Citrix ADC

DNS レコードのネガティブキャッシュを構成する

Citrix ADCアプライアンスは、ドメインに対する否定的な応答のキャッシュをサポートしています。否定的な応答は、要求されたドメインに関する情報が存在しないか、サーバーがクエリに対する応答を提供できないことを示します。この情報の格納は、ネガティブキャッシュと呼ばれます。ネガティブキャッシュは、ドメインに関するクエリへの応答を高速化するのに役立ちます。

注:

ネガティブキャッシュは、バックエンドサーバが、クエリーされたドメインの権限ある DNS(ADNS)サーバとして設定されている場合にのみサポートされます。

負の応答は、次のいずれかになります。

  • NXDOMAIN エラーメッセージ:照会されたドメイン名にサーバにレコードが構成されていない場合、権限を持つ DNS サーバが NXDOMAIN エラーメッセージで応答します。これは、照会されたドメインが無効であるか、存在しないドメイン名であることを意味します。
  • NODATA エラーメッセージ — クエリ内のドメイン名は有効で、指定されたタイプのレコードが使用できない場合、アプライアンスは NODATA エラーメッセージを送信します。

ネガティブ・キャッシュが有効な場合、アプライアンスはDNSサーバーからのネガティブ応答をキャッシュし、キャッシュからの今後の要求のみを処理します。これにより、クエリへの応答が高速になり、バックエンド DNS トラフィックも削減されます。ネガティブキャッシュは、すべての展開、つまりCitrix ADCアプライアンスがプロキシ、エンドリゾルバ、またはフォワーダとして機能している場合に使用できます。

DNS プロファイルを使用して、ネガティブキャッシュを有効または無効にすることができます。詳細については、DNSプロファイルを参照してください。既定では、ネガティブキャッシュは、既定で DNS 仮想サーバーにバインドされている既定の DNS プロファイル (default-dns-profile) または新しく作成された DNS プロファイルに有効になっています。

CLI を使用してネガティブキャッシュを有効または無効にする

コマンドプロンプトで次のコマンドを入力して、ネガティブキャッシュを有効または無効にし、構成を確認します。

-  add dns profile <dnsProfileName> [-cacheRecords ( ENABLED | DISABLED )] [-cacheNegativeResponses (ENABLED | DISABLED )]
-  show dns profile [<dnsProfileName>]

デフォルトの DNS プロファイルの例:

> sh dns profile default-dns-profile
    1)   default-dns-profile
        Query logging : DISABLED        Answer section logging : DISABLED
        Extended logging : DISABLED     Error logging : DISABLED
        Cache Records : ENABLED     Cache Negative Responses: ENABLED
Done

新しく作成された DNS プロファイルの例:

> add dnsprofile dns_profile1 -cacheRecords ENABLED -cacheNegativeResponses ENABLED
Done
> show dns profile dns_profile1
    1)   dns_profile1
        Query logging : DISABLED        Answer section logging : DISABLED
        Extended logging : DISABLED     Error logging : DISABLED
        Cache Records : ENABLED     Cache Negative Responses: ENABLED
Done

CLI を使用してサービスレベルまたは仮想サーバレベルの DNS パラメータを指定する

コマンドプロンプトで、次の手順を実行します。

  1. DNS プロファイルを設定します。

    add dns profile <dnsProfileName> [-cacheRecords ( ENABLED | DISABLED )] [-cacheNegativeResponses (ENABLED | DISABLED )]

  2. DNS プロファイルをサービスまたは仮想サーバーにバインドします。

    DNS プロファイルをサービスにバインドするには、次の手順を実行します。

    set service <name> [-dnsProfileName <string>]

例:

>set service service1 -dnsProfileName dns_profile1
Done

DNS プロファイルを仮想サーバにバインドするには、次の手順を実行します。

set lb vserver <name> [-dnsProfileName <string>]

例:

>set lb vserver lbvserver1 -dnsProfileName dns_profile1
Done

GUI を使用してサービスレベルまたは仮想サーバレベルの DNS パラメータを指定する

  1. HTTP プロファイルを設定します。

    [システム] > [プロファイル] > [DNS プロファイル] に移動し、DNS プロファイルを作成します。

  2. HTTP プロファイルをサービスまたは仮想サーバーにバインドします。

    [トラフィック管理] > [負荷分散] > [サービス/仮想サーバー] に移動し、サービスまたは仮想サーバーにバインドする必要がある DNS プロファイルを作成します。

アプライアンスが処理するレート制限負応答

キャッシュからCitrix ADCアプライアンスが処理するネガティブ応答のしきい値を設定できます。しきい値が設定されると、アプライアンスはしきい値に達するまでキャッシュからの応答を提供します。しきい値に達すると、アプライアンスは NXDOMAIN 応答で応答するのではなく、要求を廃棄します。

否定的な応答のレート制限を設定すると、次の利点があります。

  • Citrix ADCアプライアンスにリソースを保存します。
  • 存在しないドメイン名に対する悪意のあるクエリを防ぎます。

注: 否定的な応答のしきい値は、Citrix ADCアプライアンスが権限のあるドメインネームサーバーとして構成されているドメインに対してのみ設定できます。権限のあるバックエンドネームサーバーから受信したキャッシュされたレコードに対しては設定できません。

CLIを使用してキャッシュによって提供される負の応答のレート制限

コマンドプロンプトで、次のように入力します。

set dns parameter -NXDOMainRateLimitThreshold <positive-integer>

例:

set dns parameter -NXDOMainRateLimitThreshold 1000

nxDomainRateLimitThreshold: このパラメータが正の整数値に設定されている場合、このしきい値(秒単位)に達するまで応答がキャッシュから提供されます。しきい値を超えると、要求はドロップされます。設定されたしきい値は、パケットエンジン単位です。

GUI を使用したキャッシュによって提供される負応答のレート制限

  1. [トラフィック管理] > [DNS] に移動し、[DNS 設定の変更] をクリックします。
  2. [DNS パラメータの構成] ページの [NXDOMAIN レート制限しきい 値] フィールドに、キャッシュから応答が処理されるまでのしきい値を入力します。

注:NXDOMAIN しきい値の超過]の値には、しきい値に達した後に要求がドロップされた回数が表示されます。