Windows Server 2003 DNS 用の新しいグループ ポリシー

概要

Windows Server 2003 では、DNS クライアントを構成するグループ ポリシーを導入することで一元的な DNS 管理の問題を解決します。たとえば、以下のパラメーターは、Windows Server 2003 で利用できます。
  • 有効にするか、クライアントが DNS レコードの動的登録を無効にします。
  • クライアントの DNS サフィックスの検索一覧を構成します。
  • 名前解決の処理中のプライマリ DNS サフィックスのデボルブ
  • DNS サフィックス検索一覧
これらのグループ ポリシーは、Microsoft Windows 2000 または Windows XP オペレーティング システムを実行しているコンピューター上の DNS クライアントに適用できます。Windows Server 2003 を実行している他のサーバーにグループ ポリシーを適用するには、プライマリ サーバーから、グループ ポリシーをエクスポートし、Windows Server 2003 を実行している他のサーバーでそれらをインポートする必要があります。

エクスポートし、Windows Server 2008 のグループ ポリシー管理コンソールを使用してグループ ポリシーをインポートする方法の詳細については、次のマイクロソフト TechNet Web サイトに GPO 操作のホワイト ペーパーを参照してください。

詳細

これらのグループ ポリシーは、次の場所には。
コンピューターの構成/管理用テンプレート/ネットワーク/DNS クライアント
常に、グループ ポリシーは、ローカルの構成と、DHCP 構成よりも優先されます。この規則の唯一の例外は、動的 DNS 登録を無効にするのには、次のレジストリ キーの下、REG_DWORD 値DoNotUseGroupPolicyForDisableDynamicUpdateが有効になっているかどうかです。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
0x1に設定されているこの値が存在する場合、サービス使用しないようにして、グループ ポリシーの値です。代わりにローカルに設定された値が使用されます。DoNotUseGroupPolicyForDisableDynamicUpdateは、存在しないか、 0x0に設定されて、サービスはグループ ポリシーで指定されている値を使用する必要があります。

ポリシーの説明

クライアント、およびポリシーの有効な値に変更されるレジストリ キーとレジストリ キー設定の機能について説明します。これらの値が格納されているクライアントは、次のレジストリ キー。
HKEY_LOCAL_MACHINE\Software\Polices\Microsoft\Windows NT\DNSClient

プライャ笠 DNS サフィックス

この設定は、影響を受けるすべてのコンピューターのプライマリ DNS サフィックスを指定します。プライマリ DNS サフィックスは、DNS 名の登録と DNS 名前解決に使用されます。この設定は、コンピューター、グループのプライマリ DNS サフィックスを指定し、ように、それを変更する管理者を含みます。


この設定が無効または構成されていない場合、各コンピューターは、ローカル プライマリ DNS サフィックスが参加している Active Directory ドメインの DNS 名は、通常を使用します。ただし、管理者ツールを使用、システム コントロール パネルの [コンピューターのプライマリ DNS サフィックスを変更します。

この設定を使用するには、全体に (たとえば、 microsoft.com) で提供されているテキスト ボックスに指定するプライマリ DNS サフィックスを入力します。この設定はDNS サフィックスを無効にしないと
コンピューターのプライマリ DNS サフィックスを変更するのには管理者が使用するNetBIOS コンピューター名] ダイアログ ボックスです。ただし、管理者がサフィックスを入力する場合は、そのサフィックスはこの設定が有効になっているときに無視されます。


重要: を適用するには、この設定を変更、設定の影響を受けるすべてのコンピューターで Windows Server を再起動する必要があります。

ヒント: ポリシーを設定せず、コンピューターのプライマリ DNS サフィックスを変更するのにはコントロール パネルの [システム] をクリックして、[ネットワーク Id ] タブをクリックしてプロパティ] をクリックして、詳細] をクリックし、[このコンピューターのプライマリ DNS サフィックス] ボックスにサフィックスを入力します。

動的更新

この設定は、動的更新が有効になっているかどうかを決定します。動的更新を自動的に構成されているコンピューターでは、登録し、DNS サーバーと DNS リソース レコードを更新します。

この設定を有効にした場合にこの設定が適用されているコンピューターが各ネットワーク接続の構成によって、ネットワーク接続ごとに動的 DNS 登録を使用します。動的 DNS 登録を特定のネットワーク接続で有効にするためには、コンピューターと接続固有の構成で動的 DNS 登録を許可しなければなりません。


動的更新設定は、動的 DNS 登録を制御するコンピューターに固有のプロパティを制御します。この設定を有効にした場合、各ネットワーク接続に対して個別に設定する動的な更新ができます。この設定を無効にした場合にこの設定が適用されているコンピューターは使用できません動的 DNS 登録の個々 のネットワーク接続の構成には、そのネットワーク接続のいずれか。この設定が構成されていない場合しは適用されず、すべてのコンピューターと、コンピューターがローカルの構成を使用します。

このポリシーは 2 つの値を持つ場合があります: 0x00x1です。(動的更新を有効にする) を有効にするに、ポリシーが設定されている場合、値は0x1に設定します。無効にするポリシーが設定されている場合、値は0x0に設定します。

DNS サフィックス検索一覧

その名前の DNS クエリを送信する前に、非修飾単一ラベル名に添付する DNS サフィックスを使用するどのを決定します。非修飾単一ラベル名には、「例」などの点にはが含まれていません。この名前とは異なる完全修飾ドメイン名 (FQDN) などの非修飾します。

この設定が有効なユーザーは、「例」、ローカル DNS クライアントは、"microsoft.com"などサフィックスをアタッチなど、単一ラベル名のクエリを送信するときです。その結果、クエリは、DNS サーバーにクエリが送信される前に、非修飾に変更されます。


DNS サフィックス検索一覧の設定を有効にした場合、非修飾単一ラベル名のクエリを送信する前に添付する DNS サフィックスを指定できます。クエリのコンマ区切りの文字列を使用してこの設定で DNS サフィックスの値を設定する可能性があります。クエリを送信するごとに 1 つの DNS サフィックスが接続されています。クエリが失敗した場合は、サフィックス、DNS サフィックスを追加し、このようなクエリが送信されます。値は、左側の値から始まると、右には、文字列に表示される順序で使用されます。

この設定を有効にした場合に、少なくとも 1 つのサフィックスを指定してください。この設定を無効にした場合、プライマリ DNS サフィックスとネットワーク接続固有の DNS サフィックスが追加されます非修飾クエリに。この設定が構成されていない場合はどのコンピューターにも適用されずと、コンピューターがローカルの構成を使用します。DNS サフィックスのコンマで区切られた文字列には、このポリシーの値を設定できます。ポリシーが有効になっている場合は、1 つ以上の DNS サフィックスが指定されている必要があります。

DNS サフィックスのコンマで区切られた文字列には、このポリシーの値を設定できます。DNS サフィックスをコンマ区切りの間にスペースを使わないでください。スペースを追加する場合は、最初の DNS サフィックスのみが適用されます。

プライャ笠 DNS サフィックスのデボルブ

この設定は、名前解決の処理中に DNS クライアントがプライマリ DNS サフィックスのデボルブを実行するかどうかを決定します。ユーザーは、「使用例」など、単一ラベル名クエリを送信するローカルの DNS クライアントは、"microsoft.com"などのサフィックスを付加します。その結果、クエリは、DNS サーバーにクエリが送信される前に、非修飾に変更されます。

DNS サフィックス検索一覧が指定されていない場合、DNS のクライアントの接続のプライマリ DNS サフィックスを単一ラベル名では、し、新しいクエリの接続固有の DNS サフィックスが接続されている場合、このクエリが失敗すると、します。解決されなかった場合のこれらのクエリは、クライアントが (左のラベルのプライマリ DNS サフィックスを削除)、コンピューターのプライマリ DNS サフィックスをデボルブし、このデボルブ後のプライマリ DNS サフィックスを単一ラベル名の後に接続し、DNS サーバーに新しいクエリを送信し、します。

たとえば、プライマリ DNS サフィックス"ooo.aaa.microsoft.com"がの点ではない終了の単一ラベル名の「例」に接続されている example.ooo.aaa.reskit.com の DNS クエリが失敗した場合は、DNS クライアントはデボルブ プライマリ DNS サフィックス (左のラベルを削除する)、example.aaa.microsoft.com のクエリを送信してします。このクエリが失敗した場合、プライマリ DNS サフィックスがさらに継承されたし、非修飾クエリを送信します。このクエリが失敗したかどうかは、譲渡が解決しないし、非修飾クエリが送信されます。DNS サフィックスが 2 つのラベルを持つために、プライマリ DNS サフィックスはさらに継承されたいない"microsoft.com"です。プライマリ DNS サフィックス デボルブされなくなりますより小さい 2 つのラベルにします。

この設定が有効の場合、この設定を適用するコンピューター上の DNS クライアントは、解決する単一ラベル名とデボルブされたプライマリ DNS サフィックスの連結である名前を解決するのに試みます。この設定を無効にした場合この設定を適用するコンピューター上の DNS クライアントしようとしないで、解決する単一ラベル名とデボルブされたプライマリ DNS サフィックスの連結である名前を解決します。この設定が構成されていない場合はどのコンピューターにも適用されず、コンピューターは、ローカルの構成を使用します。このポリシーは 2 つの値を持つ場合があります: 0x00x1です。ポリシーは、有効にする("退化"を有効にする) に設定されている場合、値は0x1に設定します。無効にするポリシーが設定されている場合、値は0x0に設定します。

PTR レコードを登録します。

この設定は、このポリシーを適用するコンピューターの PTR リソース レコードの登録が有効になっているかどうかを決定します。既定では、動的 DNS 登録を実行するように構成されている DNS クライアントは、対応する A リソース レコードが正しく登録された場合にのみに PTR リソース レコードの登録を試みます。A リソース レコードは、ホストの IP アドレスをホスト DNS 名をマップし、PTR リソース レコードは、ホストの IP アドレスをホスト DNS 名にマップします。

このポリシーを有効にするには、を有効にする] をクリックし、次の値のいずれかをクリックします。
  • 登録しない: この値を使用して、コンピューターが PTR リソース レコードの登録をしないでください。
  • 登録: この値を使用する場合、コンピューターは A レコードの登録の成功に関係なく PTR リソース レコードの登録を試みます。
  • レコードの登録が成功した場合にのみ登録: 対応する a リソース レコードが正しく登録された場合にのみこの値を使用すると、コンピューターは PTR リソース レコードの登録を試みます。
このポリシーが構成されていない場合は、すべてのコンピューターには適用されずしコンピューターがローカルの構成を使用します。このポリシーは 2 つの値を持つ場合があります: 0x00x1です。ポリシーは、有効にする(PTR レコードの登録を有効にする) に設定されている場合、値は0x1に設定します。無効にするポリシーが設定されている場合、値は0x0に設定します。

登録の更新間隔

A の登録の更新間隔を指定し、この設定を適用するコンピューターの PTR リソース レコード。この設定は、動的な更新のみを使用してコンピューターに適用可能性があります。コンピューターが Windows 2000 (およびそれ以降のバージョン) を実行していると、A の動的 DNS 登録を実行するように設定する、PTR レコードは、レコードのデータが変更されていない場合でも定期的にレコードを DNS サーバーを登録しています。この登録手順が自動的に削除するように構成された DNS サーバーを示すために必要な (清掃) 古いレコードをこれらのレコードは現在、データベースに保持する必要があります。

警告: DNS リソース レコードが、清掃機能が有効になっているゾーンに登録されている場合この設定の値はならないこれらのゾーン用に構成されている更新間隔よりも長くなります。登録の更新間隔を DNS ゾーンの更新間隔よりも長い値に設定すると、いくつかの A および PTR のリソースは自動的に削除を記録します。

登録の更新間隔を指定するにを有効にする] をクリックし、1800 よりも大きい値を入力します。この指定では、登録の更新間隔 (秒)、たとえば、1800 秒は 30 分に注意してください。

この設定が構成されていない場合は、すべてのコンピューターには適用されずしコンピューターがローカルの構成を使用します。このポリシーでは、1,800 秒以上の任意の値があります。

競合するアドレスを置き換える

A リソース レコードを登録しようとする DNS クライアントが既存の競合する IP アドレスを含むリソース レコードを上書きするかどうかを決定します。この設定がリソースを登録するコンピューター用に設計されたセキュリティで保護されたの動的更新をサポートしていない DNS ゾーン内のレコード。動的更新をセキュリティで保護されたリソース レコードの所有権を保持し、DNS クライアントが他のコンピューターによって登録されたレコードを上書きすることはできません。

動的更新をセキュリティで保護されたを使用していないゾーンの動的更新は、時に、DNS クライアントが、既存の a リソース レコードが別のコンピューターの IP アドレスを持つクライアントのホスト DNS 名と関連付けられていることを発見することがあります。デフォルトの構成、DNS クライアントが既存のクライアントの IP アドレスと DNS 名を関連付ける A リソース レコードのリソース レコードを置き換えようとします。

交換アドレスの競合の設定を有効にすると、DNS クライアントは a リソース レコードの動的更新中に競合を置換しようとします。この設定を無効にした場合、DNS クライアントを実行します、a リソース レコードの動的更新ですがリソースを更新するレコードの競合が含まれている場合、DNS クライアントと、この失敗し、イベント ビューアーのログにエラー メッセージが記録されます。この設定が構成されていない場合はどのコンピューターにも適用されずと、コンピューターがローカルの構成を使用します。

このポリシーは 2 つの値を持つ場合があります: 0x00x1です。(たとえば、競合している A レコードを上書きする)を有効にするポリシーが設定されている場合、値は0x1に設定します。無効にするポリシーが設定されている場合、値は0x0に設定します。

DNS サーバー

この設定は、コンピューターが名前を解決しようとするとクエリを送信する DNS サーバーを定義します。

警告: この設定で定義されている DNS サーバーの一覧では、ローカルで構成されている DNS サーバーや DHCP を使用して構成されているものよりも優先されます。DNS サーバーの一覧は、この設定を適用するマルチホーム コンピューターのすべてのネットワーク接続に適用されます。


この設定を使用するには、を有効にする] をクリックし、利用可能なボックスに IP アドレス (ドット形式 10 進表記) のスペースで区切られたリストを入力します。この設定を有効にした場合は、少なくとも 1 つの IP アドレスを入力してください。

この設定が構成されていない場合しは適用されず、コンピューターと、コンピューターは、ローカルまたは DHCP 構成のパラメーターを使用します。有効な値は、ドット区切りの 10 進 IP アドレスのスペースで区切られた一覧です。一覧には、少なくとも 1 つの IP アドレスを含める必要があります。

接続固有の DNS サフィックス

この設定は、接続固有の DNS サフィックスを指定します。この設定にするためにコンピューターに設定されている接続固有の DNS サフィックスよりも優先されますこの設定を適用する、ローカルで構成されていると、DHCP を使用して構成されます。

警告: この設定で指定されている接続固有の DNS サフィックスがこの設定を適用するマルチホーム コンピューターで使用されるすべてのネットワーク接続に適用します。

この設定を使用するには、を有効にする] をクリックし、利用可能なボックスに DNS サフィックスを表す文字列値を入力します。この設定が構成されていない場合はどのコンピューターにも適用されず、コンピューターは、ローカルのまたは DHCP 構成のパラメーターを使用します。有効な値: 文字の文字列である接続固有の DNS サフィックスです。

接続固有の DNS サフィックスと DNS レコードを登録します。

この設定は、動的登録を実行しているコンピューターが、コンピューター名とコンピューター名とプライマリ DNS サフィックスの連結を持つこれらのレコードを登録するだけでなく、接続固有の DNS サフィックスの連結を持つ A レコードと PTR リソース レコードを登録可能性があるかどうかを決定します。

警告: このグループの設定を有効にすると、マルチホームのコンピューターのこの設定を適用するすべてのネットワーク接続に適用されます。


既定で動的 DNS 登録を実行している DNS クライアントは、コンピューター名とプライマリ DNS サフィックスの連結を持つ A レコードと PTR リソース レコードを登録します。たとえば、コンピューター名など、「マイ コンピューター」、および"microsoft.com"など、プライマリ DNS サフィックスの連結は、"mycomputer.microsoft.com"になります。

この設定を有効にした場合、コンピューターは、プライマリ DNS サフィックスを持つ A レコードと PTR リソース レコードを登録するだけでなく、接続固有の DNS サフィックスを持つ A レコードと PTR リソース レコードを登録します。たとえば、"mycomputer"コンピューター名を連結したものと、接続固有の DNS サフィックスを"VPNconnection"の使用時の A および PTR リソース レコードを登録すると、その結果、名前は、[マイ コンピューターします。VPNconnection"です。この設定を適用する、コンピューター上で動的 DNS 登録が無効になっている場合、ここでの設定に関係なく、コンピューターは行われませんの動的 DNS の登録および PTR レコードを含む、コンピューター名と接続固有の DNS サフィックスを連結したものです。この設定を適用して、この設定に関係なく、コンピューターの特定のネットワーク接続で動的 DNS 登録を無効にした場合、コンピューター A の動的 DNS 登録を行いません、コンピューター名と接続固有の DNS を連結したものを含む PTR レコードがそのネットワーク接続のサフィックスです。

この設定を無効にした場合、DNS クライアントはその接続固有の DNS サフィックスを持つ A レコードと PTR リソース レコードを登録しません。この設定が構成されていない場合はどのコンピューターにも適用されずと、コンピューターがローカルの構成を使用します。

(たとえば、接続固有の DNS サフィックスを持つ名前を登録する)を有効にするポリシーが設定されている場合、値は0x1に設定します。無効にするポリシーが設定されている場合、値は 0x0 に設定します。

A および PTR レコードの TTL の設定

この設定では、A の有効期限 (TTL) フィールドの値を指定し、PTR リソース レコードは、この設定を適用するコンピューターによって登録されます。

TTL を指定するには、有効にする] をクリックし、秒単位で値を入力 (たとえば、値 900 は 15 分) です。
  • 最小値: 0
  • 最大値: 4294966296
  • 既定値: 600
この設定が構成されていない場合、任意のコンピューターには適用されません。

セキュリティ レベルを更新します。

この設定は、この設定を適用するコンピューターが DNS レコードの登録、保護された動的更新または標準の動的更新を使用するかどうかを指定します。

注: このクライアント側の設定は、権限のある DNS サーバー上の設定に依存しません。ただし、この設定は、クライアントの非セキュリティ保護およびセキュリティで保護された更新プログラムに設定されている Active Directory のゾーン レコードを登録する場合にのみ必要があります。

この設定を有効にするには、を有効にする] をクリックし、次の値のいずれかをクリックします。
  • セキュリティで保護された後にセキュリティなし:このオプションを選択した場合、コンピューターは、非セキュリティ保護の動的更新が拒否された場合にのみセキュリティで保護されたの動的更新を送信します。
  • セキュリティなしのみ: このオプションを選択すると場合、コンピューターは保護されていない動的更新のみを送信
  • セキュリティ付きのみ: このオプションを選択する場合、コンピューターはセキュリティで保護されたダイナミック更新のみを送信
更新プログラムのセキュリティ レベルを設定しない場合はどのコンピューターにも適用されず、コンピューターは、ローカルの構成を使用します。
  • OnlySecure: 256
  • OnlyUnsecure: 16
  • UnsecureFollowedBySecure: 0

トップ レベルのドメイン ゾーンを更新

この設定は、このポリシーの適用先のコンピューターが単一ラベル名、トップ レベルのドメイン ゾーンとも呼ばれ、たとえば"com"という名前のゾーンに動的更新を送信可能性があるかどうかを指定します。

既定では、動的 DNS 更新を実行するように構成されている DNS クライアントが権限のあるゾーンがトップでない限り、DNS リソース レコードに対して権限のある DNS ゾーンに動的更新を送信レベルのドメインでルート ゾーンです。


このポリシーが有効な場合、このポリシーを適用するコンピューター動的更新を送信すべてのゾーンにコンピューターを更新するにはルート ゾーンは除く必要があるリソース レコードに対して権限を持つ。

このポリシーを無効にした場合は、このポリシーを適用するコンピューター更新を送信しません動的ルートまたは最上位レベルのドメイン ゾーンにコンピューターは、更新が必要なリソース レコードに対して権限を持つ。

このポリシーが構成されていない場合は、すべてのコンピューターには適用されずしコンピューターがローカルの構成を使用します。

このポリシーは 2 つの値を持つ場合があります: 0x00x1です。有効にするポリシーが設定されている場合、値は0x1に設定します。無効にするポリシーが設定されている場合、値は0x0に設定します。
プロパティ

文書番号:294785 - 最終更新日: 2017/02/01 - リビジョン: 2

フィードバック