フォワーダーを使用して内部ネットワークとインターネット間のドメイン ネーム システム (DNS) トラフィックを管理するには、1 台の DNS サーバーのみがインターネットと通信できるように内部ネットワークのファイアウォールを構成します。内部ネットワークのその他の DNS サーバーがローカルに解決できないクエリをその DNS サーバーへ転送するように構成すると、その DNS サーバーはフォワーダーとして機能します。フォワーダーの詳細については、「フォワーダーとは」を参照してください。

転送の順序

DNS サーバー上でフォワーダーとして指定された IP アドレスの順序によって、それらの IP アドレスが使用される順番が決まります。最初の IP アドレスのフォワーダーにクエリを転送した後、DNS サーバーは、そのフォワーダーからの応答を一定時間待ち (DNS サーバーの転送タイムアウト設定による)、応答がなければ、次の IP アドレスのフォワーダーへクエリを再び転送します。フォワーダーから肯定の応答を受け取るまで、このプロセスを続行します。

たとえば、次の図では、最初のフォワーダー IP アドレスおよび 2 番目のフォワーダー IP アドレスの DNS サーバーからは応答がありません。3 番目のフォワーダー IP アドレスの DNS サーバーから応答があったので、クエリはその DNS サーバーに転送されます。

外部委託の VPN リモート アクセス

往復時間 (RTT) が各サーバーに割り当てられている従来の解決と異なり、フォワーダー一覧内の IP アドレスは往復時間に基づいて並べられていません。設定を変更するには手動で並べ替える必要があります。

条件付きフォワーダー

条件付きフォワーダーは、ドメイン名に基づいてクエリを転送する DNS サーバーです。ローカルで解決できないすべてのクエリをフォワーダーに転送するのではなく、クエリに含まれている特定のドメイン名に基づいて、異なるフォワーダーにクエリを転送するように DNS サーバーを構成できます。ドメイン名を使用した転送では、名前に基づく条件を転送プロセスに追加することによって従来の転送処理が向上します。

DNS サーバーの条件付きフォワーダー設定は以下で構成されます。

  • DNS サーバーから転送されるクエリの対象となるドメイン名

  • 指定した各ドメイン名について 1 つ以上の DNS サーバー IP アドレス

DNS クライアントまたはサーバーが DNS サーバーに対してクエリを実行すると、DNS サーバーは、自身のゾーン データまたはキャッシュに格納されているデータを使用してクエリを解決できるかどうかを確認します。クエリで指定されているドメイン名に対して転送するように構成されている DNS サーバーでは、そのドメイン名に関連付けられているフォワーダーの IP アドレスにクエリを転送します。たとえば、次の図では、各ドメイン名のクエリはそれぞれそのドメイン名に関連付けられた DNS サーバーに転送されます。

ダイヤルアップと VPN リモート アクセス

クエリで指定されている名前に対応するフォワーダーが DNS サーバーの一覧にない場合、その DNS サーバーは、標準的な再帰を使用してクエリを解決します。詳細については、「フォワーダーを使用するように DNS サーバーを構成する」を参照してください。

条件付きフォワーダーを使用すると、インターネットの DNS 名前空間に含まれない内部 (プライベート) DNS 名前空間どうしでの名前解決機能が向上します。そのような内部 DNS 名前空間は、企業合併などによって発生する場合があります。ある内部名前空間にある DNS サーバーを、別の内部名前空間にあって権限のある DNS サーバーにすべてのクエリを転送するように構成しておけば、インターネットの DNS 名前空間で再帰を実行しなくても、条件付きフォワーダーによってこれら 2 つの名前空間の間で名前解決が可能になります。この方法で名前解決機能を強化すると、内部ネットワークにある異なる名前空間の内部ルートに対して DNS サーバーで再帰を実行する必要もなくなります。

重要

DNS サーバーは、自身がホストしているゾーン内のドメイン名に対するクエリは転送できません。たとえば、ゾーン zone widgets.tailspintoys.com に対して権限のある DNS サーバーは、ドメイン名 widgets.tailspintoys.com に基づくクエリを転送できません。widgets.tailspintoys.com に対して権限のある DNS サーバーは、hr.widgets.tailspintoys.com が他の DNS サーバーに委任されている場合、hr.widgets.tailspintoys.com で終わる DNS 名のクエリを転送できます。

条件付きフォワーダーのドメイン名の長さ

条件付きフォワーダーを使用するように構成された DNS サーバーがドメイン名に関するクエリを受け取ると、その DNS サーバーは、受け取ったドメイン名と自身のドメイン名条件一覧を比較し、クエリ内のドメイン名に対応する最も長いドメイン名の条件を使用します。たとえば、次の図では、DNS サーバーが次の条件付き転送ロジックを実行して、ドメイン名のクエリをどのように転送するかを決定します。

  1. DNS サーバーが toys.widgets.tailspintoys.com についてのクエリを受け取ります。

  2. このドメイン名を、tailspintoys.com および widgets.tailspintoys.com の両方と比較します。

  3. DNS サーバーは、このドメイン名クエリに最も適合するドメイン名は widgets.tailspintoys.com であると判断します。

  4. DNS サーバーは、widgets.tailspintoys.com に関連付けられている IP アドレス 172.31.255.255 の DNS サーバーへこのクエリを転送します。

イーサネット スイッチ アクセス

目次