EDB Assistance : EDB/DNSのための情報登録手引き
本頁ではEDB/DNSにおけるのDNS情報の登録について説明します.
このページで作業をする場合には,まずEDBにしてください. (ログインしていない状態では,この頁に配置されているボタンのいくつかが有効にならない,あるいはメッセージや入力フォームなどが表示されないことがあります)
目次
DNSとは?
DNS (Domain Name System) とはインターネットに接続されたコンピュータ(ホスト)の
等の情報を保有しインターネットに提供しているデータベースです. 上記の情報は,インターネット上に配置されたネームサーバ(DNSサーバ)に分散して登録され,複数のネームサーバが協調して情報の交換や問い合わせを行う分散データベースシステムとして運用されています.
- 名前とIPアドレスの対応関係,
- ドメインやホスト単位の電子メールの配送経路
このシステムに参加するには,各ドメイン,ネットワーク毎にそれらの情報を担当するネームサーバを運用する必要があり,DNSの運用に際しては,
ということが原則となっています. 今日のインターネットでは,名前によるホストの参照や電子メールに利用が必要不可欠になっていることから,インターネットに接続する組織は自己のドメインとネットワークに関する情報を登録し,内外に提供するネームサーバを運用することが必要不可欠になっています.
- ドメイン,ネットワークの割り当てを受けている組織がネームサーバを運用し,名前やIPアドレスなどのネットワークに関する情報を登録,自他のネットワークに情報を提供する.
DNSの登録情報についての最も短い解説
DNSは複数の名前空間(name spece)を持ち,その空間間写像(map)(自身の空間内の写像を含む)を情報として蓄積しているデータベースです. 各々の名前空間は階層化された構造を持っています. インターネットで利用される名前空間はドメイン空間(ドメイン名やホスト名等を要素として持つ空間)とアドレス空間(IPアドレスを要素としてもつ空間)です. 一般的には,それぞれの空間は以下の情報を持つように運用されます.
DNSを利用することはすなわち,各名前空間の要素にどのような情報が登録されているかを検索することであり,
- ドメイン空間
- 要素にホスト名やドメイン名などの名前をラベルとして持ち,各々の要素は
等の情報を持ちます.
- アドレス空間への写像(A; →アドレス空間): ホスト名からIPアドレスへの変換
- その名前を管理しているネームサーバ(NS; →ドメイン空間)
- 電子メールの配送のためのメールエクスチェンジャ(MX; →ドメイン空間)
- 要素が別称である場合の正式名に対する写像(CNAME; →ドメイン空間)
- アドレス空間
- 要素にIPアドレスをラベルとして持ち,各々の要素は
等の情報を持ちます.
- ドメイン空間への写像(PTR; →ドメイン空間): IPアドレスからホスト名への変換
- そのIPアドレスを管理しているネームサーバ(NS; →ドメイン空間)
と呼んでいます.
- ドメイン空間(ホスト名など)の要素を起点として他の要素を検索することを正引き,
- アドレス空間(IPアドレスなど)の要素を起点として他の要素を検索することを逆引き
DNSに関連するその他の用語
- IPネットワークのクラス
- ネットワークの規模を8ビット単位でクラス分けしたもの. クラスAは8ビットマスク(1600万個のIPアドレス),クラスBは16ビットマスク(65,536個のIPアドレス),クラスCは24ビットマスク(256個のIPアドレス)である.DNSのアドレス管理ではまだクラスの考え方が支配的である.
- FQDN (Fully Qualified Domain Name)
- ドメインの階層構造を省略しないホスト名,ドメイン名の記述. 例えば,ドメイン名: tokushimia-u.ac.jp に属するホスト名: www のFQDNはwww.tokushima-u.ac.jp である.
- CIDR (Classless InterDomain Routing) 記法
- IPネットワークアドレスを記述する際に,IPアドレスだけでなくネットマスクのビット数を列記する記述法.例えば,150.59.0.0 がクラスBのネットワークとして運用されている場合には,CIDR記法では 150.59.0.0/16 と記述,150.59.4.0 がクラスCのネットワークとして運用されている場合には 150.59.4.0/24 と記述する.
本学でのDNSの管理
本学ではDNSの運用に際して,各々の支線管理者が直接DNSサーバに対して情報登録を行うのではなく,
という方法を方針として採ってきました. このために,1994年4月に『WHOIS DATABASE』の運用を開始し,ほぼ10年の運用期間においておおよそ円滑に本学におけるDNSの運用は実現してきましたが,
- DNS情報をDNSとは別のデータベースサーバに蓄積
- 利用者はこのデータベースに情報を登録,データの検査を受ける
- 定期的にこのデータベースからDNSの登録情報を生成,DNSサーバに登録する
などが問題点として浮上してきました. 特に2.のセキュリティに関しては,本学のセキュリティポリシーに抵触する重要な問題として看過できない事態となっています.
- 登録インタフェースが電子メールのみなので時代遅れである.
- 電子メールによる登録にはセキュリティがない.
- DNSに備わっている様々な機能を活用することができない.
このような状況を受けて,2004年10月に『WHOIS DATABASE』の運用を全面的に見直し,DNS情報の管理をEDBに移行しました. 改善項目は,
があります. 特に,今回の移行に際してはセキュリティに関連する3.の情報操作の権限や新規登録権限が強化されました. (『WHOIS DATABASE』のときには誰でもがDNS情報を登録,修正が可能であったのに対し,現在は,緻密に設計された権限の検査により特定の利用者のみに情報の操作が限定されるようになりました.)
- WWWインタフェースによるDNS情報の登録.(EDBの情報登録インタフェースを流用)
- EDBの認証を受けたものによるDNS情報の操作.(EDBの認証機能を利用)
- ドメインやネットワーク管理者によるDNS情報の操作権限の実装と新規ホスト情報登録権限の定義.
- DNSの機能の積極的な活用.
『WHOIS DATABASE』からのDNS情報の移植
『WHOIS DATABASE』の登録情報をEDBに移植する場合に行った変更点について説明します.
- ○ ドメイン情報
- EDBに【ドメイン】情報を新設.全ての情報をEDBに移植.[組織]欄は参照形式に変更.
- ○ ネットワーク情報
- EDBに【ネットワーク】情報を新設.全ての情報をEDBに移植.[組織]欄は参照形式に変更.
- ○ ホスト情報
- EDBに【ホスト】情報を新設.全ての情報をEDBに移植.
- 従来,[ホスト]の別称として登録されていた項目を廃止.独立したホスト情報として扱う仕様に変更した. これにより,1つの別称で複数のホストへの参照が可能になる.
- ○ 個人情報
- 廃止.ただし,『WHOIS DATABASE』の[ドメイン], [ネットワーク], [ホスト]に登録されていた管理者,技術担当者に関しては,以下のようにした.
- [個人情報]の電子メールアドレスとEDBに登録されている電子メールアドレスが一致したものについては,EDBのEIDを参照形式で登録.
- 上記以外のものについては,[個人情報]の名前と電子メールアドレスをテキスト形式で記述して登録.
『WHOIS DATABASE』からEDB/DNSへの変更点
『WHOIS DATABASE』のからEDB/DNSへの移行に際して変更された機能について説明します.
- ○ ユーザ権限の定義
- これまでは登録情報の多くは誰でも書き換えができる状態でしたが,EDB/DNSでは各情報毎に修正や削除に対する権限の判断を強化し,登録された【ホスト】情報などは,原則としてそのコンピュータの管理者や支線管理者のハイアラキに限定されるようにした.
- ○ 複数の別称の定義
- あるひとつの別称に対して複数のコンピュータを対応させることが可能になりました.
- ○ ドメインをまたがった別称の定義
- 他ドメインで運用されているホストを別称の正式名として参照できるようにしました.
- ○ 支線管理者によるサブドメインの作成
- あるドメインの支線管理者はそのドメインのサブドメインを作成することが可能になりました.
EDB/DNSで扱う情報.
EDBでは,DNS情報を下記の表に示すように3種類の情報によって管理しています.
各々の情報には,その情報を新規作成できる人の範囲と既存の情報を修正できる人の範囲が定義されています. 誰でもが好きずきに情報を作成したり修正したりできないことに注意してください.
情報名 登録内容(DNS情報) 新規作成できる人 既存情報を修正できる人 【ホスト】
ホスト名とIPアドレスの対応.
または別称の登録.
ホスト単位のメール配送経路の設定.所属[ドメイン]の[管理者],[連絡先]の個人,
所属[ドメイン]の[組織]のハイアラキ(上方)で探索できる権限を持つ個人.
所属[ドメイン]の[組織]のハイアラキ(下方)に登録されている[構成員].[管理者],[連絡先],(所有者)の個人,
所属[ドメイン]の[管理者],[連絡先]の個人,
所属[ドメイン]の[組織]のハイアラキ(上方)で探索できる権限を持つ個人.【ドメイン】
ドメインのネームサーバの設定.
メールエクスチェンジャの設定.ドメインの[管理者],[連絡先]はサブドメインを作成することが可能. (いくつかの項目のみ)[管理者],[連絡先]の個人,
[組織]のハイアラキ(上方)で探索できる権限を持つ個人.【ネットワーク】
IPネットワークのネームサーバの設定. 現時点では不可 (いくつかの項目のみ)[管理者],[連絡先]の個人,
[組織]のハイアラキ(上方)で探索できる権限を持つ個人.なお,上の表ではかなり難解な表現になっていますが,通常,
のように登録されることを考えますと,その支線ネットワークにおいて新規に【ホスト】情報を作成できるのは,
- 【ドメイン】.[管理者], [連絡先] ← 支線ネットワーク管理者
- 【ドメイン】.[組織] ← 支線ネットワークを利用している組織
- 【ネットワーク】.[管理者], [連絡先] ← 支線ネットワーク管理者
- 【ネットワーク】.[組織] ← 支線ネットワークを利用している組織
ということになり,既存の【ホスト】情報を修正できるのは
- 支線管理者
- その組織の長(学科長,部局長,学長,...)
- その組織に属している教職員
ということになります.
- その【ホスト】情報の所有者,[管理者], [連絡先]の教職員
- 支線管理者
- その組織の長(学科長,部局長,学長,...)
EDB/DNS情報の登録作業
現時点登録されているドメイン,ネットワークについては,
を御覧ください.(もし貴方が,あるホスト情報を編集したいもしくは,あるホスト情報を新規に登録したいときにそれが許可されていない場合には,上記のドメイン一覧に記載されている管理者,連絡先の方に相談してください.)
◇【ホスト】情報の作成,修正,削除 ◇
【ホスト】情報の詳細については,を御覧ください.
- ○ IPアドレスを持つホスト
- 通常のホストの登録です.
カラム名 登録内容 補足 名前 ドメイン名を含まないホスト名を登録してください. 必須 この2つを組み合わせてFQDNを作成します. ドメイン ホストが所属するドメインを選択してください. 必須 アドレス IPアドレス(150.59.x.x)を記述してください.
他のホストで利用されていないアドレスを支線管理者に割り振ってもらってください.必須 IPアドレスは複数登録できますが,通常の運用では1つのみです.複数登録する場合には,そのホストにそれなりの設定作業が必要です. 機種 ホストの機器名を記述してください. 必要 ネットワークの運用上のトラブル解決や円滑な運用を保つために必要な情報ですので,可能な限り登録をお願いします. OS ホストのOSを記述してください. 必要 設置場所 設置場所を記述してください. 必要 管理者 管理者を選択してください. 必要 このホスト情報を保守する上で必要な情報ですので,可能な限り登録をお願いします. 連絡先 連絡先(技術担当者)を選択してください. 必要 メールエクスチェンジャ このホスト宛の電子メールに関して,まず最初に電子メールが配送すべきメールサーバを選択してください. 通常の運用では登録する必要はありません.
複数登録可能ですが,実際に利用されるのは最初に書かれたひとつだけです.
別称がメールエクスチェンジャに登録された場合の実際のDNS/BINDでの設定- ○ IPアドレスを持たないホスト(別称の登録)
- すでに登録されているホストを別の名前で参照したいときに行うホストの登録です.(例えば,既に登録されているホスト: myhost.abc.tokushima-u.ac.jp を別の名前: www.abc.tokushimia-u.ac.jp で参照したいときなど)
カラム名 登録内容 補足 名前 ドメイン名を含まないホスト名を登録してください. 必須 この2つを組み合わせてFQDNを作成します. ドメイン ホストが所属するドメインを選択してください. 必須 正式名 このホスト情報(別称)が指す正式ホスト(既登録情報)を選択してください. 必須 正式名は複数登録できます.複数登録される場合には,DNSに対する問い合わせに対してRound-Robinが適用されます.
別称がネストした場合の実際のDNS/BINDでの設定管理者 管理者を選択してください. 必要 このホスト情報を保守する上で必要な情報ですので,可能な限り登録をお願いします. 連絡先 連絡先(技術担当者)を選択してください. 必要
◇【ドメイン】情報の作成,修正 ◇
【ドメイン】情報の詳細については,を御覧ください.
カラム名 説明 補足 名前 ドメイン名(1階層分)を登録してください. 必須 この2つを組み合わせてFQDNを作成します. 上位ドメインの管理者のみ変更可 ドメイン このドメインが所属するドメインを選択してください. 必須 上位ドメインの管理者のみ変更可 組織 このドメインを利用している組織を選択してください. 必要 このドメイン情報の保守やドメイン内のホストの保守に必要ですので,できる限り登録してください.
組織が複数にまたがっている場合にはその組織を全て登録してください.
管理者や連絡先には支線管理者を登録してください.管理者 管理者を選択してください. 必要 連絡先 連絡先(技術担当者)を選択してください. 必要 ネームサーバ このドメインのネームサーバとなるホストを選択してください. 必須 通常,ネームサーバは複数登録され,最初の1つがプライマリネームサーバ,2つめ以降がセカンダリネームサーバとして設定されなくてはなりません.
特別な理由がない限り,のように設定してください. ネームサーバの定義はネットワークの運用状態に大きく影響しますので,ネームサーバの役割が十分に理解できない場合には設定を変更しないでください.
- ns.ipc.tokushima-u.ac.jp
- ns2.ipc3.tokushima-u.ac.jp
- 自ネットワークで運用しているネームサーバ
ネームサーバの設定と実際のDNS/BINDでの設定
別称がネームサーバに登録された場合の実際のDNS/BINDでの設定メールエクスチェンジャ このドメイン宛の電子メールを配送すべきメールサーバを選択してください. 必須 メールエクスチェンジャが複数登録された場合,このドメイン宛の電子メールは最終的に1つめのメールエクスチェンジャに到達するべきとして優先度を定義します.
1つめのメールエクスチェンジャはこのドメイン宛の電子メールを正しく処理できる必要があります.
メールエクスチェンジャの定義は電子メールの配送を決定するものですので,メールエクスチェンジャの連携が十分に理解できない場合には設定を変更しないでください.別称がメールエクスチェンジャに登録された場合の実際のDNS/BINDでの設定 IPネットワーク このドメインで利用できるIPネットワークを選択します. 必須 例外として,別称のホストのみを登録するドメインの場合にはIPネットワークは必要ありません.
上位ドメインで利用可能なIPネットワークのみを登録することができます.上位ドメインの管理者のみ変更可
- ドメインの一覧は「ドメイン一覧」で閲覧できます.
- 【ドメイン】情報のトップページはを御覧ください.
- 【ドメイン】情報の徳島大学のトップページはを御覧ください.
- 【ドメイン】情報を編集するにはを開いて,編集ボタンをクリックして編集を開始してください.
◇【ネットワーク】情報の作成,修正 ◇
【ネットワーク】情報の詳細については,を御覧ください.
カラム名 説明 補足 アドレス IPネットワークアドレスをCIDR記法で記述してください. 必須 アドレスの修正は他の情報【ドメイン】【ホスト】情報に大きく影響しますので,修正しないことを薦めます. 新規に情報を作成する場合には,貴方が指定したアドレスを含むネットワーク情報の管理者であることが必要です. 組織 このドメインを利用している組織を選択してください. 必要 このドメイン情報の保守やドメイン内のホストの保守に必要ですので,できる限り登録してください.
組織が複数にまたがっている場合にはその組織を全て登録してください.名称 ネットワークの名称を記述してください. 必須 空白を含まない12文字以下の名前を記述してください. 管理者 管理者を選択してください. 必要 このドメイン情報の保守やドメイン内のホストの保守に必要ですので,できる限り登録してください.
管理者や連絡先には支線管理者を登録してください.連絡先 連絡先(技術担当者)を選択してください. 必要 ネームサーバ このネットワークのネームサーバを選択してください. 必須 通常,ネームサーバは複数登録され,最初の1つがプライマリネームサーバ,2つめ以降がセカンダリネームサーバとして設定されなくてはなりません.
特別な理由がない限り,のように設定してください.
- ns.ipc.tokushima-u.ac.jp
- ns2.ipc3.tokushima-u.ac.jp
- 自ネットワークで運用しているネームサーバ
ネームサーバの定義はネットワークの運用状態に大きく影響しますので,ネームサーバの役割が十分に理解できない場合には設定を変更しないでください.ネームサーバの設定と実際のDNS/BINDでの設定
別称がネームサーバに登録された場合の実際のDNS/BINDでの設定
- ネットワークの一覧は「ネットワーク一覧」で閲覧できます.
- 【ネットワーク】情報のトップページはを御覧ください.
- 【ネットワーク】情報を編集するにはを開いて,編集ボタンをクリックして編集を開始してください.
ネームサーバの設定と実際のDNS/BINDでの設定
ネットワークを正常に運用するためには,ネットワークに関する情報をネームサーバを登録して,自他のネットワークに対する情報の提供を行わなければなりません. このために,【ドメイン】,【ネットワーク】には[ネームサーバ]の登録欄があります. この登録欄には,通常2つ以上のネームサーバを登録するべきです. 複数のネームサーバが登録されているときの扱いは以下の通りです.
ネームサーバを登録するときにはサーバの管理者に確認のうえ,ネームサーバに必要な作業を行った後,登録するようにしてください. ネームサーバの設定の調整なしに,ネームサーバを登録するとそのドメインやネットワークについて,DNSの情報を検索できないなどのトラブルの原因になります.
- ○ 1つめに登録されているネームサーバ
- Authorized Primary Nameserver として扱う.
- Primary Nameserver は,そのゾーンの情報を登録する必要がある.
- ○ 2つ目以降のネームサーバ
- Authorized Secondary Nameserver として扱う.
- Secondary Nameserver は定期的に他のMaster Nameserver (Primary Nameserver)からゾーンの情報をコピーしなくてはならない.
ただし,本学で運用しているネームサーバのうちはネームサーバ欄に登録されると,プライマリ(もしくはセカンダリ)の設定を自動的に行うように調整されています.(数時間の時間遅れがあります.)
- ns.ipc.tokushima-u.ac.jp
- ns2.ipc3.tokushima-u.ac.jp
ただし,EDBで運用しているネームサーバのうちはネームサーバ欄に登録されると,プライマリ(もしくはセカンダリ)の設定を自動的に行うように調整されています.(数時間の時間遅れがあります.)
- dns1.db.tokushima-u.ac.jp
- dns2.db.tokushima-u.ac.jp
メールエクスチェンジャの設定と実際のDNS/BINDでの設定
DNSは電子メールの配送経路の情報を担っています. その情報レコードのことを MX (MailExchanger) と呼んでいます. MXはメールアドレス「名前@fully.qualified.domain.name」宛のメールを送信する際に,メールサーバがどのサーバに対してメールを配送すれば良いかを知るためのものです. つまり,上記の例では,「名前@fully.qualified.domain.name」に送るときには「fully.qualified.domain.name」という名前に対して登録されているMXをDNSで検索して得られたサーバに対してメールを送信するという手順になります.
EDB/DNSでは,名前に対してMXの情報を登録するために,【ドメイン】,【ホスト】には[メールエクスチェンジャ]の登録欄があります. 【ドメイン】に[メールエクスチェンジャ] が登録されない場合には,そのドメイン宛のメールは配送先不明となりなります. 複数のメールエクスチェンジャが登録されているときの扱いは以下の通りです.
- ○ 1つめに登録されているメールエクスチェンジャ
- そのメールを最終的に処理すべきメールサーバ.
- メールサーバはそのメールを自身で処理するように設定されていなければならない.
- ○ 2つ目以降のメールエクスチェンジャ
- 1つめのメールサーバが,何らかの状況で通信不可能な場合に一次的に電子メールを受け取るメールサーバ.
- 1つめのメールサーバが復帰したときには電子メールの配送を行う.
- 登録順によって優先度が低くなるため,外部のメールサーバ程後に登録するのが一般的である.
- メールサーバはそのメールの中継が可能なように設定されていなければならない.
別称がネストしたり,ネームサーバやメールエクスチェンジャに登録された場合の実際のDNS/BINDでの設定
BIND/DNSでは別称がネストしたり,ネームサーバやメールエクスチェンジャに登録されるべきではないとしています. 別称のネストは不要なDNSの問い合わせを発生させ,またネームサーバ問い合わせに対する解決が不可能になる可能性が高くなり,メールエクスチェンジャの設定の不備からメールの配送が滞ってしまう可能性が高くなるからです. すなわち,BIND/DNSでは別称やネームサーバ,メールエクスチェンジャの参照先は必ずIPアドレスが登録されている名前が登録されていることを望んでいます.
これに対しEDB/DNSでは別称のネスト,ネームサーバやメールエクスチェンジャへの登録を許しており,BIND/DNSの設定ファイルを生成するときに最終的にIPアドレスを持つホストを検索した結果を記述するようにしています. この点で,DNS設定上の意味は同じでも,EDB/DNSとBIND/DNSの登録レコードの違いが発生することがあります. また,各々の場合について以下のように取り扱っていますので,ご注意ください.
なお,以上は別称を上記のように積極的に登録してくださいということではなく,誤ってそのような設定をしてしまった場合の回避措置として捉えてくださるようお願いします.
- ○ ホストの別称のネスト
- 別称のネストを再帰的に探索した結果,発見できたIPアドレスを持つホストの数によって以下のように設定する.
- 1台の場合,そのホストを正式名(CNAMEレコード)としてBIND/DNSに登録する.
- 複数台の場合,それらのホストをIPアドレス(Aレコード)としてBIND/DNSに登録する.
- ○ 別称のネームサーバへの登録
- 別称を再帰的に探索した結果発見できたIPアドレスを持つ全てのホストをネームサーバとしてBIND/DNSに登録する.プライマリネームサーバは,別称の探索時に最初に発見されたホストとする.
- ○ 別称のメールエクスチェンジャへの登録
- メールエクスチェンジャに登録欄毎に優先度を割り振った後,もし別称であれば再帰的に探索した結果発見できたIPアドレスを持つ全てのホストを同じ優先度を持つメールエクスチェンジャとしてBIND/DNSに登録する.
- MXの最終サーバが複数登録された場合には,そのいずれのメールサーバもメールを自身で処理するように設定されていなければならないことに注意してください.
EDB working group <edb-admin@web.db.tokushima-u.ac.jp> $Id: DNS.html,v 1.22 2008/05/22 10:17:35 alex Exp $