は、最後の手段としてルートヒントで指定されたDNSサーバーに接続しようとします。

条件付きフォワーダを使用すると、企業合併の結果など、インターネットのDNS名前空間の一部ではない内部(プライベート)DNS名前空間間の名前解決を改善

条件付きフォワーダー

条件付きフォワーダーは、特定のドメイン名のクエリのみを転送するDNSサーバーです。 すべてのクエリをフォワーダーにローカルで解決できない代わりに、条件付きフォワーダーは、クエリに含まれるドメイン名に基づいて特定のフォワーダーにクエ ドメイン名による転送は、転送プロセスに名前ベースの条件を追加することによって、従来の転送を改善します。

条件付き転送が本当に便利な2つの例を見てみましょう。 最初の例は内部名で、2番目の例は外部名解決のシナリオです。

例1. イントラネット名解決

条件付きフォワーダーを使用して構成されたDNSサーバーがドメイン名のクエリを受信すると、そのドメイン名とそのドメイン名 たとえば、次の図では、DNSサーバーは次の条件付き転送ロジックを実行して、ドメイン名に対するクエリの転送方法を決定します:

  1. DNSサーバーは、次のクエリを受信しますnetworks.example.microsoft.com…..
  2. そのドメイン名を両方と比較しますmicrosoft.com とexample.microsoft.com.
  3. DNSサーバーは、次のことを決定しますexample.microsoft.com ドメイン名クエリとより密接に一致するドメイン名を指定します。
  4. DNSサーバーは、クエリをIPアドレス172.31.255.255のDNSサーバーに転送します。example.microsoft.com.

DNSクライアントは、条件付きDNS転送用に設定された内部名クエリを要求します。 ソース:Technet

例2: インターネット名解決

DNSサーバーは、条件付きフォワーダーを使用して、情報を共有する企業のDNSドメイン名間のクエリを解決できます。 たとえば、Widgets ToysとTailspinToysの2つの企業は、Widgets ToysのDNSクライアントがTailspin ToysのDNSクライアントの名前を解決する方法を改善したいと考えています。 Tailspin Toysの管理者は、Widgets Toysの管理者に、Widgetsがドメインのクエリを送信できるTailspin Toysネットワーク内のDNSサーバーのセットについて通知しますdolls.tailspintoys.com….. Widgetsネットワーク内のDNSサーバーは、で終わる名前のすべてのクエリを転送するように構成されていますdolls.tailspintoys.com Tailspinのおもちゃのためのネットワークの指定されたDNSサーバーに。 したがって、Widgets Toysネットワーク内のDNSサーバーは、で終わる名前のクエリを解決するために、内部ルートサーバーまたはインターネットルートサーバーを照会する必要はあdolls.tailspintoys.com.

結果は、異なるドメイン間の名前クエリがより速く解決されるため、パフォーマンスが向上し、ネットワーク帯域幅が少なく、エンドユーザーが満足します。

ローカルDNSサーバー外部サイトのすべての名前クエリをリモートDNSサーバーに転送します。

条件付き転送の利点

条件付き転送は、より安全で、より速く、よりスマートで信頼性の高いインターネットにつながります。 DNSサーバーがクエリをフォワーダーに転送すると、再帰クエリがフォワーダーに送信されます。 これは、DNSサーバーが標準の名前クエリ解決(フォワーダーを含まない名前解決)中に他のDNSサーバーに送信する反復的な名前クエリとは異なります。

ある内部名前空間のDNSサーバーを構成して、第二の内部名前空間の権限のあるDNSサーバーにクエリを転送することにより、条件付きフォワーダーは、インターネットのDNS名前空間で反復的な名前クエリを実行することなく、二つの名前空間間の名前解決を可能にし、DNSサーバーのパフォーマンスと使用率を向上させ、ローカルエリアネットワーク(LAN)サブネット上のトラフィックを削減します。

ソース:https://technet.microsoft.com/en-us/library/cc757172(v=ws.10).aspx

LANは、住居、学校、研究室、オフィスビルなどの限られたエリア内のコンピュータを相互接続するコンピュータネットワークです。 ローカルエリアネットワークは原則としてワイドエリアネットワーク(WAN)とは対照的であり、二つ以上のLanが接続されているため、より大きな地理的距離をカバーし、リースされた電気通信回路を含むことがあり、Lan用のメディアはローカル管理されている。

DNSサーバーをフォワーダーとして指定すると、そのフォワーダーに外部トラフィックの処理を担当させ、DNSサーバーのインターネットへの露出を制限します。 フォワーダーは、ネットワーク内のすべての外部DNSクエリがそれを介して解決されるため、外部DNS情報の大規模なキャッシュを構築します。 少量の時間で、フォワーダはこのキャッシュされたデータを使用して外部DNSクエリの大部分を解決し、ネットワーク上のインターネットトラフィックとDNSク その結果、ルートヒントの使用量が大幅に削減されます。

DNSサーバーフォワーダの設定

Windows Server2012R2を使用して外部ドメイン名解決の条件付きDNSフォワーダを設定する手順については、以下で説明します。

1. コンソールツリーで、該当するDNSサーバーをダブルクリックします。 [DNS]を展開し、[該当するDNSサーバー]をダブルクリックします。

Windows2012r2サーバーマネージャー>ツールメニュー>DNSマネージャー

2. コンソールツリーで、該当するDNSサーバーをダブルクリックします。 [DNS]を展開し、[該当するDNSサーバー]をダブルクリックします。

3. コンソールツリーで、”条件付きフォワーダー”をクリックし、”アクション”メニューで”新規条件付きフォワーダー”をクリックします。

アクションメニューから、新規条件付きフォワーダを選択します

4. DNSドメインに、クエリを転送するドメインの完全修飾ドメイン名(FQDN)を入力します。

DNSのIPアドレスを追加し、この条件付きフォワーダをActive Directoryに保存することを確認します

5. [マスターサーバーのIPアドレス]リストをクリックし、指定したDNSドメインのクエリを転送するサーバーのIPアドレスを入力し、Enterキーを押します。

6. “この条件付きフォワーダをActive Directoryに保存する”チェックボックスをクリックし、複製します。

今すぐすべてのDNSクエリ要求のためのContoso.com 131.107.1.2で解決されます。

概要

DNSプロトコルは、インターネットの電話帳として機能するウェブのインフラストラクチャの重要な部分です。 複雑なページは、多くの場合、読み込みを開始する前に複数のDNS参照を必要とするため、コンピュータは一日に何百もの参照を実行している可能性があ DNS条件付き転送は、より高いパフォーマンスとセキュリティを提供できます。

Windows Serverへのアクセス権やローカルDNSサーバを実行する機能がない場合でも、GoogleパブリックDNSまたはシスコのOpenDNSを使用してDNS転送を試すことができます。 どちらも、DNS転送を試すことができる無料のオプションです。 どちらの場合も、すべてのDNSトラフィックは、インターネットサービスプロバイダ(ISP)ではなく、それらに転送されます。 利点は、フィッシング、マルウェア、ボットネット、および標的型オンライン攻撃によるパフォーマンスとセキ どちらの場合も、あなたの交通はおそらく追跡され、側面図を描かれる、従ってバイヤーは用心する。 少なくとも、これらのサービスは、DNS転送が実際の生活の中でどのように機能するかを理解するのに役立ちます。

WINDOWS ServerでのDNS転送の設定は精巧ですが、通常のWindowsコンピュータでは、設定には一つの画面しかかかりません。

GoogleパブリックDNS IPアドレスは8.8.8.8および8.8.4です。4

手順

  1. コントロールパネルを開く
  2. ネットワークとインターネットを開く
  3. ネットワークと共有センターを開く
  4. アダプタ設定の変更をクリック
  5. アクティブ4

OpenDNS.com「優先DNSサーバー」および「代替DNSサーバー」と表示されているGoogleパブリックDNSの代わりにOpenDNSを使用するには、IP OpenDNSのIPアドレスを使用します。

OpenDNSの場合、IPアドレスは常に次のとおりです。