DNS ポリシーを実装する

  • 10 分

DNS ポリシーは、レベルと種類に基づいて作成します。 クエリ解決ポリシーを使用して、クライアントの名前解決クエリを管理する方法を定義したり、ゾーン転送ポリシーを使用してゾーン転送を定義したりすることができます。

ヒント

両方のポリシーの種類をサーバー レベルまたはゾーン レベルで適用できます。

処理順序の値が異なる場合は、同じレベルに複数のクエリ解決ポリシーを作成できます。 再帰ポリシーは、特別な種類のサーバー レベル ポリシーです。 それらは、DNS サーバーによるクエリの再帰の実行方法を制御します (ある場合)。 再帰ポリシーは、クエリ処理が再帰パスに到達したときにのみ適用されます。 特定のクエリのセットに対する再帰の値として、DENY または IGNORE を選択できます。 そうでない場合は、クエリのセットにフォワーダーのセットを選択できます。

DNS ポリシーを作成して管理する

特定の IP アドレス範囲からのユーザーについてホスト レコードの解決を異なるものにする手順の概要は次のとおりです。

  1. IP アドレス範囲に対する DNS サーバー クライアント サブネットを作成します。
  2. ホスト レコードが含まれるゾーンの DNS サーバー ゾーン スコープを作成します。
  3. ゾーン スコープに固有のゾーンにホスト レコードを追加します。
  4. DNS サーバー クライアント サブネットでゾーンのゾーン スコープのクエリを実行できるようにする、DNS サーバーのクエリ解決ポリシーを追加します。

Windows PowerShell を使用して DNS ポリシーを構成する手順の例を次に示します。

# Create the required subnets
Add-DnsServerClientSubnet -Name "LondonSubnet" -IPv4Subnet "172.16.18.0/24"
Add-DnsServerClientSubnet -Name "SeattleSubnet" -IPv4Subnet "172.16.10.0/24"
# Create the DNS server zone scopes
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "LondonZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "SeattleZoneScope"
# Add the required host records
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.10.41" -ZoneScope "SeattleZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.18.17" -ZoneScope "LondonZoneScope"
# Create the DNS server query resolution policies
Add-DnsServerQueryResolutionPolicy -Name "LondonPolicy" -Action ALLOW -ClientSubnet "eq,LondonSubnet" -ZoneScope "LondonZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "SeattlePolicy" -Action ALLOW -ClientSubnet "eq,SeattleSubnet" -ZoneScope "SeattleZoneScope,1" -ZoneName "Contoso.com"

デモンストレーション

次のビデオでは、Windows PowerShell を使用して DNS ポリシーを実装する方法について説明します。 このプロセスの主な手順は以下のとおりです。

  1. サーバー マネージャーを開き、DNS コンソールを開きます。
  2. Contoso.com ゾーン内の既存のサーバー用の新しいエイリアス レコードを作成します。
  3. クライアント コンピューターに切り替え、NSLookup を使用して、エイリアスをテストしたときに返される IP アドレスを確認します。
  4. サーバーで、管理者特権の Windows PowerShell ウィンドウを開きます。
  5. $s = New-PSSession –ComputerName <target server> を実行し、次に Enter-PSSession $s コマンドを実行して、PowerShell リモート処理で <target server> に接続します。
  6. Add-DnsServerClientSubnet コマンドレットを実行して、必要なサブネットを作成します。
  7. Add-DnsServerZoneScope コマンドレットを実行して、DNS サーバー ゾーンのスコープを作成します。
  8. Add-DnsServerResourceRecord コマンドレットを実行して、必要なホスト レコードを追加します。
  9. Add-DnsServerQueryResolutionPolicy コマンドレットを実行して、DNS サーバーのクエリ解決ポリシーを作成します。
  10. クライアントに戻り、リゾルバーのキャッシュを消去した後、www.Contoso.com レコードの名前解決をテストします。

クイック レビュー

1.

Windows Server で DNS ポリシーを設定するとき、Add-DnsServerResourceRecord コマンドレットでは何が行われますか?