ある企業がAzure DNSパブリックゾーンで「example.com」を管理しており、AzureのName Server(NS)レコードを親ゾーンに委任済みである。サブドメイン「api.example.com」をAzure API Managementに向けるAレコードを追加したが、世界中のクライアントでDNS解決に最大2時間の遅延が生じている。原因として最も可能性が高いものはどれか。
- A. Azure DNSのグローバルレプリケーションに最大2時間かかるため、これは仕様である
- B. 既存の古いDNSレコードのTTL(Time-to-Live)が長く設定されており、各キャッシュDNSサーバーがキャッシュを保持している
- C. Azure API ManagementのカスタムドメインのSSL証明書プロビジョニングに時間がかかっている
- D. 親ゾーンのNS委任レコードのTTLが長く設定されているため、クエリが古いネームサーバーに送られている
解答と解説を見る
正解: B
DNSレコードの変更がすぐに反映されない原因の多くは、変更前に設定されていたTTL(Time-to-Live)値が長いことである。世界中のキャッシュDNSサーバーは以前のレコード(または存在しなかったことを示すNXDOMAINキャッシュ)を各自のTTLが切れるまで保持する。例えばTTLが7200秒(2時間)に設定されていた場合、変更後2時間はキャッシュされた古い情報が返される。計画的なDNS変更前にはTTLを短く(例:60秒)に下げてから変更するのがベストプラクティスである。選択肢AはAzure DNSが公的にアナウンスされた後の伝播速度についての誤解であり、Azure DNS自体の変更反映は数秒〜数分程度で完了する。選択肢CのSSL証明書プロビジョニングはDNS解決とは別の問題であり、証明書が取得できていなくても名前解決はIPアドレスを返す。選択肢DのNS委任TTLの問題は委任自体の変更時に起きるものであり、同一ゾーン内のサブドメインレコード追加では委任に変更はないため該当しない。