マネージドDNSサーバをセカンダリネームサーバとして運用する

お客様用意のDNSサーバをプライマリネームサーバとし、マネージドDNSサーバをセカンダリネームサーバとして利用するには、以下のように設定します。

  1. TSIG鍵作成
    TSIG鍵はゾーン転送経路での改竄を防止できます。作成方法については「TSIG鍵管理」をご覧ください。
    • TSIG鍵を作成することを推奨いたします。
    • TSIG鍵は作成しなくても動作には問題ありません。
    • 既存の作成済みTSIG鍵がある場合は、既存のTSIG鍵を使用することもできます。
  2. お客様側プライマリネームサーバの設定確認

    • 本サービスのサーバからゾーン転送が可能になっていることを確認します。
    • 本サービスのサーバにNOTIFYを送る設定になっていることを確認します。
      • NOTIFYを送る設定になっていない場合でも動作しますが、プライマリネームサーバ側でゾーン変更してからマネージドDNSサーバに反映されるまでのタイムラグが発生します。
      • NOTIFYを送るべきIPアドレスは「本サービスが利用するIPアドレス」をご覧ください
    【注意】

    ゾーン転送及びNOTIFYのIPアドレスは、マネージドDNSサーバとは異なるサーバを設定してください。

  3. 共通設定の編集
    プライマリネームサーバ設定でお客様サーバのIPアドレスとTSIG鍵を登録し、状態を有効にします。
    設定方法については「プライマリネームサーバ設定」をご覧ください。
    • プライマリネームサーバ設定は無効で作成し、保存します。再度編集で開いて有効に変更した後に保存します。
      ※プライマリネームサーバ設定は登録時に有効にすることはできません。無効の状態で作成し、保存した後に、再度編集で開いて有効に切り替えてください。

    既に、上記内容の共通設定が存在している場合は、改めて作成する必要はありません。

  4. ゾーン設定の変更
    1. DNSSEC署名を無効に設定します。設定方法については「DNSSEC署名設定」をご覧ください。
      下記「ヒドゥンマスター構成」の場合は、有効の状態でも問題ありません。
    2. 手順③で編集した共通設定をゾーンに適用します。設定方法については「共通設定の切り替え」をご覧ください。
    3. ゾーンプロキシを有効にします。設定方法については「ゾーンプロキシ管理」をご覧ください。
      必ずヘルスチェックが成功してることを確認してください。
  5. お客様側プライマリネームサーバでゾーン編集
    • NSレコードにマネージドDNSサーバの3つのIPアドレスを追加します。
      マネージドDNSサーバは「ゾーンプロキシ管理」画面の契約情報の欄に記載されています。
      • ヒドゥンマスター構成でない場合は、NSレコードはお客様プライマリネームサーバ+マネージドDNSサーバ(3つ)を登録します。
      • ヒドゥンマスター構成であればNSレコードはマネージドDNSサーバ(3つ)のみを登録します。
    • NSレコードの書き換えが完了した時点で、外部からのクエリの一部が本サービス宛に変わります。
  6. DSレコードの申請
    • ヒドゥンマスター構成、かつDNSSEC署名が有効の場合のみ申請できます。
    • DSレコードについては「DSレコードの更新」をご覧ください。
ヒドゥンマスター構成

ヒドゥンマスター(hidden master)は、外部からアクセスされないプライマリネームサーバです。シャドウマスター(shadow master)や隠れプライマリなどの呼び方がされることもあります。

ヒドゥンマスター構成では、外部からのアクセスはセカンダリネームサーバだけで受け持ちます。外部からのアクセスをプライマリ/セカンダリネームサーバ両方で受ける通常の構成と比べて、以下のようなメリットがあります。

  • サーバの役割分担の明確化
    • プライマリネームサーバはゾーンの管理に特化
    • セカンダリネームサーバは外部からの問い合わせ応答に特化
  • セキュリティの向上
    • プライマリネームサーバは、セカンダリネームサーバ以外からのアクセスがないため、外部からサーバに侵入されゾーンを改竄されるなどのリスクが小さくなります。