Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ

DNSサーバの動的更新設定を変更する

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2005/02/19
 
対象OS
Windows 2000
Windows Server 2003
Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に更新するという動的更新機能を持っている。
Windows Server OSのDNSサーバは、デフォルトでは任意のコンピュータからの動的更新要求を受け付けないので、必要に応じて設定を変更する。
インターネット向けに利用する場合は動的更新は無効にしておくのがよい。
 
解説

 Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に登録、更新するという機能を持っている。DHCPを使ったネットワークのように、コンピュータのIPアドレスが起動するごとに異なる可能性のある環境では、この動的更新の機能によって、DNSのコンピュータ名とIPアドレスの対応が常に正しくなるように維持される。

TIPS「動的更新要求を無効にする方法」

 だがこの機能が有効になっていると、不正な動的更新要求によってホスト名とIPアドレスの対応付けが書き換えられてしまう可能性があるし、動的更新要求によって、ネットワーク全体のトラフィックが増えてしまう可能性もある。そこでDNSサーバのデフォルト設定は、ワークグループ構成のネットワークならば、動的更新機能は無効になっているし、Active Directoryネットワークの場合は、Active Directoryドメインに登録された、権限を持つコンピュータからの動的更新要求だけを受け付けるようになっている。

 通常はこのような設定でも構わないだろうが、場合によってはこれを変更したいこともある。

 例えばドメインに参加していないクライアントが多数存在する企業内ネットワーク(ワークグループ・ネットワーク)では、クライアントの種類を問わず、動的更新を許可しておきたい。さもないと、それらのクライアントに対するDNSレコードが正しく維持できないからだ。

 逆に、DNSサーバをインターネット向けにも公開している場合は、たとえそのコンピュータがActive Directoryドメインに参加している場合でも、セキュリティの観点から動的更新は常に無効にしておくべきである。


操作方法

 DNSサーバの動的更新機能の有効/無効の設定は、DNSのゾーン設定のプロパティを使って行う。

 [管理ツール]の[DNS]ツールを起動し、対象となるDNSサーバへ接続する。そして、管理ツールの左側ペインで設定を変更したいゾーンを選択し、右クリック・メニューから[プロパティ]を選択する。すると[全般]タブのページに、DNSの動的更新要求を受け付けるかどうかの設定がある。ただし、これは「プライマリDNSサーバ」モードおよび「Active Directory統合」モードでのみ設定可能な項目となっており、「セカンダリDNSサーバ」モードでは利用できない。すべてプライマリDNSサーバ側で設定されるからだ。

 次の画面は、Windows Server 2003のDNS管理ツールで、あるゾーンのプロパティを表示したところである。

DNSゾーンの[全般]プロパティ
DNZのゾーンごとに、このようなプロパティの設定画面があり、動的更新を受け付けるかどうかを設定することができる。[動的更新]の部分の表示は、DNSサーバの管理ツールのバージョンによって少し異なるが、機能は同じである。
  DNSサーバの動作モード。これは「Active Directory統合」モードで動作中の場合。このほかに「プライマリ」と「セカンダリ」がある。「セカンダリ」の場合は動的更新に関する設定は行えない。
  [なし]にすると、動的更新要求をいっさい受け付けなくなる。インターネット向き。プライマリDNSサーバにおけるデフォルト設定。
  どのクライアントからの要求でも受け付けるモード。ワークグループ・ネットワーク構成のクライアントからの要求を受け付ける場合は、これを選択する。
  Active Directory環境におけるデフォルト設定。Active Directoryドメインに登録されているクライアントからの更新要求のみを受け付ける。
  セキュリティ設定。このセキュリティ許可リストで、書き込み許可の権限を持つコンピュータからの更新要求のみが受け付けられる。

 この動的更新要求の許可設定は、各ゾーンごとに行う必要がある。[前方参照ゾーン]だけでなく、[逆引き参照ゾーン]でも同様に設定を行う。

 なお、この更新許可のドロップダウン・リストは、DNS管理ツールのバージョンによって表示される内容が異なるが、その意味は同じである。End of Article

動的更新の許可 Windows 2000版 Windows Server 2003版
常に無効(受け付けない) [いいえ] [なし]
セキュリティにパスしたもののみ有効(一部受け付ける)。プライマリDNSサーバでは利用できない [セキュリティで保護された更新のみ] [セキュリティ保護のみ]
常に有効(常に受け付ける) [はい] [非セキュリティ保護およびセキュリティ保護]
DNS管理ツールのバージョンによる表示の違い
Windows 2000 ServerのDNS管理ツールとWindows Server 2003のDNS管理ツールでは、表示される文字列が一部異なるが、意味は同じである。
 
関連記事
  Windows TIPS:DNSの動的更新を無効にする(Windows Server Insider)
  Windows TIPS:サーバ用管理ツールをクライアントPCにインストールする(Windows Server Insider)
     
「Windows TIPS」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH