公開日:2024年3月1日
寄稿者:Chrystal R. China、Michael Goodwin
プライマリーDNSサーバーは、ドメイン・ネーム・システム(DNS)の権威ネームサーバーです。プライマリーDNSサーバーはクエリ解決における最初の接点であり、ドメインに関する情報の最終的なソースとして機能し、ドメインのすべてのDNSレコードのオリジナルコピーを保存します。
プライマリーDNSサーバーが利用できない場合、クエリを開始したブラウザ、アプリケーション、またはデバイスは、同じDNSレコードのコピーを含むセカンダリーDNSサーバーに接続します。
DNSインフラストラクチャでは、ドメイン名によってユーザーの要求に対処するための適切なリソースを保持するIPアドレスにトラフィックが送られます。ユーザーがドメイン名を入力すると、プライマリーDNSサーバーがクエリ解決へのパスの最初の停止点になります。ただし、人間が理解しやすいホスト名とコンピューターが理解しやすいIPアドレスには、通信するための仲介者が必要です。そこで、プライマリーDNSサーバーがそのプロセスに介入します。
プライマリー・サーバーはドメイン名を対応するIPアドレスに変換し、クエリーされた情報をユーザーに送り返します。そのため、プライマリーDNSはインターネットトラフィックのルーティングにおいて重要な機能を果たします。
AIとITオートメーションのためのエンタープライズ・ガイドでは、使用する理由と方法、取り組みを妨げている問題、開始方法など、AIを活用したITオートメーションについて詳しくご説明します。
IBMニュースレターの購読
大まかに言えば、DNSはインターネットの電話帳に似ています。DNSはドメイン名(www.example.comなど)をコンピューターがネットワーク上で相互識別するために使用するIPアドレス(192.0.2.1など)に変換します。DNSがなければユーザーはWebサイトにアクセスするために複雑な数値のIPアドレスを覚える必要があり、ユーザーが1日に行う一意の検索やデータ要求の量を考慮すると、これは現実的ではありません。
DNSフレームワークは、ルートドメインを最上位に置き、その後に.com、.org、.net、.uk、などのトップレベルドメイン(TLD)が続くツリー状の構造を持っています。TLDの下には、通常、ドメイン名の認識可能な部分(「ibm.com」など)および利用可能なセカンダリーゾーンを構成するセカンドレベルのドメインがあります。各TLDには独自のネームサーバーのセットがありますが、プライマリーネームサーバーはセカンドレベルで機能します。
ドメインが登録されると、そのネームサーバー(NS)レコードが作成され、通常はホスティング会社またはDNSサービスプロバイダーによって提供されるプライマリーDNSサーバーに保存されます。プライマリーDNSサーバーには、Aレコード、MXレコード、CNAMEレコードなど、さまざまなタイプのNSレコードが保持されており、適切なデータや情報をユーザーにルーティングします。
サーバー管理者はDNSサーバーをプライマリーまたはセカンダリーとして指定できることに注意してください。実際、サーバーは、あるゾーンではプライマリーを指定し、別のゾーンではセカンダリー指定にすることができます。ただし、各DNSゾーンに含めることができるプライマリーサーバーは1つだけです。
ドメインの変更はプライマリーDNSでも行われます。管理者がDNSレコードを調整する場合は、プライマリーDNSサーバー内で調整する必要があります。その後、変更は階層の下位に残りのサーバーに反映されます。
DNSサーバーは、DNS階層内での役割に基づいて「プライマリー」と「セカンダリー」に分類されます。プライマリーDNSサーバーはゾーン・ファイルの元の読み取り/書き込みバージョンを保持しますが、セカンダリーDNSサーバーはロード・バランシングと冗長性管理の目的でゾーン・ファイルの読み取り専用レプリカを保持します。
セカンダリDNS Servicesは必須ではありません。 DNSシステムが機能するのは、プライマリサーバーのみが使用可能な場合のみです。ただし、ラウンドロビンDNS(トラフィックを各サーバーへ均等に分散する)を促進し、サービス拒否を防ぐためにセカンダリサーバーを少なくとも1つ維持することが一般的であり、ドメイン・レジストラから要求されることがよくあります。
従来のプライマリー/セカンダリーDNSアーキテクチャーは、現代のマネージドDNSプロバイダーの間では時代遅れになりつつあります。現在、ほとんどのプロバイダーは使用するネームサーバーIPを提供しており、それらの各IPの背後には、エニーキャスト(1対多のトランスポートプロトコル)を使用してリクエストをルーティングするDNSサーバーのプールがあります。このアプローチは、従来のモデルよりも優れた冗長性と可用性を提供する傾向があります。
しかし、高度なDNSのデプロイメントにおいても、セカンダリーDNSは以下の点でビジネスに役立ちます。
- 古いDNSサーバーに依存したまま、新しいDNSインフラに移行する。セカンダリーDNSを使用すると、チームは組織内でホストされている古いDNSサーバーをポイントするツール、コード、レガシーシステムにアクセスできます。アーキテクチャの移行中、管理者はセカンダリーサーバーを使用して、依存関係を壊すことなくセカンダリーDNSプロバイダーを定義できます。これにより、既存のすべてのプロセスの同期が維持されますが、社内サーバーの速度が低下したり障害が発生したりした場合には新しいDNS サーバーが応答できるようになります。
- 単一障害点を避ける。トラフィックの多いサイトや極めて重要なWebアプリのシステムの停止は致命傷です。セカンダリーネームサーバーを使用すると、プライマリーDNSサーバーで遅延の問題が発生した場合、管理者は単一障害点を回避できます。
- 1つのマネージド・サービスで冗長DNSを設定します。 インテリジェントなマネージドDNSにより、通常のマネージドDNSサービスとは別のネットワークおよびサーバー上で実行される専用のDNSデプロイメントが可能になります。これにより、組織が1つのプロバイダーだけを使用して作業できるようにしながら、2つの個別のDNSサーバー間の冗長性が促進されます。さらに、専用のデプロイメントの場合、他の組織との共有は起こらないため、サービス上の他の顧客を標的とした攻撃を避けることができます。
プライマリーサーバーとセカンダリーサーバーはどちらもDNSシステムの効率と機能を維持しますが、コンピューティング環境での動作と相互作用を決定する重要な違いがあります。
プライマリーDNSサーバーはプライマリー・ゾーン・ファイルを保管するだけでなく、ドメイン管理者からの更新要求に応答し、動的更新を処理します。セカンダリーゾーンサーバーは、プライマリーサーバーのダウンタイム中またはプライマリーサーバーが過負荷になったときにリクエストを処理するバックアップサーバーです。
プライマリーDNSのプライマリーゾーン・ファイルには、すべてのAレコード(IPv4のアドレスレコード)、AAAAレコード(IPv6のアドレスレコード)、MXレコード(メールサーバーに送信されます)、CNAMEレコード(エイリアスを「正規の」ドメイン名にマッピングします)、SOA レコード(ドメインのすべての管理情報が含まれます)、特定のドメインのTXTレコード(電子メール認証の送信者ポリシーフレームワークレコードを示します)が含まれています。管理者はこのファイルを直接管理します。また、DNSレコードの更新または変更はまずここで行われます。
セカンダリーDNSサーバーは、プライマリーサーバーから転送されたゾーン・ファイルを正確にコピーしたものです。ゾーン・ファイルへの直接の改訂や編集には対応できません。代わりに、ゾーン転送と呼ばれるプロセスでプライマリーサーバーの更新を定期的に確認します。
プライマリーDNSの構成には、ゾーン・ファイル、リソースレコード、およびアクセス制御の設定が含まれ、指定されたセカンダリーサーバーへの権威(AXFR)ゾーン転送および差分(IXFR)ゾーン転送の手配が含まれる場合があります。ただし、セカンダリーDNS構成では、管理者がゾーンデータ転送用にプライマリーサーバーとセカンダリーサーバー間の通信プロトコルを設定し、更新のためにプライマリーサーバーにチェックインする頻度を指定する必要があります。
プライマリーDNSサーバーは不可欠ですが、単一障害点にもなります。クラッシュした場合、管理者がワークロードを引き継ぐセカンダリーサーバーを指定していないとDNS解決プロセス全体に影響が及びます。セカンダリーサーバーはプライマリーDNSサーバーがなくては存在できませんが、サーバーが停止した場合でも、プライマリーサーバーが復旧するまでDNSを動作させ続けることができます。
プライマリーDNSをより深く理解するには、システム内のユーザークエリがどのような流れで解決されるか理解することが重要です。
ユーザーがブラウザまたはアプリにドメイン名を入力すると、リクエストが再帰DNSリゾルバーに送信されます。通常、ユーザーのデバイスには、インターネット・サービス・プロバイダー(ISP)によって提供された定義済みのDNS設定があります。これにより、どの再帰リゾルバーがデプロイされるかが決定します。
再帰的リゾルバーは、キャッシュ(Webブラウザーやオペレーティング・システム内の一時ストレージ)で、ドメインの対応するIPアドレスを確認します。DNSルックアップデータがキャッシュされていない場合、リゾルバーは権威DNSサーバーからデータを取得するプロセスをルート・サーバーから開始します。再帰リゾルバーは、最終的なIPアドレスが見つかるまで、さまざまなDNSサーバーにクエリを実行します。
再帰リゾルバーはルート・ネーム・サーバーにクエリーを実行し、ルート・ネーム・サーバーは該当ドメインの適切なTLDサーバー(この例ではすべての「.com」ドメインを担当するサーバー)への参照で応答します。
リゾルバーはTLDネーム・サーバーにクエリを実行し、ネーム・サーバーはそのドメインのプライマリーDNSサーバーのアドレスで応答します。
リゾルバーはプライマリーサーバーにクエリを実行し、ネーム・サーバーはDNSゾーン・ファイルを検索し、指定されたURLの正しいレコードで応答します。
再帰リゾルバーは、レコードのtime-to-live(TTL)で指定された時間だけDNSレコードをキャッシュし、IPアドレスをユーザーのデバイスに返します。ブラウザーまたはアプリは、そのIPアドレスのホスト・サーバーへの接続を開始して、要求されたWebサイトまたはサービスにアクセスできます。
プライマリーDNSはクエリ・ルーティングの中心となるため、プライマリーDNSサーバーを維持および最適化することで、DNSシステム全体を高速化できます。企業は、次のベスト・プラクティスを組み込むことでDNSを最大限に活用できます。
アップタイムが長く、包括的な冗長プロトコルで、かつカスタマー・サポートが利用しやすいDNSプロバイダーを選択してください。たとえば、IBM NS1は、DNSクエリに迅速かつ確実に応答できるようサポートします。
主要なDNSプロバイダーは、パブリックDNS ServicesからプレミアムなマネージドDNSサーバーまで幅広いサービスを提供しています。組織のニーズ1、予算、複雑さに合わせてビジネスに最適なDNSサーバー決定しましょう。たとえば、パブリックDNSを使用するとクライアントはオープンかつ無料のDNSアクセスを利用できますが、プレミアムDNSに移行すると、よりきめ細かな制御が可能になります。
チームが最新のDNSの脆弱性と脅威(マルウェア、分散型DDoS攻撃、キャッシュスプーフィングなど)について知らされていることを確認し、ファイアウォール、ドメインネームシステムセキュリティー拡張機能(DNSSEC)、その他のセキュリティー対策を使用してDNSサーバー2を保護し、リスクを軽減します。
DNSレコードを更新して、IPアドレス、インフラストラクチャ、サービスへの変更をできるだけ迅速かつ頻繁に反映します。そうすることで、一貫性のある正確なドメイン解決が可能になります。
IBM NS1 ConnectマネージドDNS Servicesは、レジリエントで高速な権威DNS接続を提供することで、ネットワークの停止を防ぐと同時に、ビジネスを常にオンライン状態に保ちます。
グローバル・ネットワークと高度なDNSトラフィック・ステアリング機能により、アプリケーションのレジリエンスとアップタイムを向上させます。
IBM Cloud DNS Servicesは、IBM Cloud WebインターフェースまたはAPIによって管理される、高速応答時間、比類のない冗長性、および高度なセキュリティーを備えたパブリックおよびプライベートの権威DNS Servicesを提供します。
DNSを使用すると、ユーザーは数値的なインターネット・プロトコル・アドレスではなく、URLを使用してWebサイトに接続できるようになります。
DNSサーバーは、ユーザーがWebブラウザで検索したWebサイトのドメイン名を、対応する数値のIPアドレスに変換します。このプロセスはDNS解決と呼ばれます。
ドメイン・ネーム・システム(DNS)レコードは、DNSサーバー内のドメイン名をインターネット・プロトコル(IP)アドレスに接続するために使用される一連の命令です。
DNS伝播とは、DNSサーバーがインターネット経由でDNSレコードへの変更を伝播するのにかかる時間のことです。
CNAMEレコード(正規名レコード)は、ドメイン・ネーム・システム(DNS)内のエイリアスとして機能し、あるドメイン名を別のドメイン名にリダイレクトします。
コンピューター・ネットワークの仕組み、ネットワークの設計に使われるアーキテクチャー、ネットワークの安全性を保つ方法を紹介します。