【先着1,000名様!】1,000円分をプレゼント!

お疲れ様です。会社内におけるDNSサーバの役割についての質問です。

内部DNSサーバの役割は
→ローカルアドレスとユーザーが使用しているコンピュータ名(例 192.168.xxx.xx⇔tanaka-1など)の変換
外部DNSサーバの役割は
→グローバルアドレスとDMZに置いてあるWebサーバ、Mailサーバのドメイン名(例 61.197.217.xxx⇔yahoo.co.jpなど)の変換

と考えてよいのでしょうか?


社内のネットワーク環境はFWに三本のケーブルがささっており、それぞれ
(1)DMZ(Webサーバ、DNSサーバ、Mailサーバが設置。)
(2)インターネット
(3)社内LAN
という構成になっています。

どの本を見ても「DNSサーバの役割は、ドメイン名とIPアドレスの変換であり、数字の羅列では覚えにくいので~」という説明が書いてあり、
その意味は何となくわかるのですが、その後にクラスA、クラスBなどのアドレスの説明と、トップレベルドメインなどの説明があり、おまけに外部DNSサーバ、内部DNSサーバと出てきて、さらにhostsファイルを一箇所にまとめたものがDNSサーバーで、という説明もあって、
「自分が社内で使用しているIPアドレスは192.168.XX.XXで,co.jpとかではないのに、どう関係があるのか?」
「自分のPCに設定してあるtanaka-1はコンピュータ名であって、ドメイン名ではないと思うのだが・・・」
「自分のPCに設定してあるDNSサーバ-は社内のアドレスで内部DNSサーバーだと思うが、外部DNSサーバーはいつ、誰がどのように使うのか?」
などと非常に混乱しています。

どなたかお手すきの方がいらっしゃいましたら、ご返答宜しくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

内部DNSサーバと外部DNSサーバの違いは単にサーバを設置する場所の違い(内部:ローカルエリア、外部:インターネット側)だけだと思います。



質問者さんはDNSサーバーとしてひとまとめで考えられている様ですが、DNSサーバーについては下記の様な役割(サーバ機能)があります。
・コンテンツ(ゾーン)サーバー
   → 権限を持ったゾーンの名前解決を行う。
・キャッシュ(リカーシブ)サーバー
   → 問合せに対し再帰問合せを行う。いわゆる参照DNS。
・ゾーン転送サーバー
   → DNSのゾーン情報の転送を(セカンダリDNSなどに)行う。
上記の各サーバー機能をどこへ置くのかによって内部、外部が変わってくるのではないでしょうか。

たとえば、社内の各サーバやクライアントPCの名前解決を行わなくても良いのであればキャッシュサーバー(参照DNSサーバー)さえあれば良く、この場合、外部にあるプロバイダの参照DNSがあれば問題ないです。(もちろん、社内に参照DNSを設置してもかまいません。)

一方、ローカル側での名前解決が必要であったり、公開サーバーなどがある場合は、IPアドレスとホスト名の関係を記載したコンテンツサーバー(ゾーンサーバー)が必要になってきます。
ローカル側での名前解決だけが必要な場合は外部DNSを利用しませんし、セキュリティ的にも使わない方がいいです。
しかし、公開サーバーやメールサーバーなどがある場合は外部からこの情報にアクセスできないと名前解決ができないので通常はDMZなどの外部からアクセスできる所や、プロバイダでセカンダリDNSなどのDNSを借りてDNS情報の公開を行います。

ゾーン転送サーバーについては複数のDNSコンテンツサーバーがある場合にデータの同期がめんどくさいので親となるマスターサーバーよりセカンダリDNSなどにゾーン情報を送信するサーバーとなります。

セキュリティ的には上記の3つの機能を分けた方が良いとされていますが、考え方にもよるので一概には言えませんが、公開サーバーが必要な場合は外部のDNSがあった方が良いと考えておけば良いと思います。

この回答への補足

お疲れ様です。返信が遅れて失礼しました。大分わかった気がするのですが、まだ曖昧な部分は残っています。これ以上は自分で調べてみようと思います。ありがとうございました!

補足日時:2008/05/26 08:26
    • good
    • 0

外部DNSは、天災などがあったときにも使用できるように、別の場所に置いてあります。


決まりです
    • good
    • 0
この回答へのお礼

すいません、返信が遅れてしまいました。うーん、まだ曖昧です。

お礼日時:2008/05/16 12:56

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q内部DNSと外部DNSのフォワードについて

内部DNSと外部DNSの連携の部分についてご教授いただきたいのですが、
例えば社内のイントラに内部DNSがあり、DMZに外部DNSがある場合は、
内部DNSのフォワード設定で外部DNSのアドレスを指定するのでしょうか?
(WindowsDNSサーバならDNS管理コンソールのフォワーダタブ、BINDならnamed.confのoptionsステータス)

一般的には内部DNSと外部DNSの連携の設定がどうなっているのかご教授
いただきたく質問致しました。

よろしくお願いいたします。

Aベストアンサー

>例えば社内のイントラに内部DNSがあり、DMZに外部DNSがある場合は、
>内部DNSのフォワード設定で外部DNSのアドレスを指定するのでしょうか?

DNSの認識としてはこれで良いと私は思います。

付け加えるのならば、フォワード先で解決出来ない場合はルートヒントを元に再帰問い合わせをするのがデフォルトになっている(WindowsもBINDも)と思いますので、
これをオフにしてフォワード先で解決出来ない場合はそこで終了するようにします。
さらに、内部DNSは外部DNSからのDNS通信のみを受け付けるようにファイアウォールなどを設定します。

QエクセルのIF関数で、文字が入力されていたならば~

エクセルのIF関数で文字が入力されていたならば~、という論理式を組み立てたいと思っています。

=IF(A1="『どんな文字でも』","",+B1-C1)

A1セルに『どんな文字でも』入っていたならば、空白に。
文字が入っていなければB1セルからC1セルを引く、という状態です。

この『どんな文字でも』の部分に何を入れればいいのか教えてください。

またIF関数以外でも同様のことができれば構いません。

宜しくお願いします。

Aベストアンサー

=IF(ISTEXT(A1),"",B1-C1)

でどうでしょうか?

Q外向け(DMZ)・内向けの名前解決について

現在、ルータを2台接続し、
バリアセグメント(DMZ)とLAN側とネットワーク帯に分けています。
それぞれのネットワーク帯の名前解決はできており、
それぞれのネットワーク対からインターネットを閲覧できることも確認しています。
また、バリアセグメント(DMZ)内サーバからバリアセグメント(DMZ)内設置の公開webサーバを閲覧できることも確認できております。
ここで、疑問にもっておりますのは、
LAN側内設置のクライアントから
バリアセグメント(DMZ)内設置の公開webサーバを閲覧することなのですが、どのように設定すればよろしいのでしょうか?
IPaddressを直打ちすれば閲覧できることは確認しています。
よろしくお願いします。

Aベストアンサー

こんにちは
アドレス等の情報が不足しているので、推測になってしまいますが、
nslookup で検索したアドレスは、グローバルIP アドレスで、
かつ
DMZ セグメントのアドレスはプライベートIP アドレスではありませんか?

この状態の時には、社内DNS を用意し、
社内PC には公開Web サーバのアドレスを
プライベートIP アドレスで返すようにする必要があります。

もしくは、hosts ファイルにプライベートIP アドレスを記載し、
PC にインストールすると言う方法があります。

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QIPアドレス「0/16」とか「0/24」って何?

IPアドレスの表示で
10.1.0.0/16とか10.1.1.0/24とか
ありますが、
この「0/16」「0/24」っていったい何のことでしょうか?
インターネットで調べても見つかりません!
助けて下さい!!

Aベストアンサー

IPアドレスは32ビットであり、ネットワークアドレス(通称はサブネット)と、ホストアドレスに分ける事ができます。
ご質問の/24等の表記は、24ビットマスクと表現され、32ビット中の24ビットがネットワークアドレス部である事を示しています。正確に表現するなら、10.1.1.0/255.255.255.0になり、10.1.1.の部分がネットワーク(サブネット)となり、そのネットワーク内には8ビット分のホストアドレスが存在できる事になります。つまり、10.1.1.1~10.1.1.254の254個です。10.1.1.0は一般的には使用せず、10.1.1.255はサブネット内ブロードキャストアドレスなので使用できません。
同一ネットワーク内の端末同士(上記の10.1.1.1~10.1.1.254に相当)は、ARPと言うプロトコルでIPアドレスからMACアドレスを調べ、直接通信します。一方、異なるネットワーク間で通信する場合、ルータが中継して通信します。例えば、24ビットマスクのネットワークで、10.1.1.10の端末と10.1.2.30の端末は、ネットワークが10.1.1.0/24と10.1.2.0/24であり、異なるネットワークとなりますので、先程のARPでMACアドレスを調べて通信する事ができません。この様に、異なるネットワーク間を中継する役割がルータとなります。

IPアドレスは32ビットであり、ネットワークアドレス(通称はサブネット)と、ホストアドレスに分ける事ができます。
ご質問の/24等の表記は、24ビットマスクと表現され、32ビット中の24ビットがネットワークアドレス部である事を示しています。正確に表現するなら、10.1.1.0/255.255.255.0になり、10.1.1.の部分がネットワーク(サブネット)となり、そのネットワーク内には8ビット分のホストアドレスが存在できる事になります。つまり、10.1.1.1~10.1.1.254の254個です。10.1.1.0は一般的には使用せず、10.1.1...続きを読む

QDNSサーバを設定したのですがnslookupがタイムアウトになります

よろしくお願いします。
最近,固定IPアドレス1個と自jpドメインを取得しました。
結構高かったです。泣きそうです。
しかも1個って・・・
ネットワークとブロードキャストで2個消えるので最低でも4個はもらえるのかと思ってました(汗
ドメイン名もいかした名前は売り切れ,というより意味のある単語はほとんど先客があり,苦し紛れに文字って,なんとかさまになる(??)ドメイン名を取得しました。
という前置きはさておき,今回皆さんにお聞きしたいのはDNSというかネットワークの環境についてです。
恐らくDNSの設定は正しくできていると思うのです。
というのもサーバーにログインしてnslookupコマンドをやると,ちゃんと意図したアドレスが帰ってくるからです。
でも私がメインで使ってるXP機のコマンド画面からnslookupをやると

DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address サーバーのアドレス: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: サーバーのアドレス

となってしまいます。
DNSの設定の他に
ルーターの設定をいじったり
DHCPサーバーの設定をいじったりと
いろいろからかってみたのですが,未だに解決しません。

何か心当たりのある方いらっしゃいませんか。
どんな些細な事でも思い当たることがありましたら是非とも教えてください。

よろしくお願いします。
最近,固定IPアドレス1個と自jpドメインを取得しました。
結構高かったです。泣きそうです。
しかも1個って・・・
ネットワークとブロードキャストで2個消えるので最低でも4個はもらえるのかと思ってました(汗
ドメイン名もいかした名前は売り切れ,というより意味のある単語はほとんど先客があり,苦し紛れに文字って,なんとかさまになる(??)ドメイン名を取得しました。
という前置きはさておき,今回皆さんにお聞きしたいのはDNSというかネットワークの環境についてです。
恐ら...続きを読む

Aベストアンサー

 なるほど、それでは 192.168.1.130 という DNS サーバ側では引けているので、設定は問題ないという事ですね。

 そうしましたら、DNS 情報の登録はどのようになされていますでしょうか。もし .jp ドメインであれば
http://whois.jprs.jp/
こちらから情報の確認が出来ます。

 確認ポイントは[Name Server]で指定がされている DNS サーバです。ここで固定 IP アドレスを取得されたドメイン名のホスト情報を表示していますでしょうか。

 ドメイン登録業者では、一般的にそのドメイン業者の持つ DNS サーバが割り当てていますので、変更が必要になります。もし初期状態のままでしたら、DNS サーバまわりの設定(もしくは業者への申請)が適切かどうかご確認されたほうが良さそうです(お名前.comでしたらアドバイス可能です)。

Qプロキシ経由でインターネットアクセスする場合のDNSリゾルバは?

情報処理試験の問題でいまいち理解できないところがあったので教えてください。

前提
1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。
2.DMZにプロキシサーバとDNSサーバがある。
3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。

このとき、FQDNに対する名前解決をするリゾルバはどの装置か。
という問題で、回答はプロキシサーバとなっています。

ここが納得できないところで、私はリゾルバはDMZのDNSサーバなのではと思っています。

この場合の処理は以下のようになっていると思います。
A.プロキシサーバがwww.example.comの名前解決をDNSサーバに依頼する。
B.DNSサーバはフルサービスリゾルバとして動作しwww.example.comのIPアドレスをプロキシサーバに返す。
C.プロキシサーバはそのIPアドレスのホストにアクセスする。

プロキシサーバはスタブリゾルバである(?)から、という意味で回答がプロキシサーバと考えるのが妥当なのでしょうか。
DNSのリゾルバに関して完全に理解できていないかもしれないので間違ったことを書いているかもしれませんがよろしくお願いします。

情報処理試験の問題でいまいち理解できないところがあったので教えてください。

前提
1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。
2.DMZにプロキシサーバとDNSサーバがある。
3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。

このとき、FQDNに対する名前解決をするリゾルバはどの装置か。
という問題で、回答はプロキシサーバとなっています。

ここが納得でき...続きを読む

Aベストアンサー

リゾルバ ≠ DNSサービス ( or DNSサーバ )
と思いますがいかがでしょうか?

リゾルバは認識されている通り,2種類ありますよ。
 ・スタブリゾルバ
 ・フルサービスリゾルバ

でも一般的に リゾルバ = スタブリゾルバ ですね。
なのでリゾルバの定義としては,
「クライアントが名前解決をするときに利用するプログラムで,
 保持している IP-ホスト名一覧表,
 もしくは事前に定義されている DNS-Server に問合せを実行し,
 IP-Address,ホスト名を取得するもの。」
です。

http://e-words.jp/w/E383AAE382BEE383ABE38390.html
http://www.atmarkit.co.jp/fnetwork/dnstips/010.html

SOFTBANK Publishing
TCP/IP スタンダード
Page.203


ですので,
 1.クライアントからProxyサーバに「http://www.yahoo.co.jp」が送られる。
 2.ProxyサーバはDNSサーバに「www.yahoo.co.jp」の IP-Address を問い合わせる。
 3.DNSサーバはProxyサーバに「xxx.111.222.333」を返答する。
 4.Proxyサーバは「xxx.111.222.333」に「index.html」を要求する。

 2 = リゾルバ (スタブリゾルバ)
 3 = DNSサーバ(フルサービスリゾルバ)

となると思いますよ。

リゾルバ ≠ DNSサービス ( or DNSサーバ )
と思いますがいかがでしょうか?

リゾルバは認識されている通り,2種類ありますよ。
 ・スタブリゾルバ
 ・フルサービスリゾルバ

でも一般的に リゾルバ = スタブリゾルバ ですね。
なのでリゾルバの定義としては,
「クライアントが名前解決をするときに利用するプログラムで,
 保持している IP-ホスト名一覧表,
 もしくは事前に定義されている DNS-Server に問合せを実行し,
 IP-Address,ホスト名を取得するもの。」
です。

http://e-word...続きを読む

QActiveDirectoryで一般ユーザーにadministrator権限を与えるには

ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、
いくつか方法があると思いますが、どれが一番良いのでしょうか?

・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。

以上、宜しくお願いします。

Aベストアンサー

No2.です。
Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。

ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。
ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。

Q踏み台サーバってどんなサーバですか?

周りの話を聞いていたり、ネットを見ていたりすると、『踏み台サーバ』という
言葉が稀に出てきますが、どうやらそのケースによって意味合いが色々ありそうです。

どういったサーバに対して使用される言葉なのでしょうか??

お願いいたします。

Aベストアンサー

セキュリティ管理がしっかりなされていないため外部からの進入を許してしまうような状態にあるサーバを指します。
たいていの場合、不正なパケットを送りつけることでバッファオーバーフローを起こさせて任意のプログラム(ルートキットなど)を実行させたりするのですが、実際には設定を間違えておりはじめからオープンな状態のサーバも結構あったりします;
このような状態だと、クラッカー(攻撃者)があるサーバを攻撃しようとしたときに、これらの踏み台サーバを遠隔操作してあたかも踏み台サーバが攻撃したかのように装うことが出来ます。
実際には踏み台サーバを多数見つけて置いて同時に一つのサーバに攻撃を仕掛けることが多いです。この場合攻撃される側のサーバに世界中から攻撃が加えられることになり、まずサービスを提供し続けるのは不可能となります。
詳しくはDoSとかDDoSなどで検索すると良いでしょう。

最近では常時接続のパソコンも増えていてそのようなパソコンも踏み台に使われることがままあります。
この場合ボットと呼ばれスパイウェアやウィルスなどを使い乗っ取ることが多いです。


DDoSとは 【分散DoS】 (Distributed Denial of Service) - 意味・解説 : IT用語辞典 e-Words
http://e-words.jp/w/DDoS.html

PC View: 用語解説 ボットウイルス,ボットネット
http://www.pc-view.net/word_id-1634.html

バッファオーバーフローとは 【buffer over-flow】 - 意味・解説 : IT用語辞典 e-Words
http://e-words.jp/w/E38390E38383E38395E382A1E382AAE383BCE38390E383BCE38395E383ADE383BC.html

rootkitとは 【ルートキット】 - 意味・解説 : IT用語辞典 e-Words
http://e-words.jp/w/rootkit.html

セキュリティ管理がしっかりなされていないため外部からの進入を許してしまうような状態にあるサーバを指します。
たいていの場合、不正なパケットを送りつけることでバッファオーバーフローを起こさせて任意のプログラム(ルートキットなど)を実行させたりするのですが、実際には設定を間違えておりはじめからオープンな状態のサーバも結構あったりします;
このような状態だと、クラッカー(攻撃者)があるサーバを攻撃しようとしたときに、これらの踏み台サーバを遠隔操作してあたかも踏み台サーバが攻撃し...続きを読む

QプロキシサーバとDNSサーバについて

初歩的な質問ですいません。
社内LANにDNSサーバとプロキシサーバがある場合について教えてください。社内端末からインターネットにいく場合、端末はプロキシサーバとDNSサーバのどちらに先にアクセスするのでしょうか。
プロキシサーバにアクセス後、DNサーバに解決に行くのでしょうか。それとも、DNSを利用してプロキシの名前解決をしてからプロキシサーバにアクセスするものなのでしょうか。

Aベストアンサー

端末のDNSキャッシュにプロキシサーバのIPアドレスが記録されていない場合は、プロキシサーバの名前解決のためにDNSサーバにアクセスします。
その後、プロキシサーバに対してアクセスし、取得してくるURLをプロキシサーバに送ります。
URLからIPアドレスの情報が無い場合は、「プロキシサーバ」がDNSサーバにアクセスし名前解決を行います。
Webプロキシの場合…ですが。

ということで、端末が参照するDNSサーバは内部LANのみの名前解決だけでもプロクシサーバが参照するDNSサーバが外部の名前を解決できればよいことになります。
HTTPSのプロクシも動作していないと使いにくそうですが。


人気Q&Aランキング