Windows での自動更新の構成方法および使用方法

この記事では、Windows で DNS 更新機能を構成する方法について説明します。

適用対象:   Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 10
元の KB 番号:   816592

概要

DNS 更新機能を使用すると、DNS クライアント コンピューターは、変更が発生するたびに DNS サーバーにリソース レコードを登録し、動的に更新できます。 この機能を使用する場合、特に動的ホスト構成プロトコル (DHCP) を頻繁に移動して使用して IP アドレスを取得するクライアントでは、ゾーン レコードの手動管理の要件を減らすことができます。

Windows では、コメントの要求 (RFC) 2136 で説明されているように、動的更新機能がサポートされています。 DNS サーバーの場合、DNS サービスでは、標準プライマリ ゾーンまたはディレクトリ統合ゾーンのいずれかを読み込む構成の各サーバーで、ゾーンごとに DNS 更新機能を有効または無効にすることができます。

Windows DNS 更新プログラムの機能

DNS サービスを使用すると、クライアント コンピューターは DNS でリソース レコードを動的に更新できます。 この機能を使用する場合は、ゾーン レコードを手動で管理するために必要な時間を短縮することで、DNS 管理を改善します。 コンピューターの IP アドレスが変更されたときに、DHCP で DNS 更新機能を使用してリソース レコードを更新できます。

Windows には、DNS 動的更新プロトコルに関連する次の機能が用意されています。

  • ドメイン コントローラーのロケーター サービスとして Active Directory ディレクトリ サービスを使用する。

  • Active Directory との統合。

    DNS ゾーンを Active Directory に統合して、フォールト トレランスとセキュリティを強化できます。 すべての Active Directory 統合ゾーンは、Active Directory ドメイン内のすべてのドメイン コントローラー間でレプリケートされます。 これらのドメイン コントローラーで実行されているすべての DNS サーバーは、ゾーンのプライマリ サーバーとして機能し、動的更新を受け入れます。 Active Directory はプロパティごとにレプリケートされ、関連する変更のみが伝達されます。

  • レコードのエージングと消去。

    DNS サーバー サービスは、不要になったレコードをスキャンして削除できます。 この機能を有効にすると、古いレコードが DNS に残らないようにすることができます。

  • この問題は、Active Directory 統合ゾーンで発生します。

    Active Directory 統合ゾーンを構成して、セキュリティで保護された動的更新を行い、承認されたユーザーのみがゾーンまたはレコードに変更を加えることができます。

  • コマンド プロンプトからの管理。

  • NetBIOS 名前解決

  • 強化されたキャッシュと負のキャッシュ。

  • 他の DNS サーバー実装との相互運用性。

  • 他のネットワーク サービスとの統合。

  • 増分ゾーン転送。

Windows ベースのコンピューターが DNS 名を更新する方法

既定では、TCP/IP 用に静的に構成されている Windows コンピューターは、インストールされたネットワーク接続によって構成および使用される IP アドレスのホスト アドレス (A) とポインター (PTR) リソース レコードを動的に登録しようとします。 既定では、すべてのコンピューター レジスタ レコードは、完全なコンピューター名に基づいています。

サイトが完全修飾ドメイン名 (FQDN)。 さらに、プライマリフル コンピューター名は、コンピューター名に追加されるコンピューターのプライマリ DNS サフィックスです。 コンピューターのプライマリ DNS サフィックスとコンピューター名を確認するには、[ マイ コンピューター] を右クリックし、[ プロパティ] をクリックして、[ コンピューター名] をクリックします。

DNS 更新プログラムは、次のいずれかの理由またはイベントに対して送信できます。

  • インストールされているいずれかのネットワーク接続の TCP/IP プロパティ構成で、IP アドレスが追加、削除、または変更されます。
  • IP アドレスリースは、DHCP サーバーにインストールされているネットワーク接続のいずれかを変更または更新します。 たとえば、この更新プログラムは、コンピューターの起動時やコマンドの使用時に ipconfig /renew 発生します。
  • このコマンドを ipconfig /registerdns 使用して、DNS でのクライアント名登録の更新を手動で強制します。
  • リモート コンピューターがオフになっている
  • メンバー サーバーはドメイン コントローラーに昇格されます。

これらのイベントのいずれかが DNS 更新をトリガーすると、DNS クライアント サービスではなく DHCP クライアント サービスが更新プログラムを送信します。 DHCP が原因で IP アドレス情報の変更が発生した場合、コンピューターの名前とアドレスのマッピングを同期するために、DNS で対応する更新が実行されます。 DHCP クライアント サービスは、システム上のすべてのネットワーク接続に対してこの機能を実行します。 これには、DHCP を使用するように構成されていない接続が含まれます。

注意

  • DHCP を使用して IP アドレスを取得する Windows ベースのコンピューターの更新プロセスは、このセクションで説明するプロセスとは異なります。 詳細については、「DHCP と DNS の統合」セクションと「Windows DHCP クライアントと DNS 動的更新プロトコル」セクションを参照してください。
  • このセクションで説明する更新プロセスでは、Windows インストールの既定値が有効であることを前提としています。 既定以外の DNS 設定を使用するように高度な TCP/IP プロパティが構成されている場合、特定の名前と更新の動作を調整できます。
  • コンピューターの完全なコンピューター名またはプライマリ名に加えて、追加の接続固有の DNS 名を構成し、必要に応じて DNS に登録または更新できます。

既定では、Windows では、コンピューターのロールに関係なく、24 時間ごとに A および PTR リソース レコードが登録されます。 今回変更するには、次のレジストリ サブキーの下に DefaultRegistrationRefreshInterval レジストリ エントリを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters

間隔は秒単位で設定されます。

DNS 更新のしくみの例

動的更新は、通常、コンピューターで DNS 名または IP アドレスが変更されたときに要求されます。 たとえば、"oldhost" という名前のクライアントは、次の名前を持つシステム プロパティで最初に構成されます。
コンピューター名: oldhost
コンピューターの DNS ドメイン名: example.microsoft.com
NetBIOS コンピューター名

この例では、コンピューターに対して接続固有の DNS ドメイン名は構成されていません。 コンピューターの名前を "oldhost" から "newhost" に変更すると、次の名前が変更されます。
コンピューター名: newhost
コンピューターの DNS ドメイン名: example.microsoft.com
NetBIOS コンピューター名

[システムのプロパティ] で名前の変更が適用されると、コンピューターの再起動を求めるメッセージが Windows によって表示されます。 コンピューターが Windows を再起動すると、DHCP クライアント サービスは次のシーケンスを実行して DNS を更新します。

  1. DHCP クライアント サービスは、コンピューターの DNS ドメイン名を使用して、機関の開始 (SOA) 型のクエリを送信します。

    クライアント コンピューターは、このクエリで指定された名前として、コンピューターの現在構成されている FQDN ("newhost.example.microsoft.com"など) を使用します。

  2. クライアント FQDN を含むゾーンの権限のある DNS サーバーは、SOA 型のクエリに応答します。

    標準プライマリ ゾーンの場合、SOA クエリ応答で返されるプライマリ サーバーまたは所有者は固定であり、静的です。 プライマリ サーバー名は常に、ゾーンと共に格納されている SOA リソース レコードにその名前が表示されるため、正確な DNS 名と一致します。 ただし、更新されるゾーンがディレクトリ統合されている場合、ゾーンを読み込む DNS サーバーは応答し、SOA クエリ応答でゾーンのプライマリ サーバーとして独自の名前を動的に挿入できます。

  3. DHCP クライアント サービスは、プライマリ DNS サーバーへの接続を試みます。

    クライアントは、名前の SOA クエリ応答を処理して、その名前を受け入れるためにプライマリ サーバーとして承認されている DNS サーバーの IP アドレスを決定します。 必要な場合、クライアントは次の手順を実行してプライマリ サーバーに接続し、動的に更新します。

    1. クライアントは、SOA クエリ応答で決定されたプライマリ サーバーに動的更新要求を送信します。

      更新が成功した場合、追加のアクションは実行されません。

    2. この更新が失敗した場合、クライアントは次に SOA レコードで指定されたゾーン名の NS 型クエリを送信します。

    3. クライアントがこのクエリに対する応答を受信すると、クライアントは応答に一覧表示されている最初の DNS サーバーに SOA クエリを送信します。

    4. SOA クエリが解決されると、クライアントは、返された SOA レコードで指定されたサーバーに動的更新プログラムを送信します。

      更新が成功した場合、追加のアクションは実行されません。

    5. この更新が失敗した場合、クライアントは応答に一覧表示されている次の DNS サーバーに送信することで、SOA クエリ プロセスを繰り返します。

  4. 更新を実行できるプライマリ サーバーに接続した後、クライアントは更新要求を送信し、サーバーは更新要求を処理します。

    更新要求の内容には、"" 用のリソース レコード A と PTR を追加し、"newhost.example.microsoft.com" に同じレコードの種類oldhost.example.microsoft.comを削除する手順が含まれます。 ("oldhost.example.microsoft.com" は、以前に登録された名前です。

    また、サーバーは、クライアント要求に対して更新が許可されていることを確認します。 標準プライマリ ゾーンの場合、動的更新はセキュリティで保護されません。 クライアントによる更新の試行は成功します。 Active Directory 統合ゾーンの場合、更新はセキュリティで保護され、ディレクトリ ベースのセキュリティ設定を使用して実行されます。

動的更新は定期的に送信または更新されます。 既定では、コンピューターは 24 時間ごとに更新プログラムを送信します。 更新によってゾーン データが変更されない場合、ゾーンは現在のバージョンのままになり、変更は書き込まれません。 実際のゾーン変更またはゾーン転送の増加を引き起こす更新は、名前またはアドレスが実際に変更された場合にのみ発生します。

注意

DNS ゾーンが非アクティブになった場合、または更新間隔 24 時間以内に更新されない場合、名前は DNS ゾーンから削除されません。 新しい名前またはアドレスの変更が適用されたときに、DNS クライアントは古い名前レコードを削除または更新しようとしますが、DNS ではリリースまたは廃棄のメカニズムを使用しません。

DHCP クライアント サービスが Windows ベースのコンピューターに対して A および PTR リソース レコードを登録する場合、クライアントはホスト レコードに対して既定のキャッシュ時間 (TTL) 値 15 分を使用します。 この値は、他の DNS サーバーとクライアントがクエリ応答に含まれるときにコンピューターのレコードをキャッシュする時間を決定します。

DHCP と DNS の統合

Windows DHCP サーバーは、これらの更新プログラムをサポートする任意のクライアントに対して、DNS 名前空間で動的更新を有効にすることができます。 スコープ クライアントは、DNS 動的更新プロトコルを使用して、DHCP 割り当てアドレスに変更が発生するたびに、ホスト名からアドレスへのマッピング情報を更新できます。 このマッピング情報は、DNS サーバー上のゾーンに格納されます。 Windows ベースの DHCP サーバーは、DHCP クライアントの代わりに任意の DNS サーバーに対して更新を実行できます。

DHCP/DNS 更新操作のしくみ

DHCP サーバーを使用して、サーバーの DHCP 対応クライアントに代わって PTR と A のリソース レコードを登録および更新できます。 これを行う場合は、追加の DHCP オプションであるクライアント FQDN オプション (オプション 81) を使用する必要があります。 このオプションを使用すると、クライアントは DHCPREQUEST パケット内の DHCP サーバーに FQDN を送信できます。 これにより、クライアントは DHCP サーバーに必要なサービス レベルを通知できます。

FQDN オプションには、次の 6 つのフィールドが含まれます。

  • コード
    このオプションのコードを指定します (81)。
  • Len
    このオプションの長さを指定します。 (これは少なくとも 4 である必要があります)。
  • フラグ
    サービスの種類を指定します。
  • 0
    クライアントは "A" (ホスト) レコードを登録します。
  • 1
    クライアントは DHCP で "A" (ホスト) レコードを登録することを望んでいます。
  • 3
    DHCP では、クライアントの要求に関係なく、"A" (ホスト) レコードが登録されます。
  • RCODE1
    サーバーがクライアントに送信する応答コードを指定します。
  • RCODE2
    RCODE1 の追加の線を指定します。
  • Domain Name
    クライアントの FQDN を指定します。

クライアントがリソース レコードを DNS に登録するように要求した場合、クライアントは Request for Comments (RFC) 2136 ごとに動的 UPDATE 要求を生成する役割を担います。 その後、DHCP サーバーは PTR (ポインター) レコードを登録します。

このオプションは、Windows を実行している DHCP 対応コンピューターなど、修飾された DHCP クライアントによって発行されることを前提としています。 この場合、このオプションは Windows Server ベースの DHCP サーバーによって処理および解釈され、サーバーがクライアントに代わって更新プログラムを開始する方法が決定されます。

たとえば、次のいずれかの構成を使用して、クライアント要求を処理できます。

  • DHCP サーバーは、クライアント要求に従って、構成された DNS サーバーでクライアント情報を登録および更新します。

    これは Windows の既定の構成です。 このモードでは、これらの Windows DHCP クライアントのいずれかによって、DHCP サーバーがホスト A と PTR リソース レコードを更新する方法を指定できます。 可能であれば、DHCP サーバーは、DNS 内の名前と IP アドレス情報の更新を処理するためのクライアント要求を処理します。

    クライアントの要求に従ってクライアント情報を登録するように DHCP サーバーを構成するには、次の手順に従います。

    1. サーバーまたは個々のスコープの DHCP プロパティを開きます。
    2. [ DNS ] タブをクリックし、[ プロパティ] をクリックし、[ DHCP クライアントから要求された場合にのみ DNS A と PTR レコードを動的に更新 する] チェック ボックスをオンにします。
  • DHCP サーバーは常に、構成された DNS サーバーを使用してクライアント情報を登録および更新します。

    これは、Windows を実行している Windows Server DHCP サーバーとクライアントでサポートされている変更された構成です。 このモードでは、DHCP サーバーは、クライアントが独自の更新の実行を要求したかどうかに関係なく、常にクライアントの FQDN とリースされた IP アドレス情報の更新を実行します。

    DHCP サーバーを登録するように構成し、構成された DNS サーバーでクライアント情報を更新するには、次の手順に従います。

    1. サーバーの DHCP プロパティを開く
    2. [ DNS] をクリックし、[ プロパティ] をクリックして、[ 次の設定に従って DNS 動的更新を有効にする ] チェック ボックスをオンにし、[ DNS A と PTR レコードを常に動的に更新 する] をクリックします。
  • DHCP サーバーは、構成された DNS サーバーを使用してクライアント情報を登録および更新することはありません。

    この構成を使用するには、DHCP/DNS プロキシ更新プログラムのパフォーマンスを無効にするように DHCP サーバーを構成する必要があります。 この構成を使用すると、DHCP クライアントの DNS ではクライアント ホスト A または PTR リソース レコードは更新されません。

    サーバーおよび共有を構成するには、以下の手順を実行します。

    1. DHCP サーバーの DHCP プロパティ、または Windows Server ベースの DHCP サーバーでそのスコープのいずれかを開きます。
    2. [ DNS] をクリックし、[ プロパティ] をクリックして、[ 次の設定に従って DNS 動的更新を有効にする ] チェック ボックスをオフにします。

    既定では、更新プログラムは、新しくインストールされた Windows Server ベースの DHCP サーバーと、新しく作成したスコープに対して常に実行されます。

Windows DHCP クライアントと DNS 動的更新プロトコル

Windows を実行している DHCP クライアントは、DHCP と DNS の対話を実行するときに、異なるやり取りを行うことができます。 次の例は、このプロセスが異なる場合にどのように変化するかを示しています。

Windows ベースの DHCP クライアントの DHCP/DNS 更新操作の例

クライアントは、次の方法で DNS 動的更新プロトコルと対話します。

  1. クライアントは、サーバーへの DHCP 要求メッセージ (DHCPREQUEST) を開始します。 要求にはオプション 81 が含まれます。
  2. サーバーは DHCP 受信確認メッセージ (DHCPACK) をクライアントに返します。 クライアントは IP アドレスリースを許可し、オプション 81 が含まれています。 DHCP サーバーが既定の設定で構成されている場合、オプション 81 は、DHCP サーバーが DNS PTR レコードを登録し、クライアントが DNS A レコードを登録することをクライアントに指示します。
  3. クライアントは非同期的に、独自の前方参照レコードであるホスト A リソース レコードの DNS 更新要求を DNS サーバーに送信します。
  4. DHCP サーバーは、クライアントの PTR レコードを登録します。

DNS 動的更新をサポートしていない DHCP クライアントの DHCP/DNS 更新操作の例

DNS 動的更新プロセスを直接サポートしていない DHCP クライアントは、DNS サーバーと直接対話できません。 これらの DHCP クライアントの場合、更新は通常、次の方法で処理されます。

  1. クライアントは、サーバーへの DHCP 要求メッセージ (DHCPREQUEST) を開始します。 この要求には、オプション 81 は含まれません。
  2. サーバーは DHCP 受信確認メッセージ (DHCPACK) をクライアントに返します。 クライアントは、オプション 81 なしで IP アドレスリースを許可します。
  3. サーバーは、クライアントの前方参照レコードであるホスト A リソース レコードの DNS サーバーに更新プログラムを送信し、クライアントの PTR 逆引き参照レコードの更新を送信します。

セキュリティのみの更新プログラム

Windows Server の場合、DNS 更新プログラムのセキュリティは、Active Directory に統合されているゾーンでのみ使用できます。 ゾーンを統合した後、DNS スナップインで使用できるアクセス制御リスト (ACL) 編集機能を使用して、特定のゾーンまたはリソース レコードのユーザーまたはグループを ACL から追加または削除できます。

詳細については、Windows Server ヘルプの「リソース レコードのセキュリティを変更するには」トピックまたは「ディレクトリ統合ゾーンのセキュリティを変更するには」トピックを検索してください。

既定では、Windows Server DNS サーバーとクライアントの動的更新セキュリティは、次の方法で処理されます。

  1. Windows Server ベースの DNS クライアントは、最初にセキュリティで保護されていない動的更新プログラムを使用しようとします。 セキュリティで保護されていない更新プログラムが拒否された場合、クライアントはセキュリティで保護された更新プログラムを使用しようとします。

    また、クライアントは既定の更新ポリシーを使用します。これにより、更新セキュリティによって特にブロックされない限り、以前に登録されたリソース レコードを上書きしようとします。

  2. 既定では、ゾーンが Active Directory 統合になった後、Windows Server ベースの DNS サーバーでは、セキュリティで保護された動的更新プログラムのみが有効になります。

既定では、標準ゾーン ストレージを使用する場合、DNS サーバー サービスはゾーンで動的更新を有効にしません。 ディレクトリ統合ゾーンまたは標準ファイル ベースのストレージを使用するゾーンの場合は、すべての動的更新を有効にするようにゾーンを変更できます。 これにより、セキュリティで保護された更新プログラムの使用を渡すことで、すべての更新プログラムを受け入れできるようになります。

重要

DHCP サーバー サービスは、動的更新をサポートしていないレガシ クライアントの DNS レコードのプロキシ登録と更新を実行できます。 詳細については、Windows Server ヘルプの「DHCP で DNS サーバーを使用する」トピックを参照してください。

ネットワーク上で複数の Windows Server ベースの DHCP サーバーを使用していて、セキュリティで保護された動的更新のみを有効にするようにゾーンを構成する場合は、Active Directory ユーザーとコンピューター スナップインを使用して DHCP サーバー コンピューターを組み込みの DnsUpdateProxy グループに追加します。 これを行うと、すべての DHCP サーバーに、いずれかの DHCP クライアントに対してプロキシ更新を実行するためのセキュリティで保護された権限が与えられます。 詳細については、Windows Server ヘルプの「DHCP で DNS サーバーを使用する」トピックまたは「グループの管理」トピックを参照してください。

注意事項

次の条件に該当する場合、セキュリティで保護された動的更新機能が侵害される可能性があります。

  • Windows Server ベースのドメイン コントローラーで DHCP サーバーを実行する
  • DHCP サーバーは、クライアントに代わって DNS レコードの登録を実行するように構成されています。 この問題を回避するには、DHCP サーバーとドメイン コントローラーを別のコンピューターに展開するか、動的更新に専用のユーザー アカウントを使用するように DHCP サーバーを構成します。 詳細については、Windows Server ヘルプの「DHCP で DNS サーバーを使用する」トピックを参照してください。

詳細については、「DnsUpdateProxy グループを使用するときのセキュリティに関する考慮事項」セクションを参照してください。

セキュリティで保護された動的更新プログラムのみを有効にする

  1. [スタート] ボタンをクリックして [管理ツール] をポイントし、[DNS] をクリックします。
  2. [ DNS] で、該当する DNS サーバーをダブルクリックし、[ 前方参照ゾーン ] または [ 逆引き参照ゾーン] をダブルクリックして、該当するゾーンを右クリックします。
  3. [プロパティ] をクリックします。
  4. [ 全般 ] タブで、ゾーンの種類が Active Directory 統合 されていることを確認します。
  5. [ 動的更新プログラム ] ボックスで、[ セキュリティ保護のみ] をクリックします。
  6. [OK] をクリックします。

注意

セキュリティで保護された動的更新機能は、Active Directory 統合ゾーンでのみサポートされます。 別のゾーンの種類を構成する場合は、ゾーンの種類を変更し、DNS 更新用にセキュリティで保護する前にゾーンを統合します。 動的更新は、DNS 標準に対する RFC 準拠の拡張機能です。 DNS 更新プロセスは、RFC 2136 の "ドメイン ネーム システムでの動的更新 (DNS UPDATE)" で定義されています。

DnsUpdateProxy セキュリティ グループを使用する

Windows Server ベースの DHCP サーバーを構成して、DHCP クライアントに代わってホスト A および PTR リソース レコードを動的に登録できます。 Windows Server ベースの DNS サーバーでこの構成でセキュリティで保護された動的更新プログラムを使用すると、リソース レコードが古くなる可能性があります。

たとえば、次のようなシナリオについて考えてみます。

  1. Windows Server DHCP サーバー (DHCP1) は、特定の DNS ドメイン名のクライアントの 1 つに代わって、セキュリティで保護された動的更新を実行します。
  2. DHCP サーバーは名前を正常に作成したため、名前の所有者になります。
  3. DHCP サーバーがクライアント名の所有者になった後は、その DHCP サーバーのみが名前を更新できます。

状況によっては、このシナリオで問題が発生する可能性があります。 たとえば、DHCP1 が失敗し、2 つ目のバックアップ DHCP サーバーがオンラインになった場合、サーバーが名前の所有者ではないため、バックアップ サーバーはクライアント名を更新できません。

別の例では、DHCP サーバーがレガシ クライアントに対して動的更新を実行することを想定しています。 これらのクライアントを動的更新をサポートするバージョンにアップグレードした場合、アップグレードされたクライアントは所有権を取得したり、DNS レコードを更新したりすることはできません。

この問題を解決するために、DnsUpdateProxy という名前の組み込みのセキュリティ グループが提供されます。 すべての DHCP サーバーが DnsUpdateProxy グループに追加されている場合、最初のサーバーで障害が発生した場合、あるサーバーのレコードを別のサーバーで更新できます。 また、DnsUpdateProxy グループのメンバーによって作成されたすべてのオブジェクトはセキュリティで保護されていません。 そのため、DnsUpdateProxy グループのメンバーではなく、DNS 名に関連付けられているレコードのセットを変更する最初のユーザーがその所有者になります。 レガシ クライアントがアップグレードされると、DNS サーバーで名前レコードの所有権を取得できます。 レガシ クライアントのリソース レコードを登録するすべての DHCP サーバーが DnsUpdateProxy グループのメンバーである場合、多くの問題が解消されます。

DnsUpdateProxy グループにメンバーを追加する

Active Directory ユーザーとコンピューター スナップインを使用して、DnsUpdateProxy セキュリティ グループを構成します。

注意

フォールト トレランスとセキュリティで保護された動的更新に複数の DHCP サーバーを使用している場合は、DnsUpdateProxy グローバル セキュリティ グループに各サーバーを追加します。

DnsUpdateProxy グループを使用する場合のセキュリティに関する考慮事項

DHCP サーバーが DnsUpdateProxy グループのメンバーである場合、DHCP サーバーによって登録された DNS ドメイン名はセキュリティで保護されません。 DHCP サーバー自体のホスト (A) リソース レコードは、このようなレコードの例です。 また、DnsUpdateProxy グループのメンバーによって作成されたオブジェクトはセキュリティで保護されていません。 そのため、グループのメンバーによって作成されたレコードをセキュリティで保護するための追加の手順を実行しない限り、このグループを Active Directory 統合ゾーンで効果的に使用することはできません。

セキュリティで保護されていないレコードから保護したり、DnsUpdateProxy グループのメンバーがセキュリティで保護された動的更新のみを有効にするゾーンにレコードを登録できるようにするには、次の手順に従います。

  1. ユーザー アカウントを新規作成する
  2. ユーザー アカウントの資格情報を使用して DNS 動的更新を実行するように DHCP サーバーを構成します。 (これらの資格情報は、ユーザー名、パスワード、ドメインです)。

1 つの専用ユーザー アカウントの資格情報は、複数の DHCP サーバーで使用できます。

専用ユーザー アカウントは、DNS 動的更新登録の資格情報を DHCP サーバーに提供することを唯一の目的とするユーザー アカウントです。 専用ユーザー アカウントを作成し、アカウント資格情報を使用して DHCP サーバーを構成したとします。 各 DHCP サーバーは、DNS 動的更新を使用している DHCP クライアントの代わりに名前を登録するときに、これらの資格情報を提供します。 更新するゾーンのプライマリ DNS サーバーが存在するフォレストに専用ユーザー アカウントを作成する必要があります。 専用ユーザー アカウントは、別のフォレストに配置することもできます。 ただし、アカウントが存在するフォレストには、更新するゾーンのプライマリ DNS サーバーを含むフォレストとのフォレスト信頼が確立されている必要があります。

DHCP サーバー サービスがドメイン コントローラーにインストールされている場合は、専用ユーザー アカウントの資格情報を使用して DHCP サーバーを構成し、サーバーがドメイン コントローラーの電源を継承したり、誤った使用を行うのを防ぐことができます。 DHCP サーバー サービスがドメイン コントローラーにインストールされると、ドメイン コントローラーのセキュリティアクセス許可が継承されます。 また、このサービスには、セキュリティで保護された Active Directory 統合ゾーンに登録されている DNS レコードを更新または削除する権限もあります。 (これには、他の Windows ベースのコンピューターとドメイン コントローラーによって安全に登録されたレコードが含まれます)。

DNS 動的更新を構成する

Windows に含まれる動的更新機能は、RFC 2136 に従います。 動的更新により、クライアントとサーバーは、DNS ドメイン名 (PTR リソース レコード) と IP アドレス マッピング (A リソース レコード) を RFC 2136 準拠の DNS サーバーに登録できます。

DHCP クライアントの DNS 動的更新を構成する

既定では、クライアントが A リソース レコードを登録し、サーバーが PTR リソース レコードを登録するように Windows ベースの DHCP クライアントが構成されます。 既定では、DNS 登録で使用される名前は、コンピューター名とプライマリ DNS サフィックスを連結したものです。 この既定の名前を変更するには、ネットワーク接続の TCP/IP プロパティを開きます。

動的更新クライアントで動的更新プログラムの既定値を変更するには、次の手順に従います。

  1. コントロール パネルの [ネットワーク接続] をダブルクリックします。

  2. 確認するフォルダを右クリックし、[プロパティ] をクリックします。

  3. [インターネット プロトコル (TCP/IP)] をクリックし、[プロパティ] をクリックします。

  4. [DNS] をクリックします。

    既定では、[ この接続のアドレスを DNS に登録する ] が選択され、[ DNS 登録でこの接続の DNS サフィックスを使用 する] は選択されていません。 この既定の構成により、クライアントはクライアントが A リソース レコードを登録し、サーバーが PTR リソース レコードを登録するように要求します。

  5. [ DNS 登録でこの接続の DNS サフィックスを使用 する] チェック ボックスをオンにします。

    その後、クライアントは FQDN を使用してサーバーに PTR レコードの更新を要求します。 クライアントの要求に従って DNS レコードを登録するように DHCP サーバーが構成されている場合、クライアントは次のレコードを登録します。

    • PTR レコード。
    • コンピューター名とプライマリ DNS サフィックスの連結である名前を使用する A レコード。
    • コンピューター名と接続固有の DNS サフィックスの連結である名前を使用する A レコード。
  6. DNS 登録の要求を行わないようクライアントを構成するには、[ この接続のアドレスを DNS に登録 する] チェック ボックスをオフにします。

マルチホーム クライアント コンピューターで DNS 動的更新プログラムを構成する

動的更新クライアントがマルチホームの場合は、既定ですべての IP アドレスが DNS に登録されます。 クライアントに複数のアダプターと関連付けられた IP アドレスがある場合、クライアントはマルチホームです。 クライアントですべての IP アドレスを登録しない場合は、ネットワーク接続プロパティに 1 つ以上の IP アドレスを登録しないように構成できます。

コンピューターがすべての IP アドレスを登録できないようにするには、次の手順に従います。

  1. コントロール パネルの [ネットワーク接続] をダブルクリックします。
  2. 確認するフォルダを右クリックし、[プロパティ] をクリックします。
  3. [インターネット プロトコル (TCP/IP)] をクリックし、[プロパティ] をクリックします。
  4. [DNS] をクリックします。
  5. [ この接続のアドレスを DNS に登録 する] チェック ボックスをオフにします。

DNS にドメイン名を登録するようにコンピューターを構成することもできます。 たとえば、2 つの異なるネットワークに接続されているクライアントがある場合は、各ネットワークで異なるドメイン名を持つクライアントを構成できます。

Windows Server ベースの DHCP サーバーで DNS 動的更新プログラムを構成する

Windows Server ベースの DHCP サーバーの DNS 動的更新プログラムを構成するには、次の手順に従います。

  1. [スタート] ボタンをクリックし、[管理ツール] をポイントしてから、[コンピューターの管理] をクリックします。

  2. サーバーを右クリックして [プロパティ] をクリックします。

  3. [DNS] をクリックします。

  4. クリックして、[ 次の設定に従って DNS 動的更新を有効にする ] チェック ボックスをオンにして、動的更新をサポートするクライアントの DNS 動的更新を有効にします。

    注意

    既定では、このチェック ボックスはオンになっています。

  5. それをサポートしていない DHCP クライアントの DNS 動的更新を有効にするには、更新を 要求しない DHCP クライアントの DNS A と PTR レコードを動的に更新する (たとえば、Windows NT 4.0 を実行しているクライアント) チェック ボックスをオンにします。

  6. [OK] をクリックします。

DNS サーバーへの DNS 動的更新を有効にする

Windows Server ベースの DHCP サーバーでは、それ自体では実行できない Windows Server より前のクライアントの DNS レコードを動的に更新できます。

DHCP サーバーがクライアントの DNS レコードを動的に更新できるようにするには、次の手順に従います。

  1. DHCP 管理コンソールで、DNS 更新を有効にするスコープまたは DHCP サーバーを選択します。
  2. [編集] メニューの [削除] をクリックし、[はい] をクリックします。
  3. [次の設定に従って DNS 動的更新を有効にする] チェック ボックスをオンにします。
  4. クライアントが行う DHCP 要求の種類に基づいてクライアントの DNS レコードを更新するには、 DHCP クライアントから要求された場合にのみ、[DNS A と PTR レコードを動的に更新 する] をクリックして選択します。 (この更新プログラムは、クライアントが要求を行った場合にのみ行われます。
  5. クライアントの前方参照レコードと逆引き参照レコードを常に更新するには、 クリックして [常に動的に DNS A レコードと PTR レコードを更新 する] を選択します。
  6. DHCP サーバーが DHCP リースの有効期限が切れ、更新されない場合にクライアントのレコードを削除するには、[ リースが削除されたときに A レコードと PTR レコードを破棄 する] チェック ボックスをオンにします。

DNS 動的更新を無効にする

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法

既定では、動的更新プログラムは Windows Server ベースのクライアントで構成されます。 すべてのネットワーク インターフェイスの動的更新プログラムを無効にするには、次の手順に従います。

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、[OK] をクリックします。

  2. 次のレジストリ サブキーを見つけてクリックします。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。

  4. EnableShellDataCaching と入力し、Enter キーを押します。

  5. [DWORD 値の編集] の [値のデータ] ボックスに「1」と入力し、[OK] を選択します。

  6. レジストリ エディターを終了します。

特定のインターフェイスの動的更新プログラムを無効にするには、次の手順に従います。

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

    注意

    interface は、動的更新を無効にするインターフェイスのネットワーク アダプターのデバイス ID です。

  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. EnableShellDataCaching と入力し、Enter キーを押します。
  5. [DWORD 値の編集] の [値のデータ] ボックスに「1」と入力し、[OK] を選択します。
  6. レジストリ エディターを終了します。