Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

33.4. マスター DNS ゾーンの管理

33.4.1. マスター DNS ゾーンの追加および削除

Web UI でのマスター DNS ゾーンの追加

  1. Network Services タブを開き、DNS サブタブを選択し、その後に DNS Zones セクションを選択します。

    図33.1 DNS マスターゾーンの管理

    DNS マスターゾーンの管理
  2. 新しいマスターゾーンを追加するには、すべてのゾーン のリストの上部にある 追加 をクリックします。

    図33.2 マスター DNS ゾーンの追加

    マスター DNS ゾーンの追加
  3. ゾーン名を指定して、追加 をクリックします。

    図33.3 新しいマスターゾーンの入力

    新しいマスターゾーンの入力

コマンドラインでのマスター DNS ゾーンの追加

ipa dnszone-add コマンドは、新しいゾーンを DNS ドメインに追加します。新しいゾーンを追加するには、新しいサブドメイン名を指定する必要があります。サブドメイン名を直接指定するには、以下のコマンドを実行します。
$ ipa dnszone-add newserver.example.com
ipa dnszone-add に名前を指定しない場合には、スクリプトにより自動的に名前を求めるプロンプトが表示されます。
ipa dnszone-add コマンドでは、さまざまなコマンドラインオプションも使用できます。このオプションの完全なリストを表示するには、ipa dnszone-add --help コマンドを実行します。

マスター DNS ゾーンの削除

Web UI でマスター DNS ゾーンを削除する場合は、すべてのゾーンのリストでゾーン名を指定してチェックボックスを選択し、削除 をクリックします。

図33.4 マスター DNS ゾーンの削除

マスター DNS ゾーンの削除
コマンドラインからマスター DNS ゾーンを削除する場合は、ipa dnszone-del コマンドを使用します。以下に例を示します。
$ ipa dnszone-del server.example.com

33.4.2. マスター DNS ゾーンの他の設定の追加

IdM は、更新期間、転送設定、キャッシュ設定など、特定のデフォルト設定を指定して新しいゾーンを作成します。

DNS ゾーン設定の属性

利用可能なゾーン設定は 表33.1「ゾーン属性」 に記載されています。ここではゾーンの実際の情報を設定するほか、DNS サーバーが start of authority (SOA) レコードエントリーを処理する方法と、DNS ネームサーバーからの記録を更新する方法を定義します。

表33.1 ゾーン属性

属性 コマンドラインオプション 説明
権威ネームサーバー --name-server
マスター DNS ネームサーバーのドメイン名 (別称: SOA MNAME) を設定します。
デフォルトでは、各 IdM サーバーは SOA MNAME フィールドで自己アドバタイズします。そのため、--name-server を使用して LDAP に保存されている値は無視されます。
管理者の電子メールアドレス --admin-email ゾーン管理者が使用する電子メールアドレスを設定します。デフォルトでは、ホストの root アカウントになります。
SOA serial --serial SOA レコードにシリアル番号を設定します。IdM ではバージョン番号が自動的に設定され、この番号のユーザーによる変更は想定されていません。
SOA refresh --refresh セカンダリー DNS サーバーがプライマリー DNS サーバーから更新を要求するまでの待機時間を秒単位で設定します。
SOA retry --retry 失敗した更新操作を再試行するまでに待機する時間を秒単位で設定します。
SOA expire --expire セカンダリー DNS サーバーが操作の試行を終了するまでに、更新操作を実行する時間を秒単位で設定します。
SOA minimum --minimum RFC 2308 に準拠し、ネガティブキャッシュの TTL (TTL) 値を秒単位で設定します。
SOA time to live --ttl ゾーン apex のレコードの TTL を秒単位で設定します。たとえば、example.com ゾーンでは、名前が example.com の全レコード (A、NS または SOA) は設定されますが、test.example.com などの他のドメイン名には影響はありません。
デフォルトの TTL --default-ttl これまでに個別の Time To Live (TTL) 値が設定されたことのないゾーンで、すべての値のネガティブキャッシュのデフォルト TTL を秒単位で設定します。変更を有効にするには、すべての IdM DNS サーバーで named-pkcs11 サービスを再起動する必要があります。
BIND 更新ポリシー --update-policy
DNS ゾーンでクライアントに許可されるパーミッションを設定します。
更新ポリシー構文の詳細は、BIND 9 管理者リファレンスマニュアル』 のダイナミック更新ポリシー を参照してください。
Dynamic update --dynamic-update=TRUE|FALSE クライアントの DNS レコードへの動的更新を有効にします。
false に設定すると、IdM クライアントマシンは IP アドレスを追加または更新できなくなる点に注意してください。詳細は、「ダイナミック DNS 更新の有効化」を参照してください。
Allow transfer --allow-transfer=string
指定のゾーンを転送できる IP アドレスまたはネットワーク名のセミコロン区切りのリストを指定します。
デフォルトでは、ゾーン転送は無効です。--allow-transfer のデフォルト値は none です。
Allow query --allow-query DNS クエリーを発行できる IP アドレスまたはネットワーク名のセミコロン区切りのリストを指定します。
Allow PTR sync --allow-sync-ptr=1|0 ゾーンの A または AAAA レコード (正引きレコード) が自動的に PTR (逆引き) レコードと同期されるかどうかを設定します。
Zone forwarder --forwarder=IP_address DNS ゾーン向けに特別に設定されたフォワーダーを指定します。これは、IdM ドメインで使用されるグローバルフォワーダーとは別のものです。
複数のフォワーダーを指定する場愛には、オプションを複数回使用します。
転送ポリシー --forward-policy=none|only|first 転送ポリシーを指定します。サポート対象のポリシーに関する情報は、「フォワードポリシー」を参照してください。

Web UI でのゾーン設定編集

Web UI から DNS マスターゾーンを管理するには、ネットワークサービス タブを開いて、DNS サブタブを選択し、その後に DNS ゾーン セクションを選択します。

図33.5 DNS マスターゾーンの管理

DNS マスターゾーンの管理
DNS Zonesセクションで既存のマスターゾーンを編集するには、以下を行います。
  1. ゾーンの全リストからゾーン名をクリックして DNS ゾーンページを開きます。

    図33.6 マスターゾーンの編集

    マスターゾーンの編集
  2. 設定 をクリックし、必要に応じてゾーン設定を変更します。

    図33.7 マスターゾーン編集ページの Settings タブ

    マスターゾーン編集ページの Settings タブ
    利用可能な設定の詳細は、表33.1「ゾーン属性」 を参照してください。
  3. Save をクリックして、新しい設定を確定します。
注記
ゾーンのデフォルトの Time To Live (TTL) を変更する場愛には、全 IdM DNS サーバーでnamed-pkcs11 サービスを再起動して、変更を適用します。他の全設定は、すぐに自動的に有効になります。

コマンドラインでのゾーン設定の編集

コマンドラインから既存のマスター DNS ゾーンを変更する場合は、ipa dnszone-mod コマンドを使用します。利用可能な設定の詳細は、表33.1「ゾーン属性」 を参照してください。
DNS ゾーンエントリーに属性が存在しない場合は、ipa dnszone-mod コマンドにより属性が追加されます。属性が存在する場合は、このコマンドは現在の値を指定された値で上書きします。
ipa dnszone-mod とそのオプションの詳細は、ipa dnszone-mod --help コマンドを実行します。
注記
ゾーンのデフォルトの Time To Live (TTL) を変更する場愛には、全 IdM DNS サーバーでnamed-pkcs11 サービスを再起動して、変更を適用します。他の全設定は、すぐに自動的に有効になります。

33.4.3. ゾーン転送の有効化

ネームサーバーはゾーンの権威データを維持します。ゾーンに変更が加えられるため、DNS ドメインのネームサーバーに送信および配布される必要があります。ゾーン転送 では、別のサーバーにリソースレコードがすべてコピーします。
IdM は、RFC 5936 (AXFR) および RFC 1995 (IXFR) 標準に準拠するゾーン転送をサポートします。
重要
IdM が統合された DNS はマルチマスターです。IdM ゾーンの SOA シリアル番号は、IdM サーバー間で同期されません。このため、DNS スレーブサーバーが IdM マスターサーバーを 1 台だけ使用するように設定します。こうすることで、同期されていない SOA シリアル番号が原因でゾーン転送が失敗しないようにします。

UI でのゾーン転送の有効化

「Web UI でのゾーン設定編集」 の説明に従って DNS ゾーンページを開き、設定 タブに切り替えます。
Allow transfer で、ゾーンレコードを転送するネームサーバーを指定します。

図33.8 ゾーン転送の有効化

ゾーン転送の有効化
DNS ゾーンページの上部にある Save をクリックして、新しい設定を確定します。

コマンドラインでのゾーン転送の有効化

コマンドラインからゾーン転送を有効にするには、ipa dnszone-mod コマンドに --allow-transfer オプションを追加します。--allow-transfer を使用して、ゾーンレコードを転送するネームサーバーのリストを指定します。以下に例を示します。
[user@server ~]$ ipa dnszone-mod --allow-transfer="192.0.2.1;198.51.100.1;203.0.113.1" example.com
BIND サービスでゾーン転送を有効にすると、IdM DNS ゾーンは、dig ユーティリティーなどのクライアントから名前を使用して転送できます。
[root@server ~]# dig @ipa-server zone_name AXFR

33.4.4. DNS ゾーンへのレコードの追加

IdM は、さまざまなレコードタイプに対応します。以下の 4 つが最も頻繁に使用されます。
A
これは、ホスト名および通常の IPv4 アドレスの基本マップです。A レコードのレコード名は、www などのホスト名です。A レコードの IP アドレス 値は、192.0.2.1 などの IPv4 アドレスです。
A レコードの詳細は、RFC 1035 を参照してください。
AAAA
これは、ホスト名および IPv6 アドレスの基本マップです。AAAA レコードのレコード名は www などのホスト名です。IP アドレス は、2001: DB8::1111 など、標準の 16 進数の IPv6 アドレスです。
AAAA レコードの詳細は RFC 3596 を参照してください。
SRV
サービス (SRV) リソースレコードは、サービス名を、その特定サービスを提供するサーバーの DNS 名にマッピングします。たとえば、このタイプのレコードは LDAP ディレクトリーのようなサービスを管理するサーバーに、このサービスをマッピングします。
SRV レコードのレコード名は、_ldap._tcp など、_service._protocol の形式を取ります。SRV レコードの設定オプションには、ターゲットサービスの優先順位、加重、ポート番号、およびホスト名が含まれます。
SRV レコードの詳細は、RFC 2782 を参照してください。
PTR
ポインター (PTR) レコードは、IP アドレスをドメイン名にマッピングする逆引き DNS レコードを追加します。
注記
IPv4 アドレスの逆引き DNS ルックアップはすべて、in-addr.arpa. ドメインで定義される逆引きエントリーを使用します。人間が判別可能な形式の逆アドレスは、通常の IP とまったく逆で、in-addr.arpa. ドメインが最後に付いています。たとえば、ネットワークアドレス 192.0.2.0/24 の逆引きゾーンは、2.0.192.in-addr.arpa になります。
PTR レコードのレコード名は、RFC 1035 (RFC 2317 および RFC 3596 で拡張) で指定の標準形式を使用する必要があります。ホスト名の値は、レコードを作成するホストの正規のホスト名である必要があります。詳細は、例33.8「PTR レコード」 を参照してください。
注記
また、IPv6 アドレスの逆引きゾーンは、.ip6.arpa. ドメインのゾーンを使用して設定できます。IPv6 逆引きゾーンの詳細は、RFC 3596 を参照してください。
DNS リソースレコードの追加時には、レコードの多くで異なるデータが必要になることに注意してください。たとえば、CNAME レコードにはホスト名が必要ですが、A レコードには IP アドレスが必要です。Web UI では、新しいレコードを追加するフォームのフィールドが自動的に更新され、現在選択されているレコードタイプに必要なデータが反映されます。

DNS ワイルドカードのサポート

IdM は、ワイルドカードとして DNS ゾーン内の特別なレコード * に対応します。

例33.2 DNS ワイルドカードの結果のデモンストレーション

  1. DNS ゾーン example.com で以下を設定します。
    • ワイルドカード A レコード *.example.com
    • mail.example.com の MX レコードですが、このホストの A レコードはありません。
    • demo.example.com のレコードがありません。
  2. 既存および存在しない DNS レコードとタイプをクエリーします。以下の結果が返されます。
    # host -t MX mail.example.com.
    mail.example.com mail is handled by 10 server.example.com.
    
    # host -t MX demo.example.com.
    demo.example.com. has no MX record.
    
    # host -t A mail.example.com.
    mail.example.com has no A record
    
    # host -t A demo.example.com.
    random.example.com has address 192.168.1.1
    
詳細は、RFC1034 を参照してください。

Web UI での DNS リソースレコードの追加

  1. 「Web UI でのゾーン設定編集」 の説明に従って、DNS ゾーンページを開きます。
  2. DNS Resource Record セクションで、Add をクリックして新規レコードを追加します。

    図33.9 新しい DNS リソースレコードの追加

    新しい DNS リソースレコードの追加
  3. 作成するレコードのタイプを選択し、必要に応じて他のフィールドにも入力します。

    図33.10 新しい DNS リソースレコードの定義

    新しい DNS リソースレコードの定義
  4. Add をクリックして、新規レコードを確定します。

コマンドラインでの DNS リソースレコードの追加

コマンドラインから任意の種類の DNS リソースレコードを追加するには、ipa dnsrecord-add コマンドを使用します。このコマンドは、以下の構文に従います。
$ ipa dnsrecord-add zone_name record_name --record_type_option=data
zone_name は、レコードを追加する DNS ゾーンの名前です。record_name は、新しい DNS リソースレコードの識別子です。
表33.2「一般的な ipa dnsrecord-add オプション」では、A (IPv4)、AAAA (IPv6)、SRV、および PTR という一般的なリソースレコードのタイプのオプションを示しています。エントリーのリストは、同じコマンド呼び出しでオプションを複数回使用するか、--option={val1,val2,val3}のように、中括弧内のコンマ区切りリストにオプションをリストすることで設定できます。
ipa dnsrecord-add の使用方法および IdM で対応している DNS レコードタイプに関する詳細は、ipa dnsrecord-add --help コマンドを実行します。

表33.2 一般的な ipa dnsrecord-add オプション

全般的なレコードのオプション
オプション 説明
--ttl=number レコードの有効期間を設定します。
--structured raw DNS レコードを解析し、それらを構造化された形式で返します。
"A" レコードのオプション
オプション 説明
--a-rec=ARECORD A レコードのリストを渡します。
--a-ip-address=string レコードの IP アドレスを渡します。
"AAAA" レコードのオプション
オプション 説明
--aaaa-rec=AAAARECORD AAAA (IPv6) レコードのリストを渡します。
--aaaa-ip-address=string レコードの IPv6 アドレスを渡します。
"PTR" レコードのオプション
オプション 説明
--ptr-rec=PTRRECORD PTR レコードのリストを渡します。
--ptr-hostname=string レコードのホスト名を指定します。
"SRV" レコードのオプション
オプション 説明
--srv-rec=SRVRECORD SRV レコードのリストを渡します。
--srv-priority=number レコードの優先順位を設定します。あるサービスタイプに複数の SRV レコードがある場合もあります。優先順位 (0 - 65535) はレコードの階級を設定し、数字が小さいほど優先順位が高くなります。サービスは、優先順位の最も高いレコードを最初に使用する必要があります。
--srv-weight=number レコードの加重を設定します。これは、SRV レコードの優先順位が同じ場合に順序を判断する際に役立ちます。設定された加重は最大 100 とし、これは特定のレコードが使用される可能性をパーセンテージで示しています。
--srv-port=number ターゲットホスト上のサービスのポートを渡します。
--srv-target=string ターゲットホストのドメイン名を提供します。該当サービスがドメイン内で利用可能でない場合は、単一のピリオド (.) として指定される場合があります。

33.4.5. コマンドラインから DNS リソースレコードを追加または変更する例

例33.3 IPv4 レコードの追加

以下の例では、192.0.2.123のアドレスを含めて、www.example.com レコードを作成します。
$ ipa dnsrecord-add example.com www --a-rec 192.0.2.123

例33.4 IPv4 ワイルドカードレコードの追加

この例では、IP アドレスが 192.0.2.123 のワイルドカード A レコードを作成します。
$ ipa dnsrecord-add example.com "*" --a-rec 192.0.2.123

例33.5 IPv4 レコードの変更

レコードの作成時に、A レコードの値を指定するオプションは --a-record です。ただし A レコードを変更する時に、--a-record オプションを使用して A レコードの現在の値を指定します。新しい値は、--a-ip-address オプションで設定します。
$ ipa dnsrecord-mod example.com www --a-rec 192.0.2.123 --a-ip-address 192.0.2.1

例33.6 IPv6 レコードの追加

以下の例では、2001: db8::1231:5675の IP アドレスを含めて、www.example.com レコードを作成します。
$ ipa dnsrecord-add example.com www --aaaa-rec 2001:db8::1231:5675

例33.7 SRV レコードの追加

以下の例では、_ldap._tcp は、SRV レコードのサービスタイプと接続プロトコルを定義します。--srv-rec オプションは、優先順位、加重、ポート、およびターゲットの値を定義します。
以下に例を示します。
[root@server ~]# ipa dnsrecord-add server.example.com _ldap._tcp --srv-rec="0 51 389 server1.example.com."
[root@server ~]# ipa dnsrecord-add server.example.com _ldap._tcp --srv-rec="1 49 389 server2.example.com."
加重値 (この例では 5149) が最大 100 まで加算され、特定のレコードが使用される確率を % で表します。

例33.8 PTR レコード

逆引き DNS レコードを追加する時には、他の DNS レコードの追加の方法と比べ、ipa dnsrecord-add コマンドで使用するゾーン名は、逆になります。
$ ipa dnsrecord-add reverseNetworkIpAddress hostIpAddress --ptr-rec FQDN
通常、hostIpAddress は、指定のネットワークにおける IP アドレスの最後のオクテットです。
たとえば、IPv4 アドレスが 192.0.2.4 のserver4.example.com に PTR レコードを追加します。
$ ipa dnsrecord-add 2.0.192.in-addr.arpa 4 --ptr-rec server4.example.com.
次の例では、0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa に逆引き DNS エントリーを追加します。IP アドレスが 2001:DB8::1111server2.example.com ホストの IPv 6 逆引きゾーン。
$ ipa dnsrecord-add 0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. 1.1.1.0.0.0.0.0.0.0.0.0.0.0.0 --ptr-rec server2.example.com.

33.4.6. DNS ゾーンからレコードを削除する

Web UI でのレコードの削除

リソースレコードから特定のレコードタイプのみを削除するには、以下の手順に従います。
  1. 「Web UI でのゾーン設定編集」 の説明に従って、DNS ゾーンページを開きます。
  2. DNS Resource Record のセクションで、リソースレコードの名前をクリックします。

    図33.11 DNS リソースレコードの選択

    DNS リソースレコードの選択
  3. 削除するレコードタイプの名前の横にあるチェックボックスを選択します。

    図33.12 DNS リソースレコードの削除

    DNS リソースレコードの削除
    この後、選択したレコードタイプのみが削除され、その他の設定はそのまま残ります。
ゾーン内のリソースのレコードをすべて削除するには、次のコマンドを実行します。
  1. 「Web UI でのゾーン設定編集」 の説明に従って、DNS ゾーンページを開きます。
  2. DNS リソースレコード セクションで、削除するリソースレコード名のチェックボックスを選択し、ゾーンレコードリストの上部にある 削除 をクリックします。

    図33.13 全リソースレコードの削除

    全リソースレコードの削除
    この後、リソースレコード全体が削除されます。

コマンドラインからのレコードの削除

ゾーンからレコードを削除するには ipa dnsrecord-del コマンドを使用して、--recordType-rec オプションでレコードの値を指定して追加します。
以下の例では、A タイプのレコードが削除されます。
$ ipa dnsrecord-del example.com www --a-rec 192.0.2.1
オプションなしで ipa dnsrecord-del コマンドを実行すると、削除するレコードについての情報の入力が求められます。--del-all オプションを指定してコマンドを実行すると、ゾーンに関連するレコードがすべて削除されることに注意してください。
ipa dnsrecord-del の使用方法と、このコマンドで使用できるオプションの全リストに関する詳細は、ipa dnsrecord-del --help コマンドを実行します。

33.4.7. ゾーンの無効化と有効化

IdM を使用すると、管理者による DNS ゾーンの無効化/有効化が可能です。「マスター DNS ゾーンの削除」 で説明されているように DNS ゾーンを削除すると、ゾーンエントリーと関連するすべての設定が完全に削除されます。ゾーンを無効にすると、IdM からそのゾーンを完全に削除することなく、そのゾーンがアクティビティーから削除されます。無効ゾーンは再度有効にすることもできます。

Web UI でのゾーンの無効化と有効化

Web UI から DNS ゾーンを管理するには、ネットワークサービス タブを開き、DNS サブタブを選択してから、DNS ゾーン セクションを選択します。

図33.14 DNS ゾーンの管理

DNS ゾーンの管理
ゾーンを無効にするには、ゾーン名の横にあるチェックボックスを選択し、Disable をクリックします。

図33.15 DNS ゾーンの無効化

DNS ゾーンの無効化
同様に、無効にしたゾーンを有効にするには、ゾーン名の横にあるチェックボックスを選択し、有効 をクリックします。

コマンドラインからの DNS ゾーンの無効化と有効化

コマンドラインから DNS ゾーンを無効にするには、ipa dnszone-disable コマンドを使用します。以下に例を示します。
[user@server ~]$ ipa dnszone-disable zone.example.com
-----------------------------------------
Disabled DNS zone "example.com"
-----------------------------------------
無効にしたゾーンを再度有効にするには、ipa dnszone-enable コマンドを使用します。