ゾーンプロキシ管理

プライマリネームサーバとしてお客様が用意されたDNSサーバを、セカンダリネームサーバとしてマネージドDNSサーバをご利用いただく場合に、プライマリネームサーバのゾーンをマネージドDNSサーバに同期(ゾーン転送)する機能がゾーンプロキシです。

ゾーンプロキシ

ゾーンプロキシ機能の有効/無効を切り替えます。ゾーン転送をするプライマリネームサーバは、事前に「共通設定」で設定してください。

項目内容
有効ゾーン情報を、プライマリネームサーバからのゾーン転送により取得します。
コントロールパネルにて該当ゾーンのレコード編集は行えなくなります。
無効コントロールパネルで編集したゾーン情報を使用します。
有効化
【参考】

  • ゾーン編集後未反映のレコードがある状態でゾーンプロキシ機能を有効にすることはできません。ゾーン反映をおこなうか、編集を取り消す必要があります。詳しくはレコード管理をご覧ください。
  • ゾーン転送が失敗する状態でも機能を有効にすることはできます。下記のヘルスチェック機能でゾーン転送が成功することを確認した後に有効化してください。なお、失敗する状態で有効にしてしまった場合でも、ゾーンは有効化前の状態で保持されます。

  1. ゾーンプロキシを「有効」にします。
  2. 「有効化」をクリックします。
無効化
  1. ゾーンプロキシを「無効」にします。
  2. 「無効化」をクリックします。
ヘルスチェック

プライマリネームサーバとのゾーン転送が正常に動作するか確認できます。

  • ゾーンプロキシ管理画面にアクセスしたタイミングで、ゾーンプロキシ機能の有効無効にかかわらず実施されます。
  • ゾーン転送が成功するかどうかのみをチェックします。シリアル値の確認等はされません。

ヘルスチェックに失敗する場合、下記を参考にお客様用意のプライマリネームサーバの設定を修正してください。

お客様プライマリネームサーバの設定

本機能を有効にする場合、プライマリネームサーバ側では以下の値に設定されている必要があります。

ゾーンファイル

SOAレコードの各種パラメータが以下の値にあることを確認します。下限値より小さな値が設定された場合、正常に動作しない場合があります。

 下限値推奨値備考
serial(現シリアル値)+1-SOAレコードの第3パラメータ
refresh6003600SOAレコードの第4パラメータ
retry600refresh以下SOAレコードの第5パラメータ
expire3600-

SOAレコードの第6パラメータ
ゾーン転送できない期間が「expire」の時間以上経過しても、本サービスではゾーン情報は破棄されません

ゾーン転送のアクセス制限

プライマリネームサーバで本サービスのゾーン転送クライアントからのアクセス許可をします。設定に必要な情報は「本サービスが利用するIPアドレス」をご覧ください。共通設定でTSIG鍵を利用するよう設定している場合は、TSIG認証の設定も必要になります。

代表的なDNSサーバ実装での例は「設定例」をご覧ください。

NOTIFY通知設定

DNS NOTIFYを設定するゾーン情報が即時に反映されます。
DNS NOTIFYを設定していない場合でも、ゾーン転送はご利用いただけますが、プライマリネームサーバでゾーン情報を変更した後、マネージドDNSサーバにゾーン情報が反映されるまでのタイムラグが発生します。
設定に必要な情報は「本サービスが利用するIPアドレス」を、代表的なDNSサーバ実装での例は「設定例」をご覧ください。

【参考】

DNS NOTIFYは以下のような仕組みです。

  1. プライマリネームサーバでゾーン情報を更新すると、NOTIFYリクエストがセカンダリネームサーバへ送信されます。
  2. NOTIFYリクエストを受信したセカンダリネームサーバは、SOAレコードのリフレッシュ間隔で指定した時間を待たずに、プライマリネームサーバへゾーン転送要求を行います。
  3. ゾーン転送要求を受けたプライマリネームサーバから、セカンダリネームサーバへゾーン転送が行われます。

DNSSEC

DNSSEC署名設定が有効になっている場合、お客様プライマリネームサーバから転送されてきたゾーンに対して本サービスにてDNSSEC署名をおこない、お客様のサーバでゾーンを管理しながら手間をかけずにDNSSECを利用することができるようになります。その一方で、以下のような事象が発生しますのでご注意ください。

  • お客様プライマリネームサーバにてDNSSEC署名するとマネージドDNSサーバに反映されない
    • 本サービスとお客様プライマリサーバの双方でDNSSEC署名することはできません。
    • DNSSEC署名設定を無効にする(お客様側で署名する)、またはお客様プライマリネームサーバではDNSSEC署名をおこなわない(本サービスで署名する)、どちらか選択してください。
  • プライマリネームサーバのゾーンはDNSSEC署名されていないが、本サービスでは署名され、ゾーン情報が一致しない
  • 本サービス側でDNSSEC署名する際にSOAシリアルが上がる
    • お客様プライマリネームサーバのSOAシリアルと、マネージドDNSサーバのSOAシリアルでは常に後者の方が値が大きくなります。この状態でお客様プライマリネームサーバでゾーンを変更してゾーン転送を成功させるためには、それよりさらに大きなSOAシリアルを設定する必要があります。かならず現在のマネージドDNSサーバのSOAシリアルを確認の上、それより大きな値を設定してください。
    • 現在のSOAシリアルの値は、レコード管理画面のSOAレコード欄でご確認いただけます。