ADC
ご意見をお寄せいただきありがとうございました

この記事は機械翻訳されています.免責事項

Citrix ADCがDNSプロキシサーバーであるゾーンに対してDNSSECを構成する

Citrix ADCがDNSプロキシサーバーとして構成されているゾーンに署名する手順は、ADCがバックエンドネームサーバーが所有するゾーン情報のサブセットを所有しているかどうかによって異なります。含まれている場合、その構成は部分的なゾーン所有権構成と見なされます。ADCがゾーン情報のサブセットを所有していない場合、バックエンドサーバーを管理するためのCitrix ADC構成は、ゾーンのないDNSプロキシサーバー構成と見なされます。両方のCitrix ADC構成に対する基本的なDNSSEC構成作業は同じです。ただし、Citrix ADCで部分ゾーンに署名するには、追加の構成手順が必要です。

注: ゾーンレスプロキシサーバー構成および部分ゾーンという用語は、Citrix ADCアプライアンスのコンテキストでのみ使用されます。

重要: プロキシモードに設定されている場合、ADCはキャッシュを更新する前にDNSSEC応答で署名検証を実行しません。

DNSSEC 認識リゾルバ (サーバー) を負荷分散するために、ADC を DNS プロキシとして構成する場合は、DNS 仮想サーバーを構成するときに [再帰可能] オプションを設定する必要があります。Checking Disabled(CD)ビットが設定された状態でDNSSECクエリが到着した場合、クエリはCDビットを保持したままサーバーに渡されます。サーバーからの応答はキャッシュされません。

ゾーンレス DNS プロキシサーバー構成用に DNSSEC を構成する

ゾーンのないDNSプロキシサーバー構成の場合、ゾーン署名はバックエンドネームサーバーで実行する必要があります。Citrix ADC で、ADC をゾーンのDNSプロキシサーバーとして構成します。プロトコルタイプDNSの負荷分散仮想サーバーを作成します。ネームサーバーを表すようにADCでサービスを構成します。次に、サービスを負荷分散仮想サーバーにバインドします。これらの構成タスクの詳細については、「 NetScaler をDNSプロキシサーバーとして構成する」を参照してください。

クライアントが DNSSEC OK(DO)ビットが設定された DNS 要求を ADC に送信すると、ADC は要求された情報についてキャッシュをチェックします。リソースレコードがキャッシュで利用できない場合、ADCは要求をDNSネームサーバーの1つに転送します。次に、ネームサーバーからクライアントに応答を中継します。また、ADCは、ネームサーバーからの応答とともにRRSIGリソースレコードをキャッシュします。DNSSEC 対応クライアントからの後続の要求は、存続可能時間 (TTL) パラメータに従って、キャッシュ (RRSIG リソースレコードを含む) から提供されます。クライアントがDOビットを設定せずにDNS要求を送信すると、ADCは要求されたリソースレコードのみで応答します。DNSSECに固有のRRSIGリソースレコードは含まれていません。

部分ゾーン所有権設定用の DNSSEC の構成

一部のADC構成では、ゾーンの権限がバックエンドネームサーバーにある場合でも、ゾーンに属するリソースレコードのサブセットがADCで構成されている場合があります。ADCは、このレコードのサブセットのみを所有している(または権限がある)。このようなレコードのサブセットは、ADCの 部分的なゾーン を構成すると考えることができます。ADCは部分ゾーンを所有します。他のすべてのレコードは、バックエンドネームサーバーによって所有されます。

Citrix ADCの一般的な部分ゾーン構成は、次の場合に見られます。

  • グローバルサーバー負荷分散(GSLB)ドメインはADCで構成されます
  • GSLBドメインは、バックエンドネームサーバーが権限を持つゾーンの一部です。

ADCの部分ゾーンのみを含むゾーンに署名するには、次のことが必要です。

  • バックエンドネームサーバーゾーンファイルに部分的なゾーン情報を含める
  • バックエンドネームサーバーでゾーンに署名する
  • ADCの部分ゾーンに署名します。

ネームサーバーのゾーンと ADC の部分ゾーンに署名するには、同じキーセットを使用する必要があります。

バックエンドネームサーバーでゾーンに署名します

  1. 部分ゾーンに含まれるリソースレコードを、ネームサーバーのゾーンファイルに含めます。
  2. キーを作成し、そのキーを使用してバックエンドネームサーバーのゾーンに署名します。

Citrix ADC で部分ゾーンに署名する

  1. バックエンドネームサーバーが所有するゾーンの名前でゾーンを作成します。部分ゾーンを構成する場合は、proxyMode パラメータを YES に設定します。このゾーンは、ADC が所有するリソースレコードを含む部分的なゾーンです。

    たとえば、バックエンドネームサーバーで構成されているゾーンの名前がexample.comの場合、ADCでexample.comという名前のゾーンを作成する必要があります。proxyModeパラメーターをYESに設定します。ゾーンの追加の詳細については、「 DNS ゾーンの構成」を参照してください。

    ゾーンに SOA レコードと NS レコードを追加しないでください。これらのレコードは、ADCが権限を持つゾーンのADCに存在する必要があります。

  2. キーを(バックエンドネームサーバーの1つから)ADCにインポートしてから、 /nsconfig/dns/ ディレクトリ。キーをインポートして ADC に追加する方法の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。
  3. インポートされたキーで部分ゾーンに署名します。キーを使用して部分ゾーンに署名すると、ADC はリソースレコードセットの RRSIG レコードと NSEC レコードをそれぞれ生成し、部分ゾーン内の個々のリソースレコードを生成します。ゾーンの署名の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。
このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。
Citrix ADCがDNSプロキシサーバーであるゾーンに対してDNSSECを構成する