セカンダリーDNSとは

ここで質問です。エンジンが1つ付いた飛行機と2つ付いた飛行機のどちらに乗りたいですか。おそらくほとんどの人が、複数エンジンを搭載した航空機を本能的に選ぶでしょう。

これがセカンダリーDNSを持つ意味です。プライマリー・サーバーが利用できなくなったり、何らかの危険にさらされたりした場合、企業にはどのようなことが起こるでしょうか。企業には、ダウンタイムにより業務を停止させる余裕があるでしょうか。それはサービスのユーザーにどのような否定的なメッセージを送ることになるでしょうか。経済的な観点から見ると、組織のプライマリー・サーバーが使用できなくなると、航空機のエンジン故障と同じくらい壊滅的な事態が発生する可能性があります。

さらに、セカンダリーDNSを導入することで得られるもう1つの大きなメリット、つまりプライマリーDNSサーバー内での負荷分散を巧みにサポートできることも考慮する必要があります。

さらに深く掘り下げる前に、まず「DNSとは何か」というより根本的な質問に対する答えを明確にしておく必要があります。ドメイン・ネーム・システムは「翻訳者」のような存在で、複雑なIPアドレスをよりわかりやすいドメイン・ネームに変換します。

例えば、IBMが提供する製品について取り上げている記事に興味があるものの、そのタイトルがわからないとします。サービス・プロバイダーのWebブラウザーに「IBM」と入力すると、会社のメイン・ページが表示されます。DNSのおかげで、IBMの完全なIPアドレスを入力する必要はありません。DNSは、入力された検索語に基づいて、そこがユーザーの行きたい場所であると想定します。

DNSは、インターネットの「電話帳」と呼ばれることもあります。これは、使用されている機能が電話帳に似ているためです。むしろ昔ながらの電話交換手と同等と考える方が適切かもしれません。数十年前、電話交換手は、人間のDNSのような役割を果たし、要求された番号を受け取り、希望する電話交換機に接続していました。DNSは現在、その翻訳プロセス全体を自動化しています。

ドメイン・ネーム・システムは、ルート・サーバーによって管理される確立された階層に依存します。階層的にその下には、「.com」や「.org」で終わるアドレスなどのトップレベルドメイン（TLD）があります。階層の残りの部分は、個々のドメイン・ネーム・サーバーで構成されます。

DNSシステムは分散データベース・システムと考えられており、各ノードは「ネーム・サーバー」を表します。ネーム・サーバーは、特定のドメイン・ネームに必要な変換を提供するシステムの一部です。システム内のすべてのドメインには、1つ以上の「権威ネーム・サーバー」が含まれます。権威ネーム・サーバーと呼ばれるのは、このサーバーがそのドメインに関する情報と、そのドメインに含まれる従属ドメインのプライマリー・ネーム・サーバーに関する情報を公開するためです。

DNSは次のように動作します。

1. インターネット・サービス・プロバイダー（ISP）が提供するWebブラウザーにドメイン・ネームを入力します。
2. 使用しているコンピューティング・デバイスは、DNSサーバーに検索クエリーを送信します。
3. DNSサーバーは多数のリソースをスキャンして、Web検索からのドメイン・ネームに一致するIPアドレスを見つけます。
4. DNSサーバーは、特定したIPアドレスを使用しているデバイスに送り返します。
5. デバイスが、探している正確なIPアドレスを呼び出します。

ここで、プライマリーDNSサーバーに問題が発生した場合（技術的に利用できなくなった、現在過負荷になっているなど）、セカンダリーDNSサーバーが起動して、必要な検索を実行し、必要なIPアドレスの変換を実行します。フェイルオーバー・プロセスによりセカンダリーDNSが即座に動作するため、ユーザーは機能の顕著な低下を経験することなくWebサイトにアクセスできます。

同様に、セカンダリーDNSはプライマリーDNSサーバーのメール・サーバーの役割（Eメールのルーティングやメール交換（MX）レコードの処理など）を引き継ぎ、Eメール・トラフィックの増減が中断されないようにすることができます。このようにすることで、サイトは停止によるダウンタイムを被ることがなくなり、これが真のレジリエンス、つまり悪条件にもかかわらず稼働し続けることを測定できるようになります。

セカンダリーDNSサーバーがサービスに呼び出されると、プライマリーDNSサーバーから情報が提供されます。これは、ゾーン転送と呼ばれるプロセスを通じて行われます。ゾーン転送を通じてセカンダリーDNSサーバーと共有されるゾーン・ファイルのコピーは読み取り専用ファイルであり、いかなる方法でも変更することはできません。

ゾーン転送には、プライマリーDNSサーバーがDNSゾーン・データをセカンダリー・サーバーに自動的に転送できるようにするアプリケーション・プログラミング・インターフェース（API）の使用が不可欠です。このようにして、両方のDNSサーバーは同じ情報を保持できます。APIはプライマリー・サーバーにセカンダリー・サーバーへの接続方法を提供するため、同一のDNSレコードと指定されたゾーン転送を使用して、両者が確実に同期して動作していることを確認できます。

ゾーン転送プロセスは、ネーム・サーバー（NS）レコードの作成によって開始されます。NSレコードは、どのサーバーがそのドメインに対して権限を持つサーバーとして指定されているかを確立するのに役立ち、ドメインの優先順位を定義します。セカンダリーDNSサーバーのIPアドレスがNSレコード内に含まれている場合、プライマリー・サーバーが何らかの理由でダウンした場合でも、Webサイトは機能し続けます。

ゾーン転送は、SOA（Start of Authority）レコードの発行によってプロセスが開始されます。SOAレコードは、セカンダリーDNSサーバーにDNSゾーン・データを同期するために必要なデータを提供し、SOAレコードのシリアル番号に基づいて更新をトリガーする一種のバージョン・コントロールで動作します。

これは新しいバージョンを登録する方法です。SOAレコードからの新しいデータでセカンダリーDNSサービスを更新することにより、プライマリー・サーバーに障害が発生した場合でもドメインは動作を継続でき、サーバーのダウンにより稼働時間に影響が及ぶのを防ぎます。

権威ゾーン転送（AXFR）は、DNSサーバーがゾーン・ファイルを交換できるようにする別のプロトコルです。AXFRは接続されているすべてのサーバー間でデータを同期するため、すべてのサーバーが入手可能な最新の情報を使用して動作できるようになります。

セカンダリーDNSサーバーの使用には、次のような多くのメリットがあります。

セカンダリーDNSサーバーを実装する主なメリットは、危険な天候が発生する前に保険を購入し、緊急用品を備蓄するのと同じ論理に基づいています。セカンダリーDNSサーバーを追加することで、マシンやシステムが故障することがあるという、残念ながら、避けられない事実を認めることになります。

セカンダリーDNSサーバーは、プライマリーDNSサーバーが何らかの理由でダウンした場合に必要な冗長性を提供する暫定的なソリューションとなることで、この事実に対処します。バックアップ・ソリューションを導入することで、企業は自社のDNSサービスが引き続きユーザーに利用可能であるという安心感を得ることができます。

DNSシステムを使用するもう1つの有用なメリットは、負荷分散が可能になることです。これは、単一のドメイン・ネームに複数のIPアドレスを提供することで実現されます。これにより、DNSサーバーはさまざまなアルゴリズムの使用に基づいて、受信トラフィックをさまざまなサーバーに分散できるようになります。

例えば、DNSサーバーがラウンドロビン・アルゴリズム構成に従う場合、DNSサーバーはIPアドレスのリスト全体を実行し、負荷を複数のデバイス間で均等に分散します。

DNSシステムを使用して、全体的なセキュリティーを強化することもできます。システムにファイアウォールをインストールすることで、着信トラフィックをそのまま許可したり、必要に応じてフィルタリングしたり、完全に拒否したりすることも可能になります。さらに、承認されたDNS要求のみがセカンダリーDNSサーバーに到達できるようにするファイアウォールを設定することもできます。

DNSがセキュリティー対策をサポートするもう1つの方法は、「隠しプライマリー」の開発です。これは、パブリック・インターネットから見えないようにされたプライマリーDNSサーバーです。そのシステムのリソース・レコード内にIPアドレスが記録されません。セカンダリー・ネーム・サーバーは、プライマリー・サーバーの代わりにクエリー応答を処理します。目的は、プライマリー・サーバーの存在を可能な限り隠蔽することで、サイバー攻撃に対する保護を強化することです。

DNS要求のスクリーニングと検証に役立つドメイン・ネーム・システム・セキュリティー拡張機能（DNSSEC）を使用すると、セキュリティーをさらに強化できます。これらの拡張機能は、ドメイン・ネーム検索の真正性を確認するのに役立ちます。また、偽のDNSリクエストが大量にサイトに流入し、システムが過負荷になって機能しなくなるDNSスプーフィングなどのサイバー攻撃の防止にも役立ちます。

セカンダリーDNSは、ドメイン・ネームの問題をより速く解決し、情報の配信を高速化できるため、パフォーマンスの向上にも役立ちます。したがって、セカンダリーDNSを導入することで、レイテンシーの問題を軽減できます。

セカンダリーDNSを使用するメリットは欠点をはるかに上回るとは言え、セカンダリーDNSが引き起こす可能性のある問題もいくつかあります。しかしそれらは本質的に軽微なものです。

セカンダリー・サーバーの更新が若干影響を受ける可能性があります。さらに、セカンダリー・サーバーは必要に応じて動作を開始するように設計されていますが、動作を開始するとパフォーマンスに若干の低下が生じる可能性があります。

最適な動作を確保するには、システムを同期する必要があります。セカンダリー・サーバーでは常に最新の DNSレコードが求められるため、変更の頻度によっては問題が発生する可能性があります。

セカンダリーDNSを使用すると複雑さが増し、DNSサーバーの管理に専用担当者が必要になる可能性があります。複数のDNSサーバーを適切に管理することが、ドメイン全体の健全性を維持するための鍵となります。

セカンダリーDNSサービスのプロバイダーは数多くありますが、ここでは最も有名なプロバイダーをいくつか紹介します。

• Google Public DNS：Google Public DNSは、DNSクエリーの解決に役立つクイック・ルックアップ機能を備えています。さらに、このサービスは比較的初心者でも簡単にセットアップでき、完全なセキュリティー・プロトコル・セットが組み込まれています。さらに、Google Public DNSは、Google社の広範に張り巡らされたグローバルデータセンター・ネットワークの恩恵を受けています。

• Cloudflare社：Cloudflare社のDNSサービスは、Anycastネットワーク・ルーティングDNS構成に依存しており、1つのIPアドレスから異なる地域にある複数のデータセンターにトラフィックを送信できます。ユーザーは最も近いサーバーに接続することで、速度が向上し、分散型サービス拒否（DDoS）攻撃から保護されます。また、Cloudflare’社の1.1.1.1.パブリックDNSリゾルバーは、利用可能なものの中で最も高速であると言われています。

• Quad9社：Quad9社は、マルウェアをフィルタリングし、フィッシング攻撃をブロックする機能など、より多くのセキュリティー機能を提供することで知られています。同社は非営利団体として運営されており、ユーザーのプライバシー保護に非常に力を入れているため、閲覧データやユーザー情報を保持することを拒否しています。