次の方法で共有

既存の DNS 名前空間への Windows DNS の統合

この記事では、Active Directory ドメインの名前を持つゾーンに対して権限のある DNS サーバーが RFC 2136 (動的更新) をサポートしていない DNS 名前空間が既に実装されている組織に Windows DNS を統合する方法について説明します。

元の KB 番号: 255913

まとめ

Windows ドメイン ネーム システム (DNS) の機能の 1 つは、動的ホスト更新プログラム (RFC 2136 に記載) のサポートです。 この機能を利用するために、Windows DNS は、他の DNS サーバーがない環境や、非動的 DNS サーバーが既に実装されている環境 (BIND 4.9.7 以前など) に展開できます。 BIND サーバーが既に実装されている環境に Windows DNS をデプロイする場合は、いくつかの統合オプションがあります。

  • 動的権限のない DNS サーバーから Windows DNS を実行しているサーバーにゾーンを移行します。
  • 親 DNS ドメインの下で子 DNS ドメインを委任します。 ゾーンのルートと同じ名前を持たない Active Directory ドメイン名の場合は、サブドメインを Windows DNS に委任します。 たとえば、Active Directory ドメインの名前が dev.reskit.com され、この名前を含むゾーンが reskit.com場合は、DNS を実行している Windows ベースのサーバーに dev.reskit.com を委任します。
  • ドメイン コントローラー (DC) ロケーター レコード (SRV レコード) によって使用される各サブドメインを Windows ベースのサーバーに委任します。 これらのサブドメインは、 _msdcs.reskit.com_sites.reskit.com_tcp.reskit.com、および _udp.reskit.comです。 このオプションは、ゾーンのルート名 (たとえば、reskit.com) と同じ Active Directory ドメイン名 (reskit.com など) を DNS を実行している Windows ベースのサーバーに直接委任できない場合に使用されます。 必要に応じて、クライアントは reskit.com と呼ばれる Active Directory ドメインのメンバーであっても、 dynamic.reskit.comという DNS ゾーンに登録できます。

この記事では、上記の 4 番目のオプションについて説明します。Windows DNS を、Active Directory ドメインの名前を持つゾーンに対して権限のある DNS サーバーが RFC 2136 (動的更新) をサポートしていない DNS 名前空間が既に実装されている組織に統合する方法について説明します。 この記事では、ドメイン メンバーが Active Directory ドメインの名前とは異なるプライマリ DNS サフィックスを使用して、Active Directory ドメインの名前を持つゾーンに対して権限のある DNS サーバーが動的 DNS 更新をサポートしていない場合に、Windows ベースのコンピューターによる DNS レコードの動的登録を許可するシナリオについても説明します。

詳細

非動的 DNS サーバーに基づいて Windows DNS を既存の名前空間に統合するには、ロケーター レコード (SRV レコード) で使用されるサブドメインを委任して、動的更新 (RFC 2136 に従う) を使用できるようにします。 次のステップを実行します。

  1. Active Directory ドメインの名前を持つゾーンに対して権限のある非動的 DNS サーバーで、DNS を実行している Windows 2000 ベースのサーバーに次のゾーンを委任します。

    _udp。 DNSDomainName
    _tcp。 DNSDomainName
    _サイト。 DNSDomainName
    _msdcs。 DNSDomainName

    たとえば、ルート ゾーンが reskit.com と呼ばれる場合は、windows ベースのサーバーに _udp.reskit.com_tcp.reskit.com_sites.reskit.com_msdcs.reskit.com を委任します。

    さらに 2 つのサブドメインも委任する必要があります。

    ForestDnsZones。 ForestDNSName
    DomainDnsZones。 DNSDomainName

  2. Windows ベースのサーバーで、手順 1 で委任された前方ゾーンを作成し、動的更新のゾーンを有効にします。

    新しいゾーンを作成するには:

    1. Windows サーバーで DNS マネージャーを起動します。

    2. DNS マネージャー内で適切な DNS サーバーを展開します。

    3. [前方参照ゾーン] フォルダーを右クリックし、[新しいゾーン] をクリックします。

    4. 新しいゾーン ウィザードが起動したら、[次へ] をクリックし、[プライマリ ゾーン] を選択し、[Active Directory にゾーンを保存する] チェック ボックスをオンにして、[次へ] をクリックします。

    5. AD 統合ゾーンの場合は、ドメインまたはフォレスト内のすべての DNS サーバー、またはドメイン内のすべての DCS (Windows 2000 の場合のみ) にゾーン データを移動する場所を選択します。

    6. [名前] ボックスにゾーンの名前を入力します。 たとえば、「_msdcs.reskit.com」と入力します。

    7. [次へ] をクリックします。 ウィザードの概要を確認したら、[完了] をクリックします。

    ゾーンが動的更新を受け入れるようにするには:

    1. DNS を実行している Windows サーバーで DNS マネージャーを使用して、新しいゾーンを右クリックし、[プロパティ] をクリックし、[全般] タブをクリックします。
    2. [動的更新の許可] ボックスで、[セキュリティで保護された更新プログラムのみ (推奨)] または [はい] をクリックします。 [セキュリティで保護された更新プログラムのみ] オプションは、サーバーがドメイン コントローラーに昇格された後にのみ使用できます。 手順 1 で説明した 4 つのゾーンがすべて作成され、動的更新が許可されるまで、このプロセスを繰り返します。 これにより、ドメイン コントローラー ロケーター レコードを DNS に動的に登録および登録解除できます。

  3. さらに、単一のゾーンまたは複数のゾーンを作成して、クライアントとサーバーが Windows サーバーに自身を動的に登録できるように構成できます。 たとえば、 dynamic.reskit.com と呼ばれるゾーンを使用して、動的更新を介してネットワーク上のすべてのクライアントとサーバーを登録できます。 このようなゾーンを構成するには:

    1. 親ゾーンに対して権限のある非動的 DNS サーバー ( reskit.com など) で、DNS を実行している Windows ベースのサーバーに新しいゾーンを委任します。 たとえば、 dynamic.reskit.comを委任します。 ゾーンを Windows サーバーに送信します。
    2. Windows サーバーで、上記 (dynamic.reskit.com) に委任されたゾーンの前方参照ゾーンを作成します。
    3. Windows サーバーで、動的更新のゾーンを有効にします。

  4. Windows ドメイン コントローラーが起動すると、Netlogon サービスは、権限のあるゾーンに複数の SRV レコードを登録しようとします。 SRV レコードが登録されるゾーンは、動的に更新できる Windows サーバーに (手順 1 と 2 で) 委任されているため、これらの登録は成功します。 さらに、DC は、ルート ゾーン (たとえば、 reskit.com) の Netlogon.dns ファイルに一覧表示されている A レコードの登録を試みます。 この場合、ルート ゾーンは非動的 DNS サーバー上にあるため、これらの更新は成功しません。 DC のシステム ログに次のイベントが生成されます。

    イベントの種類: 警告
    イベント ソース: NETLOGON
    イベント カテゴリ: なし
    イベント ID: 5773
    日付: <DateTime>
    時刻: <DateTime>
    ユーザー: N/A
    コンピューター: DC
    説明:
    この DC の DNS サーバーは、動的 DNS をサポートしていません。 ファイル %SystemRoot%\System32\Config\netlogon.dns から、そのファイルで参照されているドメインを提供する DNS サーバーに DNS レコードを追加します。

    この動作を修正するには:

    1. すべての Windows DC には、%SystemRoot%\System32\Config フォルダーに Netlogon.dns ファイルがあります。 このファイルには、Netlogon サービスの開始時に DC が登録を試みる DNS レコードの一覧が含まれています。 DC が DNS サーバーに登録しようとする元のレコードの一覧が表示されるように、次の変更を行う前に、このファイルのコピーを作成することをお勧めします。 これらのレコードは各 DC の各ネットワーク アダプターに固有であるため、各 DC には異なるレコードがあることに注意してください。 Netlogon.dns ファイルを調べて、ファイル内のすべての A レコードを識別します。 A レコードは、"IN" クラス記述子に続くレコードの種類によって識別できます。 たとえば、次の 2 つのエントリは A レコードです。

      reskit.com. 600 IN A 10.10.10.10
      gc._msdcs.reskit.com. 600 IN A 10.10.10.10

      Netlogon.dns ファイル内の A レコードの数は、DC に含まれるアダプターの数、各アダプターが構成されている IP アドレスの数、および DC の役割によって異なります。 DC レジスタ:

      • ドメインの名前に対して、各 IP アドレスごとに 1 つの A レコード。
      • DC がグローバル カタログ (GC) サーバーでもある場合は、gc._msdcs登録されます。 各 IP アドレスの DnsForestName

    2. 非動的 DNS サーバーは A レコードを動的に登録しようとするドメイン コントローラーの試行を受け入れないので、A レコードは権限のある DNS サーバーで手動で構成する必要があります (この記事の例では、ゾーン reskit.comに対して権限のある DNS サーバー)。 ドメインの名前 ( reskit.com など) に対応する A レコードの追加は、Windows の展開には必要ありません。また、SRV DNS レコードをサポートしていないサード パーティの LDAP クライアントが Windows DC を検索している場合にのみ必要になる場合があります。

      Windows サーバーで、手順 A で識別された GC サーバー固有の A レコードを適切なゾーンに作成します。 たとえば、_msdcs.reskit.com ゾーンに GC サーバーの A レコードを作成します。

      ゾーンのルートに対して権限のある非動的 DNS サーバーで、手順 A で識別された非 GC サーバー固有の A レコードのルート ゾーン (たとえば、reskit.com) に A レコードを作成します。たとえば、reskit.com ゾーンにreskit.comの A レコードを作成します。

    3. 次のレジストリ キーを使用して、NETlogon.dns ファイルに表示される A レコードの登録を DC が試行しないようにする必要があります。 REG_DWORD RegisterDnsARecords の値を 0 (ゼロ) に設定します。

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. この動作を修正するには、Active Directory フォレストとドメインを配置したら、Active Directory を、DNS を実行している Windows サーバーが担当する DNS ドメインと統合する必要があります。 また、セキュリティで保護された動的更新のみを受け入れるように動的更新を受け入れるように構成されているゾーンを再構成する必要があります。