MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。
参考書は下記を使用。
ゾーンとは
ドメイン内のDNS情報を格納したDNSデータベース。
一つのドメインに複数のゾーンを持たせることもできる。
ゾーンにはいろんな種類があるらしい。
■2.2.1 ゾーン転送に着目した種類
ゾーン転送:ゾーンに格納された情報を別のサーバに複製する機能。
プライマリゾーンとセカンダリゾーン
プライマリゾーンがオリジナルのゾーン情報を持つ。
セカンダリゾーンはプライマリサーバから転送された情報を持つ。
セカンダリゾーンは
読み取りしか出来ない。
複数のセカンダリゾーンを持つことも可能。
SOAレコード
ゾーン転送に必要な設定情報が保持。(このプロパティ情報は重要らしい)
シリアル番号
ゾーンファイルの更新世代。これを比較して最新かどうか判断する。
プライマリサーバー
そのまま
責任者
ゾーンの管理担当者の電子メールアドレス。@を使わず . で区切る点が異色。
更新間隔
ゾーン転送を行う間隔。この間隔になるとセカンダリがマスタサーバからSOAレコードを取得し、最新かどうか判断する。
再試行間隔
ゾーン転送失敗時の再試行間隔。
期限
ゾーンファイルを使用できる有効期間。更新間隔が過ぎてもゾーン転送されず、この期限を過ぎた場合、セカンダリサーバーのゾーンは信用できないフラグ立つ。
ゾーン転送の仕組み
完全ゾーン転送(フルゾーン転送,AXFR)
データベースすべてコピー。
増分ゾーン転送(インクリメンタルゾーン転送、IXFR)
変更分だけコピー
以下3つはゾーン転送の種類
更新間隔がトリガとなるゾーン転送
更新間隔来たら、ゾーン転送する種類。SOAのバージョンを確認して判断する方法。
通知がトリガとなるゾーン転送
DNSレコードが変更されたら、セカンダリサーバに通知する方法。(この時SOAレコードのシリアル番号は更新してから通知)
「DNSマネージャ」→「ゾーンの転送」→「通知」→「自動的に通知する」で設定可能。
手動ゾーン転送
下記の2つがある。
「マスタから転送」 : SOAのシリアル番号を比較して更新する方法。
「マスタからの再読み込み」 : シリアル番号に関係なく完全ゾーン転送を行う。
ゾーン転送の許可
「DNSマネージャのプロパティ」→「ゾーンの転送」→「ゾーン転送を許可するサーバ」チェックボックスをONに。
後は以下の3つから選ぶ。
・すべてのサーバー(セキュリティに問題あるので通常選択しない)
・ネームサーバータブの一覧にあるサーバのみ
・次のサーバーのみ(指定したサーバ)
スタブゾーン
初耳です。。
相手のDNSサーバを識別するために必要なレコード(SOA,NS,A)をコピーする。
以下のようなシナリオで使用。
・再帰の処理の軽減
スタブ設定があるとルートDNSサーバから反復して目的のドメインにたどらず、直接目標のDNSサーバにクエリ投げれることができる。
(条件付きフォワーダとの違い。
スタブ:一部のゾーン情報が転送+反復クエリを行う。同一組織内で使用。
条件付きフォワーダ:再帰クエリ。ネットなど外部で使用。)
・子ドメインに対するスタブ
親子関係のドメイン通常、親ドメインで子ドメインを
委任するのが普通。
しかし、子ドメインのDNSサーバに変更あった時、親ドメインDNSサーバを手動で変更しないといけない。
これを親ドメインに子ドメインに対するスタブゾーンを設定すると、自動的にレコードが転送。
結果、親子ドメインともに、
管理者の負担軽減になる。
■2.2.2 クエリの向きによる種類
前方参照ゾーン
ホスト名→IPアドレスを調査。 正引き。
逆引き参照ゾーン
IPアドレス→ホスト名を調査。 逆引き。
PRTレコードを使う。
■2.2.3 格納場所による種類
標準ゾーン
レコードはファイルに保存。(%systemroot%\system32\dns\○○.dns)
シングルマスタ複製。(更新可能な1台だけのDNSサーバを起点とし、複製する)
Active Directory 統合ゾーン
レコードはActive Directory データベースに保存。
マルチマスタ複製。(更新可能なDNSサーバが複数。それを起点とし複製)
セカンダリゾーンは Active Directory統合ゾーンにできない。(AD統合ゾーンは更新可能であるため。)
Active Directoryにおけるゾーン情報保存場所と構成
WinSV2003から AD のアプリケーションパーティションにDNSが保存できるようになった。
Win2k用の互換保存もある。
「ゾーンレプリケーションスコープの変更」から、ゾーンデータのレプリケーションの設定できる。以下の3つがあり。
・このフォレストのすべてのDNSサーバ
・このドメインのすべてのDNSサーバ
・このドメインのすべてのドメインコントローラ(Win2k互換)
■2.2.4 単一ラベル名解決のためのゾーン
Windows Server 2008から導入。
Global Names ゾーンがサポート。
これは単一ラベル名(ただのホスト名)の解決に用いる。
WINS サーバでやってたこととほぼ同じことを実現。
※Global Namesでは
動的更新をサポートしない。(DHCP環境では難しい)
構成方法:
前方参照ゾーンに「Global Names」という名前のゾーンを作る。
そして、 CNAME または A レコード追加(Aレコードは別のゾーンで使われてること多いので CNAME が多いかも)
Global Names ゾーンは
明示的に有効にしないと名前解決できない。
■2.2.5 動的更新
これは今の現場でも構築したの大丈夫かと。。
静的IPアドレスを持つWin2k以降のPCはDNSサーバに A,PTR レコードを自身で登録する。(知らんかった。。。)
DNSクライアント側の動的更新設定
TCP/IPの設定で、「この接続のアドレスをDNSに登録する」にチェック。(デフォルトで有効)
DHCPサーバ上の動的更新に関する設定
WindowsのDHCPサーバ使ってるとなんか動的更新の動作を変更できるらしい。
DHCPサーバの設定で下記の二つで動的更新の動きが異なる。
・DHCPクライアントから要求があった時ににのみDNSのAおよぼPTRレコードを動的に更新する
DHCPクライアントがAレコード、DHCPサーバがPTRレコードをDNSに登録
・DNSのAおよびPTRレコードを常に動的に更新する
DHCPサーバがA,PTRレコードをDNSに登録。(クライアントは何もしない)
DNSサーバ側の動的更新設定
「DNSマネージャのプロパティ」→「全般タブ」で設定可能。
以下3つの設定がある。
・なし : 動的更新しない
・非セキュリティ保護およびセキュリティ保護 : すべての動的更新を受け入れる
・セキュリティ保護のみ : ActiveDirectoryのメンバのみ動的更新
