連載
» 2008年05月22日 00時00分 公開

Active Directory管理者のためのDNS入門:第1回 DNSの基礎知識 (3/3)

[伊藤将人,著]
前のページへ 1|2|3       

Active Directory用のDNSの構成

 Active Directoryのドメイン名はDNSの名前階層に従っている。そのため、Active Directoryのインストール前には必ず、Active Directoryドメイン名のためのゾーンを管理するDNSサーバが必要である。

 Active Directory用のDNSサーバは次の機能をサポートしている必要がある。

■SRVリソース・レコード(必須)
 「SRV(service)リソース・レコード」とは、ネットワークのサービスを登録するためのDNSレコードである。Active Directoryでは、どのコンピュータがドメイン・コントローラ(DC)なのか、グローバル・カタログ(GC)サーバを兼ねているのか、といった登録情報が、このSRVリソース・レコードにより解決できるようになる。クライアントは、ログオンする際にDNSサーバに対してDCを問い合わせ、そのクエリ結果のサーバに対して認証要求を行う。

■動的更新(強く推奨)
 「動的更新」とは、DNSクライアントのAレコード(ホスト・レコード)やPTRレコード(逆引きポインタ・レコード)の動的な登録を行うための機能である。DHCPクライアントのように、IPアドレスが動的に割り当てられるコンピュータは、DNSサーバにあらかじめ静的に登録しておくことができない。クライアントが起動するたびに異なるIPアドレスが割り当てられる可能性があるからである(登録したとしても、IPアドレスが割り当てられるたびに登録し直さなければ、正しい名前解決ができなくなってしまう)。

 動的更新機能とは、クライアントが自分自身のIPアドレスをDNSサーバに登録・更新する機能のことである。これにより、IPアドレスが変わった場合でも常に正しく名前解決することができる。 また、前述のSRVリソース・レコードも動的更新により登録されるため、新たにDCをインストールすれば、SRVリソース・レコードの登録処理も行われる。DCのためのSRVリソース・レコードの種類はたくさんあるので、すべてを静的に登録するとなると大変な管理作業になってしまう。管理コストを増やしかねない静的な登録ではなく、できれば動的更新をサポートするDNSサーバの利用が望ましい。

 これらの機能は、Windows 2000 ServerやWindows Server 2003に含まれているMicrosoft DNSサービスでサポートされているが、UNIXやLinuxなどで実装され、広く普及している「BIND(Berkeley Internet Name Domain)」というDNSサーバ・ソフトウェアを使うこともできる。ただしBINDでは上記の機能がサポートされているバージョンが8.1.2以降となるため(8.2.2以降を推奨)、UNIX/Linux上のDNSサーバを利用したい場合には、バージョンを確認し、動的更新などの機能を有効にしておく必要がある。

Active Directory統合ゾーン

 すでに述べたように、DNSではゾーン情報をほかのDNSサーバにゾーン転送しておくことで、名前解決の可用性の向上と負荷分散が行える。Windows ServerのMicrosoft DNSサービスでも当然、この処理が実行できるが、さらにWindows Serverならではの機能として、「Active Directory統合ゾーン」という機能がある。Active Directory統合ゾーンを構成するには、DCとなるコンピュータにDNSサービスをインストールする必要がある。

 Active Directoryが扱うオブジェクトはActive Directoryデータベースに格納され、ドメイン内のすべてのDCへ複製される仕組みがある。Active Directory統合ゾーンでは、通常ゾーン・ファイルに登録される各レコードをActive Directoryのオブジェクトとして扱うことで、Active Directoryの複製のメカニズムを使用できるようにしている。通常のプライマリ/セカンダリ構成では、プライマリ・ゾーンは1台のみで構成されるため、クエリの負荷分散は行えるが、動的更新はプライマリ・ゾーンを保持するDNSサーバに更新処理が集中する。Active Directory統合ゾーンを構成すると、すべてのDNSサーバは、マスタのデータベースを保持することができるため、クエリの負荷分散だけでなく、動的更新の負荷分散も実現できる。

Active Directory統合ゾーン
Active Directory統合ゾーンでは、ゾーン内のレコードもActive Directoryのオブジェクトとして扱える。そのためゾーン転送が行われなくても、Active Directoryのマルチマスタ・レプリケーションにより、ほかのDCへゾーン情報が複製される。Active Directoryデータベースはマスタとなるため、レコードのデータはすべてのDNS上で変更が可能になる。

 Active Directory用のゾーン情報は、Active Directoryをインストールする前に構成しておく必要があるが、Active Directoryインストール・ウィザード(DCPROMO.EXE)を実行すれば、必要な作業を自動的に行ってくれるので、すべてウィザードに任せるのが簡単でよいだろう。具体的なインストール手順については次回解説するが、ウィザードを起動すると、(DNSサービスがインストールされていなければ)DNSサービスをインストールし、続いて(ゾーンが存在しない場合は)指定したActive Directoryドメイン名のゾーンをActive Directory統合として作成し、さらに、動的更新を「セキュリティで保護された更新のみ」という状態に設定してくれる。

 なおActive Directory用のゾーンでは、社内のコンピュータやDCなどのリソース・レコードだけを管理するため、インターネットに公開する必要はない(セキュリティのためにも、公開しない方がよいだろう)。


「[運用]Active Directory管理者のためのDNS入門」のインデックス

Active Directory管理者のためのDNS入門

前のページへ 1|2|3       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。