Active Directory 環境を構成する場合、一般的な環境であれば DNS サーバーを同梱し、DNS サーバーのゾーンもプライマリゾーンだけで十分な事が多いと思います。過去に Active Directory 信頼関係を構成する際に別ドメインの名前解決の必要があり、その時に各ゾーンの種類を調べて自分なりに理解まとめました。※Windows Server の DNS サーバーを対象とした内容で記載しています。
前方参照ゾーンの種類
DNS は階層構造で構成されており、その各階層のことを DNS ドメインと表現されます。ゾーンというのは DNS サーバーが管理する階層の範囲を指しています。Active Directory の前方参照ゾーンでは、プライマリゾーン、セカンダリゾーン、スタブゾーンの3つがあります。
プライマリゾーン
プライマリゾーンは、そのドメイン情報のマスターを保持する動的更新や手動での更新が可能な、書き込み可能なゾーンになります。
DNS サーバーがドメインコントローラーに同梱されており、Active Directory 統合ゾーンとして構成されている場合、ゾーン情報は Active Directory データベースに格納されゾーン転送としてではなく、Active Directory のレプリケーションによって同期更新されます。
Active Directory統合ゾーン
標準プライマリゾーン、スタブゾーンはゾーン情報をテキスト形式のファイルで保持しており、既定では C:\Windows\System32\dns へ<ゾーン名>.dns として作成されますが、これを Active Directory データベース内に格納したものが Active Directory 統合ゾーンということになります。
統合ゾーンのメリットとしては、以下のものがあります。
- 複数 AD でのゾーン情報の更新可能なマルチマスター化
- リソースレコード登録に対するアクセス制御
- セキュアな動的更新
- 暗号化されたレプリケーションでの同期
セカンダリゾーン
セカンダリゾーンは、プライマリゾーンのレプリカ(読み取り専用のコピー)を保持する読み取り専用のゾーンになります。
ゾーン転送される情報はプライマリゾーンと同じため、データ量は多くなるが、名前解決はセカンダリゾーンを保持する DNS サーバー上で行うことができます。
セカンダリゾーンを構成する場合は、プライマリゾーンを保持する DNS サーバーのゾーン設定でゾーン転送の許可を設定する必要があります。
スタブゾーン
スタブゾーンは、ゾーンのSOA(Start of Authority)レコード、NS(Name Server)レコードと NS レコードに対応する A(グルー)レコードのみ保持する、読み取り専用のゾーンになります。ゾーン転送されるデータ量はセカンダリゾーンと比べそれほど多くはないが、名前解決はネームサーバーとして登録されている DNS サーバーに問い合わせを行う必要があります。
スタブゾーンを構成する場合は、プライマリゾーンを保持する DNS サーバーのゾーン設定でゾーン転送の許可を設定する必要があります。
その他の機能
DNS サーバーの機能は、プライマリゾーン/セカンダリゾーン/スタブゾーン/逆引き参照ゾーンなどのゾーンの維持管理以外にも、以下の様な機能があります。
条件付きフォワーダ
条件付フォワーダは、自身で解決できない名前解決の要求を指定した別のドメインに転送する機能となります。転送の設定は静的であるため、ゾーンをホストする DNS サーバーのサーバー名や IP アドレスが変更された場合は、手動で設定をし直す必要があります。
また、条件付きフォワーダを構成する場合については、プライマリゾーン側でのゾーン転送の許可は必要なく、一方的な設定となります。
委任
委任とは、DNS サーバーが管理する対象範囲を分散するための機能となります。下位のドメインに対し、委任の設定を行うことで下位のドメインの管理を下位の DNS サーバーへ任せることができます。こちらは対象であるゾーンの親ドメインをホストしている場合のみに構成できる設定になります。
委任の設定は静的であるため,ゾーンをホストする DNS サーバーのサーバー名や IP アドレスが変更された場合は手動で設定し直す必要があります。プライマリゾーンでゾーン転送の許可は必要ありませんが、DNS サーバーに変更があった場合は委任の再設定が必要となります。
各ゾーンについて、基本的な認識として理解して頂けたらよいかと思います。上記以外にも前方参照ゾーンや逆引き参照ゾーンなど名前解決クエリの観点でのゾーンの種類がありますが、そちらは今回記述した各ゾーンより理解しやすいものかと思われます。