DNSサーバ

DNSサーバには、後述こうじゅつするように2種類しゅるいがあり、それぞれ全まったく異ことなる働はたらきをするので、「DNSサーバはこのようなことを行おこなう」と説明せつめいすることはできない。そのためここでは、Domain Name Systemの役割やくわりをまず説明せつめいする。

インターネットでの通信つうしんに際さいし、URLの中なかやメールアドレスの中なかなどでの相手あいて先さきは、IPアドレスが直接ちょくせつ指定していされることはまず無なく、ドメイン名めいなどといった「名前なまえ」が使つかわれている。そういった名前なまえから、IPアドレスなど^{[注ちゅう 1]}を得える「解決かいけつ」を行おこなうシステムがDomain Name Systemである。

あるコンピューターが他たのコンピュータとインターネットプロトコル（IP）を介かいして通信つうしんする際さいには、通信つうしんの相手あいてとなるコンピュータに付与ふよされたIPアドレスを知しる必要ひつようがある。一方いっぽう、URLなどには（IPアドレスを、直接ちょくせつ指定していすることもできるが）、もっぱらドメイン名めいを使つかって対象たいしょうを記述きじゅつする。ドメイン名めいから、IPアドレスなどといった必要ひつような情報じょうほうを得える（名前なまえを解決かいけつする）ために、ネットワーク上じょうで情報じょうほうを提供ていきょうする仕組しくみがDomain Name Systemであり、それを担になう各かくサーバがDNSサーバである。

DNSサーバは分散ぶんさん型がたデータベースの1ノードとして機能きのうしている。DNSサーバには以下いかの2種類しゅるいがある。

• #DNSコンテンツサーバ - 自みずからの「ゾーン」（ドメイン名めい空間くうかん）について、情報じょうほうを管理かんりし問とい合あわせに回答かいとうする。独自どくじのドメイン名めいをドメインレジストラで登録とうろくする際さい、「そのドメイン名めいを管理かんりするDNSサーバ」として指定していするのがDNSコンテンツサーバである。
  • 社内しゃない専用せんようなど、一般いっぱんに公開こうかいしないゾーンを管理かんりするコンテンツサーバというようなものもある。当然とうぜんながら、レジストラへの登録とうろくの必要ひつようはない。
  • コンテンツサーバについては、「権威けんいDNSサーバ」という用語ようごもある。コンテンツサーバという語かたりは上記じょうきのような役割やくわりのサーバ全般ぜんぱんの総称そうしょうであるのに対たいし、権威けんいDNSサーバは例たとえば「wikipedia.orgドメインの（wikipedia.orgドメインが管理かんり・委譲いじょうしている情報じょうほうを持もっている（それに関かんして権威けんいがある））権威けんいDNSサーバ」といったように、個々ここのドメインとの関係かんけいを意味いみする。
• #DNSキャッシュサーバ - 依頼いらいされた問とい合あわせに応おうじて、コンテンツサーバへ必要ひつような問とい合あわせを行おこない、結果けっかを依頼いらい元もとに返かえす。結果けっかを再さい利用りようできるよう、一定いってい期間きかん自みずからキャッシュする。
  • フルリゾルバ・フルサービスリゾルバ・キャッシュDNSサーバとも呼よばれる。

DNSサーバが持もつ「ゾーン情報じょうほう」（ゾーンファイル）を他たのDNSサーバから取得しゅとくし、同期どうきする仕組しくみを「DNSゾーン転送てんそう」と言いう。

DNSサーバは、ドメインの持もち主ぬしが情報じょうほうを提供ていきょうするための「DNSコンテンツサーバ」と、ネットワークの利用りよう者しゃ（ドメイン名めいシステム（DNS）の利用りよう者しゃ）が名前なまえ解決かいけつに利用りようするための「DNSキャッシュサーバ」の２種類しゅるいに大別たいべつできる。

両者りょうしゃは全まったく違ちがうものだが、これらを総称そうしょうして「DNSサーバ」と呼よぶ。コンテンツサーバはドメインの持もち主ぬしが管理かんりすることもできるが、多おおくの場合ばあい、プロバイダやレンタルサーバ業者ぎょうしゃなどが提供ていきょうしているものを利用りようする^{[注ちゅう 2]}。キャッシュサーバは、接続せつぞくプロバイダなどがほとんどの場合ばあいに用意よういしており、「インターネットを利用りようするための機器ききの設定せってい」にその設定せっていが含ふくまれていたり、あるいはDHCPでIPアドレス等とうと一緒いっしょに自動的じどうてきに設定せっていしてしまうことが専せんらであるが、ユーザのLAN内ないに（あるいは端末たんまつ自身じしんの中なかのサーバとして）用意よういして、そちらを使つかうこともできる（分散ぶんさんシステム的てきな観点かんてんからは、そのほうが望のぞましい）。DNSの仕組しくみ上じょうキャッシュすることが前提ぜんていの設計せっけいになっているため、キャッシュを持もっていて「キャッシュサーバ」と専もっぱら呼よばれるのであるが、中継ちゅうけいするのみでキャッシュしない、いわゆるプロキシ的てきな動作どうさをするものもある。

BINDなどのDNSサーバソフトウェアでコンテンツサーバとキャッシュサーバの両方りょうほうの設定せっていが行おこなえるため、誤あやまった設定せっていによりセキュアでない状態じょうたいで運用うんようされてしまうことが指摘してきされている。^[1]

DNSコンテンツサーバの役割やくわりは、Domain Name Systemにおいて、ドメインの管理かんり情報じょうほう、すなわち、自じゾーンの管理かんりするサーバのIPアドレスなどの各種かくしゅリソースレコード(RR)と、ドメインの委任いにんに関かんする情報じょうほうを保持ほじし、問とい合あわせ要求ようきゅうがあったときに応答おうとうすることである。

DNSサーバが保持ほじする「ゾーン情報じょうほう」（ゾーンファイル）内ないのリソースレコード（資源しげんレコード）の種類しゅるいの例れいを以下いかに示しめす。

リソースレコードの例れい

• Aレコード

名前なまえに対たいするIPv4アドレス

• AAAAレコード

名前なまえに対たいするIPv6アドレス

• PTRレコード

逆ぎゃく引びき（IPアドレスに対たいする名前なまえ）たとえば 198.51.100.234 というIPアドレスを逆ぎゃく引びきするには 234.100.51.198.in-addr.arpa という名前なまえのPTRレコードを問とい合あわせればよい

• NSレコード

そのゾーンの権威けんいあるDNSコンテンツサーバの名前なまえ

• MXレコード

→詳細しょうさいは「MXレコード」を参照さんしょう

そのゾーンのメールサーバの名前なまえ

• SOAレコード

ゾーンそのものの情報じょうほう

• CNAMEレコード

　その名前なまえに対たいする別名べつめい

• TXTレコード

テキスト情報じょうほう

• DNSKEYレコード/RRSIGレコード

DNSSECのための公開こうかい錠じょう/署名しょめい

など。

wikipedia.orgのDNSコンテンツサーバの例れい

このDNSコンテンツサーバは、ja.wikipedia.orgやwww.wikipedia.orgなどwikipedia.orgゾーンの各種かくしゅリソースレコードを保持ほじしている。ただし、orgゾーンに保持ほじされているIPアドレスは知しらない（間あいだ違ちがった設定せっていによってorgのNSレコードをキャッシュで答こたえてしまうサーバも実際じっさいには多おおく存在そんざいする）。このDNSコンテンツサーバは、ja.wikipedia.orgのIPアドレスを教おしえるよう要求ようきゅうを受うけると、自みずからが保持ほじしているコンテンツから、ja.wikipedia.orgのIPアドレスを探さがし、その情報じょうほうを含ふくめた返答へんとうを返かえす。

なお、ドメイン名めいからIPアドレスを検索けんさくする事ことを正せい引びきと呼よび、反対はんたいにIPアドレスからドメイン名めいを検索けんさくすることを逆ぎゃく引びきと呼よぶ。

コンテンツサーバの役割やくわりでの「プライマリサーバ」と「セカンダリサーバ」は、マスタとスレーブの関係かんけいにある。類似るいじの用語ようごである、オペレーティングシステムのネットワーク構成こうせいで指定していする「DNSサーバ設定せってい」の「優先ゆうせん」「代替だいたい」とは全まったく無関係むかんけいであり、混同こんどうしないよう注意ちゅういしたい（#OSで指定していする「DNSサーバ」）。

プライマリサーバ

ゾーン情報じょうほうを自みずから管理かんりし、自みずからのゾーン情報じょうほうに関かんする問とい合あわせに回答かいとうしたり、セカンダリサーバへ配信はいしんしたりする。Windows Server同どう梱こりのDNSサービスにある動作どうさモード「Active Directory統合とうごうゾーン」は、プライマリサーバとしての役割やくわりに機能きのう拡張かくちょう^[2]がされたものである。

セカンダリサーバ

担当たんとうするゾーンに関かんする問とい合あわせに回答かいとうするが、自みずからはゾーン情報じょうほうを管理かんりせずプライマリサーバから受うけ取とったゾーン情報じょうほうを保持ほじしている。

DNSサーバが応答おうとう不能ふのうになれば、管理かんりしているゾーン内ないのコンピューターが提供ていきょうしているサービスを利用りようできなくなり、誤あやまった情報じょうほうを回答かいとうするとクライアントコンピューターは意図いとしていないノードにアクセスしてしまう^{[注ちゅう 3]}ことになる。

健全けんぜんな利用りよう環境かんきょうを確保かくほするために、DNSサーバのリソースレコードの改かいざんやDoS攻撃こうげきを防ふせぐよう、DNSサーバソフトウエアおよびOSの設定せっていやセキュリティ更新こうしんプログラムの適用てきよう、コンテンツサーバの多重たじゅう化か（セカンダリサーバを公開こうかいし、プライマリサーバは非公開ひこうかいとするなど）、ファイアウォールや侵入しんにゅう防止ぼうしシステムの導入どうにゅうなどにより対策たいさくを講こうじる必要ひつようがある。

電子でんし署名しょめいを用もちいてDNSの応答おうとうが正ただしいことを検証けんしょうする「DNSSEC」機能きのうが提供ていきょうされている。

DNSSECにおいて、電子でんし署名しょめいの正当せいとう性せい検証けんしょうに使つかわれる最さい上位じょういの暗号あんごう鍵かぎである「ルートゾーンKSK」を更新こうしんする際さいに、EDNSによるIPフラグメンテーションが発生はっせいするほどのサイズの応答おうとうデータが発生はっせいするが、通信つうしん設定せっていが対応たいおうできていないDNSで通信つうしんができず、DNSSECによる正当せいとう性せい検証けんしょうができなくなり、インターネットの利用りように問題もんだいが発生はっせいする。

これは、「ルートゾーンKSK」が2016年ねんまで更新こうしんされてこなかったために問題もんだいになっていなかったが、2016年ねん10月がつから2018年ねん3月がつにかけて、 順次じゅんじ変更へんこうを行おこなうことになったために顕在けんざい化かした問題もんだいである。特とくに2017/09/19、2017/12/20、2018/01/11から始はじまる更新こうしんでは、IPフラグメンテーションが発生はっせいしない1280bytesを超こえる1414～1424Bytesの応答おうとうデータが発生はっせいするために、問題もんだいが発生はっせいする。

基本きほん的てきには、DNSの運用うんよう責任せきにん者しゃがソフトウェアのアップデートや設定せってい変更へんこうで対応たいおうすべきものであるが、一般いっぱん消費しょうひ者しゃ向むけのルータに内蔵ないぞうされているDNS Proxyでも問題もんだいが発生はっせいする可能かのう性せいがあり、インターネットの利用りように問題もんだいが発生はっせいする場合ばあいがある。

DNSキャッシュサーバの役割やくわりは、DNSクライアント（ウェブブラウザなど、ドメイン名めいを利用りようする何なんらかのアプリケーション等とう）からの再帰さいき的てき問とい合あわせによって名前なまえ解決かいけつの依頼いらいを受うけ、非ひ再帰さいき的てき問とい合あわせを行おこない名前なまえを解決かいけつすることである。たとえば、Webブラウザで、www.wikipedia.orgなどを入力にゅうりょくした際さい、そのコンピュータがまず名前なまえ解決かいけつしに行いくのがDNSキャッシュサーバである。

DNSキャッシュサーバ自身じしんについては、直接ちょくせつなんらかの方法ほうほうでそのIPアドレスを設定せっていする。近年きんねんのLinux環境かんきょうなどでの典型てんけいとしては、ネットワークインタフェースの立たち上あげ時じに、DHCPによって受うけ取とったかネットワーク設定せっていスクリプトに書かき込こまれているものが、設定せっていファイル（典型てんけい的てきには /etc/resolv.conf ）に書かき込こまれる。あるいは古典こてん的てきには /etc/resolv.conf は静的せいてきな設定せっていファイルであった。

名前なまえ解決かいけつにおける問とい合あわせには、再帰さいき的てき問とい合あわせと非ひ再帰さいき的てき問とい合あわせ（反復はんぷく問とい合あわせ）の2種類しゅるいがある。典型てんけい的てきで単純たんじゅんな例れいで説明せつめいすると、ユーザプログラムからlibcの gethostbyname (3) を通とおして、/etc/resolv.conf で設定せっていされたDNSキャッシュサーバへの問とい合あわせが再帰さいき的てき問とい合あわせで、キャッシュサーバが行おこなう、DNSコンテンツサーバ群ぐんへの繰返くりかえしの問とい合あわせが非ひ再帰さいき的てき問とい合あわせである。

再帰さいき的てき問とい合あわせ

名前なまえ解決かいけつがされたのであれば、その完全かんぜんな結果けっかを、できなかった場合ばあいは「存在そんざいしない」とするやはり完全かんぜんな結果けっかを求もとめる問とい合あわせである。ユーザのパーソナルコンピュータなどといった端末たんまつから、DNSキャッシュサーバに対たいして送おくられる。

非ひ再帰さいき的てき問とい合あわせ

反復はんぷく問とい合あわせとも。この問とい合あわせを受うけたDNSコンテンツサーバは、自分じぶん自身じしんが持もっている情報じょうほうであればそれを、委任いにんしている情報じょうほうであればそのこと（委任いにん情報じょうほう）を返かえす。DNSキャッシュサーバはその内容ないように応おうじて次々つぎつぎと問とい合あわせを反復はんぷくする（一般いっぱん的てきにはルートサーバから順じゅんにドメインツリーをたどる）。

代表だいひょう的てきなDNSサーバソフトウエアは次つぎのものがある。 DNSサーバの中なかには、DNSコンテンツサーバとDNSキャッシュサーバが別々べつべつになっているものもあれば、両方りょうほう機能きのうを搭載とうさいするものもある。

• BIND
• djbdns - コンテンツサーバであるtinydnsとキャッシュサーバであるdnscacheからなる
• Dnsmasq
• Microsoft DNS Server
• NSD
• Unbound
• Knot DNS
• PowerDNS
• Yadifa
• XACK DNS - 国産こくさんのDNS製品せいひん

PCに搭載とうさいされるWindowsやmacOS、携帯けいたい端末たんまつに搭載とうさいされるiOSやAndroidをはじめとする、ネットワーク通信つうしん可能かのうなオペレーティングシステムには、ネットワーク関連かんれんの設定せっていに「DNSサーバ」のIPアドレスを指定していする項目こうもくがある^{[注ちゅう 4]}。一般いっぱんに gethostbyname(3) といったようなライブラリ関数かんすうによる処理しょりの中なかで^{[注ちゅう 5]}、これらの設定せっていに従したがい、DNSキャッシュサーバへの問とい合あわせ等とうが行おこなわれる。

これらの情報じょうほうは、DHCPによる管理かんり下かにあるネットワークでは、DHCPサーバから（割当わりあてIPアドレス情報じょうほうとあわせて）受うけ取とることが可能かのうである場合ばあいもある^{[注ちゅう 6]}。管理かんりポリシーによっては、それに従したがうよう要求ようきゅうされている場合ばあいもある。

大抵たいてい、複数ふくすうのDNSサーバを指定してい可能かのうになっている。DNSサーバへ問とい合あわせる際さいに優先ゆうせん順位じゅんいの高たかい順じゅんに行おこない、応答おうとうがない場合ばあい（該当がいとうDNSサーバが停止ていし、通信つうしん経路けいろで障害しょうがい発生はっせいなど）に次位じい（代替だいたい）以降いこうのDNSサーバへ問とい合あわせを行おこなうようになっている。

1. ^ “DNSサーバの脆弱ぜいじゃく性せいに関かんする再度さいどの注意ちゅうい喚起かんき：IPA 独立どくりつ行政ぎょうせい法人ほうじん 情報処理じょうほうしょり推進すいしん機構きこう”. www.ipa.go.jp. 2022年ねん3月がつ10日とおか閲覧えつらん。
2. ^ http://technet.microsoft.com/ja-jp/library/cc731204.aspx

• 情報処理じょうほうしょり推進すいしん機構きこう：DNSキャッシュポイズニングの脆弱ぜいじゃく性せいに関かんする注意ちゅうい喚起かんき
• 日本にっぽんDNSオペレーターズグループ
• JP DNS Web Page

• Domain Name System
• ダイナミックドメインネームシステム
• リゾルバ
• DNSルートゾーン
• DNS over HTTPS
• DNS64

• Quad9
• 1.1.1.1
• OpenDNS
• Google Public DNS
• Yandex.DNS