目次
内部DNSと外部DNS
目次内部DNSとは
DNSによる名前解決は、インターネット上のWebサービスやメールサービスの公開のために使用されますが、プライベート用として外部には公開しないDNSというのも存在します。
それが内部DNSです。
内部DNSは、組織や企業の内部ネットワークで使用されるDNSのことです。
一般的なインターネット上のDNSとは異なり、内部DNSは組織のプライベートネットワーク内でのみ有効なホスト名と IPアドレスの解決を提供します。
内部DNSの主な役割は、組織内のサーバーやデバイスに対して、覚えやすいホスト名(例:fs.company.local)を割り当て、それらをIPアドレスに変換することです。
これにより、ユーザーはIPアドレスを覚える必要なく、内部リソースに簡単にアクセスできるようになります。
多くの企業では、Active DirectoryのDNS機能や、BIND、DNSMasqなどのソフトウェアを利用して内部DNSを構築しています。
また、内部DNSは外部からのアクセスを防ぐためにファイアウォールで保護されることが一般的で、セキュリティ上の理由から外部DNSとは分離されて運用されています。
内部DNSの設定により、組織は独自のドメイン命名規則を確立し、ネットワーク管理を効率化できるほか、DNSクエリに対するレスポンス時間の短縮や、ネットワークトラフィックの最適化にも寄与します。
それが内部DNSです。
内部DNSは、組織や企業の内部ネットワークで使用されるDNSのことです。
一般的なインターネット上のDNSとは異なり、内部DNSは組織のプライベートネットワーク内でのみ有効なホスト名と IPアドレスの解決を提供します。
内部DNSの主な役割は、組織内のサーバーやデバイスに対して、覚えやすいホスト名(例:fs.company.local)を割り当て、それらをIPアドレスに変換することです。
これにより、ユーザーはIPアドレスを覚える必要なく、内部リソースに簡単にアクセスできるようになります。
多くの企業では、Active DirectoryのDNS機能や、BIND、DNSMasqなどのソフトウェアを利用して内部DNSを構築しています。
また、内部DNSは外部からのアクセスを防ぐためにファイアウォールで保護されることが一般的で、セキュリティ上の理由から外部DNSとは分離されて運用されています。
内部DNSの設定により、組織は独自のドメイン命名規則を確立し、ネットワーク管理を効率化できるほか、DNSクエリに対するレスポンス時間の短縮や、ネットワークトラフィックの最適化にも寄与します。
外部DNSとは
外部DNSとは、インターネット上で公開されているDNSのことを指します。
これは世界中のコンピュータがウェブサイトやその他のインターネットサービスを見つけるために利用する、グローバルな分散データベースシステムです。
外部DNSの役割自体は内部DNSと代わりはなく、名前解決サービスの提供です。
人間が覚えやすいドメイン名(例:google.com)をコンピュータが理解できるIPアドレス(例:172.217.175.110)に変換してくれます。
内部DNSと異なるのは、この外部DNSはインターネットに公開されているため、社内以外からもアクセスして、名前解決が可能です。
外部DNSは世界中からアクセス可能であるため、DoS攻撃やキャッシュポイズニングなどのセキュリティリスクに対応するためのDNSSECなどのセキュリティ機能が実装されることが増えています。
また、DNSの冗長性や可用性を確保するために、複数のサーバーに分散配置されることが一般的です。
これは世界中のコンピュータがウェブサイトやその他のインターネットサービスを見つけるために利用する、グローバルな分散データベースシステムです。
外部DNSの役割自体は内部DNSと代わりはなく、名前解決サービスの提供です。
人間が覚えやすいドメイン名(例:google.com)をコンピュータが理解できるIPアドレス(例:172.217.175.110)に変換してくれます。
内部DNSと異なるのは、この外部DNSはインターネットに公開されているため、社内以外からもアクセスして、名前解決が可能です。
外部DNSは世界中からアクセス可能であるため、DoS攻撃やキャッシュポイズニングなどのセキュリティリスクに対応するためのDNSSECなどのセキュリティ機能が実装されることが増えています。
また、DNSの冗長性や可用性を確保するために、複数のサーバーに分散配置されることが一般的です。
内部DNSと外部DNSの違い
内部DNSと外部DNSの違いを整理します。
基本的に名前解決機能を提供するという点は、どちらも変わりません。
大きな違いは、公開先です。
社内向けに公開する名前解決機能は内部DNSで、インターネット全体に公開するのが外部DNSです。
また、管理するドメインも異なります。
内部DNSは社内でのみ使うもののため、ドメイン名は自由に名前を決めて構いません。
対して、外部DNSの場合は全世界で重複不可なので、ドメインを管理する組織から払い出しが必要になります。
基本的に名前解決機能を提供するという点は、どちらも変わりません。
大きな違いは、公開先です。
社内向けに公開する名前解決機能は内部DNSで、インターネット全体に公開するのが外部DNSです。
また、管理するドメインも異なります。
内部DNSは社内でのみ使うもののため、ドメイン名は自由に名前を決めて構いません。
対して、外部DNSの場合は全世界で重複不可なので、ドメインを管理する組織から払い出しが必要になります。
| 比較項目 | 内部DNS | 外部DNS |
|---|---|---|
| 適用範囲 | 組織や企業の内部ネットワーク内のみ | インターネット全体(世界中) |
| アクセス制限 | 基本的に組織内からのみアクセス可能 | インターネットに接続している誰でもアクセス可能 |
| 解決するドメイン | 内部リソース(.local, .internalなどのプライベートドメイン) | インターネット上の公開ドメイン(.com, .net, .orgなど) |
| 管理者 | 組織内のIT部門やシステム管理者 | ドメインレジストラ、ISP、CDNプロバイダーなど |
| セキュリティ考慮点 | 通常ファイアウォールで保護され、外部からのアクセスは制限 | DoS攻撃やDNSポイズニングなどに対する対策が必要 |
| 一般的な実装 | Active Directory、BIND、DNSMasqなど | 権威DNSサーバー、TLDサーバー、ルートサーバーなどの階層構造 |
| 主な目的 | 内部サーバー、プリンター、社内アプリケーションなどへの名前解決 | 公開ウェブサイト、メールサーバーなどへのグローバルな名前解決 |
| 可用性要件 | 主に業務時間内の可用性が重要 | 24時間365日の高可用性が求められる |
内部DNSと外部DNSを使った名前解決構成
企業における、内部DNSと外部DNSの名前解決の構成例を紹介します。
飽くまで一例ですが、このような構成をとっている企業も多いと思います。
内部DNSサーバは社内システム関連の名前解決を行うことを役割として、企業の従業員が利用するPCから名前解決を受け付けます。
社外のインターネットから受け付ける必要はありませんので、ファイアウォールで完全にインターネットからは隔離した社内システム領域に設置します。
対して、社外DNSはDMZで公開しているサーバ達の名前解決をインターネット上で提供するために、DMZ領域に設置します。
このような形で、社内と社外でそれぞれの名前解決を分離して提供するのが企業ネットワークでよくある構成です。
飽くまで一例ですが、このような構成をとっている企業も多いと思います。
内部DNSサーバは社内システム関連の名前解決を行うことを役割として、企業の従業員が利用するPCから名前解決を受け付けます。
社外のインターネットから受け付ける必要はありませんので、ファイアウォールで完全にインターネットからは隔離した社内システム領域に設置します。
対して、社外DNSはDMZで公開しているサーバ達の名前解決をインターネット上で提供するために、DMZ領域に設置します。
このような形で、社内と社外でそれぞれの名前解決を分離して提供するのが企業ネットワークでよくある構成です。
まとめ
企業ネットワークではよく使われる構成で、内部DNSと外部DNSを解説しました。
Webサービス等を提供するためには、外部DNSが重要な機能となりますし、従業員が社内システムを使うために内部DNSが重要になります。
それぞれ使う人が異なりますが、業務においてはどちらも重要であることは変わりません。
ただ、管理するドメインは異なりますので、どちらのDNSも正確に管理できるように概念をきちんと理解しておきましょう。
Webサービス等を提供するためには、外部DNSが重要な機能となりますし、従業員が社内システムを使うために内部DNSが重要になります。
それぞれ使う人が異なりますが、業務においてはどちらも重要であることは変わりません。
ただ、管理するドメインは異なりますので、どちらのDNSも正確に管理できるように概念をきちんと理解しておきましょう。