DDNS アップデートおよびセキュア ゾーン転送に使用されるトランザクション署名 (TSIG) 鍵を定義します。
- DHCP サーバで DNS サーバに対するセキュリティ保護された DDNS アップデートを実行できるようにする
- DHCP サーバで DDNS クライアントからセキュリティ保護された DDNS アップデートを受信できるようにする
- ゾーン転送およびその他の DNS デプロイメント オプションをセキュリティ保護する
[TSIG 鍵サーバ ペア] DNS デプロイメント オプションを使用している、相互通信中の DNS サーバ (プライマリ/セカンダリの関係にある DNS サーバなど) は、すべて同一のソフトウェア レベルでなければなりません。例えば、プライマリとそのセカンダリは、すべて DNS/DHCP サーバ ソフトウェア バージョン 8.1.1 を実行している必要があります。複数の DNS/DHCP サーバ が異なるソフトウェア レベルを実行している場合、デプロイメントまたはゾーン転送が失敗する可能性があります。
TSIG 鍵ペア DNS デプロイメント オプションの詳細については、「参考:DNS デプロイメント オプション」を参照してください。
TSIG 鍵を作成するには、鍵の名前、アルゴリズム、鍵の文字数 (ビット) を指定します。Address Manager では、鍵の値を自動的に作成するか、鍵の Base64 エンコード文字列を手動で入力することができます。DNS サーバまたは DHCP サーバにすでに存在する鍵を Address Manager に追加する必要がある場合は、手動オプションを使用します。
TSIG 鍵は、[IP 空間]、[DNS]、[デバイス]、[TFTP]、[サーバ] の各メイン タブにある [TSIG 鍵] ページ タブで、構成レベルで定義します。ここで定義した鍵は、構成内および DHCP 正引き/逆引きゾーンの任意の場所で設定する DNS デプロイメント オプションで使用できます。鍵を DHCP ゾーンで使用する場合は、HMAC MD5 アルゴリズムで定義する必要があります。鍵を DNS デプロイメント オプションで使用してセキュリティ保護された DDNS アップデートおよびゾーン転送を行う場合は、使用可能な任意のアルゴリズムを使用できます。DNS デプロイメント オプションでの TSIG 鍵の使用の詳細については「DNS デプロイメント オプション」を参照してください。
鍵の危殆化とは、悪意のある攻撃者の暗号分析によって鍵の一部 (または全部) が解読されたこと、または悪意のある攻撃者が鍵への物理的なアクセスを入手したことを意味します。いずれの場合も、DNS/DHCP 環境のセキュリティを維持するために、新しい鍵を生成する必要があります。