ドメイン名をIPアドレスに解決するDNSは、グローバルインターネットを支える名前解決システムだけでなく、ネットワークリソースを検索するためのwindows Active Directory(AD)の重要なコンポーネントでもあります。 しかし、マイクロソフト独自のWINSの代替として、過去十年間のWindowsネットワークにおけるDNSのユビキタスな性質にもかかわらず、DNSは、多くの後輩の管理者が把握することは困難見つける複雑な階層システムです。
この記事では、DNS構成が比較的簡単な単一フォレスト/単一ドメインAD構造を超えて、より複雑なAD設計でDNSがどのように機能するかを調査します。 途中で、Windows Server2008R2の新しいDNSの概念のいくつかを紹介します。
Active DirectoryとDNSの統合
DNSがADとどのように統合されているかを理解するために、中規模および大規模な組織に一般的に展開されているAD構造を設定し 図1に示すように、2つのドメインを持つ1つのフォレストを作成します。 最初のドメインは、多くの場合、空のルート、または単にルート、ドメインと呼ばれるものになります。 空のルートドメインは、AD階層の最上位にあり、その名前が示すように、リソースが含まれていません。 このタイプのドメインは、単一のフォレスト/単一のドメインよりも柔軟性が高く、セキュリティロールの分離が優れています。 リソース(グループ、ユーザー、コンピューターアカウントなど)が配置されている組織のメインドメインとして機能します。
図1:二つのドメインを持つ単一のフォレスト
まず、最初のサーバーでDcpromoを実行してフォレストと空のルートドメインを作成します。 管理者としてServer2008R2にログオンします。 サーバーにDC1などの適切な名前を付け、サーバーのNICにIPアドレス、サブネットマスク、デフォルトゲートウェイを設定していることを確認してください。 NICのDNS設定を空のままにして、Windowsにローカルアドレスを追加させることができます。
スタートメニューからDcpromoを実行し、という名前の新しいフォレストとドメインを作成しますADcompany.com内部DNS名前空間と外部DNS名前空間を別々に保つために、会社名の接頭辞としてADを追加したことに注意してください。 ADCOMPANYは、ドメインのNETBIOS名になります。 ドメインは内部使用のみを目的としていますが、ドメインを登録することが重要ですADcompany.com 組織の管理外のデバイスにクライアントが誤ってリダイレクトされないようにするためのインターネット上のドメイン。 それはまた使用するために共通ですAD.company.com ここで、ADはドメインのNETBIOS名になります。 この場合、次のように仮定しますcompany.com すでにインターネット上で会社によって登録されているため、追加のアクションは必要ありません。
Additional Domain Controller Options画面で、DNS serverオプションが選択されていることを確認します。 [次へ]をクリックして、Dcpromoが選択したオプションの検証を開始すると、権限のある親ゾーンが見つからないため、委任を作成できないという警告が表示 つまり、Dcpromoは、権限のあるDNSサーバー(つまり、.comドメインのゾーンデータのプライマリコピーまたはセカンダリコピーを保持するサーバー)を見つけることができません。ADcompany.com ドメイン。
DNSゾーンは、ADCOMPANYやCOMなど、名前空間の一部のすべてのリソースレコードを保持します。 これは内部ルートADドメインであるため、パブリックCOMゾーン内の委任レコードは必要なく、この警告を無視しても安全に実行できます。 子ドメインを作成するときに委任が何を意味するのかをより明確に理解します。
Dcdiagを使用したテスト
Dcpromoが終了したら、プロンプトに従ってサーバーを再起動します。 新しいドメインですべてが期待どおりに動作していることを確認するには、コマンドプロンプトを開き、Dcdiagを実行します。 DNSやその他の重要なADコンポーネントが正しく構成されていれば、成功するはずの一連のテストが実行されます。
Dcdiagを実行する前に、システムとDFSレプリケーションイベントログをクリアして、ドメインのセットアッププロセス中にエラー警告が記録されたため、ツールがさまざまな障害を報告しないようにすることができます。 たとえば、Dfsレプリケーションエラーは、通常、Dcdiagが新しいドメインコントローラー(DC)で初めて実行されたときに表示されますが、レプリケーションエラーの原因となるDNSに問題があるとは限りません。 イベントログがクリアされたら、
dcdiag /test:dfsrevent
を実行します。
適切なタイムソースを構成するまで、ルートドメインのDCのDcdiagテストでW32Tm(Windowsタイムサービス)エラーが発生します。 Windowsタイムサービスの構成の詳細については、Microsoftの記事”windows Serverで権限のあるタイムサーバーを構成する方法”を参照してください。
ルートヒント
AD DNSが正常に動作しているので、DCがインターネットに接続している場合、インストールされているDNSサーバーは、フォワーダを構成していないか、DCのNIC設定にISPのDNSサーバーのIPアドレスを追加していないにもかかわらず、インターネットドメイン名を解決できるようにする必要があります。 DNSサーバーには、インターネット上の最上位のDNSサーバーを指すルートヒントが含まれているため、権限のない名前やキャッシュにまだない名前のクエリを解
キャッシュからロードされたルートヒントを表示します。dnsファイル、スタートメニューの管理ツールからDNSを開きます。 DNSコンソールで、左側のペインでDNSサーバーを右クリックし、メニューからプロパティを選択します。 図2に示すように、サーバーのプロパティダイアログボックスでルートヒントタブを選択します。
図2:ルートヒントの表示
webコンテンツフィルタリングにOpenDNSのようなサービスを使用する必要があるなどの状況が発生 DNSインフラストラクチャを設計するときは、フォワーダがDNSサーバーで構成されている場合、ルートヒントの前に名前解決に使用されることに注意してく
反復的および再帰的なクエリ
ルートヒントを使用して名前を解決するためにDNSサーバーによって行われた要求は反復的であり、最良の答えが受け入れ これは、DNSサーバーに再帰クエリを送信するWindows DNSクライアントとは対照的であり、決定的な回答またはリソースが存在しないことを示すエラーが必要です。 再帰クエリは、通常、DNSクライアントまたはフォワーダによって送信されます。
子ドメインの設定
内部およびインターネットの名前解決がテストされ、ルートドメインで動作しているので、HR()という子ドメインを追加しますHR.ADcompany.com)、私たちのすべてのリソースが配置されます。 2台目のServer2008r2マシンにローカル管理者としてログオンし、DC2などの適切な名前が付いていることを確認します。 IPアドレスとサブネットマスクを割り当て、ルートドメイン内のDCのIPアドレスを使用して、サーバーのNICのプライマリDNSサーバーを設定します。 Dcpromoを実行すると、ツールはルートDNSドメインとDCを見つける必要があるため、これらのクエリに応答できるDNSサーバーを構成する必要があります。
起動する前に、
dcdiag /test:dcpromo /dnsdomain:HR.ADcompany.com /ChildDomain
を実行して、Dcpromoがすべて正しく構成されていることを確認し、/dnsdomainスイッチを使用して指定されたドメインのDCにこのサーバーを昇格させ
図3:既存のフォレストに新しいドメインを作成する
スタートメニューからDcpromoを実行し、今回は既存のフォレストに新しいドメインを作成することを選択します。 ネットワーク資格情報画面で、フォレストドメイン(ADcompany.com)と、図3に示すように、ルートドメインのEnterprise Administratorsグループのメンバーであるアカウント。 “新しいドメインの名前”ダイアログボックスで、ルートドメインの完全修飾ドメイン名(FQDN)を入力します(ADcompany.com図4に示すように、新しい子ドメイン(HR)の単一ラベル名。 追加のドメインコントローラーオプションダイアログボックスで、DNSサーバーを選択します。 ウィザードの残りの部分では、既定の設定をそのまま使用します。
図4: 新しいドメインに名前を付ける
プロンプトが表示されたらサーバーを再起動し、HR DCでDcdiagを実行して、Dcdiagを実行するための以前のアドバイスに従って、すべ コマンドプロンプトを開き、
ipconfig /all
サーバーのNICプライマリDNSはローカルサーバーアドレスに設定され、ルートドメインのDNSサーバーのIPアドレスはセカンダリDNSサーバーとし
委任と転送
コマンドプロンプトからまだ動作している場合は、DCの単一ラベル名(DC1)またはFQDN(FQDN)のいずれかを使用して、ルートドメイン内のDCにping DC1.ADcompany.comまた、インターネット接続があると仮定して、子ドメインのDCからインターネットドメイン名にpingを実行できる必要があります。 ルートドメインのDCから、子ドメインのDCにpingできることを確認します。 子ドメイン内のDNSサーバーは、次のリソースのクエリを参照しますADcompany.com Dcpromoの実行時に自動的に構成されるフォワーダに。 この構成を確認するには、[スタート]メニューの管理ツールから、子ドメインのDCのDNSサーバーコンソールを開きます。 DNSコンソールで、左側のペインでサーバーを右クリックし、メニューからプロパティを選択します。 サーバーがルートドメインのDNSサーバーに解決できないすべてのクエリを送信するように構成されていることがわかります。 これは、特定の名前空間に対してのみローカルで解決できないクエリを転送するように構成されている条件付きフォワーダーとは異なります。
逆に、ルートドメインのDNSサーバーには、HRドメインの委任レコード(委任ゾーンと呼ばれることもあります)があります。 この場合も、このレコードは子ドメインのDCのDcpromoプロセスの一部として構成され、ルートドメインのDCが子ドメイン内のリソースを検索できるようにし ルートドメインのDCでDNSコンソールを開き、左側のペインで、DNSサーバー、前方参照ゾーン、ADCompany.comツリーの下部にあるHR委任ゾーンをクリックします。 右側のペインには、子ドメインのDNSサーバーのホスト(A)レコードが表示されます。 委任と転送は、図5に示すように、連続したDNS名前空間のブランチの上下の解決を有効にするためのWindows Serverの既定のメカニズムです。
図5:委任と転送
DNSデヴォリューション
DNSデヴォリューションは、Windows DNSクライアントの機能です。 Server2008R2またはWindows7の新しい機能ではありませんが、セキュリティを向上させるためのいくつかの変更が含まれています。 子ドメインのDCから、FQDNを指定せずにルートドメイン内のリソースにpingすることができます(つまり、、我々は入力することなくDC1をpingすることができますDC1.ADcompany.com fqdnなしでDC2に正常にpingできます。
デフォルトでは、devolutionはクライアントのプライマリDNSサフィックス(PDS)からドメインを追加することによって、単一ラベル名の解決を試みます。 だからに属しているマシンAD.contoso.com ドメインは、最初にマシン名を次のように解決しようとしますDC1.AD.contoso.com そしてDC1.contoso.comそれは解決しようとしませんDC1.com これは、Server2008R2およびWindows7より前のWindowsの既定の設定であるためです。 場合によっては、DNSクライアントが組織の管理外にあるFqdnを解決しようとすると、既定のレベル2がセキュリティ上の懸念を引き起こす可能性が たとえば、デボリューションレベルが2に設定されている場合、次の一連のクエリを考えてみましょう。DC1.HR.company.co.us,DC1.company.co.us,DC1.co.us。最終的なクエリは、DC1.co.us、組織の制御外であり、クライアントが誤ってインターネット上の悪意のあるマシンに接続する可能性があります。
Server2008R2およびWindows7では、PDSがFRDで終わる場合、既定の動作では、フォレストルートドメイン(FRD)内のラベルの数にデボルブレベルを設定します。 私達のPDSはありますHR.ADcompany.com そして、私たちのFRDはADcompany.comです—サーバー2008R2とWindows7のデフォルトの動作によると、デボルブは有効になり、DNSクライアントのレベルは2に設定されます。 マイクロソフトは、WINDOWS Vista、WINDOWS XP、およびWindows2000でのDNSデボルブ動作を変更する更新プログラムを発行しました。 更新プログラムの詳細については、マイクロソフトの記事”DNS更新プログラムをインストールした後のクライアントコンピューターでのインストール後の動作”を参照してください。
DNSサフィックス検索リスト
3番目のドメインをフォレストに追加すると、finance.ADcompany.com、DNSの委譲は、リソースの単一ラベル名を解決するのに十分ではないかもしれませんHR.ADcompany.com 金融ドメインのクライアントから。 すべてのデバイスが同じ物理サブネット上に配置されているときにHRドメイン内のリソースにpingを実行しようとすると、単一ラベル名解決はFINANCEドメ これは、マシンのローカルキャッシュまたは構成されたDNSサーバーから名前を正常に解決できない場合、WindowsがIPアドレスをブロードキャストするためです。
Nslookupを使用してDNS解決をテストすると、DNSサフィックス検索リストなしで、HRドメインにあるリソースのFQDNを入力する必要があることがわかります。 NslookupでDNSをテストするには、スタートメニューからコマンドプロンプトを開き、
nslookup
と入力し、Enterキーを押します。 新しいプロンプトで、解決するFQDNまたは単一ラベル名を入力し、Enterキーを押します。 Nslookupは、IPアドレスを返すか、ルックアップの失敗を報告します。
すべてのADドメインで単一ラベル名を解決することが環境にとって重要な場合は、解決するプライマリDNSサフィックスのリストを持つすべてのデバfinance.ADcompany.com,HR.ADcompany.com、およびADcompany.com DNSサフィックス検索リストがDNSクライアント用に構成されている場合、DNSデボルブは自動的に無効になります。 Ipv6およびIpv4プロパティの詳細TCP/IP設定ダイアログボックスの[DNS]タブで、各NICの検索リストを手動で構成できます(Windows7のネットワークおよび共有センターで[アダプタ設定の変更]を選択します)。 または、検索リストは、グループポリシーの[コンピューターの構成、ポリシー、管理用テンプレート、ネットワーク、DNSクライアント]の[DNSサフィックス検索リスト]設定のカンマ同様に、新しいDNSゾーンを追加する場合は、secure.HR.ADcompany。com、HR DNSサーバー上でDNSセキュリティ拡張機能(DNSSEC)で保護する必要がある重要なサーバーリソースレコード用に別のゾーンを作成する目的で、DNSクライアントが単一ラベ これは、ホストレコードがクライアントコンピューター用に格納されているDNSゾーンの既定の設定であり、必要な設定です。 通常の状況では、サーバーコンピュータのIPアドレスは変更されないため、セキュリティで保護されたゾーンを手動で管理できます。
条件付き転送
私たちは、二つの子ドメインを助けることができます,finance.ADcompany.com とHR.ADcompany.com両方の子ドメインのDNSサーバーで条件付きフォワーダーを構成することで、フォレストルート内のDNSサーバーに再帰クエリを送信する必要なく、クロスドメインクエ 条件付きフォワーダーは、サーバーレベルのフォワーダーよりも優先され、図6に示すように、定義済みのDNSサーバーに送信する特定のドメインサフィックスのクエリを設定できるという点で、より効率的です。
図6:条件付き転送
のDNSサーバー HR.ADcompany.com 以下のすべてのクエリを送信するフォワーダーが含まれますfinance.ADcompany.com FINANCEドメインのプライマリDNSサーバーに接続し、その逆も同様です。 条件付きフォワーダーを構成するには、スタートメニューの管理ツールからHRドメインのDC上のDNSコンソールを開きます。 DNSコンソールの左側のペインで、DNSサーバーを展開し、条件付きフォワーダーを右クリックし、メニューから新しい条件付きフォワーダーを選択します。 新規条件付きフォワーダーダイアログボックスで、次のように入力しますfinance.adcompany.com DNSドメインボックスに。 マスターサーバーのIPアドレスの下に、図7に示すように、FINANCEドメインのDNSサーバーのIPアドレスまたはサーバー名を入力し、Enterキーを押します。 “OK”をクリックして手順を完了します。 FINANCEドメインのDNSサーバーでこのプロセスを繰り返しますが、次のように入力しますHR.ADcompany.com [DNS Domain]ボックスと、HRドメイン内のDNSサーバーのIPアドレスに表示されます。
図7:新しい条件付きフォワーダーの作成
DNSの複雑さ
一つの記事ですべてのベースをカバーすることは不可能です。、dnssecなど。 しかし、DNSとADが統合ソリューションとしてどのように連携するかについての基本的な理解を持つことは、新しいAD展開を設計し、発生した問題のトラ 最も重要なのは、新規または既存のADインフラストラクチャをテストするときに、各ドメインに対して、他のすべての信頼されたドメインのリソー さらに、委任と条件付き転送を展開して、名前空間間の解決を有効にします。 これらの基本は、複雑なAD環境でDNSをより効果的に使用するのに役立ちます。