社内イントラネットで権威DNSとキャッシュDNSを運用する ~第1回 サーバ構成~

はじめに

DNSは、Domain Name Systemの略で、インターネット上でドメイン名を管理・運用するために開発されたシステムです。 現在、インターネットを利用するときに必要不可欠なシステムの一つとなっています。[1]
今回は、社内イントラネットでDNSを運用すると仮定し、ネットワーク構成や採用したソフトウエアを検証していきます。ポイントとしては以下の通りです。

• 冗長構成による耐障害性の確保
• ネットワーク、役割の分離によるセキュリティの向上
• GUIによるゾーン運用の効率化

サーバ構成

本記事で扱う、サーバ構成については以下の通りです。業務、DMZ、内部、インターネットごとにネットワークが分離されており、ファイアウォールで通信制御を行っているとしています。

DNSを社内イントラネットで運用する際、大きく分けて2つのDNSサーバが必要になります。1つ目は、自社ドメインに対する外部からの問い合わせに応答する権威DNSサーバです。2つ目は、インターネットを利用する際、世界中に分散するDNSサーバに問い合わせを行うDNSリゾルバです。

権威DNSサーバはコンテンツDNSサーバ、DNSリゾルバはキャッシュDNSサーバとも呼ばれます。

セキュリティの観点から、外部からの通信を受ける権威DNSサーバと、内部からの通信を受けるDNSリゾルバはNWを分け、別々のサーバで構築するのが一般的です。[2]

また、権威DNSに関してはシャドウマスタ構成を採用しています。シャドウマスタはプライマリネームサーバとして動作し、ゾーン管理に特化します。DMZ空間にある権威DNSはセカンダリネームサーバとして動作し、シャドウマスタで管理されているゾーン情報を転送し、外部からの応答に答えます。この構成によるメリットは以下の通りです。[3]

1. サーバの役割分担の明確化
   プライマリネームサーバはゾーンの管理に特化
   セカンダリネームサーバは外部からの問い合わせ応答に特化
2. セキュリティの向上
   プライマリネームサーバは、セカンダリネームサーバ以外からのアクセスがないため、外部からサーバに侵入されゾーンを改竄されるなどのリスクが小さくなります。

想定される通信は以下の通りです。

1. 外部からの権威DNSサーバへの問い合わせ
2. シャドウマスタで管理しているゾーン情報を権威DNSサーバが取得
3. 業務PCからシャドウマスタのゾーン情報を編集
4. 業務PCからのDNSリゾルバへの問い合わせ

おわりに

本記事では、はじめに上げた3つのポイントを押さえたDNSサーバの構成について解説しました。
次回以降では、実際にUbuntu22.04のサーバにパッケージをインストールし、各サーバを構築していきます。

• 第1回 サーバ構成 (本記事)
• 第2回 DNSリゾルバ Unboundの構築 (執筆中)
• 第3回 シャドウマスタ PowerDNSの構築 (執筆中)
• 第4回 権威DNSサーバ NSDの構築 (執筆中)
• 第5回 動作確認 (執筆中)

参考

• [1] Japan Network Information Center, ‘‘DNSとは’’, https://www.nic.ad.jp/ja/basics/beginners/dns.html, 2023_09_21
• [2] Japan Registry Services Co., Ltd., ’’ＪＰＲＳ トピックス＆コラム‘‘ No.20, https://jprs.jp/related-info/guide/020.pdf, 2023_09_21
• [3]Internet Initiative Japan Inc., ”マネージドDNSサーバをセカンダリネームサーバとして運用する”, https://manual.iij.jp/dpf/help/19004698.html, 2023_06_26