パブリックDNSに登録されているドメインをプライベートDNSにプライベートIPアドレスで登録することは可能でしょうか。

Question

パブリックDNSに登録している公開WEBサーバ（www.sample.co.jp）にイントラネット内部の端末からアクセスしようとするとグローバルIPが引かれてしまい、アクセスできない状況になります。

この状況を回避するため、イントラネット内の端末はhostsファイルにWebサーバのプライベートIPを定義しています。

今後、端末台数が増えることが予想され、またwebサーバのリプレイスなどでプライベートIPが変わることも考慮し、プライベートDNSを構築することで、端末別に設定しているhostsファイルの定義を不要にできないかと考えています。

単純にプライベートDNSにsample.co.jpというゾーンを追加して、wwwホストをAネームとしてプライベートIPを紐づけて登録すると、www.sample.co.jpに関しては、期待通りプライベートIPアドレスが戻るので良いのですが、プライベートDNSには登録していないたとえばap.sample.co.jpはパブリックDNSに問い合わせをしてほしいと考えています。

このような登録は可能でしょうか。

Answer 1

チャブーンです。

この件ですが、DNSの仕様に添ってちゃんとやるなら、Split-Brain DNSの機能を使ってみてはいかがでしょうか？

Split-Brain DNSというのはWindows Server 2016以降のDNS Serverに実装された機能で、特定の条件下で(登録されている)通常のDNSレコードとは別のレコード(IPアドレス)を提示するものです。

たとえば、オンプレミスネットワーク(サブネット帯)かつwww.sample.co.jpのFQDNクエリが発生した条件下のときだけ、www.sample.co.jp=192.168.0.100(ローカルIP)が解決するように、Split-Brain DNSだと構成できます。設定が多少面倒ですが、DNSの作法に合致しており、後日のトラブルを招来する可能性はとても低いと思います。詳細については、以下のpptなどを参考にしてみてください。

https://www.slideshare.net/slideshow/understanding-split-brain-dns/188250830
https://learn.microsoft.com/ja-jp/windows-server/networking/dns/deploy/split-brain-dns-deployment?WT.mc_id=EM-MVP-8322

なお、他の方の回答なのですが、これは「FQDNのサブドメイン化(正式名称は知らないのですが)」とでもいうのでしょうか、要はFQDNをサブドメインのゾーンとして扱い、ゾーンに対するIPアドレスとしてサーバーの(ローカル)IPアドレスをNSレコードなどで指定しておくのです。こうすると、www.sample.co.jp(という名前のDNSゾーン)はローカルIPで名前解決できますが、ap.sample.co.jpはローカルDNSにゾーンが存在しないので、DNS再帰で外部のsample.co.jpゾーンに確認にいく、という仕掛けです。

こういう操作は管理者的には美しい(工夫されたカッコいい手に見える)のかもしれませんが、DNSの名前解決仕様には合致しませんので、事情を知らない人から見たらトラブルの塊です。回答者が親切心から発言しているのは十分承知していますが、私としてはお奨めしません。

Answer 2

こんにちは

 

Q&Aフォーラムに投稿していただき、ありがとうございました。

このような状況は実現できる。プライベートDNSで領域を設定し、www.sample.co.jpをプライベートIPにマップし、ap.sample.co.jpをパブリックDNSに保持することができます。このように、内部端末がwww.sample.co.jpにアクセスすると、プライベートIPアドレスが取得されますが、ap.sample.co.jpについては、必要なアクセス方法を実現するために共通DNSを照会し続けます。

 

敬意を表して、

Jill Zhou

 

---

 

答えが役立つ場合は、「答えを受け入れる」をクリックして賛成票を投じてください。