DNS ドメイン内でホスト名を解決するために、DNS クライアントは DNS ネームサーバーにクエリーを発行します。特定のセキュリティーコンテキストやパフォーマンスの面から、クライアントがゾーン内の DNS レコードにクエリーすることついては制限することが推奨されます。

DNS クエリーは、ゾーンの作成時または --allow-query オプションを使用した ipa dnszone-mod コマンドでクエリー発行が許可されるクライアントのリストを設定する際に、設定できます。

以下に例を示します。

[user@server ~]$ ipa dnszone-mod --allow-query=192.0.2.0/24;2001:DB8::/32;203.0.113.1 example.com

--allow-query のデフォルト値は any で、この場合、ゾーンにはどのクライアントもクエリーを実行できます。