3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

(MCP70-642)2.2 DNSゾーン

サーバがらみ

MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。

参考書は下記を使用。

MCP教科書 Windows Server 2008 Network編(試験番号:70-642) (MCP教科書)

ゾーンとはドメイン内のDNS情報を格納したDNSデータベース

一つのドメインに複数のゾーンを持たせることもできる。

ゾーンにはいろんな種類があるらしい。

■2.2.1 ゾーン転送に着目した種類

ゾーン転送:ゾーンに格納された情報を別のサーバに複製する機能。

プライマリゾーンとセカンダリゾーン

プライマリゾーンがオリジナルのゾーン情報を持つ。

セカンダリゾーンはプライマリサーバから転送された情報を持つ。

セカンダリゾーンは読み取りしか出来ない。

複数のセカンダリゾーンを持つことも可能。

SOAレコード

ゾーン転送に必要な設定情報が保持。(このプロパティ情報は重要らしい)

シリアル番号

 ゾーンファイルの更新世代。これを比較して最新かどうか判断する。

プライマリサーバー

 そのまま

責任者

 ゾーンの管理担当者の電子メールアドレス。@を使わず . で区切る点が異色。

更新間隔

 ゾーン転送を行う間隔。この間隔になるとセカンダリがマスタサーバからSOAレコードを取得し、最新かどうか判断する。

再試行間隔

 ゾーン転送失敗時の再試行間隔。

期限

 ゾーンファイルを使用できる有効期間。更新間隔が過ぎてもゾーン転送されず、この期限を過ぎた場合、セカンダリサーバーのゾーンは信用できないフラグ立つ。

ゾーン転送の仕組み

完全ゾーン転送(フルゾーン転送,AXFR)

 データベースすべてコピー。

増分ゾーン転送(インクリメンタルゾーン転送、IXFR)

 変更分だけコピー

以下3つはゾーン転送の種類

更新間隔がトリガとなるゾーン転送

更新間隔来たら、ゾーン転送する種類。SOAのバージョンを確認して判断する方法。

通知がトリガとなるゾーン転送

DNSレコードが変更されたら、セカンダリサーバに通知する方法。(この時SOAレコードのシリアル番号は更新してから通知)

DNSマネージャ」→「ゾーンの転送」→「通知」→「自動的に通知する」で設定可能。

手動ゾーン転送

下記の2つがある。

「マスタから転送」 : SOAのシリアル番号を比較して更新する方法。

「マスタからの再読み込み」 : シリアル番号に関係なく完全ゾーン転送を行う。

ゾーン転送の許可

DNSマネージャのプロパティ」→「ゾーンの転送」→「ゾーン転送を許可するサーバ」チェックボックスをONに。

後は以下の3つから選ぶ。

・すべてのサーバー(セキュリティに問題あるので通常選択しない)

・ネームサーバータブの一覧にあるサーバのみ

・次のサーバーのみ(指定したサーバ)

スタブゾーン

初耳です。。

相手のDNSサーバを識別するために必要なレコード(SOA,NS,A)をコピーする。

以下のようなシナリオで使用。

再帰の処理の軽減

 スタブ設定があるとルートDNSサーバから反復して目的のドメインにたどらず、直接目標のDNSサーバにクエリ投げれることができる。

(条件付きフォワーダとの違い。

 スタブ:一部のゾーン情報が転送+反復クエリを行う。同一組織内で使用。

 条件付きフォワーダ:再帰クエリ。ネットなど外部で使用。)

・子ドメインに対するスタブ

 親子関係のドメイン通常、親ドメインで子ドメイン委任するのが普通。

 しかし、子ドメインDNSサーバに変更あった時、親ドメインDNSサーバを手動で変更しないといけない。

 これを親ドメインに子ドメインに対するスタブゾーンを設定すると、自動的にレコードが転送。

 結果、親子ドメインともに、管理者の負担軽減になる。

■2.2.2 クエリの向きによる種類

前方参照ゾーン

ホスト名→IPアドレスを調査。 正引き。

逆引き参照ゾーン

IPアドレス→ホスト名を調査。 逆引き。PRTレコードを使う。

■2.2.3 格納場所による種類

標準ゾーン

 レコードはファイルに保存。(%systemroot%\system32\dns\○○.dns)

 シングルマスタ複製。(更新可能な1台だけのDNSサーバを起点とし、複製する)

Active Directory 統合ゾーン

 レコードはActive Directory データベースに保存。

 マルチマスタ複製。(更新可能なDNSサーバが複数。それを起点とし複製)

 セカンダリゾーンは Active Directory統合ゾーンにできない。(AD統合ゾーンは更新可能であるため。)

Active Directoryにおけるゾーン情報保存場所と構成

WinSV2003から AD のアプリケーションパーティションDNSが保存できるようになった。

Win2k用の互換保存もある。

「ゾーンレプリケーションスコープの変更」から、ゾーンデータのレプリケーションの設定できる。以下の3つがあり。

・このフォレストのすべてのDNSサーバ

・このドメインのすべてのDNSサーバ

・このドメインのすべてのドメインコントローラ(Win2k互換)

■2.2.4 単一ラベル名解決のためのゾーン

Windows Server 2008から導入。

Global Names ゾーンがサポート。

これは単一ラベル名(ただのホスト名)の解決に用いる。

WINS サーバでやってたこととほぼ同じことを実現。

※Global Namesでは 動的更新をサポートしない。(DHCP環境では難しい)

構成方法:

前方参照ゾーンに「Global Names」という名前のゾーンを作る。

そして、 CNAME または A レコード追加(Aレコードは別のゾーンで使われてること多いので CNAME が多いかも)

Global Names ゾーンは明示的に有効にしないと名前解決できない。

■2.2.5 動的更新

これは今の現場でも構築したの大丈夫かと。。

静的IPアドレスを持つWin2k以降のPCはDNSサーバに A,PTR レコードを自身で登録する。(知らんかった。。。)

DNSクライアント側の動的更新設定

TCP/IPの設定で、「この接続のアドレスをDNSに登録する」にチェック。(デフォルトで有効)

DHCPサーバ上の動的更新に関する設定

WindowsDHCPサーバ使ってるとなんか動的更新の動作を変更できるらしい。

DHCPサーバの設定で下記の二つで動的更新の動きが異なる。

DHCPクライアントから要求があった時ににのみDNSのAおよぼPTRレコードを動的に更新する

  DHCPクライアントがAレコード、DHCPサーバがPTRレコードをDNSに登録

DNSのAおよびPTRレコードを常に動的に更新する

  DHCPサーバがA,PTRレコードをDNSに登録。(クライアントは何もしない)

DNSサーバ側の動的更新設定

DNSマネージャのプロパティ」→「全般タブ」で設定可能。

以下3つの設定がある。

・なし : 動的更新しない

・非セキュリティ保護およびセキュリティ保護 : すべての動的更新を受け入れる

・セキュリティ保護のみ : ActiveDirectoryのメンバのみ動的更新