Alibaba Cloud DNS:セカンダリ DNS の有効化

基本概念

セカンダリ DNS の概念とシナリオの詳細については、「セカンダリ DNS」をご参照ください。

制限事項

• Private Zone でセカンダリ DNS を有効にすると、名前解決設定で DNS レコードを手動で変更することはできません。すべての DNS レコードは、プライマリ DNS サーバーから同期する必要があります。

• オンプレミス IDC のプライマリ DNS サーバーは、データ同期をサポートするパブリック IP アドレスを持ち、TCP/UDP ポート 53 が開いている必要があります。

セカンダリ DNS の有効化

1. オンプレミス DNS 設定の変更

セカンダリ DNS を有効にするには、まずプライマリ DNS サーバーで必要な設定を完了する必要があります。その後、Alibaba Cloud DNS コンソールで内部ドメイン名のセカンダリ DNS 同期を有効にできます。DNS システムの実装はさまざまです。次の例では、BIND 9.9.4 以降を使用するプライマリ DNS サーバーの設定方法を示します。

1. BIND 9 の設定ファイル named.conf に、次の設定を追加します。

   zone "ドメイン名 (例: example.com)" IN {
       type master;
       allow-update { 127.0.0.1; };
       allow-transfer {key test_key;};
       notify explicit;
       also-notify {39.107.XXX.XXX port 53 key test_key; 39.107.XXX.XXX port 53 key test_key;};
       file "zone_file";
   };

   設定の説明

   • zone：ドメイン名 (ゾーン) を指定します。

   • allow-transfer：プライマリ DNS サーバーとセカンダリ DNS サーバー間の通信は、TSIG を使用して保護されます。サーバーが TSIG を使用してレコードを更新できるようにするキー名を指定します。

     注：RFC 標準によれば、Transaction Signature (TSIG) を使用して DNS メッセージを保護できます。TSIG は、共有キーと一方向ハッシュ関数を使用して DNS メッセージを認証します。これにより、プライマリ DNS サーバーとセカンダリ DNS サーバー間の安全な同期が保証されます。MD5、SHA256、または SHA1 を使用して TSIG キーを生成し、プライマリ DNS サーバーとセカンダリ DNS サーバーの両方でキーを設定できます。

   • also-notify：ゾーンが変更されると、プライマリ DNS サーバーはセカンダリ DNS サーバーに通知します。複数の IP アドレスがサポートされています。このフィールドには、Alibaba Cloud DNS セカンダリサーバーの IP アドレスを入力する必要があります。IP アドレスは、コンソールのセカンダリ DNS 設定ページで確認できます。

   セカンダリ DNS サーバー：39.107.XXX.XXX、39.107.XXX.XXX

   注：named.conf ファイルを更新した後、アプリケーションを再起動する必要があります。

   rndc reconfig

2. TSIG キーの生成

1. dnssec-keygen ツールを使用して TSIG キーを生成できます。次のコマンドを実行します。

   # BIND 9.9.4
   dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST test_key
   # BIND 9.16 以降
   tsig-keygen -a hmac-sha256 test_key

   警告

   このコマンドは root ユーザー権限でのみ実行できます。root 権限の使用にはリスクが伴います。不適切な操作は、システムの不安定化やデータセキュリティの問題を引き起こす可能性があります。注意して実行してください。

   パラメーターの説明：

   • -a：暗号化アルゴリズムを指定します。サポートされているアルゴリズムは HMAC-MD5、HMAC-SHA1、HMAC-SHA256 です。

   • -b：キーサイズをビット単位で指定します。キーサイズはアルゴリズムによって異なります。HMAC キーの長さは 1〜512 ビットである必要があります。

   • -n：キーオーナータイプを指定します。有効な値は ZONE、HOST、ENTITY、USER です。ほとんどの場合、HOST または ZONE を使用できます。

   • test_key：キーファイル名を指定します。この名前は、BIND でプライマリ DNS サーバーを設定するときの allow-transfer 設定、およびプライマリ DNS サーバー情報を追加するときの TSIG キー名フィールドで使用する必要があります。

     コマンドを実行すると、現在のディレクトリに .key ファイルと .private ファイルの 2 つのファイルが生成されます。例：Ktest_key.+157+64252.key と Ktest_key.+157+64252.private。.key ファイルには DNS KEY レコードが含まれています。プライマリ DNS サーバー情報を追加する際には、このレコードの値を TSIG キー値フィールドで使用する必要があります。.private ファイルには、アルゴリズム固有のフィールドが含まれています。

2. 生成されたキーを named.conf ファイルに追加します。

• 次のフォーマットでキーを named.conf ファイルに貼り付けることができます：

  key "test_key" {        algorithm hmac-sha256;       secret "key_content";};

• または、include ファイルを使用することもできます。

  次のような include 文を使用して、キーを named.conf ファイルに追加します：

  include "/etc/named/dns-key";

  /etc/named/dns-key ファイルのフォーマットは次のとおりです：

  key "test_key" {
          algorithm hmac-sha256;
          secret "key-content";
  };

3. 内部ドメイン名の名前解決設定の更新

1. Alibaba Cloud DNS - Private Zone にログインします。

2. イントラネット権威 ページで、User Defined Zones タブをクリックし、対象のドメイン名を見つけます。

3. 対象ドメイン名の [操作] 列で、Secondary DNS をクリックします。

4. フォームに入力します。

   フィールド	説明
   プライマリ DNS サーバー情報	次のパラメーターを設定して、プライマリ DNS サーバーを追加します： プライマリ DNS サーバー IP アドレス：プライマリ DNS サーバーの IP アドレスを入力します。サーバーがインターネットからアクセス可能であることを確認してください。 TSIG キータイプ：暗号化アルゴリズムを選択します。オプションは SHA1、SHA256、MD5 です。 TSIG キー名：生成された TSIG キー名を入力します。 TSIG Key Value：生成された TSIG キー値を入力します。
   NOTIFY 通知を送信するサーバー IP アドレスの設定	通知を送信するサーバーの IP アドレスまたは範囲 を入力します。プライマリ DNS サーバー上の DNS レコードが変更されると、プライマリ DNS サーバーは標準の NOTIFY プロトコルに基づいてセカンダリ DNS サーバーに NOTIFY メッセージを送信します。リクエストの拒否を防ぐために、送信者の IP アドレスを設定する必要があります。
   セカンダリ DNS がメイン DNS に接続できない場合、管理者に SMS 通知を送信します	この機能を有効にすると、プライマリ DNS サーバーとセカンダリ DNS サーバー間の接続が中断されたときに、Alibaba Cloud DNS が SMS 通知を送信します。

   

その他の操作