本サイトはサイト運営費捻出のため、アフィリエイト広告を利用しています。*詳細
Active Directory環境にDebianで動くDNSキャッシュサーバを構築し、ついでにマスタサーバでDNSSECも有効化してみた話 ~準備編~

Active Directory環境にDebianで動くDNSキャッシュサーバを構築し、ついでにマスタサーバでDNSSECも有効化してみた話 ~準備編~

スポンサーリンク

自宅の検証環境にはActive Directory環境が居り、内向け外向けのDNSサーバをドメインコントローラーが兼任していました。

本職の方でも、ドメインコントローラーに外向けDNSサーバの役割させるのは止めない?みたいな話が上がっておりました。

ならこの際、好き勝手できる自宅検証環境でもドメインコントローラーから外向けDNSサーバの役割を取り上げることにしてみました。

自身の知見を広げるために・・・

ついでにDNSSEC周りの挙動とか、Bind9周りについて不勉強なところがあるなぁと思い、えいやとDebianでDNSキャッシュサーバを構築し、外向けはそのままプロバイダのDNSサーバに放り投げ、内向けについてはドメインコントローラに投げる、という環境を作ってみました。

現行環境

Active Directory環境にDebianで動くDNSキャッシュサーバを構築し、ついでにマスタサーバでDNSSECも有効化してみた話 ~準備編~

超雑な図なのですが、現在の環境がこんな感じ。

外部にクエリを投げようが、内部にクエリを投げようが全てドメインコントローラーのDNSサーバ機能を使って名前解決をしていました。

※黒が内向け、青が外向け

Active Directory環境にDebianで動くDNSキャッシュサーバを構築し、ついでにマスタサーバでDNSSECも有効化してみた話 ~準備編~

これを、クライアントからのDNSクエリをドメインコントローラーではなく、DNSキャッシュサーバに受けさせて、内向けはドメインコントローラーに、外向けはそのままプロバイダに放り投げるような構成をイメージしました。

※黒が内向け、青が外向け

採用ディストリはDebianで

DNSキャッシュサーバ自体は、2年前くらいにCentOSから鞍替えしたDebianを使ってやってみることに。

DNSサーバの構築自体はWindows Serverでしかしたことなかったので、多分Debianの上にbindを構築し、ついでにchroot化すりゃ良いかなぁ位に思いつつ、先人の知恵をお借りして構築してみました。

Active Directory環境にDebianで動くDNSキャッシュサーバを構築し、ついでにマスタサーバでDNSSECも有効化してみた話

ついでに、内部の権威サーバからの通信が正規の物であると判別するための仕組みとして、この際だからDNSSECもやってしまえ!と思い立ちました。

一昨日の夜に箱を用意して、昨日の晩には何とか形になったかな、といったところ。

今回の試みはbindの構築であったり、DNSECの動きなどを実際に手を動かしながら確認できたので、大変良い物でした。

次回記事では、実際の構築手順を先人の知見を紹介しつつ、落とし込みを行った物を上げてみたいと思います。

The Debian Open Use Logo(s) are Copyright (c) 1999 Software in the Public Interest, Inc., and are released under the terms of the GNU Lesser General Public License, version 3 or any later version, or, at your option, of the Creative Commons Attribution-ShareAlike 3.0 Unported License.

https://www.debian.org/