連載
» 2001年07月10日 00時00分 公開

NT管理者のためのActive Directory入門(4):DNSの仕組みを学ぼう

[木村尚義,グローバル ナレッジ ネットワーク インク]

 前回は、Windows NTドメイン環境からWindows 2000のActive Directory環境への移行に関して必要な知識や、その際の手順について解説した。今回は、DCPromo.exeによるプライマリドメインコントローラ(PDC)のアップグレード手順を、実際に画面で確認しつつ追っていく。また、インストールの際に必須となるDNSの仕組みや設定方法についても解説しよう。

DCPromo.exeでドメインコントローラを構成する

 PDCへのWindows 2000のインストール(アップグレード)作業は、ほとんど自動で行われる。Windows 2000 ServerのCD-ROMを挿入すると、自動的にインストールウィザードが起動する。もしウィザードが起動しない場合には、CD-ROM内のファイル「\i386\Winnt32.exe」を直接実行しよう。インストール自体は以上の操作だけで終了するので、詳細は省略する。ここからは、Windows 2000へのアップグレードが完了し、再起動後の構成について解説していこう。

(1) インストールウィザードの起動

 PDCをアップグレードすると、再起動後、自動的にDCPromo.exeが呼び出され、「Active Directoryのインストールウィザード」が起動する。

画面1 PDCのWindows 2000へのアップグレードが終了後、再起動すると自動的に「Active Directoryのインストールウィザード」が起動する(画面をクリックすると拡大表示します) 画面1 PDCのWindows 2000へのアップグレードが終了後、再起動すると自動的に「Active Directoryのインストールウィザード」が起動する(画面をクリックすると拡大表示します)

(2) ドメインコントローラの種類の選択

 今回、初めてActive Directoryをインストールするので、「新しいドメインのドメインコントローラ」を選ぶ。

画面2 Active Diretoryインストールウィザードでは、最初に作成するドメインコントーロラの種類を確認してくる。今回は初めてActive Directoryをインストールするので、「新しいドメインのドメインコントローラ」を選択する(画面をクリックすると拡大表示します) 画面2 Active Diretoryインストールウィザードでは、最初に作成するドメインコントーロラの種類を確認してくる。今回は初めてActive Directoryをインストールするので、「新しいドメインのドメインコントローラ」を選択する(画面をクリックすると拡大表示します)

(3) ドメインツリーの作成

 (2)と同じ理由で「新しいドメインツリーを作成」を選ぶ。

画面3 次にドメインツリーの作成方法を確認してくる。やはり新規インストールなので、「新しいドメインツリーを作成」を選択する(画面をクリックすると拡大表示します) 画面3 次にドメインツリーの作成方法を確認してくる。やはり新規インストールなので、「新しいドメインツリーを作成」を選択する(画面をクリックすると拡大表示します)

(4) フォレストの作成

 やはり、(2) (3)と同様の理由で「ドメインツリーの新しいフォレストを作成」を選ぶ。フォレストとは、「co.jp」や「com」など所属するドメイン名は異なるが、管理を統合したいときに使うものだ。

画面4 ドメインツリーの作成後は、フォレストの作成方法を確認してくる。上記2つと同様に、「ドメインツリーの新しいフォレストを作成」を選択する(画面をクリックすると拡大表示します) 画面4 ドメインツリーの作成後は、フォレストの作成方法を確認してくる。上記2つと同様に、「ドメインツリーの新しいフォレストを作成」を選択する(画面をクリックすると拡大表示します)

(5) ドメインツリー名の登録

 (3)で「新しいドメインツリーを作成」を選択したので、ここでドメイン名を登録する。

画面5 画面3で新しいドメインツリーを作成したので、ここでドメイン名を入力する。完全なDNS名を入力することに注意しよう(画面をクリックすると拡大表示します) 画面5 画面3で新しいドメインツリーを作成したので、ここでドメイン名を入力する。完全なDNS名を入力することに注意しよう(画面をクリックすると拡大表示します)

(6) NetBIOSドメイン名の登録

 下位レベルの互換性維持のために、Windows 2000以前のOSからアクセスする際の(NT)ドメイン名を登録する。

画面6 Windows 2000以前のマシンからのドメインへのアクセスを考慮して、NTドメイン名をここで入力しておく(画面をクリックすると拡大表示します) 画面6 Windows 2000以前のマシンからのドメインへのアクセスを考慮して、NTドメイン名をここで入力しておく(画面をクリックすると拡大表示します)

(7) Active Directoryデータベースの保存場所の指定

 ここで指定する保存場所は、あらかじめNTFSで初期化しておかなければならない。

画面7 Active Directoryデータベースの保存場所を指定する。注意点として、保存先として指定された場所は、あらかじめNTFSでフォーマットされている必要がある(画面をクリックすると拡大表示します) 画面7 Active Directoryデータベースの保存場所を指定する。注意点として、保存先として指定された場所は、あらかじめNTFSでフォーマットされている必要がある(画面をクリックすると拡大表示します)

(8) Sysvolフォルダの場所の指定

 Windows 2000では、Active Directoryに格納しきれない情報をSysvolフォルダに登録する。Sysvolフォルダには、ログオンスクリプトやグループポリシーテンプレートなどが置かれており、フォルダの内容はドメイン内のすべてのDCに複製される。

画面8 次にSysbolフォルダの保存場所を指定する。画面7の場合と同様に、ここで指定する場所もあらかじめNTFSでフォーマットされている必要がある(画面をクリックすると拡大表示します) 画面8 次にSysbolフォルダの保存場所を指定する。画面7の場合と同様に、ここで指定する場所もあらかじめNTFSでフォーマットされている必要がある(画面をクリックすると拡大表示します)

(9) DNS構成の確認

 DNSが見つからなければメッセージが表示され、DNSの構成を確認してくる。

画面9 ドメイン上にDNSサーバが存在しない場合、ここで警告が表示される(画面をクリックすると拡大表示します) 画面9 ドメイン上にDNSサーバが存在しない場合、ここで警告が表示される(画面をクリックすると拡大表示します)

(10) ドメインコントローラの移行作業

 すべての質問に答え終わると、自動的にドメインコントローラの移行作業が始まる。

画面10 すべての質問項目に答え終わると、ドメインコントローラの移行作業が始まる(画面をクリックすると拡大表示します) 画面10 すべての質問項目に答え終わると、ドメインコントローラの移行作業が始まる(画面をクリックすると拡大表示します)

(11) DCの降格

 DCが複数あり、その内のいずれかをメンバーサーバに降格するときも、DCPromo.exeを使う。

画面11 ドメイン内にDCが複数あり、その内のいずれかをメンバーサーバに降格させるときも、DCPromo.exeを使用する(画面をクリックすると拡大表示します) 画面11 ドメイン内にDCが複数あり、その内のいずれかをメンバーサーバに降格させるときも、DCPromo.exeを使用する(画面をクリックすると拡大表示します)

DNSとActive Directoryの関係

 インストールの際には、DNS(Domain Name System)の知識が必須である。最近は、インターネットの普及にともない、「DNSとは何か?」という質問こそ少なくなっているものの、依然、NT管理者にとってDNSはとっつきにくいものらしい。なぜなら、小規模なネットワークであれば、NetBEUIプロトコルの使用でほとんど何の設定もなしでNTドメインが構成できるため、TCP/IPを、ましてはDNSの知識がなくても運用上の問題がなかったからである。

 実際の移行作業自体は簡単なのだが、インストールの途中でDNSの設定を確認してくるため、事前の理解は必須だ。Active Directoryでは、DNSを行き当たりばったりで設定することはできないのだ。Windows NTのドメイン名は、あまり考えずに決めてしまってもさほど問題にはならない。ところが、Active Directoryドメイン名では、DNSで管理されているドメイン名と同じ命名規則のものを使う。例えば、「sample.globalknowledge.co.jp」というDNSサブドメイン名をActive Directoryのルートに設定すると、「sample.globalknowledge.co.jp」というActive Directoryドメイン名となる。つまり、ドメイン名の設定に際しては、DNSに関する情報をあらかじめ把握しておかなければならないのだ。Active Directoryドメインでは、どんなに小規模な環境であってもDNSが必須なのである。

 DNSについて面倒な印象を受けるかもしれないが、Windows 2000ではDNSの運用を容易にするためのいくつかの機能を備えている。その1つが、「Dynamic DNS」と呼ばれるDNSの自動更新機能だ。通常、DNSは手動で設定を行うのだが、Windows 2000のDNSでは動的にその内容を更新できるようになっている。なぜこういった仕組みが便利かといえば、DHCPでクライアント(サーバ)に対してIPアドレスを配布する場合、毎回必ず同じIPアドレスが振られるとは限らないため、DNSの手動登録でホスト名とIPアドレスの対応を一致させるのは難しいからだ。動的更新であれば、DHCPからIPアドレスの情報を取得しDNSに登録するので、いつも最新の名前解決ができる(「名前解決」については後述)。

 このように、内容の動的更新が可能なDNSには、Windows 2000のDNS以外にもBIND 8.1.2以降がある*1。こういったDNSをWindows 2000の環境で利用する場合、「Active Directory統合」も可能である。DNSをActive Directory統合に変更した場合、Active Directoryドメインに参加していないPCを勝手にDNSに登録しないように、セキュリティで保護された更新のみというオプションも用意されている。

*12001年7月10日現在、BINDの最新バージョンはBIND 8.2.4およびBIND 9.1.3となっている。BINDでは、セキュリティホール等の問題のため、最新バージョンを使用することが推奨されている


DNSの基礎をおさらいしよう

 DNSとは、インターネットで使う電話番号案内(電話帳)のようなものだ。例えば電話番号案内では、相手の名前は分かっているが電話番号が分からないときに使用する。DNSでも同様で、相手のFQDN*2は分かっているがIPアドレスが分からないときに使用する。このように、相手のFQDNとIPアドレスとを結びつける動作を「名前解決」と呼ぶ。

*2FQDN (Fully Qualified Domain Name:完全修飾ドメイン名)

例えば「www.globalknowledge.co.jp」の場合、「www」がホスト名、「globalknowledge.co.jp」がドメイン名で、両方をあわせるとFQDNとなる


 仕組みとしては、DNSクライアント(「リゾルバ」と呼ばれる)がDNSサーバに検索要求を出す。DNSサーバは、自分が保持しているIPアドレスのデータベースファイル(「ゾーンファイル」と呼ばれる)を検索し、結果をリゾルバに渡す。ゾーンとは、このリゾルバの検索要求に答える守備範囲のことである。一般的には、ゾーンとDNSドメインは同じ意味で使われることが多いが、実際にはDNSドメインはDNSの階層構造を指しており、DNSが保持しているデータベースの単位をゾーンと呼ぶ。そのため、同じゾーンに複数のドメインが含まれていることもある。検索要求にあたるIPアドレスがゾーンになければ、DNSはさらにほかのDNSを参照する。

図1 DNSの参照パターン。DNSサーバは、解決できない問い合わせに対しては、ルートDNSから順番にDNSサーバを検索して目的のIPアドレスを取得する 図1 DNSの参照パターン。DNSサーバは、解決できない問い合わせに対しては、ルートDNSから順番にDNSサーバを検索して目的のIPアドレスを取得する

 一見非効率的に見えるが、各DNSサーバは検索結果をキャッシュするので、2回目以降の問い合わせにはすばやく結果を渡すことができる。

 TCP/IPネットワークが構築済みで、すでにDNSサーバがある場合は、Active Directory用のサブドメインを構成して、DNSフォワーダ機能を利用することもできる。フォワーダ機能を使うと、自身のDNSで解決できない検索要求を別のDNSサーバに送る(フォワードする)。すると、フォワーダに指定されたDNSサーバがさらに別のDNSを参照して、結果を渡してくれる。

図2 フォワーダの動作。自身で解決できない問い合わせがあった場合、フォワーダとして指定してあるDNS(この場合は、親ドメインのDNS)に問い合わせを行い、目的のIPアドレスを取得する 図2 フォワーダの動作。自身で解決できない問い合わせがあった場合、フォワーダとして指定してあるDNS(この場合は、親ドメインのDNS)に問い合わせを行い、目的のIPアドレスを取得する

DNSゾーンの種類

 DNSゾーンの種類には、次の3つがある。

  • Active Directory統合
  • 標準プライマリ
  • 標準セカンダリ

 一般にDNSゾーンには、手動でホスト名とIPアドレスを登録する。登録は、標準プライマリDNSに対して行う。更新した内容を別のDNSで使いたいときは、標準セカンダリDNSに転送する。この転送をゾーン転送と呼ぶ。更新の場合は、必ず標準プライマリDNSに対して行われるので、標準プライマリDNSが壊れてしまうと更新できないことになる。そこで、フォールトトレランスを実現するには、DNSをActive Directory統合にする。

 Active Directory統合にすると、ゾーン情報がActive Directoryデータベースに統合され、ゾーン転送もActive Directoryの複製プロセスに統合される。Active Directoryはマルチマスタレプリケーションモデルを採用しているため、プライマリとセカンダリの区別なしに複製が可能になる。

 Windows 2000のDNSでは、以下の場合にActive Directory統合が使える。

  • DCとWindows 2000のDNSが同じサーバで稼働している
  • DNSがプライマリである

インストール後のDNSの構成

 DNSの構成はDC作成中に自動的に行われるが、前述のフォワーダ機能の設定などは、DNS管理ツールを使って手動で行う必要がある。DNS管理ツールは、「スタート」→「プログラム」→「管理ツール」→「DNS」の手順で起動する。

画面12 DNS管理ツールを起動したところ(画面をクリックすると拡大表示します) 画面12 DNS管理ツールを起動したところ(画面をクリックすると拡大表示します)

フォワーダの設定

 DNS管理ツールを起動したら、左側のツリーにあるDNSサーバの一覧から該当するサーバのプロパティを開き(この例では「WIN2KSRV」)、フォワーダタブの項目にフォワーダのIPアドレスを追加する(画面13)。また、フォワーダはDNSルートがあると無効になるため、あらかじめ( . )を削除しておく(画面14)。

画面13 DNSサーバのプロパティを開いて、フォワーダのIPアドレスを追加する(画面をクリックすると拡大表示します) 画面13 DNSサーバのプロパティを開いて、フォワーダのIPアドレスを追加する(画面をクリックすると拡大表示します)
画面14 DNSルート(.)が設定されていると、フォワーダは無効になる。あらかじめ削除しておこう(画面をクリックすると拡大表示します) 画面14 DNSルート(.)が設定されていると、フォワーダは無効になる。あらかじめ削除しておこう(画面をクリックすると拡大表示します)

DNSの動的更新

 DNSのツリー一覧から、該当するドメインのプロパティを開き、「全般」タブを選択する(画面15)。「変更」ボタンを押すと画面16のダイアログボックスが表示されるので、ゾーンの種類を「Active Directory統合」に変更しておく。Active Directory統合にすれば、「セキュリティで保護された更新のみ」のオプションが使えるようになる。

画面15 DNS管理ツールで、ドメインのプロパティを開いたところ。まずは、「全般」タブで変更ボタンを押して、画面16のダイアログボックスを開こう(画面をクリックすると拡大表示します) 画面15 DNS管理ツールで、ドメインのプロパティを開いたところ。まずは、「全般」タブで変更ボタンを押して、画面16のダイアログボックスを開こう(画面をクリックすると拡大表示します)
画面16 ここでゾーンの種類を「Active Directory統合」に変更すると、画面15の「動的更新を使用可能にしますか」の項目で、「セキュリティで保護された更新のみ」のオプション選択が可能となる(画面をクリックすると拡大表示します) 画面16 ここでゾーンの種類を「Active Directory統合」に変更すると、画面15の「動的更新を使用可能にしますか」の項目で、「セキュリティで保護された更新のみ」のオプション選択が可能となる(画面をクリックすると拡大表示します)

第3回、第4回のポイント

●ドメイン移行モデルの選択

 Windows 2000の移行には2つのモデルがある。

  • 現在のドメインをアップグレードする方法
  • 新たにActive Directoryドメインをインストールして再構築する方法

再構築をした後にアカウントを移行するにはADMT.exeを使う。

●移行の手順

 移行するためには必ずPDCからアップグレードを行う。マスタードメインとリソースドメインの構成のときはマスタードメインから移行する。DCに昇格(降格)を行うツールはDCPromo.exeである。

●移行にはDNSの知識が必要

 移行のためにはDNSの知識は必須である。

  • Active Directoryドメイン名に使われる
  • フォワーダの構成
  • DNSゾーンの種類

DNSを構成するツールはDNS管理ツールである。



Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。