初歩から理解するActive Directory (第2回) 続き


△ 図をクリックすると拡大されます
図5●最も簡単なActive Directory用のDNS構成

Active DirectoryのDNSゾーンに必要な条件
 Active Directoryを構成するのに必要なDNSサーバーは,何でもいいというわけではない。Active Directoryに必要なDNSサーバーの条件をまとめよう。詳細な条件は細かく定義されているが,最低限以下の2点について注意したい。

(1)DNS動的更新をサポートするか
(2)SRVレコードをサポートするか

 このうち,DNS動的更新(ダイナミックDNS)は必須ではない。しかし,管理の手間を考えるとあった方がよい。もう1つのSRVレコードは,最初に説明した通りドメイン・コントローラを発見するために使うので必須である。

 これらの設定はゾーン単位で行う必要があるので,以下の構成が最も簡単な設定になる(図5 )。

(1)既存のドメインの子ドメインとしてActive Directory専用のドメインを作成する。
(2)そのドメインは,独立したゾーンとする。
(3)DNSサーバーとしてWindows Server 2003を使う。
(4)Active Directory用のDNSサーバーから上位ドメインのDNSサーバーへフォワーダを設定する。

 フォワーダは,自分で解決できないドメイン情報を他のサーバーに問い合わせる機能である。また,必要に応じて上位ドメインに下位ドメインのDNSサーバーのNSレコードとAレコードを登録する。これらは上位ドメインから下位ドメインを指すために必要である。Windows Server 2003では,別ゾーンの子ドメインを「委任ゾーン」と呼び,NSレコードとAレコードを同時に作成できる。

DNSのインストールと設定はウィザードで行える
 さて,実際にWindowsのDNSを構成する手順を紹介していこう。具体的な操作はWindows Server 2003をベースにしている。

 最初にコントロール・パネルからウィザードを起動してインストールを行う。
(1)[コントロールパネル]−[プログラムの追加と削除]で[Windowsコンポーネントの追加と削除]を選び,[Windowsコンポーネントウィザード]を起動する。
(2)[ネットワークサービス]から[詳細]を選択する。
(3)[ドメインネームシステム(DNS)]を選択し,[OK]ボタンをクリックする。
(4)[次へ]ボタンをクリックする。
(5)指示に従ってWindows Server 2003のCD-ROMをセットする。


△ 図をクリックすると拡大されます
図6●フォワーダの設定

 インストールが完了したら,管理ツール[DNS]を起動し,以下の設定を行う。
(1)DNSサーバーのプロパティを開き,フォワーダを設定する(図6 )。
(2)Active Directory用のDNSゾーンを作成する。

 ただし,Active Directory用のDNSゾーンはActive Directoryのインストール時に自動設定することも可能である。手動で構成する場合は以下の手順で行う( 図7)。

(1)管理ツール[DNS]で[前方参照ゾーン]を右クリックし,[新しいゾーン]を選択する(図7-1)。
(2)[新しいゾーン・ウィザード]が開始する(図7-2)。
(3)ゾーンの種類として[プライマリゾーン]を選択し,[次へ]ボタンをクリックする(図7-3)。
(4)ゾーンの名前(ドメイン名)を入力し,[次へ]ボタンをクリックする(図7-4)。
(5)ゾーン・ファイルの名前の既定値を受け入れ,[次へ]ボタンをクリックする(図7-5)。
(6)動的更新の要求を処理する方法を選択し,[次へ]ボタンをクリックする(図7-6)。
(7)[完了]ボタンをクリックする(図7-7)。


△ 図をクリックすると拡大されます
図7●DNSゾーンを手動で構成する手順

 ゾーンの設定が終了したら,必要に応じてホスト名などの情報を登録する。ただし,後述するように,動的更新可能なDNSを構成した場合には,ホスト名が自動的に登録される。また,最低限必要なリソース・レコードはドメイン作成時に自動的に登録されるので,設定の必要がないケースもある。

 ただし,DNS動的更新を無制限に許可すると,不正アクセスの原因となる。例えば,だれかが無断でWWWというホストを登録し,Webサイトを立ち上げたりしたら,正当なWebサイトであると思いこむ人が大半だろう。動的更新を制限するには,Active Directory統合ゾーンを構成しなくてはならないため,動的更新の許可はドメイン・コントローラを構成する段階で行うべきである。なお,BINDの動的更新にはActive Directoryに依存しない認証が使われるが,Windows Server 2003ではサポートしていないので注意が必要だ。

 ホストを追加するには,ホストを追加するゾーンの上で右クリックし,[新しいホスト]を選択する。最後に,クライアントのTCP/IPプロパティを変更し,新たに構成したDNSサーバーを参照するように設定を変更する。以上でDNSの設定は完了である。

 組織のネットワークによってDNSの構成は様々である。ここでは,一般的な設定を紹介したがこれが唯一の方法ではないことは知っておいてほしい。次回はActive Directoryの論理構造の設計を行う。もう少しで実際のドメイン構築ができる。