Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

33.6. DNS 転送の管理

DNS 転送は、DNS クエリーの応答方法に影響します。デフォルトでは、IdM と統合された BIND サービスは、権威 および 再帰 DNS サーバーの両方として機能するように設定されます。
IdM サーバーが権威のある DNS ゾーンに所属する名前のクエリーを DNS クライアントが出した場合に、BIND は設定済みのゾーンに含まれるデータで応答します。権威データは常に他のデータよりも優先されます。
IdM サーバーが権威のない名前のクエリーを DNS クライアントが出した場合に、BIND は他の DNS サーバーを使用してクエリーを解決しようとします。フォワーダーが定義されていない場合は、BIND はインターネット上のルートサーバーに要求し、再帰解決アルゴリズムを使用して DNS クエリーに応答します。
BIND を使用して他の DNS サーバーに直接問い合わせて、インターネットで利用可能なデータをもとに再帰を実行することは推奨されません。このようなケースには、以下が含まれます。
  • DNS ビュー設定とも呼ばれる DNS 設定を分割します。DNS サーバーは、異なるクライアントに異なる回答を返します。スプリット DNS 設定は、一部の DNS 名が企業ネットワーク内で利用可能で、外部では利用できない環境の場合の一般的なものです。
  • ファイアウォールがインターネットの DNS へのアクセスを制限する設定。
  • DNS レベルでのフィルタリングやロギングが集中化されている設定。
  • ネットワークトラフィックの最適化に役立つローカル DNS キャッシュへの転送を使用した設定。
このような設定では、BIND はパブリックインターネット上の完全な再帰を使用しません。代わりに、別の DNS サーバー (つまりフォワーダー )を使用してクエリーを解決します。BIND がフォワーダーを使用するように設定すると、クエリーと応答が IdM サーバーとフォワーダーの間で送受信され、IdM サーバーが権威データ以外の DNS キャッシュとして機能します。

転送ポリシー

IdM は、first および only の BIND 転送ポリシーと、IdM 固有の転送ポリシー none をサポートします。
forward first(デフォルト)
DNS クエリーは設定済みのフォワーダーに転送されます。サーバーエラーやタイムアウトが原因でクエリーに失敗すると、BIND はインターネット上のサーバーを使用して再帰解決にフォールバックします。Forward first ポリシーはデフォルトのポリシーです。トラフィックの最適化に適しています。
Forward only
DNS クエリーは設定済みのフォワーダーに転送されます。サーバーエラーやタイムアウトが原因でクエリーに失敗すると、BIND はエラーをクライアントに返します。分割された DNS 設定の環境では、forward only ポリシーが推奨されます。
none: 転送の無効化
DNS クエリーは転送されません。グローバル転送設定のゾーン固有のオーバーライドにより、転送の無効化は有用です。このオプションは、IdM は BIND 設定で空のフォワーダー一覧を指定するのと同じです。

転送で、IdM およびその他の DNS サーバーからのデータを組み合わせない

転送を使用して、IdM のデータと、他の DNS サーバーのデータと統合できません。IdM DNS 「IdM DNS マスターゾーンでのゾーン委譲」
デフォルトでは、IdM サーバーが権威サーバーとなっているゾーンに、クエリーされた DNS 名が所属する場合には、BIND サービスはクエリーを別のサーバーに転送しません。このような場合は、クエリーされた DNS 名が IdM データベースに見つからない場合は、NXDOMAIN 応答が返されます。転送は使用されません。

例33.9 サンプルシナリオ

IdM サーバーは test.example の権威サーバーです。DNS ゾーン。BIND は、IP アドレス 192.0.2.254 でクエリーを DNS サーバーに転送するように設定されています。
クライアントが nonexistent.test.example のクエリーを送信する場合 DNS 名である BIND は、IdM サーバーが test.example. ゾーンの権威サーバーであることを検出し、クエリーを 192.0.2.254. サーバー には転送しません。その結果、DNS クライアントは NXDomain の応答を受け取り、クエリーされたドメインが存在しないことをユーザーに通知します。
IdM DNS マスターゾーンでのゾーン委譲
IdM DNS のマスターゾーンの特定サブゾーンのクエリーを転送することができます。たとえば、IdM DNS がゾーン idm.example.com を処理する場合は、sub_zone1.idm.example.comサブゾーンの認証局を別の DNS サーバーに委譲できます。この動作を行うには、上記で説明した転送とネームサーバーレコードを使用して、サブゾーンを別の DNS サーバーに委譲する必要があります。以下の例では、sub_zone1 はサブゾーンに、192.0.2.1 は、サブゾーンが委譲される DNS サーバーの IP アドレスです。
$ ipa dnsrecord-add idm.example.com. sub_zone1 --ns-rec=192.0.2.1
正引きゾーンの追加は、以下のようになります。
$ ipa dnsforwardzone-add  sub_zone1.idm.example.com. --forwarder 192.0.2.1

33.6.1. グローバルフォワーダーの設定

グローバルフォワーダーは、で説明されているように、IdM サーバーが権威のない DNS クエリーの解決に使用する DNS 「DNS 転送の管理」
管理者は、以下の 2 つの方法で、グローバル転送の IP アドレスおよび転送ポリシーを設定できます。
ipa dnsconfig-mod コマンドまたは IdM Web UI の使用
これらのネイティブ IdM ツールを使用して設定される設定は、即座にすべての IdM DNS サーバーに適用されます。「DNS 設定の優先順位」、グローバル DNS 設定は、/etc/named.conf ファイルで定義されているローカル設定よりも優先度が高くなります。
/etc/named.conf ファイルを編集する方法
すべての IdM DNS サーバーで /etc/named.conf を手動で編集すると、各サーバーで別のグローバルフォワーダーおよびポリシーを使用できます。BIND サービスは、/etc/named.conf を変更した後に再起動する必要があることに注意してください。

Web UI でのフォワーダーの設定

IdM Web UI で DNS グローバル設定を定義するには、次のコマンドを実行します。
  1. Network Services タブをクリックし、DNS サブタブを選択し、DNS Global Configuration セクションで行います。
  2. 新規グローバルフォワーダーを追加するには、Add をクリックして IP アドレスを入力します。新しい転送ポリシーを定義するには、利用可能なポリシーの一覧から選択します。

    図33.28 Web UI でのグローバル DNS 設定の編集

    Web UI でのグローバル DNS 設定の編集
  3. Save をクリックし て、新しい設定を確定します。

コマンドラインでのフォワーダーの設定

コマンドラインからフォワーダーのグローバルリストを設定するには、ipa dnsconfig-mod コマンドを使用します。これは、LDAP データを編集して DNS グローバル設定を編集します。ipa dnsconfig-mod コマンドと、そのオプションは、一度にすべての IdM DNS サーバーに影響があり、ローカル設定よりも優先されます。
たとえば、ipa dnsconfig-mod を使用してグローバルフォワーダーの一覧を編集するには、次のコマンドを実行します。
[user@server ~]$ ipa dnsconfig-mod --forwarder=192.0.2.254
  Global forwarders: 192.0.2.254

33.6.2. 正引きゾーンの設定

正引きゾーンには権威データが含まれておらず、ネームサーバーに対し、特定ゾーンに属する名前のクエリーのみを設定済みのフォワーダーに転送するように指示します。
重要
絶対に必要な場合を除き、正引きゾーンは使用しないでください。グローバル転送設定を上書きするために使用する制限。 「グローバルフォワーダーの設定」
正引きゾーンは標準以外のソリューションで、これらを使用すると予期しない動作が発生する可能性があります。新しい DNS ゾーンを作成する場合には、Red Hat は、NS レコードで標準の DNS 委譲を常に使用し、正引きゾーンを回避することを推奨します。
BIND サービスの詳細は、『Red Hat Enterprise Linux Networking Guide』 、/usr/share/doc/bind-version_number/ ディレクトリー、または外部ソースに記載されている BIND 9 Administrator Reference Manual を参照してください。 [5] .

Web UI での正引きゾーンの設定

Web UI で正引きゾーンを管理するには、Network Services タブをクリックし、DNS サブタブの後に DNS Forward Zones セクションを選択します。

図33.29 DNS 正引きゾーンの管理

DNS 正引きゾーンの管理
DNS Forward Zones セクションでは、管理者は正引きゾーンに関する必要なすべての操作を処理できます。正引きゾーン一覧の表示、新しい正引きゾーンの削除、正引きゾーンの削除、正引きゾーンの表示、正引きゾーンの変更、正引きゾーンの無効化または有効化を行います。

コマンドラインでの正引きゾーンの設定

コマンドラインから正引きゾーンを管理するには、以下で説明されている ipa dnsforwardzone-* コマンドを使用します。
注記
ipa dnsforwardzone-* コマンドは、マスターゾーンの管理に使用する ipa dnszone-* コマンドと一貫して動作します。
ipa dnsforwardzone-* コマンドでは、複数のオプションを使用できます。特に、--forwarder、-- forward-policy、および --name-from-ip オプションを指定できます。利用可能なオプションの詳細情報は、以下のように --help 表33.1「ゾーン属性」
ipa dnsforwardzone-add --help
正引きゾーンの追加
dnsforwardzone-add コマンドを使用して、新しい正引きゾーンを追加します。転送ポリシーが none に設定されている場合は、フォワーダーを少なくとも 1 つ指定する必要があります。
[user@server ~]$ ipa dnsforwardzone-add zone.test. --forwarder=172.16.0.1 --forwarder=172.16.0.2 --forward-policy=first

Zone name: zone.test.
Zone forwarders: 172.16.0.1, 172.16.0.2
Forward policy: first
正引きゾーンの変更
dnsforwardzone-mod コマンドを使用して正引きゾーンを変更します。転送ポリシーが none ではない場合には、フォワーダーを少なくとも 1 つ指定する必要があります。変更は複数の方法で実行できます。
[user@server ~]$ ipa dnsforwardzone-mod zone.test. --forwarder=172.16.0.3

Zone name: zone.test.
Zone forwarders: 172.16.0.3
Forward policy: first
[user@server ~]$ ipa dnsforwardzone-mod zone.test. --forward-policy=only

Zone name: zone.test.
Zone forwarders: 172.16.0.3
Forward policy: only
正引きゾーンの表示
dnsforwardzone-show コマンドを使用して、指定した正引きゾーンに関する情報を表示します。
[user@server ~]$ ipa dnsforwardzone-show zone.test.

Zone name: zone.test.
Zone forwarders: 172.16.0.5
Forward policy: first
正引きゾーンの検索
dnsforwardzone-find コマンドを使用して、指定した正引きゾーンを見つけます。
[user@server ~]$ ipa dnsforwardzone-find zone.test.

Zone name: zone.test.
Zone forwarders: 172.16.0.3
Forward policy: first
----------------------------
Number of entries returned 1
----------------------------
正引きゾーンの削除
dnsforwardzone-del コマンドを使用して、指定した正引きゾーンを削除します。
[user@server ~]$ ipa dnsforwardzone-del zone.test.

----------------------------
Deleted forward DNS zone "zone.test."
----------------------------
正引きゾーンの有効化と無効化
dnsforwardzone-enable コマンドおよび dnsforwardzone-disable コマンドを使用して、正引きゾーンを有効または無効にします。正引きゾーンはデフォルトで有効になっていることに注意してください。
[user@server ~]$ ipa dnsforwardzone-enable zone.test.

----------------------------
Enabled forward DNS zone "zone.test."
----------------------------
[user@server ~]$ ipa dnsforwardzone-disable zone.test.

----------------------------
Disabled forward DNS zone "zone.test."
----------------------------
パーミッションの追加および削除
dnsforwardzone-add-permission コマンドおよび dnsforwardzone-remove-permission コマンドを使用して、システムパーミッションを追加または削除します。
[user@server ~]$ ipa dnsforwardzone-add-permission zone.test.

---------------------------------------------------------
Added system permission "Manage DNS zone zone.test."
---------------------------------------------------------
  Manage DNS zone zone.test.
[user@server ~]$ ipa dnsforwardzone-remove-permission zone.test.

---------------------------------------------------------
Removed system permission "Manage DNS zone zone.test."
---------------------------------------------------------
  Manage DNS zone zone.test.


[5] 詳細は、BIND 9 Configuration Reference を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。