すべてのプロダクト
Search

このプロダクト

    :セカンダリ DNS の有効化

    ドキュメントセンター

    :セカンダリ DNS の有効化

    最終更新日:Apr 13, 2022

    Alibaba Cloud DNS のセカンダリDNS 機能は現在、Alibaba Cloud DNS だけをセカンダリ DNS (デフォルト)として使用することをサポートします。お客様が使用中の DNS サービスはプライマリ DNS とします。セカンダリ DNS を使用する場合は、プライマリ DNS で関連する設定を完了してから、Alibaba Cloud DNS にセカンダリ DNS 機能を有効にする必要があります。

    前提条件

    自己構築の DNS システムを使用している場合は、この機能を使用する際に、お客様の DNS サーバーが XFRNOTIFY プロトコルをサポートしていることを確認してください。ホスティング DNS を使用してする場合は、この機能を使用する際に、お客様の DNS サービスプロバイダーがセカンダリ DNS を設定する機能も提供していることを確認してください。以下の設定では、自己構築 DNS システムを例として説明します。ホスティング DNS ユーザーについては、DNS サービスプロバイダの説明をご参照ください。

    Alibaba Cloud では、Alibaba Cloud DNS をセカンダリ DNS として、プライマリ DNS からリソースレコードを同期させて名前解決します。したがって、プライマリ DNS で対応する送信ルールを設定し、プライマリ DNS とセカンダリ DNS 間のメッセージの安全性を保証するための暗号化が必要となります。DNS システムにはさまざまな機能が実装されており、以下で BIND(9.9.4 以降)を例として、プライマリ DNS の設定方法について説明します。

    BIND によるプライマリ DNS の設定

    設定ファイル/etc/named.confで次の設定を行います。

    zone "ドメイン (例:xxx.com)" IN {
type master;
allow-update { 127.0.0.1; };
allow-transfer {key test_key};
notify explicit;
also-notify {47.92.14.234 port 53;47.92.14.51 port 53;};
file "zone_file";
};

    そのうち、

    • zoneはドメインを指定します。

    • allow-transferは現在、TSIG でプライマリ DNS とセカンダリ DNS 間の通信のみをサポートします。ここでは、TSIG でサーバーの更新を許可するための KEY 名を指定します。

      説明:RFC 標準プロトコルによって、DNS メッセージのセキュリティを確保するためにトランザクション署名 (TSIG) を使用することを推奨します。TSIG は通常、共有キーと一方向ハッシュ関数を使用して DNS メッセージを検証します。これにより、プライマリ DNS とセカンダリ DNS 間の情報同期のセキュリティをより確実に確保できます。MD5、SHA256、または SHA1 タイプの TSIG 秘密鍵を生成し、生成した TSIG をプライマリ DNS とセカンダリDNS に同時に設定します。詳細については、TSIG 秘密鍵の生成をご参照ください。

    • also-notifyは、ゾーン内でリソースレコードの変更が発生したときの通知されるセカンダリ DNS サーバの IPアドレスを示しています。複数のアドレスをサポートします。ここでは、以下の Alibaba Cloud DNS 用サーバーを指定して解決します。:secondarydns1.alidns.com、secondarydns2.alidns.com (対応する IP アドレス:47.101.22.159、106.15.210.94)。

    TSIG 秘密鍵の生成

    dnssec-keygen ツールを使用して、次のコマンドで TSIG秘密鍵を生成できます。

    [root@www ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST test_key
Generating key pair
test_key.+157+64252

    そのうち、

    • -a は暗号化アルゴリズムを指定します。サポートされている HMAC-MD5、HMAC-SHA1、または HMAC-SHA256 を使用してください。
    • -b はキーのバイト数を指定します。キーファイルサイズの選択は、使用されるアルゴリズムに依存します。HMAC キーは 1~512 ビットでなければなりません。
    • -n は、キーファイルの所有者の種類を指定します。設定可能の値は、ZONE、HOST、ENTITY、および USER です。通常、HOST または ZONE を使用します。
    • test_key はキーファイルの名前を指定します。この名前は、プライマリ DNS の設定allow-transfer に入力され、セカンダリ DNS の設定 ステップ 8-i のTSIG 名に入力されます。

    コマンドが実行されると、カレントディレクトリに 1 つの .key と 1 つの .private ファイルが生成されます。(例:Ktest_key.+157+64252.keyKtest_key.+157+64252.private)。.key ファイルには DNS KEY レコードが含まれています。このレコードは、セカンダリ DNS の構成に使用され、ステップ 8-i のTSIG 値に入力されます。.privateファイルには、アルゴリズムによって指定されたフィールドが含まれています。

    操作手順

    以下の手順に従って、セカンダリ DNS を有効にしてください。

    1. Alibaba Cloud DNS コンソールにログインします。

    2. ドメイン解析リストに移動します。ドメイン名がすでにリストにある場合は手順 4 に進み、そうでない場合は、 [ドメインの追加] をクリックします。

    3. [ドメインの追加] のダイアログボックスで、 ドメインを入力して [OK] をクリックします。

    4. ドメインを選択し、アクション列の [さらに表示] > [VIP DNSのアップグレード] をクリックします。ドメインがすでに VIP DNS インスタンスにバインドされている場合、[VIP DNSのアップグレード] が表示されず、手順のステップ 6 に進みます。

    5. Alibaba Cloud DNS の購入ページで、適切な VIP DNS インスタンスを選択して、購入と自動バインドを完了します。詳細については、購入プロセスをご参照ください。

    6. セカンダリ DNSページに移動し、[セカンダリ DNS の追加] をクリックします。

      add-secondary-dns-button

    7. ドロップダウンリストでセカンダリ DNS を有効にするドメインを選択し、[OK] をクリックします。

      説明:セカンダリ DNS 機能は現在、VIP DNS インスタンスにバインドされたドメインのみにパブリックペータテストを提供しますので、お客様のドメインがドメイン名解決リストに追加され、 VIP DNS インスタンスにバインドされている必要があります。詳細については、手順ステップ 2 ~ ステップ 5 をご参照ください。

    8. セカンダリ DNS の追加ページで、セカンダリ DNS の設定を行います。

      1. プライマリ DNS 情報の設定:右側の [追加] をクリックして、プライマリ DNS レコードを追加します。パラメータは次のように記述されています。

        説明:TSIG の使用方法については、TSIG 秘密鍵の生成をご参照ください。

        • IP アドレス:プライマリ DNS サーバの IP アドレスを入力します。入力したアドレスが外部ネットワークからアクセスできることを確認してください。
        • TSIG タイプ:適切な暗号化アルゴリズムタイプを選択します。使用可能の値は、SHA1、SHA256、MD5 です。
        • TSIG 名:生成された TSIG 名を入力します。
        • TSIG 値:生成された TSIG 値を入力します。

      2. NOTIFY 通知を送信するサーバーの IP アドレスの設定:右側の [追加] をクリックして、DNS 構成の変更を送信するサーバーの IP(または IP セグメント)を設定します。

        お客様のプライマリ DNS リソースレコードが変更されたら、プライマリ DNS の設定によって、Alibaba Cloud DNS のセカンダリ DNS(標準 NOTIFY プロトコルに基づく)に通知を送信する必要があります。リクエストが拒否されないように、Alibaba Cloud DNS のセカンダリ DNS に通知を送信するサーバーの IP アドレスを提供する必要があります。

      3. 障害通知を使用するかどうかを確認します。障害通知を有効にすると、プライマリ DNS とセカンダリ DNS の接続が切断されるときに SMS で通知を行います。

    9. セカンダリDNS の設定が完了すると、お客様のドメインに対して、Alibaba Cloud DNS のセカンダリDNS 機能が有効になります。この時点で、次の図に示すように、セカンダリ DNS の実行状態を確認することができます。

      説明Alibaba Cloud DNS サーバーの構成異常と表示されている場合は、手順ステップ 10 と 11 を実行して、正式にセカンダリ DNS でお客様の Web サイトユーザーに DNS サービスを提供できるように設定してください。

    10. プライマリ DNS レコードで、vip1.alidns.com および vip2.alidns.com に NS レコードを追加します。レコードタイプ:NS;ホストレコード:@;レコード値:vip1.alidns.com、vip2.alidns.com(2 つのリソースレコードで作成します)。

    11. Alibaba Cloud DNS サーバー(vip1.alidns.com、vip2.alidns.com) をお客様のドメインレジストラの DNS サーバーリストに追加します。詳細については、異なるドメインレジストラの DNS の変更方法をご参照ください。。

      ドメインのセカンダリ DNS 機能を有効になると、Alibaba Cloud DNS の ドメイン名解決リスト で解決リソースレコードを変更することはできなくなり、すべてのリソースレコードはプライマリ DNS から同期され、手動で変更することはできません。

      pic
    • プライマリ DNS 上のリソースレコードを手動で同期させる場合は、手動同期のトリガーをご参照ください。
    • プライマリ DNS 設定が変更された場合、セカンダリ DNS を同期して設定を変更する必要があります。詳細については、パラメーターの変更をご参照ください。
    • セカンダリ DNS を無効にする場合は、セカンダリ DNS の無効化をご参照ください。
    • プライマリ DNS とセカンダリ DNS の間で同期エラーが発生した場合は、同期エラーの説明をご参照ください。