Address Manager で構成可能な DNS デプロイメント オプションの一覧を以下に示します。
DNS デプロイメント オプションの追加の詳細については、「DNS デプロイメントオプションの管理」を参照してください。
DNS デプロイメント オプション | 説明 | パラメータ |
---|---|---|
動的更新の許可 | このオプションは ACL またはマッチ リストを引数として取ります。リストと一致するアドレスのみが、更新をそのゾーンのサーバに送信できます。 更新権限をさらに詳細に制御するには、[アップデート ポリシー] を使用します。[動的更新の許可] と [アップデート ポリシー] は互いに排他的で、Address Manager の同じレベルで設定することはできません。 注: xHA クラスタ環境で動的 DNS 更新を構成する場合は、アクティブおよびパッシブ ノードの (仮想 IP アドレスではなく) 物理 IP アドレスを使用する必要があります。
|
DNS サーバの場合:
注: [鍵] または [ACL] を選択すると、[除外] チェックボックスが表示されます。DNS ACL または TSIG 鍵に除外を追加するには、[除外] チェックボックスを選択します。
注: IP アドレスに基づく更新を許可すると、TSIG 鍵を使用する場合に比べてセキュリティがかなり低くなります。
注: [鍵] を選択する場合、同じ鍵を使用して署名されたゾーン宣言で DHCP サーバを構成する必要があります。
|
通知の許可 | セカンダリ ゾーンへ通知メッセージを送信できるサーバを制限します。このオプションには IPv4 および IPv6 アドレスのリストを使用できます。 |
注: [鍵] または [ACL] を選択すると、[除外] チェックボックスが表示されます。DNS ACL または TSIG 鍵に除外を追加するには、[除外] チェックボックスを選択します。
|
クエリの許可 | BIND 9 サーバでは、ACL を使用して特定のビューにアクセスできる IP アドレスを制限することができます。リスト内にあるアドレスが、そのビューのレコードをクエリできます。 |
注: [鍵] または [ACL] を選択すると、[除外] チェックボックスが表示されます。DNS ACL または TSIG 鍵に除外を追加するには、[除外] チェックボックスを選択します。
|
クエリ キャッシュの許可 | ビューのキャッシュをクエリできるホストのリストを指定します。 |
注: [鍵] または [ACL] を選択すると、[除外] チェックボックスが表示されます。DNS ACL または TSIG 鍵に除外を追加するには、[除外] チェックボックスを選択します。
|
再帰の許可 | ユーザがサーバに対して再帰クエリを実行できます。再帰クエリを実行できるクライアントの一覧がサーバと関連付けられます。詳しくは、「再帰 DNS」を参照してください。 |
注: [鍵] または [ACL] を選択すると、[除外] チェックボックスが表示されます。DNS ACL または TSIG 鍵に除外を追加するには、[除外] チェックボックスを選択します。
|
アップデート フォワーディングの許可 | どのホストが動的 DNS 更新をセカンダリ ゾーンに送信してプライマリにフォワードできるかを指定します。デフォルトは「none」で、アップデートフォワーディングは実行されないことを意味します。アップデート アクセス制御はセカンダリではなくプライマリ サーバの責任で行う必要があるため、(Active Directory 内のように) 必要な場合以外に none または any 以外の値を指定すると逆効果です。セカンダリ サーバでこの機能を有効にすると、セキュリティ保護されていないセカンダリ サーバのアクセス制御に基づく IP アドレスに依存することになるため、プライマリ サーバがキャッシュ ポイズニング攻撃を受ける可能性があります。 |
注: [鍵] または [ACL] を選択すると、[除外] チェックボックスが表示されます。DNS ACL または TSIG 鍵に除外を追加するには、[除外] チェックボックスを選択します。
|
ゾーン転送の許可 | オプションで指定されている場合を除き、IP アドレスへのゾーン転送を却下します。 |
注: [鍵] または [ACL] を選択すると、[除外] チェックボックスが表示されます。DNS ACL または TSIG 鍵に除外を追加するには、[除外] チェックボックスを選択します。
|
DNS64 連絡先 | DNS64 逆引きマッピングによって作成された逆引きゾーンの連絡先情報を指定するために使用されます。 | [電子メール] フィールドに、連絡先の電子メールを指定します。 |
DNS64 サーバ | 合成された IP6.ARPA ゾーンが作成されるサーバの名前を指定するために使用されます。 | [FQDN] フィールドに、完全修飾ドメイン名を指定します。 |
クライアントの却下 | クライアントを照合する ACL リストを定義します。ACL マッチ リストはビュー レベルの下で定義できますが、デプロイメント時のビューグローバル オプションです。このクライアントで定義されている ACL と一致したクライアントは、ACL が付加されているビューの DNS 解決へのアクセスが却下されます。このオプションはビューのみに使用し、ゾーンには使用しないでください。 |
注: [鍵] または [ACL] を選択すると、[除外] チェックボックスが表示されます。DNS ACL または TSIG 鍵に除外を追加するには、[除外] チェックボックスを選択します。
|
DNSSEC 期限切れを許可 | 有効にすると、サーバで期限切れの DNSSEC 署名を受け入れます。このオプションは、構成、ビュー、サーバのいずれかのレベルで設定できます。このオプションを有効にすると、サーバが再生攻撃に対して脆弱なままになります。 | [有効] チェックボックス。 |
DNSSEC の有効化 | DNSSEC 対応サーバからの DNS 要求にサーバが応答するようになります。このオプションは、構成、ビュー、サーバのいずれかのレベルで設定できます。 | [有効] チェックボックス。 |
DNSSEC 要セキュア | ドメインと、サーバが応答を受け入れるために署名が必要かどうかのリスト。[保護あり] チェックボックスが選択されている場合、ドメインは署名されている必要があります。選択されていない場合、ドメインが署名されている必要はありません。このオプションは、構成、ビュー、サーバのいずれかのレベルで設定できます。 | 完全修飾ドメイン名のリスト。[保護あり] チェックボックスは、ゾーンが保護されている必要があるかどうかを示します。 |
DNSSEC トラスト アンカ | 信頼されているゾーンの公開鍵を指定します。このオプションはサーバ レベルで設定できます。 | 完全修飾ドメイン名とそれぞれの鍵署名鍵のリスト。[FQDN] フィールドに、完全修飾ドメイン名を入力します。[鍵] フィールドに、ゾーンの公開鍵を貼り付けます。 |
DNSSEC 検証 | 他の DNNSEC が有効なサーバからの応答の検証をサーバで有効にします。このオプションは、構成、ビュー、サーバのいずれかのレベルで設定できます。 | [有効] チェックボックス。サーバが適切に動作するには、[DNSSEC の有効化] オプションと [DNNSEC トラスト アンカ] も設定されている必要があります。 |
フォワーディング | フォワーダとして指定されているサーバの IP アドレスのリストを指定します。また、子ゾーンのフォワーディングを無効にするオプションもあります。再帰クエリを必要とするオフサイト クエリはこれらのフォワーダへ送信され、それによってネットワーク トラフィックを効率的に管理します。これらのアドレスは優先度順にリストに示されます。 このオプションを使用すると、サーバで再帰が有効になります。サーバで再帰が実行されないようにするには、同じレベルでフォワーディング オプションとして [フォワーディング ポリシー] デプロイメント オプションを追加します。[フォワーディング ポリシー] デプロイメント オプションを [フォワードのみ] に設定します。 |
[子ゾーンのフォワーディングを無効にする] チェックボックス。 IPv4 または IPv6 アドレスのリスト。 |
フォワーディング ポリシー | 優先度の高いキャッシング サーバ (フォワーダ) へのみ要求をフォワードするか、最初にキャッシング サーバへフォワードして応答がなかった場合に、このサーバで要求に応答するかどうかを示します。 | [最初に転送] または [転送のみ] のオプションを選択します。 |
Lame TTL | 権威ありとしてリストに示されているが、権威付きで応答しないリモート サーバからのデータを、サーバが要求しないようにする期間を指定します。 | 期間と時間の単位を指定します。 |
クライアントのマッチ | クライアントを照合するための ACL リストを定義します。マッチ リストはビュー レベルの下で定義できますが、デプロイメント時のグローバル オプションになります。このクライアントで定義されている ACL と一致したクライアントは、ACL が付加されているビューの DNS 解決へのアクセスが許可されます。このオプションはビューでのみ使用でき、ゾーンでは使用できません。 |
注: [鍵] または [ACL] を選択すると、[除外] チェックボックスが表示されます。DNS ACL または TSIG 鍵に除外を追加するには、[除外] チェックボックスを選択します。
|
最大キャッシュ TTL | DNS クエリに対する肯定応答がキャッシュに保持される時間を定義します。デフォルトは 7 日間です。 | 期間と時間の単位を指定します。 |
最大キャッシュ サイズ | 符号なし 16 ビット整数値で指定された DNS キャッシュの最大サイズ (バイト)。 | 0 ~ 4,294,967,295 の間の値を指定します。 |
インバウンド転送の最大アイドル時間 | セカンダリ サーバの場合に、インバウンド ゾーン転送がタイム アウトになるまでアイドル状態を持続する最大時間 (分)。 | 期間と時間の単位を指定します。 |
アウトバウンド転送の最大アイドル時間 | プライマリ サーバの場合に、アウトバウンド ゾーン転送がタイム アウトになるまでアイドル状態を持続する最大時間 (分)。 | 期間と時間の単位を指定します。 |
最大ネガティブ キャッシュ TTL | DNS クエリに対する否定応答がキャッシュに保持される時間を定義します。デフォルトは 3 時間で、7 日間が最大です。 | 期間と時間の単位を指定します。 |
再帰クライアントの最大数 | 同時再帰クライアントの最大数を符号なし 16 ビット整数で指定し、制限します。 | 0 ~ 4,294,967,295 の間の値を指定します。 |
TCP クライアントの最大数 | サーバが処理する同時 TCP 接続数を制限します。デフォルトのクライアント数は 100 です。 | 0 ~ 65,535 の間の値を指定します。 |
ネーム サーバごとの最大転送数 | セカンダリ サーバの場合に、このサーバが任意の時点で要求した単一のリモート ネーム サーバからのインバウンド ゾーン転送の合計数を制限します。デフォルトの転送数は 10 です。 | 0 ~ 65,535 の間の値を指定します。 |
インバウンド転送の最大時間 | セカンダリ サーバへの単一のインバウンド ゾーン転送接続で許可される最大時間 (分)。この値は符号なし 16 ビット整数値で指定します。 | 期間と時間の単位を指定します。 |
アウトバウンド転送の最大時間 | セカンダリ サーバへの単一のアウトバウンド ゾーン転送接続で許可される最大時間 (分)。この値は符号なし 16 ビット整数値で指定します。 | 期間と時間の単位を指定します。 |
通知 | ゾーンに対して行われた変更をセカンダリ サーバに通知するために使用されます。 | 次のラジオ ボタンを選択します。
注: [False] を選択すると、BDDS は Address Manager への DDNS 通知の送信を停止しますが、DHCP 通知は正常に送信できます。
|
他のサーバへの通知 | プライマリ DNS サーバが、ゾーンの変更をセカンダリに通知することによって、変更が素早くセカンダリに伝達されるようにします。このオプションを使用して、変更を通知する必要があるサーバを追加します。Address Manager で管理されているセカンダリ サーバの場合、デプロイメント エンジンによって、そのゾーンをホストするセカンダリ サーバに対してこの通知が自動的に設定されるため、このオプションは不要です。 | IPv4 または IPv6 アドレスのリスト。 |
通知ソース | DNS サーバは、ゾーン変更通知をプライマリ サーバからセカンダリ サーバへ送信するときに、このオプションの値をソース IPv4 アドレスとして使用します。 注: ビュー、ゾーン、および IPv4 ブロック/ネットワーク レベルでのみ使用できます。
|
有効な IPv4 アドレス。 |
通知ソース v6 | DNS サーバは、ゾーン変更通知をプライマリ サーバからセカンダリ サーバへ送信するときに、このオプションの値をソース IPv6 アドレスとして使用します。 注: ビュー、ゾーン、および IPv6 ブロック/ネットワーク レベルでのみ使用できます。
|
有効な IPv6 アドレス。 |
NXDOMAINリダイレクション | 再帰 DNS サーバが外部サーバと通信し、ドメイン名を検索して DNS クライアント クエリに応答しようと試みるとき、クライアント クエリ内にドメイン名が存在しない場合、再帰 DNS サーバは Name Error 値を示す応答を返します。NXDOMAIN リダイレクションは、再帰サーバがクエリに対する NXDOMAIN 応答を設定された独自の応答 (別の Web サイトなど) に置き換える機能を提供します。 |
|
逆引きゾーン名形式 | ユーザは、Address Manager によって自動的に作成されるサブクラス C クラスレス ネットワークの逆引きゾーン名形式を選択できるようになります。 | [形式] ドロップダウン メニューから逆引きゾーン名形式を選択します。Address Manager は次の形式をサポートしています。
|
応答ポリシー | このオプションは、ビューの応答ポリシーを割り当てる場合に必要です。ユーザ定義応答ポリシー オブジェジェクトを [使用可能] 列で使用できます。オブジェクトをデプロイ可能にするには、応答ポリシー オブジェクトを選択して、[選択済み] 列に移動します。詳しくは、「応答ポリシーについて」を参照してください。 | [使用可能] 列の応答ポリシー オブジェクトを選択して、[選択済み] 列に移動します。デフォルトでは、応答ポリシーは英数字順に並べられ、この上から下の順に適用されます。許可リストを他のポリシー オブジェクトとともにデプロイする場合、許可リストは他のオブジェクトの前に配置するようにしてください。 |
RPZ ブレイク DNSSEC | 有効にすると、ポリシー処理はすべての DNSSEC クエリで実行されます。このオプションを無効にすると、応答ポリシー ゾーンは DNSSEC データを要求するクエリまたは応答に RR を含むクエリを処理しません。このオプションは、表示および構成レベルでのみ利用できます。 | [有効] チェックボックス。 |
RPZ 最大ポリシー TTL | このオプションは、応答がキャッシュに保持される期間を指定するために使用されます。デフォルト値は 5 秒です。このオプションは、表示および構成レベルでのみ利用できます。 | 0 ~ 4,294,967,295 の間の値を指定します。 |
RPZ 最小 NS ドット | このオプションは、ポリシー処理を呼び出す際に QNAME に表示されるドット セパレータの最小数を定義するために使用されます。このオプションは、表示および構成レベルでのみ利用できます。 | [有効] チェックボックス。 |
RPZ NSIP 待機再帰処理 | 有効にすると、クエリの結果が参照できる状態になったときにのみポリシー処理が呼び出されます。無効にすると、ネームサーバ参照の結果がキャッシュにある場合に、NS-IP トリガは通常通りに処理されます。ただし、キャッシュ内でデータが利用できない場合、NS-IP は無視されますが NS 参照処理が継続するため、結果的にキャッシュに保存され通常の NS-IP ポリシー トリガ処理を呼び出します。この操作はデフォルトで有効になっており、表示および構成レベルでのみ利用できます。 | [有効] チェックボックス。 |
RPZ Qname 待機再帰処理 | 有効にすると、クエリの結果が参照できる状態になったときにのみポリシー処理が呼び出されます。無効にすると、ポリシー処理は応答を待たずにクエリが受信されると実行されます。この動作が適用されるのは QNAME ポリシー トリガのみです。このオプションはデフォルトで有効になっており、表示および構成レベルでのみ利用できます。 | [有効] チェックボックス。 |
RPZ 再帰のみ | 有効にすると、ポリシー処理は再帰クエリのみで呼び出されます。無効にすると、ポリシー処理はサーバによってクエリが受信されるたびに呼び出されます。このオプションはデフォルトで有効になっており、表示および構成レベルでのみ利用できます。 | [有効] チェックボックス。 |
セカンダリ ゾーン通知 | セカンダリ サーバとして動作している BDDS から、BlueCat 以外の RFC 準拠の DNS サーバへの通知を有効にします。 | (BAM) へのセカンダリ ゾーン通知の送信を担当するサーバを選択します。 注: セカンダリ ゾーン通知は、構成レベル、ビュー レベル、およびゾーン レベルでのみ構成できます。各レベルでは、1 つのセカンダリ ゾーン通知デプロイメント オプションのみが許可されています。
|
転送フォーマット | プライマリからセカンダリ サーバへのゾーン転送のフォーマットが [単一応答] (各メッセージでリソース レコードが 1 つだけ送信されます) であるか、[複数応答] (各メッセージでできるだけ多くのリソース レコードが送信されます) であるかを制御します。デフォルト設定は [複数応答] です。 | [複数応答] または [単一応答] のオプションを選択します。 |
サーバ ペアの TSIG 鍵 | このオプションは、各ビューに対して TSIG が生成されるというデフォルトの動作をオーバーライドします。代わりに、各サーバ ペアに対して固有な TSIG 鍵が生成されます。例えば、2 台のセカンダリ サーバを含む 1 台のプライマリでは、それぞれのプライマリ-セカンダリ関係に対して 1 つずつ、2 つの TSIG 鍵が生成されます。 注: このデプロイメント オプションが有効になっている相互に通信する DNS サーバのソフトウェア レベルは、すべて同一でなければなりません。
|
[自動生成] をクリックし、ソルト鍵を作成します。 |
転送ソース | セカンダリ DNS サーバは、ゾーン転送の要求を IPv4 でプライマリに送信するときに、このオプションの値をソース IP アドレスとして使用します。 注: ビュー、ゾーン、および IPv4 ブロック/ネットワーク レベルでのみ使用できます。
|
有効な IPv4 アドレス。 |
転送ソース v6 | セカンダリ DNS サーバは、ゾーン転送の要求を IPv6 でプライマリに送信するときに、このオプションの値をソース IP アドレスとして使用します。 注: ビュー、ゾーン、および IPv6 ブロック/ネットワーク レベルでのみ使用できます。
|
有効な IPv6 アドレス。 |
アップデート ポリシー | 詳細な条件に一致するクライアントに、サーバ上の特定のレコードの更新を許可します。このオプションでは、[動的更新の許可] オプションよりも詳細に更新を制御することができます。[動的更新の許可] と [アップデート ポリシー] は互いに排他的で、Address Manager の同じレベルで設定することはできません。 | [特権]、[ID]、[名前タイプ]、[名前]、および [リソース レコード] の各パラメータを指定します。このオプションの設定の詳細については、「アップデート ポリシー DNS デプロイメント オプション」を参照してください。 |
WINS 逆引き参照の使用 | Windows DNS サーバ逆引きゾーン内の IP アドレスを NetBIOS 名に解決します。 | 以下のパラメータを指定します。
|
バージョン情報 | サーバ バージョンをクエリされた場合のバージョン応答を指定できる、カスタム テキスト文字列。これは、ハッキングに先行して行われることの多いプロファイリングに対する保護に役立ちます。 | テキスト文字列。 |
ゾーン デフォルト TTL | ゾーンのデフォルト TTL (time-to-live) 値。 | 期間と時間の単位を指定します。 |
インバウンド ゾーン転送 | ローカル ネーム サーバが任意の時点で要求するすべてのリモート サーバからのインバウンド ゾーン転送の合計数を制限します。デフォルト設定の転送数は 10 です。この設定を大きくすると、セカンダリ ゾーンの収束が速くなりますが、ローカル システムの負荷も大きくなる場合があります。 | 0 ~ 65,535 の間の値を指定します。 |
アウトバウンド ゾーン転送 | 同時アウトバウンド ゾーン転送の最大数。この値は符号なし 16 ビット整数で指定します。デフォルトは 10 です。 | 0 ~ 65,535 の間の値を指定します。 |