Windows OSのDNSサーバの動的更新設定を変更するTech TIPS

Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に更新するという動的更新機能を持っている。Windows Server OSのDNSサーバは、デフォルトでは任意のコンピュータからの動的更新要求を受け付けないので、必要に応じて設定を変更する。インターネット向けに利用する場合は動的更新は無効にしておくのがよい。

» 2005年02月19日 05時00分 公開
[打越浩幸デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

Windows OSのDNSサーバの動的更新設定を変更する

対象:Windows 2000/Windows Server 2003


解説

 Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に登録、更新するという機能を持っている。DHCPを使ったネットワークのように、コンピュータのIPアドレスが起動するごとに異なる可能性のある環境では、この動的更新の機能によって、DNSのコンピュータ名とIPアドレスの対応が常に正しくなるように維持される。

 だがこの機能が有効になっていると、不正な動的更新要求によってホスト名とIPアドレスの対応付けが書き換えられてしまう可能性があるし、動的更新要求によって、ネットワーク全体のトラフィックが増えてしまう可能性もある。そこでDNSサーバのデフォルト設定は、ワークグループ構成のネットワークならば、動的更新機能は無効になっているし、Active Directoryネットワークの場合は、Active Directoryドメインに登録された、権限を持つコンピュータからの動的更新要求だけを受け付けるようになっている。

 通常はこのような設定でも構わないだろうが、場合によってはこれを変更したいこともある。

 例えばドメインに参加していないクライアントが多数存在する企業内ネットワーク(ワークグループネットワーク)では、クライアントの種類を問わず、動的更新を許可しておきたい。さもないと、それらのクライアントに対するDNSレコードが正しく維持できないからだ。

 逆に、DNSサーバをインターネット向けにも公開している場合は、たとえそのコンピュータがActive Directoryドメインに参加している場合でも、セキュリティの観点から動的更新は常に無効にしておくべきである。

操作方法

 DNSサーバの動的更新機能の有効/無効の設定は、DNSのゾーン設定のプロパティを使って行う。

 [管理ツール]の[DNS]ツールを起動し、対象となるDNSサーバへ接続する。そして、管理ツールの左側ペインで設定を変更したいゾーンを選択し、右クリックメニューから[プロパティ]を選択する。すると[全般]タブのページに、DNSの動的更新要求を受け付けるかどうかの設定がある。ただし、これは「プライマリDNSサーバ」モードおよび「Active Directory統合」モードでのみ設定可能な項目となっており、「セカンダリDNSサーバ」モードでは利用できない。すべてプライマリDNSサーバ側で設定されるからだ。

 次の画面は、Windows Server 2003のDNS管理ツールで、あるゾーンのプロパティを表示したところである。

DNSゾーンの[全般]プロパティ DNSゾーンの[全般]プロパティ
DNZのゾーンごとに、このようなプロパティの設定画面があり、動的更新を受け付けるかどうかを設定することができる。[動的更新]の部分の表示は、DNSサーバの管理ツールのバージョンによって少し異なるが、機能は同じである。
  (1)DNSサーバの動作モード。これは「Active Directory統合」モードで動作中の場合。このほかに「プライマリ」と「セカンダリ」がある。「セカンダリ」の場合は動的更新に関する設定は行えない。
  (2)[なし]にすると、動的更新要求をいっさい受け付けなくなる。インターネット向き。プライマリDNSサーバにおけるデフォルト設定。
  (3)どのクライアントからの要求でも受け付けるモード。ワークグループネットワーク構成のクライアントからの要求を受け付ける場合は、これを選択する。
  (4)Active Directory環境におけるデフォルト設定。Active Directoryドメインに登録されているクライアントからの更新要求のみを受け付ける。
  (5)セキュリティ設定。このセキュリティ許可リストで、書き込み許可の権限を持つコンピュータからの更新要求のみが受け付けられる。

 この動的更新要求の許可設定は、各ゾーンごとに行う必要がある。[前方参照ゾーン]だけでなく、[逆引き参照ゾーン]でも同様に設定を行う。

 なお、この更新許可のドロップダウンリストは、DNS管理ツールのバージョンによって表示される内容が異なるが、その意味は同じである。

動的更新の許可 Windows 2000版 Windows Server 2003版
常に無効(受け付けない) [いいえ] [なし]
セキュリティにパスしたもののみ有効(一部受け付ける)。プライマリDNSサーバでは利用できない [セキュリティで保護された更新のみ] [セキュリティ保護のみ]
常に有効(常に受け付ける) [はい] [非セキュリティ保護およびセキュリティ保護]
DNS管理ツールのバージョンによる表示の違い
Windows 2000 ServerのDNS管理ツールとWindows Server 2003のDNS管理ツールでは、表示される文字列が一部異なるが、意味は同じである。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。