FAQ・トラブルシュート
お問い合わせの前にかならずご一読いただくようお願いします。
- IIJ DNSプラットフォームサービス全般について
- サービス内容に関するFAQ
- コントロールパネルのご利用に関するFAQ
- IIJマネージドDNSサービスについて
- サービス内容に関するFAQ
- ゾーン編集に関するFAQ
- Q. ラウンドロビンの設定をしたいのですが同じ名前のレコードを複数登録できません
- Q. ゾーン名と同じ名前のCNAMEを設定しようとするとエラーになります
- Q. ワイルドカードレコードは書けますか?
- Q. レコード編集してゾーン反映させたのに反映されてないレコードがあります
- Q. ゾーンファイルをアップロードしても反映されません
- Q. 複数のサブドメインを本サービスで管理しています。親側のドメインに委譲用のNSレコードを一括登録できますか?
- Q. 登録したDNSレコードの内容に誤りがないか確認してもらえますか?
- Q. TXTレコードのValueに登録できる文字数に上限はありますか?
- Q. TXTレコードが「不正なValueが含まれています」のエラーで登録できない
- Q. TXTレコードのValueに登録する文字数が255文字を超える場合は、どのように記述したらよいですか?
- Q. レコードの登録時に、NameやValueに該当ゾーン名が勝手に追加されてしまう
- Q. PTRレコードが「不正なレコード形式です」のエラーで登録できない
- Q. SOAレコードのシリアル値は、何桁まで上がるのでしょうか?
- Q. 内容に間違いはないのに、レコードの追加・変更がエラーとなるのはなぜですか?
- Q. ゾーン内のレコードが不正な状態となっているかのチェックはいつ行われますか?
- Q. ゾーン内に不正なレコードが存在していても、レコードの追加または変更を行う方法はないですか?
- Q. 何故ゾーン内に不正なレコードが登録できているのですか?
- 送信ドメイン認証に関するFAQ
- Q. 送信ドメイン認証のためのレコード登録に対応していますか?
- Q. SPFレコードにDNSルックアップ回数制限はありますか?
- Q. DKIMレコードにおいて、2048bit鍵長の電子署名の検証はできますか?
- Q. 送信ドメイン認証への対応のために追加費用は発生しますか?
- Q. 2048bitのDKIM公開鍵の登録はできますか?
- Q. IIJセキュアMXサービス用のNSレコードを削除し、同サービス用のDKIM署名設定に必要なCNAMEレコードを登録する際、事前に対象ゾーンのDNSSEC設定を無効にする必要はありますか?
- Q. IIJセキュアMXサービス用のNSレコードを削除し、同サービス用のDKIM署名設定に必要なCNAMEレコードを登録する際、「DSレコードが自動登録されています」のエラーが表示される
- Q. 送信ドメイン認証用のレコードが正しく登録できているか確認する方法はありますか?
- DNSSECに関するFAQ
- Q. DNSSECって何ですか?
- Q. ゾーン反映履歴の「DNSSEC Operations」というコメントは何ですか?
- Q. DNSSEC Operationsによるゾーン反映は、DNSSECの設定が「有効」になっていなくても実施されるのでしょうか?
- Q. DNSSECの状態が「有効化作業中」のままずっと変わりません
- Q. 「ドメイン管理サービス」と「IIJマネージドDNSサービス」を同時に利用している場合、DNSSECの設定はどちらで管理を行えばよいですか?
- Q. 逆引きゾーンはDNSSECに対応していますか?
- Q. 親子でゾーンを契約している場合、親ゾーンでDNSSECを有効化すると子ゾーンも有効になりますか?
- Q. 誤ったDSレコードを登録した場合、どういう影響が出ますか?
- Q. 誤ったDSレコードを手動で登録した場合はどうしたらいいでしょうか
- Q. 本サービスを解約して他社へ移行する際、DNSSECが有効となっている場合、無効にする必要がありますか?
- Q. DNSSECを無効化せずにネームサーバを変更してしまった場合、どうしたらよいですか?
- Q. DNSSECの設定を実行した場合、ステータスが変化するまでに最大でどの位の時間を要しますか?
- Q. DNSSECの状態が「有効化作業中」のまま「有効」に変わりません
- Q. DNSSEC管理の「DNSSECの状態」が有効となっていれば、該当ドメインのDNSSEC検証が正しく行われている状況だと判断できますか?
- Q. 「DNSSECの状態」が「有効」となっていなくても、DSレコードが上位ゾーンに存在していればDNSSECの検証は行われるのでしょうか?
- Q. DNSSECの有効化、及び無効化に時間がかかるのはなぜですか?
- Q. KSKロールオーバーの実施前後でDSレコードの更新を確認できますか?
- Q. KSKロールオーバを実施した履歴はコントロールパネルに残りますか?
- サービス仕様に関するFAQ
- IIJ DNSトラフィックマネージメントサービスについて
- 監視に関するFAQ
IIJ DNSプラットフォームサービス全般について
サービス内容に関するFAQ
Q. DNSプラットフォームサービスとはどんなサービスですか?
拡張性と柔軟性を重視し、セキュリティ機能を強化した統合型権威DNSサービスです。詳しくは「サービス概要」をご覧ください。
Q. プレミアムプランとベーシックプランの違いを教えてください
基本的な機能はベーシックプランでもご利用いただけます。プレミアムプランではいくつかの機能が強化されます。
| ベーシック | プレミアム | 備考 | |
|---|---|---|---|
| マネージドDNSサービス、DNSトラフィックマネージメントサービス共通 | |||
| マルチプロバイダ | × | ○ | 海外提携DNS事業者の提供するDNSサーバ群の利用 |
| 対DDoS帯域 | 1Tbps超 | 30Tbps超 | |
| 多要素認証 | ○ | ○ | 標準機能のニ要素認証に加え、別途「IIJ IDサービス」をご契約いただくことで、様々な認証オプションを設定できます |
| 認可管理 | △ | △ | 別途「IIJ IDサービス」をご契約いただくことで、ゾーンごとに編集、及び参照権限を細かく設定できます |
| QPS上限 | 100 | 200 | プレミアムプランでは100qps単位で追加可能です |
| SLA | × | ○ | |
| マネージドDNSサービス | |||
| マネージドDNSサーバ | ○ | ○ | プライマリとしてもセカンダリとしてもご利用可能なDNSサーバ群 |
| DNSレコード編集 | ○ | ○ | |
| DNSレコード履歴管理 | ○ | ○ | |
| ANAME | ○ | ○ | ゾーン頂点へのCNAME相当のレコード登録 |
| DNSSEC | ○ | ○ | 上位ゾーンにDSレコードを登録できる必要があります |
| TSIG | ○ | ○ | お客様サーバ側でも設定が必要です |
| DNSトラフィックマネージメントサービス | |||
| 重みづけ負荷分散 | ○ | ○ | |
| フェイルオーバー | ○ | ○ | |
Q. キャッシュDNSの機能はありますか?
いいえ、本サービスは権威DNSサービスです。キャッシュ機能はございません。
Q. ドメインの登録はできますか?
いいえ、本サービスは権威DNSサービスです。ドメインの登録および維持管理機能はございません。「ドメイン管理サービス」をご利用ください。
Q. QPSとは何ですか?
queries per secondの略で、1秒あたりのDNSクエリの数です。
Q. QPSはどうやって数えていますか?
95%ルールです。5分間隔で測定した平均QPSのうち、月間で上位5%をカットしたものを上限QPSとします。短時間のDDoS攻撃を受けた場合など、突発的なピークのあるケースでも課金額が抑えられます。
なお、同一のDNSプラットフォームサービス契約内で複数のマネージメントDNSサービスの契約がある場合、各契約のDNSクエリを合算してQPSを計算します。
Q. QPSがプラン上限を超えたらどうなりますか?
お客様にご連絡します。上限を超えてすぐに制限することはありません。
Q. 自分のドメインがどのくらいのクエリ数なのか確認する方法はありますか?
統計情報からご確認いただけます。なお、ベーシックプランの上限である100qpsを越えるクエリがあるドメインは全ドメインの1%未満で、よほどの大規模サイトでなければ上限を越えることはありません。
Q. SLAとは何ですか?
service level agreement(サービス稼働率保証)の略です。本サービスではプレミアムプランに限りSLAを保証しています。詳しくは「SLA」をご覧ください。
Q. IPv6に対応していますか?
対応しております。
コントロールパネルのご利用に関するFAQ
Q. Internet Explorerでアクセスできません
IEには対応していません。Chrome、Firefox、Edge、及びSafariなどを利用してください。
Q. スマートフォンでアクセスできません
対応しておりません。PC用ブラウザからアクセスしてください。
Q. 設定内容は確認できるけど変更できません
参照権限だけで編集権限が付与されていないIIJ IDアカウントでログインしている場合は設定変更はできません。IIJ ID管理者に依頼して編集権限を付与してもらってください。
また、ゾーンプロキシ機能を有効にしている場合は、編集権限のあるアカウントであっても「レコード管理」画面でゾーン情報を編集することはできません。この場合はお客様側プライマリネームサーバ側で編集していただくか、ゾーンプロキシ機能を無効にしてください。
Q. 画面表示が英語になります
IIJ lDアカウントでログインし、かつIIJ IDアカウントの言語設定が英語になっている場合、または、サービスの運用管理担当者でログインし、かつWebブラウザの言語設定で日本語以外を優先するようになっている場合、コントロールパネルは英語で表示されます。言語設定を日本語に切り替えてから再度ログインすることで日本語表記になります。
IIJ IDアカウントの言語設定の変更方法はこちらをご覧ください。
IIJマネージドDNSサービスについて
サービス内容に関するFAQ
Q. 他社で登録したドメインを本サービスで利用することはできますか?
はい、ドメインを移管していただかなくても、ネームサーバ(NS)を本サービス指定のものに変更できればご利用可能です。
Q. DNSSECは対応していますか?
はい、標準でDNSSEC署名を行います。
ただし、DNSSEC検証を行うためには、ご利用のドメインレジストラ(指定事業者)経由でDSレコードを登録する必要があります。登録方法はご利用のレジストラ(指定事業者)にお問い合わせください。レジストラ(指定事業者)がIIJの場合(ドメイン管理サービスをご契約の場合)は自動で登録されます。
Q. クエリログは取得できますか?
いいえ、提供しておりません。ご了承ください。
Q. マネージドDNSサーバとは何ですか?
本サービスでインターネット上からのDNSクエリを受け付けるサーバです。プレミアムプランをご利用の場合、提携DNSプロバイダの提供するDNSサーバも含みます。お客様はマネージドDNSサーバをプライマリネームサーバとしても、セカンダリネームサーバとしてもご利用いただけます。
マネージドDNSサーバはご契約ゾーンごとに異なるサーバが割り当てられます。ご契約中のゾーンに割り当てられたマネージドDNSサーバは、コントロールパネルの「レコード管理」画面の「契約情報」の欄からご確認いただけます。また、ゾーン転送やDNS NOTIFYなどを行うサーバはマネージドDNSサーバとは異なるサーバとなります。お客様がご用意されたプライマリ/セカンダリネームサーバと連携してご利用される場合はマネージドDNSサーバとは別に設定が必要になりますのでご注意ください。
Q. ゾーンプロキシとは何ですか?
お客様の権威ネームサーバからマネージドDNSサーバにゾーン転送する機能を本サービスではゾーンプロキシと呼びます。
この機能を利用することで本サービスをセカンダリネームサーバとしてお使いいただけます。
Q. Anycastとは何ですか?
同じIPアドレスのサーバを複数の拠点に分散配置する技術です。サーバを世界各地に分散することにより、パケットの往復遅延が小さくなるほか、DDoS等に対しても攻撃対象のサーバが分散、局所化されますので耐障害性の点でもメリットが大きくなります。
本サービスでは、IIJが提供するAnycast拠点に加え、プレミアムプランでは提携DNS事業者の提供する数百もの拠点を合わせて利用できます。
Q. プライマリ、またはセカンダリのDNSサーバを構築する場合、利用を推奨されるソフトウェアはありますか?
本サービスが推奨するものはありません。動作実績などの情報も弊社からはご案内できませんので、お客様の用途に合わせて利用するソフトウェアを選択してください。
ただし、配布元での提供が終了されているソフトウェア、及びバージョンは利用しないように注意してください。
提供が終了しているソフトウェアのバージョンを利用する場合、本サービスのサポート対象から除外されますので、ご了承ください。
ゾーン編集に関するFAQ
Q. ラウンドロビンの設定をしたいのですが同じ名前のレコードを複数登録できません
NameとTypeの組み合わせが同じレコードを複数登録する(「www.example.jp/A」を2つ作り、それぞれに値を登録する)ことはできません。
NameとTypeの組み合わせごとに複数のValueを登録する(「www.example.jp/A」を1つ作ってそこに2つの値を登録する」)ことはできます。なお、SOAやCNAMEなど、複数Valueの登録が制限されているレコードタイプもあります。詳しくは「レコード管理」をご覧ください。
Q. ゾーン名と同じ名前のCNAMEを設定しようとするとエラーになります
DNSの仕様(ルール)としてできません(本サービスの制限ではありません)。代わりに「ANAME」のご利用を検討ください。
Q. ワイルドカードレコードは書けますか?
はい。Nameとして"*"を指定してください。
Q. レコード編集してゾーン反映させたのに反映されてないレコードがあります
同じゾーンを複数の担当者が同時に編集している場合、ゾーン反映ボタンを押して反映されるのは自分が編集したレコードだけです。自分以外の担当者が編集したレコードは反映されずに残りますのでご注意ください。
Q. ゾーンファイルをアップロードしても反映されません
SOAレコードのシリアル番号を現在の値より大きくしてください。現在の値と同じか小さい場合でもアップロードには成功しますが、サーバには反映されません。以前ダウンロードしたゾーンファイルをそのままアップロードしなおすときなどはとくに注意が必要です。
Q. 複数のサブドメインを本サービスで管理しています。親側のドメインに委譲用のNSレコードを一括登録できますか?
はい。レコード管理機能からサブドメイン委譲管理メニューを利用した一括登録が可能です。詳しくは「サブドメインNSレコードを一括登録する」をご覧ください。
Q. 登録したDNSレコードの内容に誤りがないか確認してもらえますか?
登録されたDNSレコードの有効性については、本サービスではサポートできません。何卒、ご了承ください。
Q. TXTレコードのValueに登録できる文字数に上限はありますか?
TXTレコードを登録する際、Valueの値は全体を「"(ダブルクォート)」で囲いますが、「"(ダブルクォート)」で囲まれた文字列には最大255文字までの文字数制限があります。
Valueに255文字以上を登録したい場合は、「Q. TXTレコードのValueに登録する文字数が255文字を超える場合は、どのように記述したらよいですか?」をご覧ください。
Q. TXTレコードが「不正なValueが含まれています」のエラーで登録できない
文字数上限に抵触していないか確認してください。TXTレコードを登録する際、Value の値は全体を「"(ダブルクォート)」で囲いますが、「"(ダブルクォート)」で囲まれた文字列には最大255文字までの文字数制限があります。
Valueに255文字以上を登録したい場合は、「Q. TXTレコードのValueに登録する文字数が255文字を超える場合は、どのように記述したらよいですか?」をご覧ください。
Q. TXTレコードのValueに登録する文字数が255文字を超える場合は、どのように記述したらよいですか?
「"(ダブルクォート)」内の文字数が255文字を超える場合は、以下の記述例(1)のように、255文字以内の任意の箇所で一度「"(ダブルクォート)」で区切り、半角スペースを空けた後、あらためて「"(ダブルクォート)」で囲い記述してください。このように登録することで、結合された情報として認識され、255文字以上の登録が可能となります。
- 記述例(1)
- "255文字以内の文字列" "255文字以内の文字列" "255文字以内の文字列"
また、「"(ダブルクォート)」外の半角スペースは文字列として認識されませんので、もし結合部分に半角スペースが必要な場合は、以下の記述例(2)のように、入力した値の直後もしくは、続けて入力する値の直前に半角スペースを入力する必要がありますので、注意してください。
- 記述例(2)
- "入力した値␣" "続けて入力する値"
- "入力した値" "␣続けて入力する値"
Q. レコードの登録時に、NameやValueに該当ゾーン名が勝手に追加されてしまう
NameやValueの記述内容の末尾に「.(ドット)」がないために発生したエラーと考えられます。末尾に「.(ドット)」を追加して、再度レコードの登録を試してください。
本サービスでは、ホスト名の末尾に「.(ドット)」がない場合、そのゾーン名自身を末尾に補完する仕様です。
詳しくは「DNSレコードの登録ルール」の「ホスト名の共通ルール」をご覧ください。
Q. PTRレコードが「不正なレコード形式です」のエラーで登録できない
正引きゾーンに登録しようとしていないか確認してください。
PTRレコードは通常逆引きゾーンに登録するレコードのため、PTRレコードを登録するには逆引きゾーンのご契約が必要となります。
ご契約のお申込みについては、弊社担当営業へご連絡いただくか、以下のサイトからお問い合わせください。
- お問い合わせ | インターネットイニシアティブ
Q. SOAレコードのシリアル値は、何桁まで上がるのでしょうか?
IIJマネージドDNSサービスのSOAレコードのシリアル値は、「4294967295」まで上がり、その後は、「0」に戻り繰り返します。
これは RFC1982 に基づく挙動です。
Q. 内容に間違いはないのに、レコードの追加・変更がエラーとなるのはなぜですか?
原因を確認するために、以下の検証用レコードを追加してください。
※ゾーン反映しなければ外部から参照されることはありません。また、検証完了後は、更新したゾーン情報を反映する前に該当ゾーン内から検証用レコードを削除してください。
test.契約ゾーン名. IN TXT "test"
追加できる場合は、追加または変更ができないレコードの登録内容に誤りがあります。画面上に表示されるエラーを「エラーメッセージ一覧」で確認し、登録内容を見直してください。
追加できない場合は、ゾーン内に不正な状態(RFC違反など)のレコードが存在していることが考えられます。ゾーンの内容を確認し、問題となるレコードを修正または削除してください。
なお、不正な状態のレコードが該当するDNSレコードに複数存在する場合は、個別に編集できません。「ゾーンファイルのダウンロード」からゾーンファイルを取得し、以下対応を実施した後に、「ゾーンファイルのアップロード」でゾーン情報を更新してください。
- ゾーンファイル内の該当レコードを修正または削除する
- SOAレコードのシリアル値の数字を「1」以上増加させる
Q. ゾーン内のレコードが不正な状態となっているかのチェックはいつ行われますか?
お客様がレコードの追加または変更を行う際にチェックされます。
上記以外のタイミングでチェックはされません。
Q. ゾーン内に不正なレコードが存在していても、レコードの追加または変更を行う方法はないですか?
いいえ、ありません。
不正なレコードを修正または削除してから、レコードの追加及び変更してください。
Q. 何故ゾーン内に不正なレコードが登録できているのですか?
レコードの登録時には問題がなく、登録後にレコードのValueにホスト名などに何らかの変更があり、不正な状態に変化したことが考えられます。
詳しい理由については本サービスでは確認できません。Valueに登録しているホスト名などの管理元へお問合せください。
送信ドメイン認証に関するFAQ
Q. 送信ドメイン認証のためのレコード登録に対応していますか?
はい、対応しています。送信ドメイン認証(SPF、DKIM、DMARC)へ対応するためのTXTレコードが登録できます。
Q. SPFレコードにDNSルックアップ回数制限はありますか?
はい、あります。1つのSPFレコードで10回までです。10回を超えている場合、メール受信側での検証時にエラーと判定されますので、ご注意ください。
なお、本制限はSPFの仕様によるものであり、回避する方法はありません。制限に抵触した場合は、不要なメールサーバ(includeなど)を削除して10回以下にしてください。
Q. DKIMレコードにおいて、2048bit鍵長の電子署名の検証はできますか?
本ご質問には、「IIJ DNSプラットフォームサービス」では回答できません。
鍵長で2048ビットが利用できるかは、メールサービスやメールサーバ側の仕様です。「IIJ DNSプラットフォームサービス」では、登録されているTXTレコードへのDNSリクエストに対して登録されている内容を応答する動作のみとなります。
Q. 送信ドメイン認証への対応のために追加費用は発生しますか?
送信ドメイン認証に対応したいドメインで、既に「IIJマネージドDNSサービス」にてゾーン契約されている場合は、送信ドメイン認証のためのSPF/DKIM/DMARCレコードを該当ゾーンに登録することになりますが、レコード登録についての追加費用は発生しません。
なお、対象ドメインのゾーンが未契約の場合は、「IIJマネージドDNSサービス」にゾーン契約を追加いただく必要があるため、ゾーン追加の費用が発生します。費用については「IIJ DNSプラットフォームサービス」をご覧ください。
ご契約のお申込みについては、弊社担当営業へご連絡いただくか、以下のサイトからお問い合わせください。
- お問い合わせ | インターネットイニシアティブ
Q. 2048bitのDKIM公開鍵の登録はできますか?
はい、可能です。TXTレコードを登録する際、Valueに文字列を複数定義することで登録できます。
文字列を複数定義する方法については、「Q. TXTレコードのValueに登録する文字数が255文字を超える場合は、どのように記述したらよいですか?」をご覧ください。
Q. IIJセキュアMXサービス用のNSレコードを削除し、同サービス用のDKIM署名設定に必要なCNAMEレコードを登録する際、事前に対象ゾーンのDNSSEC設定を無効にする必要はありますか?
削除するIIJセキュアMXサービス用のNSレコードに登録されているTTL値の値により異なります。
- 28800(8時間)以下の値が設定されている場合
DNSSEC設定を事前に無効にする必要はありません。有効な状態でレコードの登録変更を行っても問題ありません。 - 28801(8時間1秒)以上の値が設定されている場合
該当のTTL値の時間が経過するまでの間にレコードの登録変更を行うと、DNSSEC検証に失敗し、DKIM検証に失敗する場合があります。対応方法については、「IIJセキュアMXサービス」のマニュアル・ダウンロードから「基本機能マニュアル」の「各機能の利用方法>送信ドメイン認証を利用する」の項目をご確認ください。
Q. IIJセキュアMXサービス用のNSレコードを削除し、同サービス用のDKIM署名設定に必要なCNAMEレコードを登録する際、「DSレコードが自動登録されています」のエラーが表示される
DNSSEC設定が「有効」な状態でNSレコードの編集を行うと、以下の警告メッセージが表示されます。
「DSレコードが自動登録されています。NSレコードを更新すると名前解決ができなくなる可能性があります。DSレコードの自動登録を停止して、一定時間経過後にNSレコードを変更してください。」
なお、DSレコードの登録を停止するにはDNSSEC設定を「無効」にする必要がありますが、実際に無効にする必要があるかは、「Q. IIJセキュアMXサービス用のNSレコードを削除し、同サービス用のDKIM署名の設定に必要なCNAMEレコードを登録する際、事前に対象ゾーンのDNSSEC設定を無効にする必要はありますか?」をご覧ください。
Q. 送信ドメイン認証用のレコードが正しく登録できているか確認する方法はありますか?
弊社では提供していませんが、以下の外部サイトで確認ツールが提供されています。
- なりすまし対策ポータル ナリタイ
上記サイトの内容及び確認ツールの使用方法などについては、弊社サポートの対象外です。
上記サイトなどでの認証結果については弊社が責任を負うことはできません。お客様の責任のもとで実施してください。
DNSSECに関するFAQ
Q. DNSSECって何ですか?
DNSのレコードに公開鍵による署名を付与することで、DNS応答の改竄を防ぐための仕組みです。
Q. ゾーン反映履歴の「DNSSEC Operations」というコメントは何ですか?
DNSSECの署名(RRSIG)には有効期間が設定されており、これを定期的に更新する必要があります。また、署名に用いる鍵(DNSKEY)自身も定期的に更新することで安全性を高めています。本サービスのレコード管理画面ではDNSKEYやRRSIGなどは表示されませんが、実際には他レコード同様ゾーン内に含まれています。この定期的におこなうDNSSEC関連レコードの更新作業について、操作者「system」で「DNSSEC Operations」というコメントでゾーン反映履歴に、また「レコード更新」というログ種別でゾーン操作履歴に記録を残しています。
Q. DNSSEC Operationsによるゾーン反映は、DNSSECの設定が「有効」になっていなくても実施されるのでしょうか?
コントロールパネルでDNSSECの状態が「無効」でない限り※、DNSSEC関連のレコードは更新作業が実施され、DNSSEC Operationsとしてゾーン反映履歴に記録されます。
※DNSSEC署名の設定が「無効」であっても、DNSSECの状態が「無効化作業中」の場合は、DNSSEC関連のレコードの更新作業は実施され、ゾーン反映も行われます。
Q. DNSSECの状態が「有効化作業中」のままずっと変わりません
DNSSECを有効にするためには、ドメインレジストラ(指定事業者)経由で上位ネームサーバにDSレコードと呼ばれる情報を登録する必要があります。レジストラ(指定事業者)として他社サービスをご利用になり、DNSだけ本サービスをご利用している場合、DSレコードの登録申請作業はお客様自身で実施する必要があり、それが完了するまで「有効化作業中」のまま変化しません。ドメイン管理サービスをご利用の場合は、お客様作業は不要で自動で登録申請がおこなわれますが、「有効化作業中」から「有効」に切り替わるまで数日程度かかることがあります。
また、DNSSEC署名の検証に失敗することを防ぐため、DNSKEYやRRSIGなどのDNSSEC関連レコードが適切に参照できることを確認できていない場合は「有効」になりません。他社サービスなどから本サービスに移行してくるようなケースでは、本サービスで追加されたDNSSEC関連レコードを移行元サーバ上に反映することができないケースがほとんどだと思われますので、「有効」になってから移行させる、という手順を取ることはできません。
詳しくはDNSSEC管理をご覧ください。
Q. 「ドメイン管理サービス」と「IIJマネージドDNSサービス」を同時に利用している場合、DNSSECの設定はどちらで管理を行えばよいですか?
「ドメイン管理サービス」と「IIJマネージドDNSサービス」を併用している場合は、DNSSECの設定は「IIJマネージドDNSサービス」で操作してください。
両サービスが対応しているCDS機能により、「ドメイン管理サービス」で操作しても、「IIJマネージドDNSサービス」での処理によりDNSSECの状態が変わる場合があります。DNSSEC設定の管理は一律「IIJマネージドDNSサービス」で実施することを推奨します。
Q. 逆引きゾーンはDNSSECに対応していますか?
IIJが提供している接続サービスが割り当てているIPアドレスの逆引きゾーンについては、DNSSECは利用できません。親ゾーンがDNSSECに対応していないためです。
他社で管理されているIPアドレスの逆引きゾーンは、IPアドレスの管理元がDNSSECに対応していれば、DNSSECを利用できます。
【参考】
逆引きゾーンのDNSSECのステータスが有効化作業中の場合、IPアドレスの管理元がDNSSECに対応していない限り、有効になることはありません。
なお、有効化作業中のままでも名前解決に問題はありませんが、無効化するとゾーンの反映処理が早くなるため、無効化にすることを推奨します。
Q. 親子でゾーンを契約している場合、親ゾーンでDNSSECを有効化すると子ゾーンも有効になりますか?
DNSSECを子ゾーン(サブドメイン)側に適用させたい場合、 親ゾーンが有効化されている必要があります。子ゾーンのみ有効にすることはできません。
子ゾーン側もDNSSECを有効にしたい場合は、子ゾーン側の「DNSSEC署名設定」を有効にする必要があります。
親子でゾーンを契約している場合に、子ゾーンのみ「DNSSEC署名設定」を有効にすると、子ゾーンのDSレコードは親ゾーンに登録され、画面上は有効になりますが、親ゾーン側が対応していないと、DNSSECの検証はできませんので、注意してください。
Q. 誤ったDSレコードを登録した場合、どういう影響が出ますか?
上位のDNSに登録されているDSレコードが信頼される情報となるため、レジストラへのDSレコードの申請時に間違ったDSレコードを登録すると、本サービスが偽の応答を返していると判断されるため、名前解決に失敗します。
Q. 誤ったDSレコードを手動で登録した場合はどうしたらいいでしょうか
誤ったDSレコードを手動で登録した場合は、正しいDSレコードに修正するか、DSレコードを削除して下さい。IIJマネージドDNSサービスのゾーンのDNSSEC無効化を実施しても削除用のCDSレコードの署名検証に失敗するため無効にできません。
Q. 本サービスを解約して他社へ移行する際、DNSSECが有効となっている場合、無効にする必要がありますか?
はい、無効にする必要があります。また、他社から本サービスへ移行する場合も、同様に他社側で無効にしておく必要があります。
本サービス及びドメイン管理サービスをご利用の場合、DNSECの設定方法については、「DNSSEC管理」をご覧ください。
Q. DNSSECを無効化せずにネームサーバを変更してしまった場合、どうしたらよいですか?
DNSSECの無効化を行わずに本サービスから他DNSサーバに変更を行った場合、DNSSECの検証を利用しているキャッシュDNSで名前解決できなくなります。
そのため、以下の方法でDNSSECの無効化を行ってください。
- 弊社の「ドメイン管理サービス」を契約している場合
IIJサービスオンラインでドメイン管理サービスの設定画面から、DNSSEC設定の無効化を行います。
操作方法については、ドメイン管理サービスマニュアル「自社で用意したDNSサーバにDNSSECを設定する」を参考に設定してください。
DNSSEC設定の無効化には数時間かかります。
※既にDNSサーバを変更している場合は、本サービスのCDSを認識できなくなってるため、本サービスのコンソール画面から無効化することはできません。 - 他社でドメインを管理している場合
他社のサービス側でDSレコードを削除してください。
Q. DNSSECの設定を実行した場合、ステータスが変化するまでに最大でどの位の時間を要しますか?
DNSSEC の有効化及び無効化にかかる時間については、正確な時間を案内することができません。
「DNSSEC管理」の【注意】に記載のとおり、数日間かかります。
Q. DNSSECの状態が「有効化作業中」のまま「有効」に変わりません
DNSSECの状態変化は数日かかります。数日たっても変わらない場合は、上位ゾーンにDSレコードを登録する処理が行われていないことが考えられます。
ドメイン名のネームサーバをIIJマネージドDNSサービスに変更予定で、まだネームサーバ変更を実施していない場合は、ネームサーバを変更してください。
本サービスにネームサーバを変更することで、上位ゾーンに登録するべきDSレコードを発行します。DSレコードが発行され、上位ゾーンにDSレコードが登録されると、DNSSECの状態が「有効」に変わります。 「有効」に変わるまでに、ネームサーバを変更してから数日かかります。
弊社ドメイン管理サービスをご利用の場合は、発行されたDSレコードの上位ゾーンへの登録は自動で行われます。他社指定事業者でドメイン名を管理されている場合は、上位ゾーンへのDSレコードの登録は、該当の指定事業者へご依頼ください。
Q. DNSSEC管理の「DNSSECの状態」が有効となっていれば、該当ドメインのDNSSEC検証が正しく行われている状況だと判断できますか?
いいえ、できません。
DNSSEC管理の「DNSSECの状態」の「有効」とは、本サービスのDNSSEC署名の処理が有効な状態であるということを示すものです。本サービスが署名したDSレコードが上位ゾーンに存在し、DNSSECの検証が正しく行われていることを示すものではありません。
※DNSSECの状態が「有効」になるタイミングでは正しく検証できることを確認しますが、「有効」になった後に手動でNSレコード、または上位ゾーンのDSレコードを変更してもDNSSECの状態は「有効」から変化することはありませんので、正しくDNSSECの検証ができているかをこの情報では判断できません。
Q. 「DNSSECの状態」が「有効」となっていなくても、DSレコードが上位ゾーンに存在していればDNSSECの検証は行われるのでしょうか?
はい、DNSSEC管理の「DNSSECの状態」が「有効」でなくてもDNSSEC検証は行われます。
Q. DNSSECの有効化、及び無効化に時間がかかるのはなぜですか?
DNSにはキャッシュがあり、キャッシュはTTLで制御しています。有効化及び無効化する前のキャッシュが確実に消えてから次の状態に進む必要があるため、時間がかかります。
処理が完了するまでお待ちください。
【参考】
上位ゾーンに登録されているDSレコードのTTLも影響するため、お客様ゾーンのTTLを小さくしても有効化までの時間は短くなりません。
なお、上位ゾーンについては、弊社では対応できない範囲となります。
Q. KSKロールオーバーの実施前後でDSレコードの更新を確認できますか?
DNSSEC管理画面でDSレコードが表示されますので、KSKロールオーバーの実行前後で変更されていることを確認してください。
【参考】
KSKロールオーバーを実行すると、完了するまで「KSKロールオーバー」 のボタンがグレーアウトします。
そのため、DNSSEC管理画面で上記のボタンが操作できる状態となったら、正常に処理が完了しています。
Q. KSKロールオーバを実施した履歴はコントロールパネルに残りますか?
コントロールパネルで「KSKロールオーバー」のボタンがクリックされると、ゾーンの操作ログに以下のようなログが記録されますが、DSレコードの記述、及び工程が完了したことについてのログは記録されません。
ログ種別:DNSSEC署名設定操作 操作: KSKロールオーバーの受付 / 状態: 完了
サービス仕様に関するFAQ
Q. マネージドDNSサーバによって応答が違います
本サービスでは、未知の脆弱性が攻撃されるなどの理由ですべてのサーバが一度に応答不能にならないよう、複数のDNSサーバ実装を併用することで冗長性・多様性を確保しています。その実装の違いにより、同じDNSクエリを送ってもマネージドDNSサーバが異なる応答を返すことがあります。DNSの仕様で許容された範囲内での違いであり、ご利用には影響ありません。
Q. ANYクエリで期待した応答が返ってきません
マネージドDNSサーバはRFC8482を実装しています。そのため、「RRsetのすべての情報」を期待してANYクエリを送ってもそのような応答は返しません。詳しくは該当RFCを参照してください。
Q. SOAレコードのシリアル値が自動で更新され続けるのは何故ですか?
IIJマネージドDNSサービスでは、DNSSECの署名(RRSIG)及び署名に用いる鍵(DNSKEY)を定期的に更新し、シリアル値を上げてゾーン反映を自動で実施する仕様となっています。詳しくは「Q. ゾーン反映履歴の「DNSSEC Operations」というコメントは何ですか?」をご覧ください。
IIJ DNSトラフィックマネージメントサービスについて
監視に関するFAQ
Q. 監視が実行されるのは適用中のルールで使われているエンドポイントだけですか?
いいえ。エンドポイントに監視内容が紐付けされていれば、ルールで使われていなくても監視が実行されます。また、監視の有効/無効の状態は「監視をする/しない」ではなく、「Live Statusの判定に使う/使わない」を意味しますので、たとえ無効にしていても監視が実行され、また監視ステータスが変化すると通知もおこなわれます。エンドポイントへの監視を停止したい場合は紐付けを解除してください。
Q. Live StatusとReady Statusの違いがわかりません
いずれもエンドポイントやサイト、メソッド等の状態を表すものですが、Live Statusは「その対象が正常に稼動しているかどうか」、Ready Statusは「その対象をDNSの応答に使うかどうか」を示します。ほとんどの場合は連動してどちらも同じ値を取りますが、明示的に無効に設定していたり、エンドポイントの手動切り戻しを有効にしている場合などは、「正常に稼動している(Live StatusがUp)がDNS応答には使わない(Ready StatusがDown)」ということがあります。また、手動切り離しを有効にしているときは「正常に稼動していない(Live StatusがDown)がDNS応答に使う(Ready StatusがUp)」ということも起こりえます。「トラフィックコントロールのステータス」もご覧ください。
Q. 監視間隔で設定した時間より短い間隔で監視アクセスがあります
弊社設備のメンテナンスや障害発生時でも監視を継続できるよう、複数の監視システムが監視ロケーションごとに複数の監視拠点を持ち、そのそれぞれが独立して監視を実施しています。そのため、監視対象ホスト側で観測される監視アクセス数は、監視間隔ごとに1回ではなく複数回になります。監視間隔より短い間隔でアクセスされるように見えるのはこのためで、異常ではありません。
Q. 共用ソーリーサーバをHTTPSに対応してください
HTTPSに対応するためにはお客様ホスト名のサーバ証明書が必要であり、必然的にお客様ごとの個別対応が必要になるため、共用サーバとして提供することはできません。お客様が個別で構築・運用していただくようお願いします。
Q. 監視の検知と結果の反映のタイムラグはどれほどとなりますか
詳細は非公開となりますが、複数の監視拠点での判定結果を確認のうえで Down/Up の判定等の処理を行う都合上、検知と監視結果の反映の間に5分以内のタイムラグが発生します。