none
ルートゾーンのあるDNSサーバのインターネット名前解決 RRS feed

  • 質問

  • Active Directoryサーバ上にあるDNSサーバを使ってインターネットの名前解決をしたいと考えています。

    DNSのプロパティでフォワーダの設定をしようとしたところ、「このサーバはルートサーバであるため、フォワーダーは利用できません」と表示されフォワーダのIP入力ができません。

    また、条件付きフォワーダーも同じ理由で設定できませんでした。

    DNSには、前方参照ゾーンにルート(.)の設定があり、2台あるADサーバのホスト名とIPアドレスが登録されています。(ドメイン上の他のサーバ情報はルートの下にはありません)。ドメインは単一のフォレスト、単一のドメインのみで運用しています(例: EC.会社名.CO.JPのみ)。

    知りたいことは、インターネットの名前解決をするためには

    (1) ルートゾーンの削除しないでインターネットの名前解決をする方法があるか

    (2) ルートゾーンの削除が必要な場合、削除によって何が起こりえるのか(リスク)

    (3) 削除の手順

    です。ご教示いただけると助かります。

    2019年6月25日 21:37

回答

  • チャブーンです。

    この件ですが、DNSの「ルートゾーン」とは、tld(トップレベルドメイン)情報を解決するためのゾーンのことをいい、ルートサーバーはルートゾーンを持つサーバーをいいます。そのような機能なので、

    1. ルートゾーンを「自分自身」がもっている場合、そのままの状態ではインターネット名前解決はできません。ルートゾーンは削除する必要があります。
    2. ルートサーバーを「自分自身」に設定する理由のひとつは「セキュリティ」のためです。Active Directoryを完全にオフライン環境で運用したい場合、インターネット検索で外部にDNSクエリが発行されることを完全に阻止できる簡単な方法だからです。外部に名前解決を行う場合、DNSキャッシュポイズンなどの攻撃の影響を受ける可能性はありますが、対策はおこなわれているので、通常問題はありません。
    3. 単純に、[前方参照ゾーン]にあるルートゾーンを削除すれば、問題ありません。ただし、社内ネットワークで「外部ネットワークへのアクセス監視」を行っているような場合、ネットワーク管理者から指摘をうける可能性はあるので、社内調整はしたほうがいいかもしれません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2019年6月26日 3:03
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、DNSの「ルートゾーン」とは、tld(トップレベルドメイン)情報を解決するためのゾーンのことをいい、ルートサーバーはルートゾーンを持つサーバーをいいます。そのような機能なので、

    1. ルートゾーンを「自分自身」がもっている場合、そのままの状態ではインターネット名前解決はできません。ルートゾーンは削除する必要があります。
    2. ルートサーバーを「自分自身」に設定する理由のひとつは「セキュリティ」のためです。Active Directoryを完全にオフライン環境で運用したい場合、インターネット検索で外部にDNSクエリが発行されることを完全に阻止できる簡単な方法だからです。外部に名前解決を行う場合、DNSキャッシュポイズンなどの攻撃の影響を受ける可能性はありますが、対策はおこなわれているので、通常問題はありません。
    3. 単純に、[前方参照ゾーン]にあるルートゾーンを削除すれば、問題ありません。ただし、社内ネットワークで「外部ネットワークへのアクセス監視」を行っているような場合、ネットワーク管理者から指摘をうける可能性はあるので、社内調整はしたほうがいいかもしれません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2019年6月26日 3:03
    モデレータ
  • チャプーンさん、

    ありがとうございました。

    ルートゾーンの削除に二の足を踏んでいましたが、関係者と調整のうえ削除を行い、

    インターネットの名前解決を実現することができました。

    2019年6月28日 4:24