7.2. BIND - DNS の実装
RHEL 8 には、バージョン 9.11 に BIND (Berkeley Internet Name Domain) が含まれています。このバージョンの DNS サーバーには、バージョン 9.10 と比較して、複数の新機能と機能変更が追加されています。
新機能:
- セカンダリーサーバー Catalog Zones をプロビジョニングする新しい方法が追加されました。
-
Domain Name System Cookies は、
named
サービスおよびdig
ユーティリティーにより送信されるようになりました。 - Response Rate Limiting 機能は、DNS 増幅攻撃の軽減を支援できます。
- RPZ の (response-policy zone) のパフォーマンスが改善しました。
-
map
と呼ばれる新しいゾーンファイルが追加されています。このフォーマットに保存されるゾーンファイルは、メモリーに直接マッピングされます。これにより、ゾーンが読み込む速度が大幅に改善します。 -
DNS データの検索、および DNS Security Extensions (DNSSEC) 検証を実行する dig のようなセマンティクスを使用する、
delv
ツール (ドメインエンティティー検索および検証) が追加されています。 -
新しい
mdig
コマンドが利用できるようになりました。このコマンドは、クエリーを送り、次のクエリーを送る前に応答を待つ代わりに、パイプラインで複数のクエリーを送って応答を待つdig
コマンドです。 -
再帰リゾルバーのパフォーマンスを改善する新しい
prefetch
オプションが追加されました。 -
ビュー間でゾーンデータを共有できる、新しい
in-view
ゾーンオプションが追加されました。このオプションが追加されると、新しいビューは、メモリーに複数のコピーを保存せずに、同じゾーンを確実に保存できます。 -
ゾーンに最大の TTL を強制する新しい
max-zone-ttl
オプションが追加されました。高い TTL を含むゾーンを読み込むと、読み込みに失敗します。動的 DNS (DDNS) により高い TTL を設定することは可能ですが、TTL は切り捨てられます。 - 新しいクォータは、再帰リゾルバーが、サービス拒否攻撃が発生している権威サーバーに送信するクエリーを制限するために追加されました。
-
nslookup
ユーティリティーは、デフォルトで IPv6 アドレスと IPv4 アドレスの両方を検索するようになりました。 -
named
サービスは、起動する前に、その他のネームサーバープロセスが実行しているかどうかを確認します。 -
署名付きゾーンを読み込むと、
named
が、Resource Record Signature (RSIG) の開始時間が将来時にあるかどうかを確認し、存在する場合はすぐに RRSIG を再生成するようになりました。 - ゾーン転送は、ネットワーク使用量を低減するメッセージ圧縮を改善するために、より小さいサイズのメッセージを使用するようになりました。
機能変更:
-
静的チャンネルに対するバージョン
3 の XML
スキーマでは、高速解析を行うために、HTTP インターフェイスにより、新しい統計および平坦化した XML ツリーが提供されます。古いバージョンの2 XML
スキーマに対応しなくなりました。 -
named
サービスは、デフォルトで IPv6 および IPv4 のインターフェイスでリッスンするようになりました。 -
named
サービスは、GeoIP データベースをサポートしなくなりました。クエリー送信者の推定位置で定義される Access control lists (ACL) は利用できなくなりました。 -
RHEL 8.2 以降、
named
サービスはlibmaxminddb
データ形式で提供される GeoIP2 をサポートします。