Windows DNS サーバーでのゾーンの作成について解説していきます.
ゾーンの作成にあたり,Active Directory 統合ゾーン,通常の DNS ゾーンのレプリケーションの方式などについても解説します.
- DNS に関するお話
- DNS (Domain Name System) 概要 (1)
- DNS (Domain Name System) 概要 (2)
- DNS (Domain Name System) 概要 (3)
- DNS (Domain Name System) – nslookup を使いこなそう
- DNS (Domain Name System) – Windows DNS サーバーの設定・オプション
- DNS (Domain Name System) – DNS ゾーンの作成
- DNS (Domain Name System) – DNS ゾーンの設定とレコードの登録
- DNS (Domain Name System) – サブドメインと委任
- DNS (Domain Name System) – フォワーダーの構成
- DNS (Domain Name System) – DNS の動的更新
Windows DNS サーバーの ゾーンの持ち方
Active Directory 統合ゾーン
Active Directory 統合ゾーンは,ゾーン情報を Active Directory のディレクトリー内に格納する方式です.この場合は両方がプライマリーサーバーとして機能し,どちらで更新を行っても Active Directory の複製機能で DNS ゾーンも同期されます.
すなわち,Active Directory にゾーン情報を格納する場合は「プライマリー」と「セカンダリー」の区別が無くなります.
AD DS を構成しているサーバーの場合は「プライマリゾーン」を選択し「Active Direcotry にゾーンを格納する」にチェックを入れることが通常となります.
プライマリ,セカンダリ
- プライマリゾーン
DNS の情報を主に管理するサーバーをプライマリーサーバーといいます.複製を受ける側をセカンダリーサーバーといいます.
AD DS を構成していないサーバーの場合はゾーン情報を Active Directory に格納はできないので,明示的にプライマリー,セカンダリーを選択することになります. - セカンダリゾーン
プライマリゾーンの複製を受けるサーバーになります.ゾーン情報の編集はプライマリーサーバーで行い,その複製を受け取るサーバーです.
通常の (Active Directory にゾーン情報を格納しない場合) の プライマリー と セカンダリー のゾーン転送はこのように行われます.
プライマリーサーバーでゾーン情報を修正 (新しいレコードを作成するなど) が行われると,更新されたことをセカンダリーに通知 (notify) を出します.
セカンダリーは通知を受け取り,新しいゾーン情報の取得を試み,通信が成功すれば新しいゾーンを取得します.転送と書いていますが,セカンダリーが「取得」する流れになります.
なお,Active Directory 環境ではプライマリゾーンは通常統合ゾーン (Active Directory にゾーン情報を格納する) にしますのでこの動作にはならず,Active Directory の複製によってゾーン情報の複製が行われます.
スタブゾーン
- スタブゾーン
セカンダリーに近いのですが、NS(ネームサーバー) と SOA (Start of Authority) のみを持つゾーンです.
スタブゾーンはこの図のように SOA / NS および NS に対応する A レコードのみを保持するゾーンです.
サブドメインを構成している場合,委任を構成するために親ドメイン側で委任の設定を行う必要があります.サブドメインで DNS サーバーの入れ替えなどで「削除」と「追加」を行う場合2回の依頼,作業を行う必要があり煩雑になります.
スタブゾーンを用いることでサブドメイン側での設定を反映できるため,ゾーンを構成するだけであとは放置できるようになります.
ただ,親ドメイン管理者側で都度管理を行いたい.というケースももちろんありますので,どちらで構成するのかは検討が必要です.
正引きゾーンを作成する
Active Directory ドメインサービスを構成している場合,Active Directory ドメインのゾーンは既に作成されています.
ですので,ここでは追加のゾーン (ドメイン) を作成する場合を想定して解説します.
DNSサーバー 管理画面の起動
サーバーマネージャーの「ツール」をクリックして「DNS」をクリックします.
正引きゾーンを作成する
DNS サーバーを選択,右クリックで「新しいゾーン」をクリックします.
「新しいゾーン」のウィザード画面が開きますので「次へ」をクリックします.
ゾーンの種類を選択する画面が表示されます.解説は上部の「Windows DNS サーバーの ゾーンの持ち方」に記載していますので参照ください.
- プライマリゾーン
- セカンダリゾーン
- スタブゾーン
ここでは「プライマリゾーン」かつ「Active Directory にゾーン情報を格納する」を前提としていますのでそのまま「次へ」をクリックします.
Active Directory 統合ゾーンとする場合,ゾーンを複製する範囲を選択することになります.
- このフォレストのドメインコントローラー上で実行しているすべての DNS サーバー
DNS 情報をフォレスト内のドメインコントローラー上で動作している DNS サーバーすべてに対してレプリケートを行います.
利点はフォレスト内のドメイン情報がどこのドメインコントローラー (DNS サーバー) に接続されても同じものを持っているため,委任やフォワーダーに頼らずに完結することです.
欠点は全て同じ情報をもってしまうため管理権限の分離などができなくなることが挙げられます.
通常のケースではこれを選ぶことは少ないと思います. - このドメインのドメインコントローラーで実行しているすべての DNS サーバー
デフォルトで選択されるものです.同一 Active Directory ドメイン内のドメインコントローラーで動作している DNS サーバーにのみ複製が行われます. - このドメインのすべてのドメインコントローラー
Windows 2000 の場合,上記二つの概念 (DNS パーティションの概念) が無く,DNS サーバーとして構成されていないドメインコントローラーにも DNS 情報が複製されていました.
これと同様の動きをさせたい場合の選択になります.
これを選ぶケースはほぼ無いと思います.
デフォルトの「このドメインのドメインコントローラーで実行しているすべての DNS サーバー」を選択して「次へ」をクリックします.
ゾーンの種類の選択画面になります.正引きゾーンと言っているものが「前方参照ゾーン」になります.
正引きゾーン / 前方参照ゾーンは「名前」から「IPアドレス」を解決するためのゾーンです.
「前方参照ゾーン」を選択して「次へ」をクリックします.
「ゾーン名」を入力します.DNS ドメイン名を指します.
ここでは「example.com」としていますが,管理したい DNS ドメイン名を入力して「次へ」をクリックします.
DNS の動的更新 (ダイナミック DNS) の設定画面が表示されます.
- セキュリティで保護された動的更新のみ許可する
デフォルトで選択されています.Active Directory ドメインサービスに参加しているクライアントからのみ動的な更新を受け付ける設定です.
クライアント端末,特にノートPCなどネットワーク (サブネット) が移動する端末の DNS 情報は手動で管理はしていられませんので,基本的にはこの「セキュリティで保護された動的更新のみ許可する」を選択するで問題はありません.
これが選択されている場合,サーバーもクライアントも AD DS ドメインに参加していれば DNS 情報は動的に更新されます.
もちろん,動的に生成された情報を削除して手動で作成・管理を行うことも可能です. - 非セキュリティ保護及びセキュリティ保護の両方による動的更新を許可する
これを選択すると,AD DS に参加していないクライアントからの DNS 更新要求を受け付けるようになります.
警告にあるとおり,ドメインに非参加の端末 (認証されていないクライアント) からの更新も受け取るようになるため,セキュリティの観点では脆弱になります.
非 AD DS 参加端末もDNS レコードとして生成,管理したい場合を除いて利用するケースは少ないと思います. - 動的更新を許可しない
動的更新を一切利用しない場合に選択します.
AD DS 環境において,クライアント端末の DNS レコードは無くても動作はしますのでこれを選んでも問題は生じませんが,全体的な管理の面では AD DS 環境においてこれを選択するメリットは無いと思います.
AD DS と関係がないドメイン (例えば今回のような追加のドメインゾーン) であれば「動的更新を許可しない」は選択肢として有用です.
今回は「動的更新を許可しない」でもよかったのですが「セキュリティで保護された動的更新のみを許可する」を選択して「次へ」をクリックします.
(ちなみに設定は後でも変えられます)
確認画面が表示されますので確認の上「完了」をクリックして終了させます.
作成されたゾーンが確認できれば完了です.
このまま正引きゾーンのレコードに進んでもよいのですが,逆引きゾーンを作ろうと考えている場合は先に逆引きゾーンを作る事をお薦めします.
理由は,正引きレコードを作成する際に,逆引きレコードを一緒に作成してくれるオプションが存在しているため,のちの手間が削減できるから.となります.
逆引きゾーンを作成する
では,逆引きゾーンの作成に移ります.
逆引きゾーンを作成する
DNS サーバーを選択,右クリックで「新しいゾーン」をクリックします.
「新しいゾーン」のウィザード画面が開きますので「次へ」をクリックします.
ゾーンの種類を選択する画面が表示されます.解説は上部の「Windows DNS サーバーの ゾーンの持ち方」に記載していますので参照ください.
ここでは「プライマリゾーン」かつ「Active Directory にゾーン情報を格納する」を前提としていますのでそのまま「次へ」をクリックします.
Active Directory 統合ゾーンとする場合,ゾーンを複製する範囲を選択することになります.
範囲の説明は「正引きゾーンの作成の箇所」で行っていますので参照ください.
デフォルトの「このドメインのドメインコントローラーで実行しているすべての DNS サーバー」を選択して「次へ」をクリックします.
ゾーンの種類の選択画面になります.
逆引き参照ゾーンは「IPアドレス」から「名前」を解決するためのゾーンです.
「逆引き参照ゾーン」を選択して「次へ」をクリックします.
IPv4 アドレスの逆引きゾーンを作るのか,IPv6 の逆引きアドレスゾーンを作るのか選択が必要になります.
今回は「IPv4 逆引きゾーン」を選択して「次へ」をクリックします.
逆引き参照ゾーンの名前 (アドレス範囲) を決定します.
- ネットワークID
IPネットワーク,セグメントを入力してゾーン名を作成する方法です./24 や /16 および /8 のレンジで逆引きゾーンを作成する場合はネットワークIDで作成するのが簡単です - 逆引き参照ゾーンの名前
逆引きゾーンの名前を明示して作成する方法です.IPネットワークを逆に並べて「in-addr.arpa.」を付ける形となります.
「192.168.250.0/24」の場合は「250.168.192.in-addr.arpa.」になります.
「172.16.0.0/16」の場合は「16.172.in-addr.arpa.」になります.
/24 などではないサブネットマスクで委任されているような場合は委任元の指定のとおりの名前を入力することになります.
今回は「192.168.250.0/24」の逆引きゾーンを作成するため,ネットワークIDにアドレスを入力して「次へ」をクリックします.
DNS の動的更新 (ダイナミック DNS) の設定画面が表示されます.
動作の説明は「正引きゾーンの作成の箇所」で行っていますので参照ください.
今回は「セキュリティで保護された動的更新のみを許可する」を選択して「次へ」をクリックします.
確認画面が表示されますので確認の上「完了」をクリックして終了させます.
作成されたゾーンが確認できれば完了です.
以上,正引きゾーン (正引き参照ゾーン) と逆引きゾーン (逆引き参照ゾーン) の作成でした.
次回は,正引き,逆引きレコードの登録やゾーンの設定について解説します.
コメント