システム構築

構築事例:PowerDNSによるDNSSEC対応の権威DNSサーバ

Open Smart Design

権威DNSサーバをBINDで構築し、DNSSEC対応をしているが管理が煩雑だということでご相談を頂きました。PowerDNSPowerAdminを利用することで、DNSSECの運用が簡単に行えるようになりました。

お客様が悩まれていた課題
BINDの管理が煩雑で、特定の管理者にしかできない
DNSSECの鍵や署名の管理などが非常に面倒である
+導入企業プロフィール
導入企業業種

情報・通信(愛知県名古屋市)

ユーザー規模

50名

利用OS

CentOS 5

導入月

2015年2月

デージーネットが提案した「PowerDNSによるDNSSEC対応の権威DNSサーバ」

アイコン男性

解決ポイント

PowerDNSとPowerAdminを使う構成に移行

BINDで運用している権威DNSサーバの運用を改善したいということでご連絡を頂きました。特にDNSSECの鍵の管理やゾーン更新時の作業が煩雑だというとことでした。そのため、デージーネットから権威DNSサーバをPowerDNSに変更し、管理にはPowerAdminを利用する構成をご提案しました。

PowerDNSのゾーン管理画面例

PowerDNSのDNSSEC対応

BINDでは、鍵の作成からゾーンへの反映まで、DNSSEC対応を行うためには多くの作業が必要でした。しかし、PowerDNSでは、ゾーンに対してDNSSECを有効にするという1つの操作で、署名に使う鍵の作成から有効期限の設定まで、必要な設定を一度に行ってくれるため簡単に導入ができます。

BINDからの移行

PowerDNSには、BINDからの移行をスムーズに行うためのツールが付属しています。このツールを使うことで、非常にスムーズに移行を行うことができました。
ただ、PowerDNSの場合、DNSKEYレコードは、特別な扱いとなるレコードのようで、BINDのゾーンファイルからDNSKEYレコードを取り込むと警告が出ます。そのため、あらかじめBINDのゾーンファイルからDNSKEYレコードを削除して取り込みを行いました。

導入後の結果

アイコン女性

BINDの場合、署名の有効期限を自身で管理する必要がありました。そのため、有効期限が切れると、DNSSECの検証でエラーとなってしまいます。したがって、定期的に署名をし直して、有効期限を更新をする仕組みが必要でした。しかし、PowerDNSを導入することで、こうした鍵の管理もPowerDNSで行うことができるようになりました。
また、DNSレコードを変更した場合の作業は、劇的に単純になりました。PowerDNSでは、DNSSECをほとんど意識せずに設定を行うことができるようになったのです。

【Webセミナー】情シス担当者向け、社内のIPアドレス管理の問題を解決!OSSのIPアドレス管理ツールセミナー

日程: 3月15日(金)Webセミナー「BigBlueButton」を使用します。
内容: このセミナーでは、OSSのIPアドレス管理ツールphpIPAMを紹介します。
ご興味のあるかたはぜひご参加ください。

セミナー申込

PowerDNSとDNSSEC

PowerDNSとは、オランダのPowerDNS.COM BVが開発を行った、オープンソースソフトウェアのDNSサーバです。DNSSECの導入は、ヨーロッパ諸国では非常に進んでいます。例えば、DNSの名前解決の検索の中で、DNSSECの検証が行われている割合は、デンマークでは約57%、スウェーデンでは約79%、ノルウェーでも約74%と非常に高く普及しています。
PowerDNSは、こうしたDNSSEC普及の地であるヨーロッパ諸国で非常によく使われているDNSサーバなのです。PowerDNSの特徴は、次の通りです。

  • PowerAdminを使ってWEB GUIから管理できる
  • バックエンドにデータベースを使うことができ、柔軟性に富んでいる
  • ゾーンを追加/削除するのに再起動が不要である
  • DNSSECに対応し、管理が非常に簡単にできる
  • セキュリティの問題が非常に少ない

PowerDNSでは、セキュリティの問題が発見されることは非常に稀です。例えば、BINDは2008年〜2016年6月までで47件のセキュリティアドバイザリが報告されています。これに対して、PowerDNSのAuthoritive Server(権威サーバ)では、同じ期間に3件のセキュリティアドバイザリーしか報告されていません。それだけ、セキュリティの問題が少ないのです。

なお、PowerDNSにはRecursorと呼ばれるキャッシュDNSサーバも付属しています。しかしながら、デージーネットではキャッシュDNSサーバにはunboundを推奨しています。

デージーネットでは、ISPや一般企業へPowerDNSを導入しています。もちろん、自社のドメインを管理するためにPowerDNSを使っています。当然ですが、DNSSECにも対応しています。

PowerDNSによるDNSSEC対応の権威DNSサーバの関連ページ

DNSサーバ構築の事例一覧

デージーネットの構築サービスの流れ

デージーネットの構築サービス(Open Smart Design)では、OSSを安心して使っていただくために、独自の導入ステップを採用しています。詳しい情報は以下のリンクからご覧ください。


詳細情報ボタン

サービスの流れイメージ

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。


モデルプランをご希望の方

モデルプラン資料イメージ

各種費用についてのお問い合わせ

コンサルティング費用、設計費用、構築費用、運用費用、保守費用など、各種費用についてのお見積もりは以下のフォームよりお気軽にお問合せ下さい。


unboundやPowerDNSを使用したDNSサーバのモデルプランをご希望の方

全国対応イメージ

PowerDNSによるDNSSEC対応の権威DNSサーバの先頭へ