DNS / 名前解決に関する記事を、構築手順ではなく設計・運用上の論点として整理するハブページです。このページでは、DNS がどのような境界・依存関係・失敗要因を持つのかを中心に扱います。
DNS は単なる名前解決ではありません。DNSSEC、ブラウザ側名前解決、FQDN ベースの制御、ローカルドメイン、mDNS などと関係します。そのため、何を DNS に任せ、何を DNS では制御できないのかを分けて考える必要があります。
書籍
DNS の基本、権威 DNS、キャッシュ DNS、DNSSEC、運用上の注意点を体系的に確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
このハブで扱う範囲
このページの主語は、DNS の設計・運用上の考え方です。OS 別の構築手順、パッケージ導入、設定ファイルの具体例は、それぞれの OS / 製品別ガイド側で扱います。
- DNS をセキュリティ境界として使える範囲を確認する。
- DNSSEC、時刻、証明書、メール認証などの依存関係を切り分ける。
- DoH やブラウザ側名前解決により、DNS 制御が回避される場合を考える。
- .local や mDNS のように、DNS と似ているが別物の領域を分ける。
- OS 別構築記事は、このハブの品質更新対象に含めない。
記事一覧
DNS の設計・運用上の論点を追う場合は、以下の記事から読むと全体像を確認しやすいです。
- DNSSEC で名前解決できない原因が NTP だった話
- DoH 時代に DNS クエリ制御だけでは不十分な理由 – ブラウザ側名前解決の限界を見る
- FQDN フィルタリングの限界 – DNS 依存の通信制御をどう考えるか
- .local ドメインを使うと泥沼になる理由
DNSSEC と時刻の依存関係
DNSSEC は DNS の正当性検証に関わりますが、検証には時刻が関係します。時刻がずれていると、DNS の設定ミスではなくても署名検証に失敗し、結果として名前解決できないように見えることがあります。
DNS による制御の限界
DNS クエリを制御すれば通信先を制限できるように見えますが、実際には限界があります。DoH、アプリケーション独自の名前解決、キャッシュ、直接 IP アクセス、証明書検証などが絡むため、DNS だけをセキュリティ境界にするのは危険です。
ローカル名前解決と .local
名前解決は DNS だけではありません。OS の hosts ファイル、名前解決順序、mDNS、ローカルドメインの扱いも関係します。このハブでは、手順ではなく名前解決の責任分界として扱います。
このハブの位置づけ
このハブは、DNS 関連記事を機械的に集めるためのページではありません。読者が DNS を設計・運用上の論点として読むための入口です。個別の構築手順は、それぞれの記事群の主語を維持します。
