DNSサーバ 応用編

■ 権限の移譲。Delegation。

  自ドメインの配下にサブドメインを設けて、
  サブドメインの管理を個々のネームサーバに委譲すること。

  (1) 親サーバ側の設定。

    サブドメインのネームサーバ名と、そのIPアドレスを指定する。
    これらを“グルーレコード”と呼ぶ。
    またセカンダリDNSは自分自身とする。

    tech.example.co.jp.   IN  NS  ns.tech.example.co.jp
    ns.tech.example.co.jp IN  A   192.168.2.100
    tech.example.co.jp    IN  NS  ns.example.co.jp

  (2) 子サーバ側の設定。

    同様に、サブドメインのネームサーバ名を指定する。
    またセカンダリDNSは親サーバとする。 

    tech.example.co.jp.   IN  NS  ns.tech.example.co.jp
    tech.example.co.jp    IN  NS  ns.example.co.jp

■ 複数ドメインの運用

  (1) バーチャルホスト。

    ドメイン内の1台のマシンに対して複数のホスト名を割り当て、
    あたかも複数のマシンがあるかのように見せること。

  (2) バーチャルドメイン。

    単一のネームサーバで複数ドメインを運用すること。
    この場合、ゾーンファイルもドメイン名と同数設ける必要がある。

    または、単一のアプリケーションサーバで複数ドメインを運用すること。
    この場合も、それぞれ設定が必要になる。

■ ダイナミックDNS。Dynamic DNS。

  DNSの定義を動的に変更することにより、
  動的アドレス付与を受けているホストに対して、
  同一ドメイン名でアクセスできるようにする仕組み。

  ダイナミックDNSは、
  DNS NOTIFYとIXFRを使用することにより実現する。

  (1) DNS NOTIFY。

    ゾーンデータに変更があった時点で、
    プライマリDNSからセカンダリDNSに対してその変更の事実を伝えることにより、
    セカンダリDNSが、SOAレコードに指定するリフレッシュ時間を待たずに
    プライマリDNSにアクセスして、当該ゾーン情報を更新すること。

  (2) IXFR。Incremental Zone Transfer。

    レコード単位の更新があった場合に、
    ゾーンファイル全体を更新することなく、
    変更したレコードのみの更新を可能にすること。
    通常のゾーン転送(AXFR)の対語。

■ DNSラウンドロビン。

  DNSサーバの機能の1つ。
  サーバの負荷分散を実現する古典的な方法である。

  単一のホスト名に対し、複数のIPアドレスを登録しておき、
  DNSサーバが正引き問合せを受けた時には、
  登録したIPアドレスを巡回しながら答えさせる。

  こうすることにより、
  アクセスを複数のサーバに均等に振り分けることができる。

  DNSラウンドロビンは、機械的な振り分けのため、
  実際の負荷に応じた最適な負荷分散ができない。
  また、サーバがダウンしていても構わずIPアドレスを教えてしまう
  など、欠点もある。

  より高度な負荷分散を実現するには、
  マルチレイヤスイッチを利用する。

■ DNSスプーフィング。DNS spoofing。

  DNSサーバが保持するキャッシュデータを
  意図的に偽りのものに書き換えてしまう攻撃。

  例えば、当該DNSサーバが管理するドメインのブラウザからアクセスがあった場合、
  不正なIPアドレス情報を返すことで、偽りのWebサーバに誘導する。
  そこには、あらかじめ正しいサイトと同様の振舞いをする偽サイト
  (コピーサイト)を構築しておき、
  パスワードやクレジットカード番号等の個人情報を取得する。

  このDNSスプーフィングは、
  BINDの最新バージョンを用いれば回避できる。

■ DNSSEC。DNS Security Extensions。

  DNSサーバ同士が交換するゾーン情報を暗号化する仕組み。
  公開鍵暗号方式を使用する。
  すなわち、送信側DNSがゾーンデータを自身の秘密鍵で暗号化して送り、
  受信側DNSがこれを送信側の公開鍵で復号する。 

  DNSスプーフィングの防止策として開発されたもので、
  RFC2535に規定されている。

以上。

2004/03/15 pm