Windows Server 2003 で DNS 動的更新を構成する方法

文書番号: 816592 - 対象製品
Microsoft Windows 2000 については、次の資料を参照してください。317590
(http://support.microsoft.com/kb/317590/ )
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Windows Server 2003 で DNS 更新機能を構成する方法について説明します。DNS クライアント コンピュータは、DNS 更新機能を使用して、DNS サーバーにリソース レコードを登録し、変更が生じるたびに DNS サーバーでリソース レコードを動的に更新できます。これにより、特に移動の頻度が高く、DHCP (Dynamic Host Configuration Protocol) を使用して IP アドレスを取得するクライアントのゾーン レコードを手動で管理する必要性が軽減されます。

Windows Server 2003 は、RFC (Request for Comments) 2136 に記載されている動的更新をサポートします。DNS サーバーでは、DNS サービスを使用することにより、標準プライマリ ゾーンまたはディレクトリ統合ゾーンを読み込むように構成された各サーバー上の DNS 更新機能をゾーン単位で有効または無効にすることができます。

Windows Server 2003 の DNS 更新機能

DNS サービスにより、クライアント コンピュータで DNS のリソース レコードを動的に更新することが可能になります。この機能を使用することで、ゾーン レコードを手動で管理する場合にかかる時間を節約でき、DNS 管理が向上します。DNS 更新機能を DHCP と組み合わせて使用して、コンピュータの IP アドレスが変更されたときにリソース レコードを更新することができます。Windows Server 2003 を実行しているコンピュータは、動的更新を送信することができます。

Windows Server 2003 は、DNS 動的更新プロトコルに関連する以下の機能を提供します。
  • ドメイン コントローラのロケータ サービスとしての Active Directory ディレクトリ サービスの使用
  • Active Directory との統合

    DNS ゾーンを Active Directory に統合し、フォールト トレランスとセキュリティを向上させることができます。Active Directory 統合ゾーンは、Active Directory ドメインのすべてのドメイン コントローラにレプリケートされます。これらのドメイン コントローラ上で動作するすべての DNS サーバーは、ゾーンのプライマリ サーバーとして機能し、動的更新を受け付けることができます。Active Directory はプロパティ単位でレプリケートを実行し、関連する変更のみを伝達します。
  • レコードのエージングと清掃

    DNS サーバー サービスは、不要になったレコードをスキャンし、削除できます。この機能を有効にすると、DNS に古いレコードが残らなくなります。
  • Active Directory 統合ゾーンでのセキュリティで保護された動的更新

    Active Directory 統合ゾーンの動的更新を構成してセキュリティで保護することにより、許可されたユーザーのみがゾーンまたはレコードを変更できるようになります。
  • コマンド プロンプトからの管理
  • 拡張された名前解決
  • 拡張キャッシュとネガティブ キャッシュ
  • 他の DNS サーバー実装との相互運用
  • 他のネットワーク サービスとの相互運用
  • 増分ゾーン転送

Windows Server 2003 ベースのコンピュータが DNS 名を更新する方法

Windows Server 2003 を実行していて、TCP/IP を使用するように静的に構成されているコンピュータのデフォルトの動作では、インストールされているネットワーク接続で構成され、使用されている IP アドレスに対応するホスト アドレス (A) リソース レコードおよびポインタ (PTR) リソース レコードの動的な登録が試行されます。デフォルトでは、すべてのコンピュータが [フル コンピュータ名] に基づいてレコードを登録します。

Windows Server 2003 ベースのコンピュータでは、プライマリ フル コンピュータ名は、完全修飾ドメイン名 (FQDN) であり、[コンピュータ名] の後ろに [このコンピュータのプライマリ DNS サフィックス] を追加したものです。コンピュータのプライマリ DNS サフィックスとコンピュータ名を確認するには、[マイ コンピュータ] を右クリックし、[プロパティ] をクリックして、[コンピュータ名] をクリックします。

以下のいずれの場合も DNS 更新を送信できます。
  • インストールされているいずれかのネットワーク接続の TCP/IP プロパティ構成で IP アドレスが追加、削除、または変更されたとき。
  • インストールされているいずれかのネットワーク接続に対応する DHCP サーバー上の IP アドレスのリースが変更または更新されたとき。たとえば、コンピュータが起動したとき、または ipconfig /renew コマンドが使用されたときに、この更新が発生します。
  • 管理者が ipconfig /registerdns コマンドを使用して、DNS のクライアント名登録を手動で強制的に更新したとき。
  • コンピュータの電源がオンになったとき。
  • メンバ サーバーがドメイン コントローラに昇格したとき。
上記のイベントのいずれかによって DNS 更新が実行されると、DNS クライアント サービスではなく DHCP クライアント サービスが更新を送信します。DHCP が原因で IP アドレス情報の変更が発生した場合でも、その変更に対応する更新が DNS で実行され、コンピュータの名前とアドレスのマッピングが同期されます。DHCP クライアント サービスは、DHCP を使用するように構成されていない接続を含む、システムで使用されているすべてのネットワーク接続に対してこの機能を実行します。

  • DHCP を使用して IP アドレスを取得する Windows Server 2003 ベースのコンピュータが更新を実行するプロセスは、ここで説明しているプロセスと異なります。詳細については、この資料の「DHCP と DNS との統合」および「Windows ベースの DHCP クライアントと DNS 動的更新プロトコル」を参照してください。
  • ここで説明している更新プロセスは、Windows Server 2003 のインストール時のデフォルト設定が有効になっていることを前提としています。TCP/IP の詳細プロパティがデフォルト以外の DNS 設定を使用するように構成されている場合、個々の名前と更新の動作は調整可能です。
  • フル コンピュータ名またはプライマリ名以外に、接続に固有のその他の DNS 名を DNS で構成し、オプションで登録または更新することができます。

DNS 更新が機能するしくみの例

Windows Server 2003 では、通常、コンピュータ上で DNS 名または IP アドレスが変更されたときに動的更新が要求されます。たとえば、"oldhost" という名前のクライアントが、最初に [システムのプロパティ] で次の名前を使用して構成されているとします。
コンピュータ名 : oldhost
コンピュータの DNS ドメイン名 : example.microsoft.com
フル コンピュータ名 : oldhost.example.microsoft.com
このコンピュータには、接続専用の DNS ドメイン名は構成されていません。コンピュータの名前を "oldhost" から "newhost" に変更すると、それぞれの名前が次のように変更されます。
コンピュータ名 : newhost
コンピュータの DNS ドメイン名 : example.microsoft.com
フル コンピュータ名 : newhost.example.microsoft.com
[システムのプロパティ] で名前の変更が適用されると、Windows Server 2003 ではコンピュータを再起動するように求めるメッセージがユーザーに表示されます。コンピュータにより Windows が再起動されると、DHCP クライアント サービスは次の手順を実行して DNS を更新します。
  1. DHCP クライアント サービスがコンピュータの DNS ドメイン名を使用して、種類が SOA (Start of Authority) のクエリを送信します。

    クライアント コンピュータは、"newhost.example.microsoft.com" などの現在構成されているコンピュータの FQDN をこのクエリで指定する名前として使用します。
  2. クライアント FQDN が含まれるゾーンに対して権限を持つ DNS サーバーが、種類が SOA のクエリに応答します。

    標準プライマリ ゾーンの場合、SOA クエリの応答で返されるプライマリ サーバーまたはオーナーは静的で、固定されています。このプライマリ サーバーは、常に、ゾーンに格納された SOA リソース レコードに表示される DNS 名と完全に一致します。ただし、更新されるゾーンがディレクトリに統合されている場合は、ゾーンを読み込んでいる任意の DNS サーバーが応答し、自分自身の名前をゾーンのプライマリ サーバーまたはオーナーとして SOA クエリの応答に動的に挿入することができます。
  3. DHCP クライアント サービスが、プライマリ DNS サーバーとの通信を試みます。

    クライアントがその名前の SOA クエリに対する応答を処理して、その名前を受け付けるプライマリ サーバーとしての権限を持つ DNS サーバーの IP アドレスを特定します。必要な場合、クライアントは次の手順でプライマリ サーバーと通信し、プライマリ サーバーの動的更新を行います。
    1. クライアントは、SOA クエリの応答から特定されたプライマリ サーバーに、動的更新の要求を送信します。

      更新が成功した場合は、処理は完了です。
    2. この更新が失敗した場合、クライアントは、SOA レコードで指定されているゾーン名に対して、種類が NS のクエリを送信します。
    3. このクエリに対する応答を受信すると、クライアントは、応答で最初に列挙されている DNS サーバーに SOA クエリを送信します。
    4. SOA クエリが解決された後、クライアントは、返された SOA レコードで指定されているサーバーに動的更新を送信します。

      更新が成功した場合は、処理は完了です。
    5. この更新が失敗した場合、クライアントは、応答で次に列挙されている DNS サーバーに送信することによって SOA クエリの処理を繰り返します。
  4. 更新を実行できるプライマリ サーバーと通信した後、クライアントは更新の要求を送信し、サーバーはそれを処理します。

    更新要求の内容には、"newhost.example.microsoft.com" の A リソース レコードおよび場合によっては PTR リソース レコードを追加し、"oldhost.example.microsoft.com" ("oldhost.example.microsoft.com" は以前登録された名前) に対応する、同じ種類のレコードを削除するための命令が含まれています。

    また、サーバーは、クライアントの要求に対して更新が許可されていることを確認します。標準プライマリ ゾーンでは動的更新がセキュリティで保護されていないため、あらゆるクライアントの更新の試行が成功します。Active Directory 統合ゾーンでは、更新がセキュリティで保護されており、ディレクトリ ベースのセキュリティ設定を使用して更新が行われます。
動的更新は、定期的に送信または更新されます。デフォルトでは、コンピュータは 7 日間に 1 回更新を送信します。更新を行ってもゾーン データが変更されない場合、ゾーンは現在のバージョンのままにとどまり、変更は書き込まれません。名前またはアドレスが実際に変更された場合にのみ、実際のゾーンの変更またはゾーン転送の増加が発生します。

: 更新の間隔である 7 日間の間に無効になった名前、または更新されなかった名前は、DNS ゾーンから削除されません。新しい名前またはアドレスの変更が適用されると、DNS クライアントは古い名前のレコードの削除または更新を試みますが、DNS では名前を解放または廃棄するメカニズムは使用されません。

DHCP クライアント サービスは、Windows Server 2003 ベースのコンピュータの A および PTR リソース レコードを登録するとき、デフォルトでホスト レコードに対して 15 分のキャッシュ Time-to-Live (TTL) 値を適用します。この値によって、コンピュータのレコードがクエリの応答に含まれているときに、他の DNS サーバーとクライアントがそのレコードをキャッシュする時間が決定されます。

DHCP と DNS との統合

Windows Server 2003 では、動的更新をサポートするすべての DHCP クライアントのために、DNS 名前空間の動的更新を DHCP サーバーから実行できます。スコープ クライアントは、DHCP アドレスが変更されたときに DNS 動的更新プロトコルを使用し、ホスト名からアドレスへのマッピング情報を更新できます (このマッピング情報は DNS サーバー上のゾーンに格納されます)。Windows Server 2003 ベースの DHCP サーバーは、DHCP クライアントのために DNS サーバーへの更新を実行できます。

DHCP/DNS 更新対話が機能するしくみ

DHCP サーバーを使用して、有効な DHCP クライアントで使用するための PTR および A リソース レコードを登録および更新することができます。この場合、追加 DHCP オプションであるクライアント FQDN オプション (オプション 81) を使用する必要があります。このオプションを使用すると、クライアントから FQDN を DHCPREQUEST パケットで DHCP サーバーに送信することができます。これで、クライアントは必要なサービス レベルを DHCP サーバーに通知できます。

FQDN オプションには、次の 6 つのフィールドがあります。
  • Code
    このオプションのコード (81) を指定します。
  • Len
    このオプションの長さ (4 以上) を指定します。
  • Flags
    サービスの種類を指定します。
    • 0
      クライアントが "A" (ホスト) レコードを登録します。
    • 1
      クライアントが DHCP に "A" (ホスト) レコードを登録させます。
    • 3
      クライアントの要求にかかわらず、DHCP が "A" (ホスト) レコードを登録します。
  • RCODE1
    サーバーがクライアントに送信する応答コードを指定します。
  • RCODE2
    RCODE1 の追加記述を指定します。
  • Domain Name
    クライアントの FQDN を指定します。
クライアントがリソース レコードを DNS に登録するよう要求した場合、クライアントは、RFC (Request for Comments) 2136 に従って、動的 UPDATE 要求を生成します。すると、DHCP サーバーが PTR (ポインタ) レコードを登録します。

このオプション 81 が、Windows Server 2003、Microsoft Windows 2000、または Microsoft Windows XP を実行する DHCP が利用できるコンピュータなどの有効な DHCP クライアントによって発行されたものであるとします。この場合、Windows Server 2003 ベースの DHCP サーバーによってオプションが処理および解釈されて、サーバーがクライアントのために更新をどのように開始するかが判断されます。

たとえば、以下のいずれかの構成を使用して、クライアント要求を処理できます。
  • DHCP サーバーがクライアント要求に従って、構成済み DNS サーバーにクライアント情報を登録して更新します。

    これは、Windows Server 2003 ベースの DHCP サーバーと Windows Server 2003、Windows 2000、または Windows XP を実行するクライアントのデフォルトの構成です。このモードでは、いずれかの Windows DHCP クライアントから、DHCP サーバーがそのホストの A リソース レコードおよび PTR リソース レコードの更新を実行する方法を指定できます。可能であれば、DHCP サーバーは、クライアント要求を処理し、DNS 内の名前と IP アドレス情報を更新します。

    クライアントの要求に応じてクライアント情報を登録するように DHCP サーバーを構成するには、以下の手順を実行します。
    1. サーバーまたは個々のスコープの DHCP プロパティを開きます。
    2. [DNS] タブをクリックし、[DHCP クライアントから要求があったときにのみ DNS の A および PTR レコードを動的に更新する] チェック ボックスをオンにします。
  • DHCP サーバーは、常に構成済み DNS サーバーにクライアント情報を登録して更新します。

    これは、Windows Server 2003 ベースの DHCP サーバーと Windows Server 2003、Windows 2000、または Windows XP を実行するクライアントのために修正された構成です。このモードでは、DHCP サーバーは、クライアントが独自の更新を実行するように要求したかどうかに関係なく、常にクライアントの FQDN とリース IP アドレス情報の更新を実行します。

    構成済み DNS サーバーにクライアント情報を登録して更新するように DHCP サーバーを構成するには、以下の手順を実行します。
    1. サーバーの DHCP プロパティを開きます。
    2. [DNS] タブをクリックし、[以下の設定に基づいて、DNS 動的更新を有効にする] チェック ボックスをオンにし、[DNS の A および PTR レコードを常に動的に更新する] をクリックします。
  • DHCP サーバーは、構成済み DNS サーバーにクライアント情報を登録して更新しません。

    この構成を使用するには、DHCP/DNS プロキシ化更新の実行を無効にするように DHCP サーバーを構成する必要があります。この構成を使用すると、DHCP クライアントの DNS でクライアント ホスト A または PTR リソース レコードは更新されません。

    クライアント情報を更新しないようにサーバーを構成するには、以下の手順を実行します。
    1. DHCP サーバーまたは Windows Server 2003 ベースの DHCP サーバー上のいずれかのスコープの DHCP プロパティを開きます。
    2. [DNS] タブをクリックし、[以下の設定に基づいて、DNS 動的更新を有効にする] チェック ボックスをオフにします。
    デフォルトでは、更新は、新しくインストールされた Windows Server 2003 ベースの DHCP サーバーとそれらに作成された新しいスコープすべてに対して実行されます。

Windows ベースの DHCP クライアントと DNS 動的更新プロトコル

Windows Server 2003、Windows 2000、Windows XP、またはそれ以前のオペレーティング システムを実行している DHCP クライアントでは、DHCP/DNS 対話を実行する場合の対話方法が異なります。以下の例では、このプロセスが場合によってどのように異なるかを示します。

Windows Server 2003、Windows 2000、および Windows XP ベースの DHCP クライアントでの DHCP/DNS 更新対話の例

Windows Server 2003、Windows 2000、または Windows XP DHCP を実行するクライアントは、以下のように、DNS 動的更新プロトコルの対話的な処理を実行します。
  1. クライアントは、サーバーに対して DHCP 要求メッセージ (DHCPREQUEST) を送信します。この要求には、オプション 81 が含まれます。
  2. サーバーは、DHCP 受信確認メッセージ (DHCPACK) をクライアントに返します。このクライアントは、IP アドレス リースを付与し、オプション 81 を含みます。DHCP サーバーがデフォルトの設定で構成されている場合、オプション 81 によって、DHCP サーバーが DNS PTR レコードを登録することと、クライアントが DNS A レコードを登録することがクライアントに通知されます。
  3. クライアントは、DNS サーバーに対して、前方参照レコード (ホスト A リソース レコード) への DNS 更新要求を非同期に送信します。
  4. DHCP サーバーがクライアントの PTR レコードを登録します。

Windows Server 2003 より前のバージョンの Windows を使用する Windows ベースの DHCP クライアントでの DHCP/DNS の更新対話の例

以前のバージョンの Windows ベースの DHCP クライアントは、DNS 動的更新プロセスを直接サポートしないため、DNS サーバーと直接対話することはできません。これらの DHCP クライアントでは、通常、更新は次のように処理されます。
  1. DHCP クライアントは、DHCP サーバーに対して DHCP 要求メッセージ (DHCPREQUEST) を送信します。この要求には、オプション 81 が含まれません。
  2. DHCP サーバーは、DHCP クライアントに対して DHCP 受信確認メッセージ (DHCPACK) を返します。クライアントは、オプション 81 を使用せずに IP アドレス リースを付与します。
  3. DHCP サーバーは、DNS サーバーに対して、ホスト A リソース レコードであるクライアントの前方参照レコードへの更新を送信し、クライアントの PTR 逆引き参照レコードへの更新を送信します。

セキュリティで保護された動的更新

Windows Server 2003 では、Active Directory に統合されているゾーンでのみ DNS 更新セキュリティを使用できます。ゾーンを統合すると、DNS スナップインでアクセス制御リスト (ACL) 編集機能を使用して、指定されたゾーンまたはリソース レコードに対する ACL にユーザーまたはグループを追加したり、ACL からユーザーまたはグループを削除したりすることができます。

詳細については、Windows Server 2003 のヘルプとサポートで、「リソース レコードのセキュリティを変更するには」または「ディレクトリ統合ゾーンのセキュリティを変更するには」を参照してください。

デフォルトでは、Windows Server 2003 DNS サーバーおよびクライアントの動的更新セキュリティは次のように処理されます。
  1. Windows Server 2003 ベースの DNS クライアントは、セキュリティで保護されていない動的更新の使用を最初に試みます。セキュリティで保護されていない更新が拒否されると、セキュリティで保護された更新の使用を試みます。

    また、クライアントは、更新セキュリティによって特に禁止されていない限り、クライアントが以前登録されたリソース レコードの上書きを試みることを許可するデフォルトの更新ポリシーを使用します。
  2. デフォルトでは、ゾーンが Active Directory に統合されると、Windows Server 2003 ベースの DNS サーバーは、セキュリティで保護された動的更新のみを許可します。
標準ゾーン記憶域を使用する場合、DNS サーバー サービスのデフォルト設定では、DNS サーバーのゾーン上の動的更新は許可されません。ディレクトリ統合ゾーンまたは標準ファイル ベースの記憶域を使用するゾーンでは、すべての動的更新を受け付けるようにゾーンを変更できます。この場合、セキュリティで保護された更新を使用しないことにより、すべての更新を受け付けることができます。

重要 : DHCP サーバー サービスは、動的更新をサポートしないレガシ クライアントの代理として DNS レコードの登録および更新を実行できます。詳細については、Windows Server 2003 のヘルプとサポート センターの「DHCP で DNS サーバーを使用する」を参照してください。

ネットワーク上で複数の Windows Server 2003 ベースの DHCP サーバーを使用し、セキュリティで保護された動的更新のみを許可するようにゾーンを構成する場合は、Active Directory ユーザーとコンピュータ スナップインを使用し、ビルトインの DnsUpdateProxy グループに DHCP サーバー コンピュータを追加する必要があります。これを行うと、すべての DHCP サーバーに DHCP クライアントのプロキシ更新を実行するためのセキュリティで保護された権利が付与されます。詳細については、Windows Server 2003 のヘルプとサポート センターで、「DHCP で DNS サーバーを使用する」または「グループを管理する」を参照してください。

注意 : 次の条件に該当する場合、セキュリティで保護された動的更新が使用できなくなる可能性があります。
  • Windows Server 2003 ベースのドメイン コントローラで DHCP サーバーを実行している。
  • クライアントに代わって DNS レコードの登録を行うように DHCP サーバーを構成している。
この問題を回避するには、DHCP サーバーとドメイン コントローラを別のコンピュータに展開するか、または動的更新専用のユーザー アカウントを使用するように DHCP を構成します。詳細については、Windows Server 2003 のヘルプとサポート センターの「DHCP で DNS サーバーを使用する」を参照してください。

詳細については、この資料の「DnsUpdateProxy グループを使用する場合のセキュリティに関する考慮事項」を参照してください。

セキュリティで保護された動的更新のみを許可する

  1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[DNS] をクリックします。
  2. [DNS] で、対象の DNS サーバーをダブルクリックし、[前方参照ゾーン] または [逆引き参照ゾーン] をダブルクリックして、ゾーンを右クリックします。
  3. [プロパティ] をクリックします。
  4. [全般] タブで、ゾーンの種類が [Active Directory 統合] になっていることを確認します。
  5. [動的更新] ボックスの [セキュリティ保護のみ] をクリックします。
  6. [OK] をクリックします。
: セキュリティで保護された動的更新機能は、Active Directory 統合ゾーンでのみサポートされます。別のゾーンの種類を構成した場合は、DNS 更新をセキュリティで保護する前に、ゾーンの種類を変更し、ゾーンを統合してください。動的更新は DNS 標準の拡張であり、RFC に準拠しています。DNS 更新プロセスは、RFC 2136「Dynamic Updates in the Domain Name System (DNS UPDATE)」で定義されています。

DnsUpdateProxy セキュリティ グループを使用する

DHCP クライアントに代わってホスト A リソース レコードおよび PTR リソース レコードを動的に登録するように、Windows Server 2003 ベースの DHCP サーバーを構成できます。このような構成では、Windows Server 2003 ベースの DNS サーバーによるセキュリティで保護された動的更新を使用すると、リソース レコードが古くなる場合があります。

たとえば、次のような状況を想定します。
  1. Windows Server 2003 DHCP サーバー (DHCP1) が、クライアントの 1 つに代わって、特定の DNS ドメイン名に対するセキュリティで保護された動的更新を実行します。
  2. DHCP サーバーは、名前の作成に成功したため、名前の所有者になります。
  3. DHCP サーバーがクライアント名の所有者になると、その DHCP サーバーだけが名前を更新できます。
環境によっては、これにより問題が発生する場合があります。たとえば、DHCP1 で障害が発生し、バックアップ用の第 2 の DHCP サーバーがオンラインになる場合、バックアップ サーバーはクライアント名の所有者ではないため、名前を更新できません。

同様の例として、DHCP サーバーがレガシ クライアントの動的更新を実行するとします。それらのクライアントを Windows Server 2003、Windows 2000、または Windows XP にアップグレードした場合、アップグレードされたクライアントが所有権を取得できないか、または DNS レコードを更新できません。

このような問題を解決するため、DnsUpdateProxy という名前のビルトイン セキュリティ グループが提供されています。すべての DHCP サーバーを DnsUpdateProxy グループに追加すると、最初のサーバーで障害が発生しても、サーバーのレコードを別のサーバーで更新できます。また、DnsUpdateProxy グループのメンバによって作成されたすべてのオブジェクトはセキュリティで保護されないため、DnsUpdateProxy グループのメンバではないユーザーで、DNS 名に関連付けられているレコードを変更する最初のユーザーが所有者になります。レガシ クライアントが更新されると、それらが DNS サーバーの名前レコードの所有権を取得します。レガシ クライアントのリソース レコードを登録するすべての DHCP サーバーがすべて DnsUpdateProxy グループのメンバであれば、多くの問題は回避できます。

DnsUpdateProxy グループにメンバを追加する

DnsUpdateProxy セキュリティ グループを構成するには、Active Directory ユーザーとコンピュータ スナップインを使用します。

: フォールト トレランスのために複数の DHCP サーバーを使用し、動的更新をセキュリティで保護している場合は、それぞれのサーバーを DnsUpdateProxy グローバル セキュリティ グループに追加します。

DnsUpdateProxy グループを使用する場合のセキュリティに関する考慮事項

DHCP サーバーが DnsUpdateProxy グループのメンバである場合、DHCP サーバーによって登録される DNS ドメイン名はセキュリティで保護されません。たとえば、DHCP サーバー自体のホスト (A) リソース レコードがこれに該当します。さらに、DnsUpdateProxy グループのメンバによって作成されるオブジェクトがセキュリティで保護されないため、追加の手順を実行してグループのメンバによって作成されるレコードをセキュリティで保護することを許可しない限り、セキュリティで保護された動的更新のみを許可する Active Directory 統合ゾーンではこのグループを有効に使用できません。

セキュリティで保護されないレコードを保護するか、またはセキュリティで保護された動的更新のみを許可するゾーンで DnsUpdateProxy グループのメンバがレコードを登録できるようにするには、以下の手順を実行します。
  1. 専用ユーザー アカウントを作成します。
  2. そのユーザー アカウントの資格情報 (ユーザー名、パスワード、およびドメイン) を使用して DNS 動的更新を実行するように DHCP サーバーを構成します。
1 つの専用ユーザー アカウントの資格情報は、複数の DHCP サーバーで使用できます。

専用ユーザー アカウントは、DHCP サーバーに DNS 動的更新登録のための資格情報を提供することのみを目的とするユーザー アカウントです。専用ユーザー アカウントを作成し、そのアカウントの資格情報を使用して DHCP サーバーを構成するとします。DNS 動的更新を使用して DHCP クライアントに代わって名前を登録するときに、それぞれの DHCP サーバーがこれらの資格情報を提供します。専用ユーザー アカウントは、更新されるゾーンのプライマリ DNS サーバーが置かれたフォレスト内に作成する必要があります。専用ユーザー アカウントを別のフォレストに配置することもできます。ただし、アカウントの置かれたフォレストと、プライマリ DNS サーバーを含むフォレストとの間にフォレストの信頼関係が確立されている必要があります。

DHCP サーバー サービスがドメイン コントローラにインストールされている場合は、専用ユーザー アカウントの資格情報を使用して DHCP サーバーを構成することにより、サーバーがドメイン コントローラの権限を継承および誤用することを防止できます。DHCP サーバー サービスがドメイン コントローラにインストールされている場合、このサービスはドメイン コントローラのセキュリティ アクセス許可を継承します。また、セキュリティで保護された Active Directory 統合ゾーンで登録された DNS レコード (Windows 2000 または Windows Server 2003 ベースのコンピュータ、およびドメイン コントローラによってセキュリティで保護されて登録されたレコードも含まれます) を更新または削除する権限を持ちます。

DNS 動的更新を構成する

Windows Server 2003 に含まれる動的更新機能は RFC 2136 に準拠しています。動的更新を使用すると、クライアントおよびサーバーから DNS ドメイン名 (PTR リソース レコード) および IP アドレス マッピング (A リソース レコード) を RFC 2136 に準拠する DNS サーバーに登録できます。

DHCP クライアントの DNS 動的更新を構成する

デフォルトでは、Windows Server 2003、Windows 2000、および Windows XP ベースの DHCP クライアントは、クライアントが A リソース レコードを登録し、サーバーが PTR リソース レコードを登録することをサーバーに要求するように構成されます。デフォルトでは、DNS 登録に使用される名前はコンピュータ名とプライマリ DNS サフィックスを連結したものです。このデフォルト名を変更するには、ネットワーク接続の TCP/IP プロパティを開きます。

動的更新クライアントで動的更新のデフォルトの構成を変更するには、以下の手順を実行します。
  1. コントロール パネルの [ネットワーク接続] をダブルクリックします。
  2. 構成する接続を右クリックし、[プロパティ] をクリックします。
  3. [インターネット プロトコル (TCP/IP)]、[プロパティ]、[詳細設定] の順にクリックします。
  4. [DNS] タブをクリックします。

    デフォルトでは、[この接続のアドレスを DNS に登録する] チェック ボックスがオン、[この接続の DNS サフィックスを DNS 登録に使う] チェック ボックスがオフになっています。このデフォルトの構成では、クライアントは、クライアントが A リソース レコードを登録し、サーバーが PTR リソース レコードを登録することをサーバーに要求します。
  5. [この接続の DNS サフィックスを DNS 登録に使う] チェック ボックスをオンにします。

    クライアントは、サーバーが FQDN を使用して PTR レコードを更新することを要求します。DHCP サーバーがクライアントの要求に応じて DNS レコードを登録するように構成されている場合、クライアントは以下のレコードを登録します。
    • PTR レコード
    • コンピュータ名とプライマリ DNS サフィックスを連結した名前を使用する A レコード
    • コンピュータ名と接続固有の DNS サフィックスを連結した名前を使用する A レコード
  6. クライアントが DNS 登録を要求しないように構成するには、[この接続のアドレスを DNS に登録する] チェック ボックスをオフにします。

マルチホーム クライアント コンピュータで DNS 動的更新を構成する

動的更新クライアントがマルチホーム構成である場合、デフォルトでは、使用しているすべての IP アドレスが DNS に登録されます (複数のアダプタおよび関連する IP アドレスがある場合、クライアントはマルチホーム構成です)。クライアントがすべての IP アドレスを登録しないようにする場合、ネットワーク接続のプロパティで複数の IP アドレスを登録しないように構成できます。

クライアントの IP アドレスの一部が登録されないようにするには、以下の手順を実行します。
  1. コントロール パネルの [ネットワーク接続] をダブルクリックします。
  2. 構成する接続を右クリックし、[プロパティ] をクリックします。
  3. [インターネット プロトコル (TCP/IP)]、[プロパティ]、[詳細設定] の順にクリックします。
  4. [DNS] タブをクリックします。
  5. [この接続のアドレスを DNS に登録する] チェック ボックスをオフにします。
ドメイン名を DNS に登録するようにコンピュータを構成することもできます。たとえば、2 つのネットワークに接続されたクライアントがある場合、ネットワークごとに異なるドメイン名を持つようにクライアントを構成できます。

Windows Server 2003 ベースの DHCP サーバーで DNS 動的更新を構成する

Windows Server 2003 ベースの DHCP サーバーで DNS 動的更新を構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[DHCP] をクリックします。
  2. 該当する DHCP サーバーまたはスコープを右クリックし、[プロパティ] をクリックします。
  3. [DNS] タブをクリックします。
  4. [以下の設定に基づいて、DNS 動的更新を有効にする] チェック ボックスをオンにし、動的更新をサポートするクライアントの DNS 動的更新を有効にします。

    : このチェック ボックスは、デフォルトでオンになっています。
  5. 動的更新をサポートしない DHCP クライアントの DNS 動的更新を有効にするには、[更新を要求しない DHCP クライアント (例 : Windows NT 4.0 を実行しているクライアント) の DNS の A および PTR レコードを動的に更新する] チェック ボックスをオンにします。
  6. [OK] をクリックします。

Windows Server 2003 より前のクライアントで DNS 動的更新を有効にする

Windows Server 2003 ベースの DHCP サーバーでは、自分自身で動的更新を実行できない Windows Server 2003 より前のバージョンのクライアントの DNS レコードを動的に更新できます。

DHCP サーバーによってクライアントの DNS レコードが動的に更新されるようにするには、以下の手順を実行します。
  1. DHCP 管理コンソールで、DNS の更新を許可するスコープまたは DHCP サーバーをクリックします。
  2. [操作] メニューの [プロパティ] をクリックして、[DNS] タブをクリックします。
  3. [以下の設定に基づいて、DNS 動的更新を有効にする] チェック ボックスをオンにします。
  4. クライアントの DHCP 要求の種類に応じてクライアントの DNS レコードを更新するには、[DHCP クライアントから要求があったときにのみ DNS の A および PTR レコードを動的に更新する] チェック ボックスをオンにします (この更新はクライアントから要求された場合にのみ行われます)。
  5. クライアントの前方参照レコードおよび逆引き参照レコードを常に更新するには、[DNS の A および PTR レコードを常に動的に更新する] チェック ボックスをオンにします。
  6. DHCP リースの期限が切れ、更新されない場合に、DHCP サーバーでクライアントのレコードを削除するには、[リースが削除されたときに、A および PTR レコードを廃棄する] チェック ボックスをオンにします。

DNS 動的更新を無効にする

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

デフォルトでは、動的更新は Windows Server 2003 ベースのクライアント上で構成されます。すべてのネットワーク インターフェイスの動的更新を無効にするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. DisableDynamicUpdate と入力し、Enter キーを 2 回押します。
  5. [DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに 1 と入力し、[OK] をクリックします。
  6. レジストリ エディタを終了します。
特定のインターフェイスの動的更新を無効にするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
    : interface は、動的更新を無効にするインターフェイスのネットワーク アダプタのデバイス ID です。
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. DisableDynamicUpdate と入力し、Enter キーを 2 回押します。
  5. [DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに 1 と入力し、[OK] をクリックします。
  6. レジストリ エディタを終了します。
先頭へ戻る | フィードバック

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 816592
(http://support.microsoft.com/kb/816592/EN-US/ )
(最終更新日 2005-04-14) を基に作成したものです。
先頭へ戻る | フィードバック

プロパティ

文書番号: 816592 - 最終更新日: 2005年8月29日 - リビジョン: 7.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
キーワード:?
kbhowtomaster KB816592
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る