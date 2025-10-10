ドメイン・ネーム・システム（DNS）サーバーは、人間が理解しやすいドメイン名をアクセス可能なIPアドレスに変換します。プライマリDNSサーバーは特定のドメインのゾーンファイルのオリジナルの「読み取り/書き込み」コピーを保持しますが、セカンダリDNSサーバーは読み取り専用のコピーを保持します。
ゾーンファイルは、特定のドメイン（または「ゾーン」）のすべてのDNSレコードが含まれるテキストファイルです。ゾーン・データには、IPアドレスやメール・サーバー交換レコード、ネーム・サーバー・レコードなどのDNSレコードが含まれます。基本的には、インターネットをWebサイト、Eメールサーバー、サブドメイン、その他のリソースに誘導する指示が含まれています。
DNSインフラストラクチャ内では、DNSレコードは領域のコインです。これらは、発生するすべてのもの、特に、入力されたホスト名と対応するIPアドレスを使用してDNSクエリーを処理するために使用されるルックアップ・プロセス管理者の中心的存在です。
関係するすべての関連ドメインやサブドメインを維持するには努力が必要です。そのため、企業はDNSサービスを維持するために2種類の管理デバイスを使用しています。
プライマリーDNSサーバーは、ドメインのDNSレコードの究極の信頼できる情報源を維持します。これらの権威DNSサーバーは、ゾーン・ファイルのマスター・コピーを保持します。
ドメイン管理者がゾーン・ファイルを変更する必要がある場合、それらの変更は権威ネームサーバーのプライマリー・ゾーンに対して直接行われます。アクセス制御はプライマリー・サーバーに実装され、許可された担当者だけがゾーン・ファイルに変更を加えられるようになります。
ただし、セカンダリーDNSサーバーは主にバックアップ容量として機能するため、プライマリーサーバーが突然オフラインになった場合に起動されます。セカンダリーDNSサーバーなしでプライマリーDNSサーバーを運用できることは技術的には真実ですが、そのようなやり方は一切推奨されていません。
フェイルオーバーが発生した場合、セカンダリー・ゾーン・サーバーは、大幅なアップタイムを犠牲にすることなく、DNSクエリー・トラフィックを処理できます。セカンダリーDNSサーバーがなければ、それは単一障害点となります。
この重要な機能だけでなく、セカンダリDNSサーバーは、ロード・バランシングと冗長性という2つの目的にも役立ちます。ロード・バランシングは、必要に応じてクエリ・トラフィックをリダイレクトし、リソース使用率の均衡を実現します。一方、冗長性により、特定のサーバーで何が起こっているかに関係なく、信頼できる唯一のバージョンが次に進むことが保証されます。
システム管理者にとって、プライマリDNSサーバーとセカンダリDNSサーバーの設定は難しい作業です。幸いなことに、多くの有用なチュートリアルは、DNSサーバーの実装、オペレーション用のサーバーの構成、最適な成果を得るためのサーバーの管理における担当者をガイドすることができます。
DNSサーバーの主要なユーザーの1つはアプリケーションであることに注意してください。アプリが特定のリソースを必要とする場合、それらのアプリはDNSクエリーをシーケンスするシステムであるかのように動作します。このプロセスでは、プライマリー・サーバーを活用しながら、プライマリー・サーバーがフェイルオーバーを発生させた場合に備えて、セカンダリー・サーバーを緊急対応に備えておく必要があります。
プライマリーDNSとセカンダリーDNSの使用に関連するいくつかの関連テクノロジーがあります。
Active Directory（AD）は、Windowsドメインネットワーク向けのMicrosoftのディレクトリサービスであり、Windowsユーザーアカウント、コンピュータリソース、カスタマイズされたセキュリティポリシーの集中管理の必要性に対応するために同社が作成したものです。
ADは、特に名前解決においてDNSと緊密に連携して動作します。クライアント・デバイスは、バックアップ継続性のために、プライマリーDNSサーバーとセカンダリーDNSサーバーの両方で構成されています。これらのサーバーは、Active Directory内のDNSゾーンに格納されます。このゾーンデータはActive Directoryに読み込まれているため、ドメイン制御機能があれば誰でもアクセスできます。
DHCP（Dynamic Host Configuration Protocol）は、コンピュータネットワーク上で動作するデバイスがどのように相互作用し、プライマリとセカンダリのDNSサーバーアドレス（IPアドレスと必要なDNS設定とともに）を自動的に受け取るかを制御します。
DHCPとDNSは、デバイス（電話、ノートPC、ルーターなど）がネットワークに接続した瞬間から開始する、さまざまな方法で連携します。デバイスはDHCPサーバーと対話し、DHCPリクエストを発行します。これに応じて、DHCPサーバーは、プライマリDNSサーバーとセカンダリーDNSサーバーのIPアドレスなどの他の重要なデータとともにIPアドレスを割り当てることでカウンターします。
後のステップでは、プライマリーDNSによるドメイン名の解決が確認され、一致するIPアドレスに接続されます。プライマリDNSサーバがサービスを受けられなくなった場合、デバイスはセカンダリDNSサーバを探します。
ドメインネームシステムセキュリティ拡張（DNSSEC）は、DNSプロバイダーがDNSデータの認証作業を強化できるようにするセキュリティ強化です。その主な手法は、デジタル署名の強制的な使用であり、DNSキャッシュ・ポイズニングやDNSスプーフィングなどの攻撃をブロックするのに役立ちます。
DNSSECは、プライマリー権威DNSサーバーがデジタル署名を使用してDNSゾーンに「署名」し、承認することを要求します。さらに、DNSSECは、プライマリー権威サーバーとセカンダリー権威サーバーのそれぞれに署名されたDNSレコードを維持することを要求します。これらのレコードは再帰サーバーに送信され、外部に送信され、さらなる配布とデータ検証のために使用できます。
サーバーのセット（プライマリーおよびセカンダリー）は両方とも、署名されたDNSゾーンの信頼できるソースとして動作します。署名されたリソースレコードを再帰リゾルバーに提供し、再帰リゾルバーは、それらのレコードに含まれるデータを認証および検証します。
Internet Protocol（IPv4）アドレスは、ピリオドで区切られた4つの数字で構成される明確な数字シーケンスです。IPv4アドレスは、この方法によりデバイスがインターネットを含むネットワーク経由で通信できるため、厳密な数字形式で定式化されます。
IPv4アドレスには32ビットが含まれているため、この形式は（その多くの異なる数学的順列に基づいて）約43億の一意のアドレスを提供できることを意味します。ある時点では、十分な一意のアドレスを提供できると考えられていましたが、その時期が過ぎ、より多くのIPアドレスの必要性が高まり続けました。
IPv4アドレスはおそらく今でも使用されていますが、可能なIPアドレスの数がさらに多くなるため、IPv4形式を拡張する必要がありました。IPv6は4倍の大きさの最新のフォーマットで、IPv6アドレスは128ビットです。規模が拡大するということは、兆の数十億倍ものIPv6アドレスが実現可能になったことを意味します。
Linuxを構成するオープンソースオペレーティングシステムは、プライマリDNSサーバーおよびセカンダリDNSサーバーとの関係に関して異なる動作をします。Linuxでは、プライマリー/セカンダリーDNSサーバー・モデルに厳密な準拠はありません。
代わりに、サーバーIPアドレスのリストが提供されます。次に、クライアントは、サーバー・リストの順序、または検索クエリのより均等な分散をサポートするラウンド・ロビン方式のいずれかに基づいてDNSサーバーを選択します。
Linuxマシンが果たす正確な役割は異なる場合があり、意図するコンテキストによって大きく異なります。たとえば、自宅のLinux PCはDNSクライアントとして機能し、特定のISPネームサーバーまたはパブリックDNSで使用するように構成されています。
一方、LinuxサーバーがWebサイトをホストしている場合、そのサーバーはDNSサーバーとみなされ、そのドメインのプライマリーサーバーとして扱うことができます（複数のLinuxサーバーが使用されている場合は、冗長性を高めるために、追加のサーバーをセカンダリのバックアップの役割で動作するように設定できます）。
