DNSゾーンとは

DNSゾーンは、DNS名前空間のさまざまなセグメント（ドメインとサブドメインなど）に対する権限を分割するため、管理者はDNSレコード、DNSネーム・サーバー、およびその他のコンポーネントをより正確に制御できるようになります。このパーティショニングは、DNSの管理とオーケストレーションを合理化し、ネーム・サーバー間でワークロードを分散するのに役立ちます。

例えば、ドメイン「example.com」は、サブドメイン「blog.example.com」や「community.example.com」と同じゾーン内に存在することができます。たとえば、コミュニティー・サイトに接続されるデバイスの数や関連するDNSレコードの量が多いために、管理者がより詳細な制御を必要とする場合、「community.example.com」サブドメインを独自のゾーンとして分割し、専用の権威ネーム・サーバーを持たせることができます。

DNSゾーンは、ドメインまたはドメインの一部が特定の管理者によって管理されることを指定します。ただし、ゾーンは複数のサブドメインを含むことができ、複数のゾーンを同じ

DNSサーバーに存在させることができます。DNSゾーンは物理的な分離を意味するものではありませんが、名前空間のさまざまな部分の制御に使用されます。

ゾーンは、ドメインに関連する管理負担を軽減し、DNSクエリの負荷を分散し、DNS Servicesの全体的な効率性と拡張性を高めるのに役立ちます。DNSSECと動的更新などのセキュリティー機能を使用した効果的なゾーン管理は、DNSセキュリティーを強化し、DNSスプーフィングやハイジャック攻撃などのセキュリティー脅威を軽減することができます。

DNSゾーンを理解するには、ドメイン・ネーム・システムとその運用方法に関する背景知識が重要です。

DNSは、インターネット標準プロトコルの階層化された分散型コンポーネントで、人間が理解しやすいドメイン名を、コンピューターがネットワーク上で相互に識別するために使用するインターネット・プロトコル（IP）アドレスに変換する役割を担っています¹。

DNSはしばしば「インターネットの電話帳」と呼ばれますが、より現代的な例えをするならば、スマートフォンが連絡先を管理するのとほぼ同じ方法でドメイン名を管理します。電話は、検索可能な連絡先リストに連絡先番号を保存するため、ユーザーは個々の電話番号を記憶する必要がなくなります。同様に、DNSを使用すると、ユーザーはIPアドレスの代わりにドメイン名を使用してWebサイトに接続できます。

ユーザーがブラウザーにドメイン名を入力すると、クエリー（DNSリクエストやDNSルックアップと呼ばれることが多い）が開始されます。再帰リゾルバー（クライアント・デバイスと権威サーバーの間の仲介者）は、その後、一連のサーバーにクエリーを実行して、ユーザーを目的のWebサイトに接続するために必要な情報を見つけます。これらの各サーバーは、ドメイン名前空間のセグメントを担当します。

クエリー・プロセスはルート・ネーム・サーバーから始まります。ルート・ネーム・サーバーはDNS階層の最上位に位置し、ルート・ゾーンの管理を担当します。これらのサーバーは、ルート・ゾーン内に格納されているレコードに対するクエリーに回答し、適切なトップレベル・ドメイン（TLD）ネーム・サーバーに要求を照会します。

TLDネーム・サーバーは、そのTLD内の特定のドメインの権威ネーム・サーバーにクエリーを送信します。例えば、「.com」のTLDネーム・サーバーは「.com」で終わるドメインを送信し、「.gov」のTLDネーム・サーバーは「.gov」で終わるドメインを送信する、などとなります。

ドメイン・ネーム・サーバー（セカンドレベル・ドメイン・ネーム・サーバーと呼ばれることもあります）は、「ibm.com」などの完全なドメイン名のIPアドレスを含むゾーン・ファイルを保持します。このゾーン・ファイルには、サブドメイン（blog.ibm.com/jp-jaなど）の情報も保持されている場合や、その情報が独自のゾーンに分割されている場合もあります。

これらの各サーバーは、再帰リゾルバーがクエリーを継続し、最終的に解決するために必要なドメインに関する情報を含むDNSレコードを保管します。

DNSゾーン・ファイルは、DNSサーバーに保管されるプレーン・テキスト・ファイルで、そのゾーン内のドメインのすべてのレコードが含まれています。

ゾーン・ファイルの各行は、リソース・レコード（データ型の性質に関する単一の情報で、通常はデータ型ごとに整理されている）を指定します。リソース・レコードは、ユーザーがクエリを開始したときに、DNSがユーザーを正しいサーバーに迅速に誘導できるようにします。

DNSゾーン・ファイルは2つの必須レコードで始まります。1つはSOAレコード（Start of Authority）レコードで、DNSゾーンのプライマリー権威ネーム・サーバーを指定します。もう1つはグローバルTTL（存続時間）で、ローカルDNSキャッシュにレコードをどのように保管するかを示します。

ゾーン・ファイルには、次のようないくつかの他のレコード・タイプを含めることができます。

• AレコードはIPv4アドレスにマップされ、AAAAレコードはIPv6アドレスにマップされます。
  
  
• メール・エクスチェンジャー・レコード（MXレコード）は、ドメインのSMTPメール・サーバーを指定します。
  
  
• 正規名レコード（CNAMEレコード）は、ホスト名をエイリアスから別のドメイン（「正規ドメイン」）にリダイレクトします。
  
  
• ネーム・サーバー・レコード（NSレコード）は、DNSサーバーが特定の権威ネーム・サーバーに接続されていることを示します。
  
  
• ポインター・レコード（PTRレコード）は、逆DNSルックアップを指定します。
  
  
• テキスト・レコード（TXTレコード）は、Eメール認証の送信者ポリシー・フレームワーク・レコードを示します。

プライマリーDNSゾーンには、そのゾーンのすべてのDNSレコードを含むプライマリー・ゾーン・ファイルが保管されます。これは読み取り/書き込みコピーであり、ゾーンの更新はプライマリー・ゾーンに対して行われ、その後セカンダリー・ゾーンにコピーされます。一度に1つのDNSサーバー上に存在させることができるプライマリー・ゾーンは1つだけです。

セカンダリー・ゾーンは、DNSクエリのロードバランシングと冗長性を実現するために、プライマリー・ゾーンの読み取り専用コピーです。

DNS要求は通常、プライマリー・サーバーとセカンダリー・サーバーに分散されます。プライマリー・サーバーがダウンした場合、ゾーン転送（プライマリー・サーバーとセカンダリー・サーバーがゾーンを交換できるようにするトランザクション）を使用して、セカンダリー・サーバーが負荷の全部または一部を引き継ぐことができます。また、セカンダリー・ゾーンはプライマリー・サーバーにもアクセスして、レプリカが最新であることを確認します。

フォワード・ルックアップ・ゾーンは、ドメイン名をIPアドレスに変換します。DNSリゾルバーは、人間が判読可能なドメイン名のクエリーを受信すると、前方参照ゾーン内のAまたはAAAAマッピング・レコードを参照して、対応するIPアドレスを見つけます。

リバース・ルックアップ・ゾーンは、PTRレコード（ポインターレコード）を使用して、IPアドレスをドメイン名にマッピングすることで、フォワード・ルックアップ・ゾーンと対照的です。

このプロセスは、ドメイン検証を必要とするサービスの展開や、チームがIPアドレスに関連付けられたドメインを理解する必要がある場合のロギング目的（トラブルシューティングやスパム・フィルタリングなど）に役立ちます。リバースDNSルックアップ・ゾーンのクエリーは、in-addr.arpaドメインまたはip6.arpaドメインを使用します。

スタブ・ゾーンには、システムがゾーンの権威ネーム・サーバーを識別するために必要なレコードのみが含まれます。これらはポインターとして機能し、権威サーバーを見つけるために上位レベルのゾーンにクエリーを実行するための再帰サーバーへの依存を減らします。スタブ・ゾーンが権威サーバーに近いため、DNSクエリーのトラフィックが軽減され、解決時間が短縮されます。

DNSゾーン転送は、特に冗長性と高可用性が優先される環境では、最適なシステム機能を維持します。

フルゾーン転送では、ゾーン・ファイルの内容全体がプライマリーDNSサーバーからセカンダリー・サーバーにコピーされ、ゾーンの正確なレプリカが作成されます。フルゾーン転送は一般的に、セカンダリー・サーバーの初期構成中、または長いダウンタイム後にセカンダリー・サーバーを再同期する必要がある場合に使用されます。

増分ゾーン転送は、直近の転送以降のゾーンへの変更のみで構成されます。増分ゾーン転送は、同期プロセスを維持するために必要な帯域幅と処理能力が少なくて済むため、頻繁に変更される動的ゾーンで役立ちます。