DNS ポリシーを実装する
DNS ポリシーは、レベルと種類に基づいて作成します。 クエリ解決ポリシーを使用して、クライアントの名前解決クエリを管理する方法を定義したり、ゾーン転送ポリシーを使用してゾーン転送を定義したりすることができます。
ヒント
両方のポリシーの種類をサーバー レベルまたはゾーン レベルで適用できます。
処理順序の値が異なる場合は、同じレベルに複数のクエリ解決ポリシーを作成できます。 再帰ポリシーは、特別な種類のサーバー レベル ポリシーです。 それらは、DNS サーバーによるクエリの再帰の実行方法を制御します (ある場合)。 再帰ポリシーは、クエリ処理が再帰パスに到達したときにのみ適用されます。 特定のクエリのセットに対する再帰の値として、DENY または IGNORE を選択できます。 そうでない場合は、クエリのセットにフォワーダーのセットを選択できます。
DNS ポリシーを作成して管理する
特定の IP アドレス範囲からのユーザーについてホスト レコードの解決を異なるものにする手順の概要は次のとおりです。
- IP アドレス範囲に対する DNS サーバー クライアント サブネットを作成します。
- ホスト レコードが含まれるゾーンの DNS サーバー ゾーン スコープを作成します。
- ゾーン スコープに固有のゾーンにホスト レコードを追加します。
- DNS サーバー クライアント サブネットでゾーンのゾーン スコープのクエリを実行できるようにする、DNS サーバーのクエリ解決ポリシーを追加します。
Windows PowerShell を使用して DNS ポリシーを構成する手順の例を次に示します。
# Create the required subnets
Add-DnsServerClientSubnet -Name "LondonSubnet" -IPv4Subnet "172.16.18.0/24"
Add-DnsServerClientSubnet -Name "SeattleSubnet" -IPv4Subnet "172.16.10.0/24"
# Create the DNS server zone scopes
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "LondonZoneScope"
Add-DnsServerZoneScope -ZoneName "Contoso.com" -Name "SeattleZoneScope"
# Add the required host records
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.10.41" -ZoneScope "SeattleZoneScope"
Add-DnsServerResourceRecord -ZoneName "Contoso.com" -A -Name "www" -IPv4Address "172.16.18.17" -ZoneScope "LondonZoneScope"
# Create the DNS server query resolution policies
Add-DnsServerQueryResolutionPolicy -Name "LondonPolicy" -Action ALLOW -ClientSubnet "eq,LondonSubnet" -ZoneScope "LondonZoneScope,1" -ZoneName "Contoso.com"
Add-DnsServerQueryResolutionPolicy -Name "SeattlePolicy" -Action ALLOW -ClientSubnet "eq,SeattleSubnet" -ZoneScope "SeattleZoneScope,1" -ZoneName "Contoso.com"
デモンストレーション
次のビデオでは、Windows PowerShell を使用して DNS ポリシーを実装する方法について説明します。 このプロセスの主な手順は以下のとおりです。
- サーバー マネージャーを開き、DNS コンソールを開きます。
- Contoso.com ゾーン内の既存のサーバー用の新しいエイリアス レコードを作成します。
- クライアント コンピューターに切り替え、NSLookup を使用して、エイリアスをテストしたときに返される IP アドレスを確認します。
- サーバーで、管理者特権の Windows PowerShell ウィンドウを開きます。
$s = New-PSSession –ComputerName <target server>
を実行し、次にEnter-PSSession $s
コマンドを実行して、PowerShell リモート処理で<target server>
に接続します。Add-DnsServerClientSubnet
コマンドレットを実行して、必要なサブネットを作成します。Add-DnsServerZoneScope
コマンドレットを実行して、DNS サーバー ゾーンのスコープを作成します。Add-DnsServerResourceRecord
コマンドレットを実行して、必要なホスト レコードを追加します。Add-DnsServerQueryResolutionPolicy
コマンドレットを実行して、DNS サーバーのクエリ解決ポリシーを作成します。- クライアントに戻り、リゾルバーのキャッシュを消去した後、
www.Contoso.com
レコードの名前解決をテストします。