Windows Server 2003 の DNS 用の新しいグループ ポリシー

文書翻訳 文書翻訳
文書番号: 294785 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

Windows Server 2003 では、DNS クライアントを構成するためのグループ ポリシーが導入され、DNS の集中管理の問題が解決されています。たとえば、Windows Server 2003 では、次のようなパラメータを使用できます。
  • クライアントによる、DNS レコードの動的登録の有効化または無効化
  • クライアントの DNS サフィックス検索一覧の構成
  • 名前の解決処理中のプライマリ DNS サフィックスのデボルブ
  • DNS サフィックス検索一覧

詳細

これらのグループ ポリシーは、次の場所にあります。
コンピュータの構成/管理用テンプレート/ネットワーク/DNS クライアント
グループ ポリシーは、常にローカルの構成および DHCP 構成より優先されます。ただし、動的 DNS 登録を無効にするために次のレジストリ キーの下に存在する REG_DWORD 値 DoNotUseGroupPolicyForDisableDynamicUpdate を有効にしている場合は例外です。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
この値が存在し、0x1 に設定されている場合、サービスではグループ ポリシーの値を使用せず、ローカルで構成されている値を使用します。DoNotUseGroupPolicyForDisableDynamicUpdate が存在しない場合、または 0x0 に設定されている場合、サービスでは、グループ ポリシーで指定されている値を使用する必要があります。

ポリシーの説明

ここでは、各設定の機能、クライアント側で変更されるレジストリ キー、およびポリシーとレジストリ キーの有効な値について説明します。これらの値は、クライアントの次のレジストリ キーに格納されます。
HKEY_LOCAL_MACHINE\Software\Polices\Microsoft\Windows NT\DNSClient

プライマリ DNS サフィックス

関係するコンピュータすべてのプライマリ DNS サフィックスを指定します。プライマリ DNS サフィックスは、DNS 名の登録と DNS 名前解決に使用されます。この設定を使用すると、コンピュータのグループに対してプライマリ DNS サフィックスが指定され、ユーザー (管理者も含みます) による変更を防止できます。

この設定を無効にした場合、または構成していない場合は、各コンピュータではそれぞれのローカル プライマリ DNS サフィックス (通常はそのコンピュータが参加している Active Directory ドメインの DNS 名) が使用されます。しかし、管理者はコントロール パネルの [システム] を利用してコンピュータのプライマリ DNS サフィックスを変更できます。

この設定を使用するには、割り当てるプライマリ DNS サフィックスをテキスト ボックスに入力します (microsoft.com など)。この設定では、管理者がコンピュータのプライマリ DNS サフィックスを変更するときに使用する [DNS サフィックスと NetBIOS コンピュータ名] ダイアログ ボックスは無効になりません。しかし、この設定が有効になっているときに管理者がサフィックスを入力してもそのサフィックスは無視されます。

重要 : この設定への変更を適用するには、この設定の影響を受けるすべてのコンピュータで Windows Server 2003 を再起動する必要があります。

ヒント : ポリシーを設定せずにコンピュータのプライマリ DNS サフィックスを変更するには、コントロール パネルの [システム] をクリックし、[コンピュータ名] タブの [変更] をクリックします。次に、[詳細] をクリックし、[このコンピュータのプライマリ DNS サフィックス] にサフィックスを入力します。

動的な更新

動的な更新を有効にするかどうかを指定します。動的な更新を行うように構成されたコンピュータは、DNS リソース レコードを DNS サーバーに自動的に登録して更新します。

この設定を有効にした場合、この設定を適用するコンピュータは、各ネットワーク接続の構成に従ってそのネットワーク接続で動的 DNS 登録を使用することができます。特定のネットワーク接続上で動的 DNS 登録を有効にするには、コンピュータと接続それぞれの構成で動的 DNS 登録を許可する必要があります。

[動的な更新] の設定は、動的 DNS 登録を制御しているプロパティを制御します。この設定を有効にすると、各ネットワーク接続に対して個別に動的更新を設定できます。この設定を無効にした場合、各ネットワーク接続の構成に関係なく、この設定を適用するコンピュータは動的 DNS をどのネットワーク接続にも使用できなくなります。この設定を構成しなかった場合は、どのコンピュータにも設定は適用されず、コンピュータはローカルの構成を使用します。

このポリシーには、0x0 および 0x1 の 2 つの値が存在します。このポリシーを [有効] に設定した場合 (動的更新を有効にした場合)、値は 0x1 に設定されます。このポリシーを [無効] に設定した場合、値は 0x0 に設定されます。

DNS サフィックス検索一覧

非修飾単一ラベルの名前を DNS クエリに送信する前にどの DNS サフィックスを付加するかを指定します。"example.microsoft.com" のような完全修飾ドメイン名 (FQDN) とは異なり、非修飾単一ラベル名には "example" のようにドットが含まれません。

この設定を有効にした場合、"example" のような単一ラベル名のクエリをユーザーが送信した場合、ローカル DNS クライアントは DNS サーバーにクエリを送信する前に "microsoft.com" のようなサフィックスを付加し、"example.microsoft.com" を照会します。

[DNS サフィックス検索一覧] の設定を有効にした場合、非修飾単一ラベル名のクエリを送信する前に付加する DNS サフィックスを指定することができます。この設定で指定する DNS サフィックスの値は、コンマ区切りの文字列で指定します (たとえば、microsoft.com,serverua.microsoft.com,office.microsoft.com)。クエリを送信するたびに DNS サフィックスが 1 つ付加されます。クエリが成功しなかった場合は、新しいサフィックスでもう一度新しいクエリを送信します。値は文字列に表示される順に左から右に使用されます。

この設定を有効にした場合、サフィックスを少なくとも 1 つ指定する必要があります。この設定を無効にした場合は、プライマリ DNS サフィックスとネットワーク接続固有の DNS サフィックスが非修飾クエリに追記されます。この設定を構成しなかった場合は、どのコンピュータにも設定は適用されず、コンピュータはローカルの構成を使用します。このポリシーの値には、複数の DNS サフィックスをコンマで区切って設定することができます。このポリシーが有効になっている場合は、少なくとも 1 つの DNS サフィックスを指定する必要があります。

このポリシーの値には、複数の DNS サフィックスをコンマで区切って設定できます。コンマで区切った DNS サフィックス間にはスペースを入れないでください。スペースを入れた場合は、最初の DNS サフィックスしか適用されません。

プライマリ DNS サフィックスのデボルブ

名前解決の処理中に DNS クライアントがプライマリ DNS サフィックスのデボルブを実行するかどうかを指定します。"example" のような単一ラベル名のクエリをユーザーが送信した場合、ローカル DNS クライアントは DNS サーバーにクエリを送信する前に "microsoft.com" のようなサフィックスを付加し、"example.microsoft.com" を照会します。

DNS サフィックス検索一覧が指定されていない場合、DNS クライアントはプライマリ DNS サフィックスを単一ラベル名に付加し、このクエリが成功しなかった場合は、接続固有の DNS サフィックスを付加して新しいクエリを送信します。これらのクエリがどれも解決されなかった場合は、クライアントはコンピュータのプライマリ DNS サフィックスをデボルブし (プライマリ DNS サフィックスの一番左のラベルを破棄し)、このデボルブ後のプライマリ DNS サフィックスを単一ラベル名に付加して、新しいクエリを DNS サーバーに送信します。

たとえば、プライマリ DNS サフィックス "ooo.aaa.microsoft.com" がドット区切りではない単一ラベル名 "example" に付加され、example.ooo.aaa.microsoft.com の DNS クエリが成功しなかった場合、DNS クライアントはプライマリ DNS サフィックスをデボルブし (一番左のラベルを破棄し)、example.aaa.microsoft.com のクエリを送信します。このクエリが成功しなかった場合は、プライマリ DNS サフィックスはさらにデボルブされ example.microsoft.com のクエリが送信されます。このクエリにも成功しなかった場合はデボルブが続行され example.microsoft.com のクエリが送信されます。DNS サフィックスが 2 つのラベルになったため、これ以上プライマリ DNS サフィックスはデボルブされません。プライマリ DNS サフィックスは 2 つのラベルになるとデボルブされなくなります。

この設定を有効にした場合、この設定を適用するコンピュータの DNS クライアントは、解決対象の単一ラベル名とデボルブされたプライマリ DNS サフィックスを連結した名前の解決を試みます。この設定を無効にした場合、この設定を適用するコンピュータの DNS クライアントは、解決対象の単一ラベル名とデボルブされたプライマリ DNS サフィックスを連結した名前の解決を試みません。この設定を構成しなかった場合は、どのコンピュータにも設定は適用されず、コンピュータはローカルの構成を使用します。このポリシーには、0x0 および 0x1 の 2 つの値が存在します。このポリシーを [有効] に設定した場合 (デボルブを有効にする場合)、値は 0x1 に設定されます。このポリシーを [無効] に設定した場合、値は 0x0 に設定されます。

PTR レコードを登録する

このポリシーが有効になっているコンピュータで、PTR リソース レコードを有効にするかどうかを指定します。デフォルトでは、動的 DNS 登録を実行するように構成されている DNS クライアントは、対応する "A" リソース レコードが正しく登録されたときのみ PTR リソース レコードの登録を行います。"A" リソース レコードは、ホスト DNS 名をホスト IP アドレスに対応付け、"PTR" リソース レコードはホスト IP アドレスをホスト DNS 名に対応付けます。

ポリシーを有効にするには [有効] をクリックし、以下の値のいずれかを選択します。
  • 登録しない : この値を使用した場合、コンピュータは PTR リソース レコードの登録を行いません。
  • 登録する : この値を使用した場合、A レコードの登録の成功/不成功に関係なく、コンピュータは PTR リソース レコードの登録を試みます。
  • A レコードが正しく登録されたら登録する : この値を使用した場合、対応する A レコードの登録が成功したときのみ、コンピュータは PTR リソース レコードの登録を試みます。
このポリシーが構成されなかった場合は、どのコンピュータにも設定は適用されず、コンピュータはローカルの構成を使用します。このポリシーには、0x0 および 0x1 の 2 つの値が存在します。このポリシーを [有効] に設定した場合 (PTR レコードの登録を有効にする場合)、値は 0x1 に設定されます。このポリシーを [無効] にした場合、値は 0x0 に設定されます。

登録の更新間隔

この設定を適用するコンピュータの A リソース レコードと PTR リソース レコードの登録更新間隔を指定します。この設定は動的な更新を使用しているコンピュータにのみ適用されます。Windows 2000 以降を実行しているコンピュータで、A レコードと PTR レコードの動的 DNS 登録を実行するように構成されているコンピュータは、データが変更されていない場合でも定期的にレコードを DNS サーバーに登録します。古いレコードを自動的に削除 (清掃) するように構成されている DNS サーバーに対し、これらが最新のレコードでありデータベースに保存されるべきであることを示すために、この登録手順は必要です。

警告 : DNS リソース レコードが、清掃機能が有効になっているゾーンに登録されている場合、この設定の値はこれらのゾーン用に構成されている更新間隔よりも長く指定しないでください。登録の更新間隔を DNS ゾーンの更新間隔よりも長く設定すると、一部の A と PTR リソース レコードが自動的に削除される可能性があります。

登録の更新間隔を指定するには、[有効] をクリックして 1,800 よりも大きな値を入力します。この値は登録の更新間隔を秒で表しています。1,800 秒は 30 分です。

この設定を構成しなかった場合は、どのコンピュータにも設定は適用されず、コンピュータはローカルの構成を使用します。このポリシーには、1,800 秒以上の任意の値を使用できます。

競合するアドレスを置き換える

A リソース レコードを登録しようとしている DNS クライアントが、競合する IP アドレスを持つ既存の A リソース レコードを上書きできるかどうかを指定します。これはセキュリティで保護された動的な更新をサポートしていない DNS ゾーンに A リソース レコードを登録するコンピュータ用に設計された設定です。セキュリティで保護された動的な更新は、リソース レコードの所有権を保存し、他のコンピュータによって登録されたレコードを DNS クライアントが上書きすることを禁止します。

セキュリティで保護された動的な更新を使用していないゾーンの動的な更新中に、DNS クライアントが、そのクライアントのホスト DNS 名と他のコンピュータの IP アドレスが関連付けられている A リソース レコードが存在することを検出することがあります。デフォルトの構成では、DNS クライアントは既存の A リソース レコードを、そのクライアントの IP アドレスとその DNS 名を関連付ける A リソース レコードに置き換えようとします。

[競合するアドレスを置き換える] の設定を有効にした場合、DNS クライアントは動的な更新中に競合する A リソース レコードを置き換えようとします。この設定を無効にした場合、DNS クライアントは A リソース レコードの動的な更新を実行しますが、競合する A リソース レコードを更新しようとした場合には、更新は失敗し、イベント ビューア ログにエラーが記録されます。この設定を構成しなかった場合は、どのコンピュータにも設定は適用されず、コンピュータはローカルの構成を使用します。

このポリシーには、0x0 および 0x1 の 2 つの値が存在します。このポリシーを [有効] に設定した場合 (競合している A レコードを上書きする場合)、値は 0x1 に設定されます。このポリシーを [無効] に設定した場合、値は 0x0 に設定されます。

DNS サーバー

コンピュータが名前を解決するときにクエリを送信する DNS サーバーを定義します。

警告 : この設定で定義された DNS サーバーの一覧は、ローカルで構成された DNS サーバーや DHCP を使用して構成された DNS サーバーよりも優先されます。DNS サーバーの一覧は、この設定の適用先であるマルチホーム コンピュータのネットワーク接続すべてに適用されます。

この設定を使用するには、[有効] をクリックし、ボックスに IP アドレス (ドット形式 10 進表記法) を入力します。IP アドレス間はスペースで区切ってください。この設定を有効にした場合、IP アドレスを少なくとも 1 つは入力する必要があります。

この設定を構成しなかった場合は、設定はどのコンピュータにも適用されず、コンピュータはローカルまたは DHCP 構成のパラメータを使用します。有効な値は、ドット区切りの 10 進形式の IP アドレスの一覧で、各 IP アドレス間は空白で区切ります。一覧には、少なくとも 1 つの IP アドレスを含める必要があります。

接続固有のサフィックス

接続固有の DNS サフィックスを指定します。この設定は適用先のコンピュータで設定されている接続固有の DNS サフィックス、ローカルで構成された DNS サフィックス、および DHCP を使用して構成された DNS サフィックスよりも優先されます。

警告 : この設定で指定された接続固有の DNS サフィックスは、この設定の適用先であるマルチホームのコンピュータが使用するネットワーク接続すべてに適用されます。

この設定を使用するには、[有効] をクリックし、フィールドに DNS サフィックスの文字列値を入力します。この設定を構成しなかった場合は、設定はどのコンピュータにも適用されず、コンピュータはローカルまたは DHCP 構成のパラメータを使用します。有効な値は、Char 型の文字列である接続固有の DNS サフィックスです。

DNS レコードを接続固有の DNS サフィックスに登録します

コンピュータ名とプライマリ DNS サフィックスを連結した A リソース レコードと PTR リソース レコードの登録だけでなく、コンピュータ名と接続固有の DNS サフィックスを連結した A レコードと PTR レコードの登録を、動的登録を実行しているコンピュータで行うかどうかを指定します。

警告 : このグループ設定は、この設定が適用されるマルチホームのコンピュータのすべてのネットワーク接続に適用されます。

デフォルトでは、動的 DNS 登録を実行している DNS クライアントは、コンピュータ名とプライマリ DNS サフィックスを連結した A リソース レコードと PTR リソース レコードを登録します。たとえば、"mycomputer" というコンピュータ名と "microsoft.com" というプライマリ DNS サフィックスを連結すると、"mycomputer.microsoft.com" となります。

この設定を有効にした場合、コンピュータ名とプライマリ DNS サフィックスの連結に加え、コンピュータと接続固有の DNS サフィックスの連結を持つ A レコードと PTR レコードの登録を実行します。たとえば、A レコードと PTR レコードの登録時に、コンピュータ名 "mycomputer" と接続固有の DNS サフィックス "VPNconnection" の連結が使用され、"mycomputer.VPNconnection" となります。設定の適用先であるコンピュータで動的 DNS 登録が無効になっている場合は、ここでの設定に関係なく、コンピュータ名と接続固有の DNS サフィックスを連結した文字列を含む A レコードと PTR レコードの動的 DNS 登録は試行されません。設定の適用先である、コンピュータの特定のネットワーク接続で動的 DNS 登録が無効になっている場合は、ここでの設定に関係なく、そのネットワーク接続で、コンピュータ名と接続固有の DNS サフィックスを含む A レコードと PTR レコードの動的 DNS 登録は試行されません。

この設定を無効にした場合、DNS クライアントは接続固有の DNS サフィックスを持つ A レコードと PTR レコードを登録しません。この設定を構成しなかった場合は、どのコンピュータにも設定は適用されず、コンピュータはローカルの構成を使用します。

このポリシーを [有効] に設定した場合 (接続固有の DNS サフィックスを使用した名前を登録する場合)、値は 0x1 に設定されます。このポリシーを [無効] に設定した場合、値は 0x0 に設定されます。

A レコードと PTR レコードで設定された TTL

この設定の適用先であるコンピュータによって登録された A レコードと PTR レコードの Time-To-Live (TTL) の値を指定します。

TTL を指定するには、[有効] をクリックして、値を入力します。単位は秒です (たとえば、値が 900 の場合は 15 分)。
  • 最小値 : 0
  • 最大値 : 4294966296
  • デフォルト値 : 600
この設定を構成しなかった場合は、設定はどのコンピュータにも適用されません。

セキュリティ レベルを更新する

この設定の適用先のコンピュータで DNS レコードの登録を実行するときに、セキュリティで保護された動的な更新を使用するか、または標準の動的な更新を使用するかを指定します。

: このクライアント側の設定は、認証 DNS サーバー上の設定とは無関係です。ただし、この設定は、クライアントでクライアントのレコードを Active Directory のゾーン (セキュリティで保護されていない更新およびセキュリティで保護されている更新に設定されているゾーン) に登録する場合にのみ必要です。

この設定を有効にするには [有効] をクリックし、以下の値のいずれかを選択します。
  • セキュリティなしが拒否された場合 : このオプションを選択すると、セキュリティで保護されていない動的な更新が拒否された後だけセキュリティで保護された動的な更新をコンピュータが送信します。
  • セキュリティなしのみ : このオプションを選択すると、コンピュータはセキュリティで保護されていない動的な更新のみを送信します。
  • セキュリティ付きのみ : このオプションを選択すると、コンピュータはセキュリティで保護されている動的な更新のみを送信します。
[セキュリティ レベルを更新する] の設定を構成しなかった場合は、どのコンピュータにも設定は適用されず、コンピュータはローカルの構成を使用します。
  • セキュリティ付きのみ : 256
  • セキュリティなしのみ : 16
  • セキュリティなしが拒否された場合 : 0

トップ レベルのドメイン ゾーンを更新する

このポリシーの適用先のコンピュータが、単一ラベル名のゾーン ("com" などのトップ レベルのドメイン ゾーン) に動的な更新を送信できるかどうかを指定します。

デフォルトでは、動的 DNS 更新を行うように構成された DNS クライアントは、権限のあるゾーンがトップ レベルのドメインでルート ゾーンでない限り、DNS リソース レコードに対して権限を持つ DNS ゾーンに動的な更新を送信します。

このポリシーを有効にした場合、このポリシーの適用先のコンピュータは更新が必要なリソース レコードに対する権限を持つ任意のゾーン (ルート ゾーンは除く) に動的な更新を送信します。

このポリシーを無効にした場合、このポリシーの適用先のコンピュータは更新が必要なリソース レコードに対する権限を持つルート ゾーンやトップ レベルのドメイン ゾーンに動的な更新を送信しません。

このポリシーを構成しなかった場合は、どのコンピュータにも設定は適用されず、コンピュータはローカルの構成を使用します。

このポリシーには、0x0 および 0x1 の 2 つの値が存在します。このポリシーを [有効] に設定した場合、値は 0x1 に設定されます。このポリシーを [無効] に設定した場合、値は 0x0 に設定されます。

プロパティ

文書番号: 294785 - 最終更新日: 2007年12月3日 - リビジョン: 8.5
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
キーワード:?
kbinfo kbdownload kbenv KB294785
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com