ゾーンプロキシ管理
プライマリネームサーバとしてお客様が用意されたDNSサーバを、セカンダリネームサーバとしてマネージドDNSサーバをご利用いただく場合に、プライマリネームサーバのゾーンをマネージドDNSサーバに同期(ゾーン転送)する機能がゾーンプロキシです。
ゾーンプロキシ
ゾーンプロキシ機能の有効/無効を切り替えます。ゾーン転送をするプライマリネームサーバは、事前に「共通設定」で設定してください。
| 項目 | 内容 |
|---|---|
| 有効 | ゾーン情報を、プライマリネームサーバからのゾーン転送により取得します コントロールパネルにて該当ゾーンのレコード編集は行えなくなります |
| 無効 | コントロールパネルで編集したゾーン情報を使用します |
有効化
【参考】
- ゾーン編集後未反映のレコードがある状態でゾーンプロキシ機能を有効にすることはできません。ゾーン反映をおこなうか、編集を取り消す必要があります。詳しくは「レコード管理」をご覧ください。
- ゾーン転送が失敗する状態でも機能を有効にすることはできます。下記のヘルスチェック機能でゾーン転送が成功することを確認した後に有効化してください。なお、失敗する状態で有効にしてしまった場合でも、ゾーンは有効化前の状態で保持されます。
- ゾーンプロキシを「有効」にします。
- 「有効化」をクリックします。
無効化
- ゾーンプロキシを「無効」にします。
- 「無効化」をクリックします。
ヘルスチェック
プライマリネームサーバとのゾーン転送が正常に動作するか確認できます。
- ゾーンプロキシ管理画面にアクセスしたタイミングで、ゾーンプロキシ機能の有効無効にかかわらず実施されます。
- ゾーン転送が成功するかどうかのみをチェックします。シリアル値の確認等はされません。
ヘルスチェックに失敗する場合、下記を参考にお客様用意のプライマリネームサーバの設定を修正してください。
お客様プライマリネームサーバの設定
本機能を有効にする場合、プライマリネームサーバ側では以下の値に設定されている必要があります。
ゾーンファイル
SOAレコードの各種パラメータが以下の値にあることを確認します。下限値より小さな値が設定された場合、正常に動作しない場合があります。
| 下限値 | 推奨値 | 備考 | |
|---|---|---|---|
| serial | (現シリアル値)+1 | - | SOAレコードの第3パラメータ |
| refresh | 600 | 3600 | SOAレコードの第4パラメータ |
| retry | 600 | refresh以下 | SOAレコードの第5パラメータ |
| expire | 3600 | - | SOAレコードの第6パラメータ |
ゾーン転送のアクセス制限
プライマリネームサーバで本サービスのゾーン転送クライアントからのアクセス許可をします。設定に必要な情報は「本サービスが利用するIPアドレス」をご覧ください。「共通設定」でTSIG鍵を利用するよう設定している場合は、TSIG認証の設定も必要になります。
代表的なDNSサーバ実装での例は「設定例」をご覧ください。
NOTIFY通知設定
DNS NOTIFYを設定するゾーン情報が即時に反映されます。
DNS NOTIFYを設定していない場合でも、ゾーン転送はご利用いただけますが、プライマリネームサーバでゾーン情報を変更した後、マネージドDNSサーバにゾーン情報が反映されるまでのタイムラグが発生します。
設定に必要な情報は「本サービスが利用するIPアドレス」を、代表的なDNSサーバ実装での例は「設定例」をご覧ください。
【参考】
DNS NOTIFYは以下のような仕組みです。
- プライマリネームサーバでゾーン情報を更新すると、NOTIFYリクエストがセカンダリネームサーバへ送信されます。
- NOTIFYリクエストを受信したセカンダリネームサーバは、SOAレコードのリフレッシュ間隔で指定した時間を待たずに、プライマリネームサーバへゾーン転送要求を行います。
- ゾーン転送要求を受けたプライマリネームサーバから、セカンダリネームサーバへゾーン転送が行われます。
DNSSEC
「DNSSEC署名設定」が有効になっている場合、お客様プライマリネームサーバから転送されてきたゾーンに対して本サービスにてDNSSEC署名をおこない、お客様のサーバでゾーンを管理しながら手間をかけずにDNSSECを利用することができるようになります。その一方で、以下のような事象が発生しますのでご注意ください。
- お客様プライマリネームサーバにてDNSSEC署名するとマネージドDNSサーバに反映されない
- 本サービスとお客様プライマリサーバの双方でDNSSEC署名することはできません。
- DNSSEC署名設定を無効にする(お客様側で署名する)、またはお客様プライマリネームサーバではDNSSEC署名をおこなわない(本サービスで署名する)、どちらか選択してください。
- プライマリネームサーバのゾーンはDNSSEC署名されていないが、本サービスでは署名され、ゾーン情報が一致しない
- ヒドゥンマスター構成(マネージドDNSサーバだけを外部に公開し、お客様プライマリネームサーバを隠す構成)にしてください。
- ヒドゥンマスター構成にできない場合はかならずDNSSEC署名設定を無効にしてください。
- 「マネージドDNSサーバをセカンダリネームサーバとして運用する」も参考にしてください。
- 本サービス側でDNSSEC署名する際にSOAシリアルはインクリメント(+1)されます。
- お客様プライマリネームサーバのSOAシリアルと、マネージドDNSサーバのSOAシリアルでは常に後者の方が値が大きくなります。この状態でお客様プライマリネームサーバでゾーンを変更してゾーン転送を成功させるためには、それよりさらに大きなSOAシリアルを設定する必要があります。かならず現在のマネージドDNSサーバのSOAシリアルを確認の上、それより大きな値を設定してください。
本問題を回避するには、SOAシリアルをunixtime(1970/1/1からの通算秒)形式にしてください。 - 現在のSOAシリアルの値は、レコード管理画面のSOAレコード欄でご確認いただけます。
- お客様プライマリネームサーバのSOAシリアルと、マネージドDNSサーバのSOAシリアルでは常に後者の方が値が大きくなります。この状態でお客様プライマリネームサーバでゾーンを変更してゾーン転送を成功させるためには、それよりさらに大きなSOAシリアルを設定する必要があります。かならず現在のマネージドDNSサーバのSOAシリアルを確認の上、それより大きな値を設定してください。