web-dev-qa-db-ja.com

DNSはActive Directoryとどのように関連していますか、また、知っておく必要があるいくつかの一般的な構成は何ですか?

私はこれに対する答えを知っており、以下に1つ提供していることに注意してください。私の回答の内容を理解していない新しいシステム管理者がたくさんいるので、初心者のAD DNSの質問はすべてこれの複製として閉じられることを願っています。マイナーな改善がある場合は、私の回答を自由に編集してください。より包括的な完全な回答を提供できる場合は、遠慮なくお答えください。

DNSはActive Directoryとどのように関連していますか、また、知っておく必要があるいくつかの一般的な構成は何ですか?

24
MDMarra

Active Directory は適切に構成され機能する DNSインフラストラクチャ に依存しています。 Active Directoryに問題がある場合は、DNSに問題がある可能性があります。最初に確認する必要があるのはDNSです。チェックする必要がある2番目のことはDNSです。チェックすべき3番目のことはDNSです。

DNSとは正確には何ですか?

これは専門家向けのサイトなので、少なくとも優れた Wikipediaの記事 を読んだことがあると思います。つまり、DNSを使用すると、名前でデバイスを検索してIPアドレスを見つけることができます。私たちが知っているようにインターネットが機能することは非常に重要であり、最小のLANを除いてすべて実行されます。

DNSは、最も基本的なレベルで3つの基本的な部分に分かれています。

  • DNSサーバー:これらは、担当するすべてのクライアントのレコードを保持するサーバーです。 Active Directoryでは、ドメインコントローラーでDNSサーバーの役割を実行します。

  • ゾーン:ゾーンのコピーはサーバーによって保持されます。 ad.example.comという名前のADがある場合、ad.example.comという名前のDNSがインストールされているドメインコントローラー上にゾーンがあります。 computerという名前のコンピューターがあり、そのDNSサーバーに登録されている場合は、computerという名前のDNSレコードがad.example.comに作成され、次の方法でそのコンピューターにアクセスできます。完全修飾ドメイン名(FQDN)、つまりcomputer.ad.example.com

  • レコード:上で述べたように、ゾーンはレコードを保持します。レコードは、コンピューターまたはリソースを特定のIPアドレスにマップします。最も一般的な種類のレコードは、ホスト名とIPアドレスを含むAレコードです。 2番目に一般的なのはCNAMEレコードです。 CNAMEには、ホスト名と別のホスト名が含まれています。 hostname1を検索すると、別の検索が実行され、hostname2のアドレスが返されます。これは、Webサーバーやファイル共有などのリソースを不明瞭にするのに役立ちます。 intranet.ad.example.comのCNAMEがあり、その背後にあるサーバーが変更された場合、誰もが知っている名前を引き続き使用でき、新しいサーバーを指すようにCNAMEレコードを更新するだけで済みます。役に立ちましたか?

OK、これはActive Directoryとどのように関連していますか?

ドメインの最初のドメインコントローラーにActive DirectoryとDNSサーバーの役割をインストールすると、ドメインの2つの前方参照ゾーンが自動的に作成されます。上記の例のようにADドメインがad.example.comの場合( example.com」だけをActive Directoryのドメイン名として使用しないでください )になります。 ad.example.comおよび_msdcs.ad.example.comのゾーン。

これらのゾーンは何をしますか?素晴らしい質問です! _msdcsゾーンから始めましょう。クライアントマシンがドメインコントローラを見つけるために必要なすべてのレコードを保持します。 ADサイトを特定するためのレコードが含まれています。これには、さまざまなFSMOロールホルダーのレコードがあります。このオプションのサービスを実行すると、KMSサーバーのレコードも保持されます。このゾーンが存在しない場合、ワークステーションまたはサーバーにログオンできません。

ad.example.comゾーンは何を保持していますか?クライアントコンピューター、メンバーサーバーのすべてのレコード、およびドメインコントローラーのAレコードを保持します。なぜthisゾーンが重要なのですか?ワークステーションとサーバーがネットワーク上で互いに通信できるようにします。このゾーンが存在しない場合は、おそらくログインできますが、インターネットを閲覧する以外に多くのことはできません。

これらのゾーンでレコードを取得するにはどうすればよいですか?

ええと、幸いなことに、それは簡単です。 dcpromoの実行中にDNSサーバー設定をインストールして構成する場合、選択肢が与えられた場合はSecure Updates Onlyを許可することを選択する必要があります。つまり、既知のドメインに参加しているPCのみがレコードを作成/更新できます。

少しバックアップしてみましょう。ゾーンがレコードを取得する方法はいくつかあります。

  1. これらは、DNSサーバーを使用するように構成されているワークステーションによって自動的に追加されます。これは最も一般的であり、ほとんどのシナリオで「安全な更新のみ」と組み合わせて使用​​する必要があります。この方法を使用したくないEdgeのケースがいくつかありますが、この回答の知識が必要な場合は、これがその方法です。 デフォルトでは、Windowsワークステーションまたはサーバーは、24時間ごとに、またはネットワークアダプターがそれに割り当てられたIPアドレスを取得したときに、自身のレコードを更新します。 DHCPまたは静的。

  2. 手動でレコードを作成します。これは、CNAMEまたは他のタイプのレコードを作成する必要がある場合、または信頼できるADコンピューターにないAレコードが必要な場合、クライアントが解決できるようにするLinuxまたはOS Xサーバーが必要な場合に発生する可能性があります名前で。

  3. リースが配布されるときに、DHCPにDNSを更新させます。これを行うには、クライアントに代わってレコードを更新するようにDHCPを構成し、DHCPサーバーをDNSUpdateProxy ADグループに追加します。これはゾーン中毒を引き起こす可能性があるため、実際には良い考えではありません。ゾーンポイズニング(またはDNSポイズニング)は、クライアントコンピューターが悪意のあるレコードでゾーンを更新し、ネットワーク上の別のコンピューターになりすまそうとすると起こります。これを保護する方法はいくつかありますが、用途はありますが、わからない場合はそのままにしておくことをお勧めします。

これで、軌道に戻ることができるようになりました。安全な更新のみを許可するようにAD DNSサーバーを構成しました。インフラストラクチャが順調に進んでおり、重複したレコードが大量にあることに気付きました。これについてどうしますか?

DNS清掃

この記事は必読です 。清掃のために構成する必要があるベストプラクティスと設定について詳しく説明します。これはWindows Server 2003用ですが、まだ適用可能です。それを読んで。

清掃は、上記の重複レコードの問題に対する答えです。 192.168.1.100のIPを取得するコンピューターがあるとします。そのアドレスのAレコードを登録します。次に、長時間電源がオフになっていることを想像してください。再びオンになると、そのアドレスは別のマシンによって取得されるため、192.168.1.120を取得します。これで、両方のレコードがAになりました。

ゾーンを清掃する場合、これは問題にはなりません。古いレコードは一定の間隔で削除され、問題ありません。 1日間隔のように、誤ってすべてすべてをスキャベンジしないようにしてください。 ADはこれらのレコードに依存していることに注意してください。上記の記事で概要を説明したように、清掃を確実に構成しますが、責任を持って構成してください。

これで、DNSの基本と、DNSとActive Directoryとの統合方法について理解できました。少しずつ追加していきますが、自分の作品も追加してください。

32
MDMarra