Windows Server での DNS クライアント設定のベスト プラクティス

この記事では、ドメイン ネーム システム (DNS) クライアント設定の構成に関するベスト プラクティスについて説明します。 この記事の推奨事項は、以前に定義された DNS インフラストラクチャがない、サポートされている Windows Server 環境をインストールするためのものです。

元の KB 番号: 825036

DNS がインストールされているドメイン コントローラー

DNS サーバーとしても機能するドメイン コントローラーでは、次の仕様に従ってドメイン コントローラーの DNS クライアント設定を構成することをお勧めします。

  • サーバーがドメインにインストールする最初の唯一のドメイン コントローラーであり、サーバーが DNS を実行する場合は、その最初のサーバーの IP アドレスを指すように DNS クライアント設定を構成します。 たとえば、それ自体を指す DNS クライアント設定を構成する必要があります。 そのドメインに DNS をホストする別のドメイン コントローラーが存在するまで、他の DNS サーバーを一覧表示しないでください。

  • DCPromo プロセス中に、ドメインとサイトで DNS を実行しており、新しいドメイン コントローラーがインストールされているドメインの名前空間をホストする別のドメイン コントローラーを指すように、追加のドメイン コントローラーを構成する必要があります。 または、サードパーティの DNS を使用して、その DC の Active Directory ドメインのゾーンをホストする DNS サーバーに対して使用する場合。 受信と送信の両方の Active Directory レプリケーションが機能し、最新の状態であることを確認するまで、名前解決に独自の DNS サービスを利用するようにドメイン コントローラーを構成しないでください。 そうしないと、DNS "Islands" が発生する可能性があります。
    関連トピックの詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

    ドメイン コントローラーが ドメインのそれ自体 _msdcs.ForestDnsName を指している場合、DNS サーバーがアイランドになる275278

  • レプリケーションが正常に完了したことを確認したら、環境の要件に応じて、2 つの方法のいずれかで各ドメイン コントローラーに DNS を構成できます。 構成オプションは次のとおりです。

    • 各ドメイン コントローラーの TCP/IP プロパティで優先 DNS サーバーを構成し、それ自体をプライマリ DNS サーバーとして使用します。
      • 利点: ドメイン コントローラーから発信される DNS クエリが、可能であればローカルで解決されるようにします。 ドメイン コントローラーの DNS クエリがネットワークに与える影響を最小限に抑えます。
      • 欠点: DNS ゾーンが最新の状態になるように Active Directory レプリケーションに依存します。 レプリケーションの失敗が長い場合、ゾーン内のエントリのセットが不完全になる可能性があります。
    • 一元化された DNS サーバーを優先 DNS サーバーとして使用するように、すべてのドメイン コントローラーを構成します。
      • 利点:
        • ドメイン コントローラー ロケーター レコードの DNS ゾーン更新に対する Active Directory レプリケーションへの依存を最小限に抑えます。 これには、レプリケーションのラグ タイムは問題ではないので、新規または更新されたドメイン コントローラー ロケーター レコードの迅速な検出が含まれます。
        • 単一の権限のある DNS サーバーを提供します。これは、Active Directory レプリケーションの問題のトラブルシューティングに役立つ可能性があります
      • 欠点:
        • ドメイン コントローラーから発生する DNS クエリを解決するために、ネットワークをより頻繁に使用します
        • DNS の名前解決は、ネットワークの安定性に依存する場合があります。 優先 DNS サーバーへの接続が失われると、ドメイン コントローラーからの DNS クエリの解決に失敗します。 ネットワーク セグメントが失われていない場所であっても、接続が明らかに失われる可能性があります。
  • リモート DNS サーバーを優先 DNS サーバーとして設定し、ローカル ドメイン コントローラーを代替 (またはその逆) に設定すると、2 つの戦略の組み合わせが可能です。 この戦略には多くの利点がありますが、この構成を変更する前に考慮する必要がある要素があります。

    • DNS クライアントは、各クエリの TCP/IP 構成に記載されている各 DNS サーバーを利用しません。 既定では、起動時に DNS クライアントは優先 DNS サーバー エントリでサーバーの使用を試みます。 このサーバーが何らかの理由で応答できない場合、DNS クライアントは代替 DNS サーバー エントリに一覧表示されているサーバーに切り替わります。 DNS クライアントは、次のまでこの代替 DNS サーバーを引き続き使用します。
      • DNS クエリへの応答に失敗するか、または次の手順を実行します。
      • ServerPriorityTimeLimit 値に達しました (既定では 15 分)。

注:

応答に失敗した場合にのみ、DNS クライアントは優先 DNS サーバーを切り替えます。が正しくない応答を受信しても、DNS クライアントが別のサーバーを試すことはありません。 その結果、ドメイン コントローラー自体と別の DNS サーバーを優先サーバーと代替サーバーとして構成すると、応答を確実に受信できますが、その応答の正確性は保証されません。 いずれかのサーバーで DNS レコードの更新エラーが発生すると、名前解決エクスペリエンスが一貫性がない可能性があります。

  • インターネット サービス プロバイダー (ISP) の DNS サーバーを指す DNS クライアント設定をドメイン コントローラーで構成しないでください。 ISP の DNS サーバーを指す DNS クライアント設定を構成した場合、ドメイン コントローラー上の Netlogon サービスは Active Directory ディレクトリ サービスの正しいレコードを登録しません。 これらのレコードを使用すると、他のドメイン コントローラーとコンピューターで Active Directory 関連の情報を検索できます。 ドメイン コントローラーは、そのレコードを独自の DNS サーバーに登録する必要があります。

外部 DNS 要求を転送するには、ISP の DNS サーバーを DNS フォワーダーとして DNS 管理コンソールに追加します。 フォワーダーを構成しない場合は、既定のルート ヒント サーバーを使用します。 どちらの場合も、内部 DNS サーバーをインターネット DNS サーバーに転送する場合は、ルート "" も削除する必要があります。DNS 管理コンソールの [前方参照ゾーン] フォルダー内の ("dot") ゾーン。

  • DNS をホストするドメイン コントローラーに複数のネットワーク アダプターがインストールされている場合は、DNS 名登録用に 1 つのアダプターを無効にする必要があります。

このような状況で DNS を正しく構成する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

DNS または WINS も実行するルーティングおよびリモート アクセス サーバーでの名前解決と接続の問題を292822する

ドメイン コントローラーの DNS クライアント設定を確認するには、コマンド プロンプトで次のコマンドを入力して、インターネット プロトコル (IP) 構成の詳細を表示します。 ipconfig /all
ドメイン コントローラーの DNS クライアント構成を変更するには、次の手順に従います。

  1. [マイ ネットワーク Places] を右クリックし、[プロパティ] を選択します

  2. [ローカル エリア接続] を右クリックし、[プロパティ] を選択します。

  3. [ インターネット プロトコル (TCP/IP)] を選択し、[ プロパティ] を選択します。

  4. [ 詳細設定] を選択し、[ DNS ] タブを選択します。DNS 情報を構成するには、次の手順に従います。

    1. [ DNS サーバー アドレス] の [使用順 ] ボックスに、推奨される DNS サーバー アドレスを追加します。
    2. [ 修飾されていない名前の解決の場合 ] 設定が [これらの DNS サフィックスを追加する ] に設定されている場合は、最初に (上部に) Active Directory DNS ドメイン名を一覧表示することをお勧めします。
    3. この接続設定の DNS サフィックスが Active Directory ドメイン名と同じであることを確認します。
    4. [DNS チェック にこの接続のアドレスを登録する] ボックスが選択されていることを確認します。
    5. [OK] を 3 回選択します。
  5. DNS クライアント設定を変更する場合は、DNS リゾルバー キャッシュをクリアし、DNS リソース レコードを登録する必要があります。 DNS リゾルバー キャッシュをクリアするには、コマンド プロンプトで次のコマンドを入力します。 ipconfig /flushdns
    DNS リソース レコードを登録するには、コマンド プロンプトで次のコマンドを入力します。 ipconfig /registerdns

  6. DNS データベースで DNS レコードが正しいことを確認するには、DNS 管理コンソールを開始します。 コンピューター名のホスト レコードが必要です。 (このホスト レコードは、詳細ビューの "A" レコードです)。また、ドメイン コントローラーを指す機関の開始 (SOA) レコードとネーム サーバー (NS) レコードも必要です。

DNS がインストールされていないドメイン コントローラー

Active Directory 統合 DNS を使用せず、DNS がインストールされていないドメイン コントローラーがある場合は、次の仕様に従って DNS クライアント設定を構成することをお勧めします。

  • ドメイン コントローラーで DNS クライアント設定を構成して、コンピューターがメンバーであるドメインに対応するゾーンに対して権限を持つ DNS サーバーを指します。 ワイド エリア ネットワーク (WAN) トラフィックに関する考慮事項があるため、ローカルプライマリおよびセカンダリ DNS サーバーが推奨されます。
  • 使用可能なローカル DNS サーバーがない場合は、信頼できる WAN リンクによって到達可能な DNS サーバーをポイントします。 アップタイムと帯域幅によって信頼性が決まります。
  • ISP の DNS サーバーを指す DNS クライアント設定をドメイン コントローラーで構成しないでください。 代わりに、内部 DNS サーバーは ISP の DNS サーバーに転送して外部名を解決する必要があります。

Windows Server メンバー サーバー

Windows Server メンバー サーバーでは、次の仕様に従って DNS クライアント設定を構成することをお勧めします。

  • コンピューターの Active Directory ドメインの DNS ゾーンをホストするローカルプライマリおよびセカンダリ DNS サーバー (ローカル DNS サーバーが使用可能な場合) を指すプライマリおよびセカンダリ DNS クライアント設定を構成します。
  • 使用可能なローカル DNS サーバーがない場合は、信頼できる WAN リンクを介してアクセスできるそのコンピューターの Active Directory ドメインの DNS サーバーをポイントします。 アップタイムと帯域幅によって信頼性が決まります。
  • ISP の DNS サーバーを指すクライアント DNS 設定を構成しないでください。 その場合、Windows Server ベースのサーバーをドメインに参加させる場合や、そのコンピューターからドメインにログオンしようとすると、問題が発生する可能性があります。 代わりに、内部 DNS サーバーは、外部名を解決するために ISP の DNS サーバーへの転送を構成する必要があります。

Windows Server 非メンバー サーバー

  • ドメインの一部として構成されていないサーバーがある場合でも、Active Directory 統合 DNS サーバーをプライマリおよびセカンダリ DNS サーバーとして使用するように構成できます。 環境内に Active Directory 統合 DNS を使用するメンバー以外のサーバーがある場合、セキュリティで保護された更新のみを受け入れるように構成されているゾーンに DNS レコードを動的に登録しません。
  • Active Directory 統合 DNS を使用せず、内部 DNS 解決と外部 DNS 解決の両方に非メンバー サーバーを構成する場合は、インターネットに転送する内部 DNS サーバーを指す DNS クライアント設定を構成します。
  • インターネット DNS の名前解決のみが必要な場合は、ISP の DNS サーバーを指す非メンバー サーバーの DNS クライアント設定を構成できます。