名前のオーバーラップによる、既存の DNS インフラストラクチャへの Active Directory 名前空間の統合
このシナリオでは、Service (SRV) リソース レコードをサポートしない DNS サーバーが企業の DNS 名の処理を担当していて、Active Directory フォレストで DNS 名と同じ名前を使用したい場合に、Active Directory™ ディレクトリ サービスをサポートするように Windows 2000 ドメイン ネーム システム (DNS) を構成する方法を紹介しています。SRV レコードをサポートしない DNS サーバー単独では、Active Directory をサポートすることはできません。
トピック
目的
設計のロジック
機能するしくみ
実装した方法
セットアップ手順
その他の参考資料
目的
このシナリオでは、Windows 2000 DNS サーバーを実行する Microsoft® Windows® 2000 ベースのコンピュータを使用して、以下の作業を行いました。
Active Directory ドメインの名前の処理を BIND 4.9.3 サーバーが管理している環境で、Active Directory をサポートさせます。BIND 4.9.3 単独では、Active Directory をサポートできません。したがって、それを補うために Windows 2000 DNS サーバーを実行するコンピュータを使用します。これによって、既存の BIND サーバーのソフトウェアへの投資を無駄にしなくても済みます。
現在の DNS インフラストラクチャ内で既に使用されている Active Directory DNS 名を使用します。つまり、既に使用中の DNS ドメイン名にオーバーラップする (一致する) Active Directory DNS ゾーン名を使用します。
Active Directory 統合 ゾーンを実装します。これは、マルチマスタ複製および保護された動的更新などの機能を提供できます。
ドメイン コントローラと DNS サーバーの可用性を保証することによって、フォールト トレランスを実現します。
『名前のオーバーラップによらない、既存の DNS インフラストラクチャへの Active Directory 名前空間の統合』では、Windows 2000 DNS サーバーを使用して BIND 4.9.3 サーバーを補う、もう 1 つの構成を紹介します。このシナリオでは、BIND サーバーの管理する DNS ゾーン名と Active Directory ドメイン名の重複を許しません。この構成について詳しくは、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS 」 (英語) を参照してください。
このシナリオに代わるもう 1 つの方法として、SRV レコードをサポート可能な BIND バージョンに BIND 4.9.3 サーバーをアップグレードするか、あるいは BIND を Windows 2000 DNS に置き換えることもできます。
設計のロジック
ドメイン コントローラ ロケータでは、DNS サーバーではサポートされない SRV リソース レコードを使用します。ここでは、SRV リソース レコードをサポートしない DNS サーバーで DNS ゾーン名を管理していて、このゾーン名と重複する名前を含む Active Directory ドメインを作成するケースを想定します。既存の名前を管理する DNS サーバーで SRV リソース レコードがサポートされない場合、SRV レコードをサポートするサーバーにゾーンを委任します。委任を行うゾーンは、Active Directory を適切に機能させるために必要な SRV レコードを含むゾーンです。このシナリオでは、このような目的を達成できる構成を示します。
このシナリオでは、Active Directory ドメイン名の処理を BIND 4.9.3 サーバーが管理している環境で、Windows 2000 DNS を使用して Active Directory をサポートします。図 1 で示すように、このシナリオでは BIND 4.9.3 を実行する 2 台の DNS サーバー、DNSサーバー サービスをインストールした 2 台のドメイン コントローラ、そして 1 台のクライアントを使用します。
注意
ここで BIND バージョン 4.9.3 を選択した理由は、古い RFC である RFC 952 に従ったホスト名適合チェックが行われないためです。RFC 952 に従ったホスト名をチェックするバージョンの BIND を使用した場合、このコンピュータ上および SEA-AV-DNS-02.avionics01-int.com 上で名前チェック機能を無効にすることがさらに必要になります。
.gif "dns04-01")
図 1: Seattle サイトのコンピュータ
注意
このシナリオでは、シナリオの機能を実現するために必要なコンポーネントのみを示しています。しかし、Microsoft® Windows® 2000 リソース キット導入実験では、最善の慣行に従って、その他のコンポーネントも使用しています。
このシナリオでは、 Windows 2000 を導入する以前は、ドメイン avionics01-int.com を BIND 4.9.3 サーバーのみが管理していました。そして、avionics01-int.com ドメイン内のクライアントはすべて、優先 DNS サーバーとして BIND サーバーを使用していました。ルート ゾーンおよびゾーン avionics01-int.com を管理していたのは、BIND サーバー SEA-AV-DNS-01.avionics01-int.com です。このサーバー単独では、Active Directory をサポートできません。これは、ドメイン コントローラ ロケータ リソース レコードを管理する DNS サーバーでは、 SRV リソース レコードをサポートすることが必要になるためです。BIND サーバー SEA-AV-DNS-02.avionics01-int.com は、SEA-AV-DNS-01.avionics01-int.com によってホストされたゾーンのセカンダリ サーバーとして機能します。
管理者が Windows 2000 導入の準備を進めるために SEA-AV-DNS-01.avionics01-int.com に追加した委任では、Windows 2000 の動作する DNS サーバー SEA-AV-DC-01.avionics01-int.com を、以下の Active Directory 統合ゾーンを管理するサーバーとして参照しています。
_msdcs.avionics01-int.com
_sites.avionics01-int.com
_tcp.avionics01-int.com
_udp.avionics01-int.com
これらのゾーンでは、SRV レコードを含むドメイン コントローラ ロケータ リソース レコード (Active Directory をサポートするために必要です) が使用されています。
Windows 2000 の動作するサーバー SEA-AV-DC-01.avionics01-int.com は、ドメイン avionics01-int.com のドメイン コントローラとして機能します。さらに、DNS サーバー サービスを実行し、前述の一覧のゾーンをホストします。
ネットワーク上のすべてのクライアントからでも、このドメイン コントローラ ロケータ リソース レコードを参照できます。このシナリオのクライアントでは、優先 DNS サーバーとして BIND サーバーを使用します。クライアントから BIND サーバーにドメイン コントローラ ロケータ リソース レコードを照会すると、BIND サーバーは Windows 2000 DNS サーバー SEA-AV-DC-01.avionics01-int.com に照会し、その応答をクライアントに返します。
フォールト トレランスを実現し、ドメイン コントローラの利用可能性を常に保証するために、ドメイン avionics01-int.com 用にもう 1 台のドメイン コントローラ SEA-AV-DC-02.avionics01-int.com を構成しました。フォールト トレランス性と負荷分散性を向上させるための最善の慣行として、1 つのドメインあたりに少なくとも 2 台のドメイン コントローラを配置し、1 つのサイトあたりに少なくとも 1 台のドメイン コントローラを置きます。
DNS サーバーの可用性を保証するために構成した SEA-AV-DC-02.avionics01-int.com では、ドメイン コントローラ ロケータ リソース レコードを含むゾーンの Active Directory 統合コピーをホストします (これらのゾーンについては、後述の「機能するしくみ」を参照してください) 。最善の慣行に従う場合、各ゾーンを管理する DNS サーバーが、少なくとも 2 台必要です。
機能するしくみ
SEA-AV-DC-01.avionics01-int.com は、ドメイン コントローラ ロケータ リソース レコードを DNS に登録しています。ドメイン コントローラ ロケータ リソース レコードは、Active Directory 統合ゾーン _msdcs.avionics01-int.com、_sites.avionics01-int.com、_tcp.avionics01-int.com、および_udp.avionics01-int.com に追加されます。これによってクライアントは、ドメイン コントローラ ロケータ リソース レコードを使用して、ドメイン コントローラを特定できるようになります。図 2 にこれらのコンピュータを示します。
図 2: Seattle サイトのコンピュータ
注意
ここで示す結果は、このシナリオに特有のものです。サーバーの構成が異なる場合、あるいはネットワークの状態によってサーバーが最適に動作できない場合、得られる結果が異なることもあります。たとえば、優先 DNS サーバーが応答しない場合、代替の DNS サーバーが使用されます。名前解決手順の詳細については、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS 」 (英語) を参照してください。
SEA-AV-DC-01.avionics01-int.com をドメイン コントローラに昇格させて再起動すると、Netlogon サービスは同じコンピュータ上の DNS クライアント サービスがロケータ リソース レコードを登録するように定期的に要求します。
SEA-AV-DC-01.avionics01-int.com 上の DNS クライアント サービスは、ロケータ リソース レコードを登録するために、更新対象のリソース レコードを管理する DNS サーバーに動的な更新を送信することが必要です。ロケータ リソース レコードは、以下のゾーンに登録する必要があります。
_msdcs.avionics01-int.com
_sites.avionics01-int.com
_tcp.avionics01-int.com
_udp.avionics01-int.com.
クライアントはまず優先 DNS サーバーに、登録対象のリソース レコードを管理するサーバーとゾーンの名前を照会して、動的な更新処理を開始します。この優先 DNS サーバーは、BIND サーバー SEA-AV-DNS-01.avionics01-int.com です。
BIND サーバーは、ゾーンへのクエリを行います。ゾーン ファイルには、ゾーンを管理するサーバーとして SEA-AV-DC-01.avionics01-int.com および SEA-AV-DC-02.avionics01-int.com を参照する委任が含まれています。したがって、BIND サーバーはこの管理サーバーにクエリを送信した後、その応答をクライアントに返します。
コンピュータ SEA-AV-DC-01.avionics01-int.com 上の DNS クライアント サービスは、さらに動的更新の処理を継続し、同じコンピュータ上の DNS サーバーに動的更新を送信することによって、ゾーン avionics01-int.com に最初のロケータ リソース レコードを追加します。DNS ゾーンでは保護された動的更新が要求されるので、この動的更新は拒否されます。クライアントは、否定応答を受け取った後、ゾーン avionics01-int.com にロケータ リソース レコードを追加するために、同じコンピュータ上の DNS サーバーに保護された動的更新を送信します。この処理はレコードごとに繰り返されます。図 3 にこの要求を示します。
.gif "dns04-04")
図 3: ロケータ リソース レコードの登録要求SEA-AV-DC-01.avionics01-int.com 上の DNS サーバー サービスは、ロケータ リソース レコードをこれらのゾーンに登録します。そして DNS サーバー サービスは、動的な更新の結果を DNS クライアント サービスに応答し、DNS クライアント サービスは Netlogon サービスに応答します。図 4 にこの要求を示します。
.gif "dns04-06")
図 4: ロケータ リソース レコードの登録要求に対する応答クライアントをドメインに参加させて再起動すると、そのクライアントは所属ドメインのドメイン コントローラを自身のサイトまたは最も近いサイトで探索します。クライアントは、Windows 2000 を実行している優先 DNS サーバーに DNS クエリを送信し、ドメインおよびサイトの LDAP (Lightweight Directory Access Protocol) サーバーの名前および IP アドレスの情報が含まれているリソース レコードを要求します。クライアントは以下の SRV レコードを照会します。
_ldap._tcp.seattle._sites. dc._msdcs.avionics01-int.com.
Windows 2000 を実行する SEA-AV-DC-01.avionics01-int.com はゾーン ファイルを照合します。この場合、SEA-AV-DC-01.avionics01-int.com および SEA-AV-DC-02.avionics01-int.com はともに、要求される基準を満たしています。SEA-AV-DC-01.avionics01-int.com は、この 2 つのドメイン コントローラの名前と IP アドレスの一覧を含む SRV レコードと A レコードをクライアントに応答します。図 5 に、クライアントと Windows 2000 の動作するサーバーとの間のクエリおよび応答を示します。
.gif "dns04-07")
図 5: ロケータ リソース レコードを探索する DNS クエリとその応答その後クライアントは、『Microsoft Windows 2000 Server リソースキット 3 分散システムガイド 上』の「第 3 章 Active Directory での名前解決」に記載されたアルゴリズムに基づいて、照会するドメイン コントローラを選択します。クライアントと同じドメイン/サイトにドメイン コントローラが存在するかどうか確認するために、ドメイン コントローラに LDAP クエリを送信します。ドメイン コントローラは、それを肯定する返答を行います。これを受けてクライアントは、ドメイン コントローラの使用を開始することができます。したがってこのような構成をとれば、既存の BIND 4.9.3 のソフトウェアへの投資を無駄にしないで Active Directory をサポートできます。
実装した方法
このシナリオのセットアップ手順を実装する前に、シナリオ『Windows 2000 DNS の Active Directory サポートへの構成』の手順に従って、サーバー SEA-RK-DC-01.reskit.com が既に構成されています。さらに、BIND サーバー SEA-AV-DNS-01.avionics01-int.com が既にインストールされており、Windows 2000 の動作する SEA-AV-DC-01.avionics01-int.com を参照する委任を含むゾーン ファイルとともに構成されています。この委任では、ドメイン コントローラ ロケータ リソース レコードを含むゾーンを管理するサーバーとして SEA-AV-DC-01.avionics01-int.com を参照しています (このシナリオの「セットアップ手順」で、これらのゾーンの一覧を示します) 。セットアップ手順ではこの委任を指定します。このシナリオの BIND の構成について詳しくは、『SEA-AV-DNS-01.avionics01-int.com 上のゾーン ファイル』を参照してください。
このシナリオのセットアップ手順ではまず、SEA-AV-DC-01.avionics01-int.com をドメイン コントローラに昇格させました。次に、SEA-AV-DC-01.avionics01-int.com に DNS サーバー サービスをインストールし、ドメイン コントローラ ロケータ リソース レコードを含む Active Directory 統合ゾーンを手動で追加しました。ドメイン コントローラ ロケータ リソース レコードは、コンピュータの再起動時に自動的に追加されます。
次に、SEA-AV-DC-02.avionics01-int.com をドメイン コントローラに昇格させ、DNS サーバー サービスをインストールしました。この DNS サーバーには、SEA-AV-DC-01.avionics01-int.com に手動で追加した Active Directory 統合ゾーンがロードされます。
このセットアップ手順を完了した後は、ネットワーク上のどのコンピュータからでも、DNS 名前解決を通じてドメイン コントローラ ロケータ リソース レコードを検索することによって、ドメイン コントローラを特定できます。
管理者は、ここに記載したセットアップ手順で必要になる構成を各コンピュータで実行するための適切な権限を持たなければなりません。規定でドメイン reskit01-int.com の Administrator アカウント (RESKIT01-INT\Administrator) は適切な権限を持っています。このアカウントは、Enterprise Admins グループのメンバです。しかし運用ネットワークでは、権限をさらに制限することが必要な場合もあります。このシナリオのセットアップ手順で使用したアカウントについて説明しておきます。
このセットアップ手順では、以下の構成を仮定しています。
SEA-RK-DC-01.reskit01-int.com が既に、シナリオ「Windows 2000 DNS の Active Directory サポートへの構成」の『SEA-RK-DC-01 の構成』の手順に従って構成されています。さらに、ゾーン avionics01-int.com を管理するサーバーとして SEA-AV-DNS-01.avionics01-int.com を提示する DNS レコードがルート ゾーンに追加されています。
SEA-AV-DNS-01.avionics01-int.com は、シナリオ『SEA-AV-DNS-01.avionics01-int.com の確認』に従って構成されています。
SEA-AV-DC-01.avionics01-int.com、SEA-AV-DC-02.avionics01-int.com、およびクライアントが再フォーマットされています。
表 2 で示すように、各コンピュータには適切なオペレーティング システムが動作していて、適切な名前が割り当てられています。
コンピュータが通信するためのルーティングが適切にセットアップされていて、表 1 で示すようにコンピュータに IP アドレスが割り当てられる状態にあります。
表 1 このシナリオで使用したコンピュータの IP アドレス
コンピュータ名 |
IP アドレス |
|---|---|
SEA-AV-DNS-01.avionics01-int.com |
172.16.12.13 |
SEA-AV-DC-01.avionics01-int.com |
172.16.12.11 |
SEA-AV-DC-02.avionics01-int.com |
172.16.12.12 |
クライアント |
172.16.12.51 |
注意
これらの IP アドレスは、プライベート ネットワーク用の IP アドレス空間内のアドレスです。これらの IP アドレスは、テスト環境またはファイアウォールの背後のプライベート ネットワーク内で使用できます。インターネットに接続したネットワークでは使用できません。詳細については、RFC 1918 を参照してください。
表 2 に、このシナリオのために使用したハードウェアおよびソフトウェアの一覧を示します。
表 2 このシナリオで使用したハードウェアおよびソフトウェア
コンポーネント |
ハードウェア |
ソフトウェア |
|---|---|---|
SEA-AV-DNS-01.avionics01-int.com |
Compaq コンピュータ |
BIND 4.9.3 |
SEA-AV-DC-01.avionics01-int.com |
Compaq コンピュータ |
ドメイン コントローラおよび DNS サーバーとして構成された Windows 2000 Server |
SEA-AV-DC-02.avionics01-int.com |
Compaq コンピュータ |
ドメイン コントローラおよび DNS サーバーとして構成された Windows 2000 Server |
Client.avionics01-int.com |
Compaq コンピュータ |
Windows 2000 Professional |
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして示したものです。実際の各ネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、そのシナリオの機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。
セットアップ手順
このシナリオをセットアップするために、以下の作業を実施しました。
図 6 は、このシナリオで議論したネットワークの一部分を示しています。
図 6: Seattle サイトのコンピュータ
その他の参考資料
Microsoft Windows 2000 Server リソース キット
DNS の詳細については、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS 」 (英語) を参照してください。
Active Directoryの詳細については、『Microsoft Windows 2000 Server リソース キット 3 分散システムガイド上』の「第 1 章 Active Directory の論理構造」および「第 3 章 Active Directoryでの名前解決」と、『Microsoft Windows 2000 Server リソースキット 1 導入ガイド』の「第 9 章 Active Directory 構造の設計」を参照してください。
Windows 2000 Server ドキュメント
DNS について詳しくは、Windows 2000 Server ヘルプ の「ネットワーク」の「DNS」を参照してください。
Active Directory について詳しくは、Windows 2000 Server ヘルプ の「Active Directory」を参照してください。
ツール
Netdiag
ネットワーク接続の問題を解決するには、Netdiag ツールを使用します。
Netdiag は、ネットワーク クライアントの状態を確認し、それが機能しているかどうかを特定する一連のテストを実行することによって、ネットワーク機能の問題と接続の問題を分離できるユーティリティです。Netdiag について詳しくは、Windows 2000 Support Tools のヘルプを参照してください。Windows 2000 Support Tools および Support Tools ヘルプをインストールし、使用する方法については、Windows 2000 オペレーティング システム CD-ROM の \Support\Tools フォルダ内のファイル Sreadme.doc (英語) を参照してください。
Dnscmd.exe
コマンド プロンプトから DNS 構成を実行するには、Dnscmd.exe ツールを使用します。
コマンドライン ツール Dnscmd.exe を使用すれば、DNS コンソールからほとんどの作業を実行できます。Dnscmd.exe について詳しくは、Windows 2000 Support Tools のヘルプを参照してください。Windows 2000 Support Tools および Support Tools ヘルプをインストール、使用する方法については、Windows 2000 オペレーティング システム CD-ROM の \Support\Tools フォルダ内のファイル Sreadme.doc (英語) を参照してください。
ホワイトペーパー
- DNS について詳しくは、『Windows 2000 DNS』を参照してください。
Microsoft 以外からリリースされているドキュメント
- BIND についてさらに詳しく調べたい方は、『DNS and BIND』
.gif "leave-ms")
(英語) , 3rd ed., by Paul Albitz and Cricket Liu, 1998, Sebastopoilly & Associates をご覧ください。
導入実験の詳細と協力企業について
- 導入実験、および導入実験に提供されたハードウェアに関する情報については、『導入実験のハードウェア仕様』を参照してください。
リソース キット導入実験シナリオの凡例
- Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。
リソース キット導入実験 のネットワーク図
- ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。