既存の DNS 名前空間への Windows DNS の統合

この記事では、Active Directory ドメインの名前を持つゾーンに対して権限のある DNS サーバーが RFC 2136 (動的更新) をサポートしていない DNS 名前空間が既に実装されているorganizationに Windows DNS を統合する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 255913

概要

Windows ドメイン ネーム システム (DNS) の 1 つの機能は、動的ホスト更新プログラムのサポートです (RFC 2136 に記載されています)。 この機能を利用するために、Windows DNS は、他の DNS サーバーを持たない環境や、動的でない DNS サーバーが既に実装されている環境 (BIND 4.9.7 以前など) に展開できます。 BIND サーバーが既に実装されている環境に Windows DNS をデプロイする場合、いくつかの統合オプションがあります。

• 動的でない権限のある DNS サーバーから Windows DNS を実行しているサーバーにゾーンを移行します。
• 親 DNS ドメインの下で子 DNS ドメインを委任します。 ゾーンのルートと同じ名前を持たない Active Directory ドメイン名の場合は、サブドメインを Windows DNS に委任します。 たとえば、Active Directory ドメインの名前が で dev.reskit.com 、この名前を含むゾーンが である場合は、 reskit.comDNS を実行している Windows ベースのサーバーに委任 dev.reskit.com します。
• ドメイン コントローラー (DC) ロケーター レコード (SRV レコード) によって使用される各サブドメインを Windows ベースのサーバーに委任します。 これらのサブドメインは、_msdcs.reskit.com、、_sites.reskit.com_tcp.reskit.com、および _udp.reskit.comです。 このオプションは、 reskit.comゾーンのルートの名前 (たとえば reskit.com) と同じ Active Directory ドメイン名 (たとえば) を DNS を実行している Windows ベースのサーバーに直接委任できない場合に使用されます。 必要に応じて、クライアントは と呼ばれる Active Directory ドメインのメンバーである場合がありますが、 というreskit.comdynamic.reskit.com名前の DNS ゾーンに登録できます。

この記事では、上記の 4 番目のオプションについて説明します。Windows DNS を、Active Directory ドメインの名前を持つゾーンに対して権限を持つ DNS サーバーが RFC 2136 (動的更新) をサポートしていない DNS 名前空間が既に実装されているorganizationに統合する方法について説明します。 この記事では、Active Directory ドメインの名前を持つゾーンに対して権限のある DNS サーバーが動的 DNS 更新をサポートしていない場合に、ドメイン メンバーが Active Directory ドメインの名前とは異なるプライマリ DNS サフィックスを使用して、Windows ベースのコンピューターによる DNS レコードの動的登録を許可するシナリオについても説明します。

詳細

非動的 DNS サーバーに基づいて Windows DNS を既存の名前空間に統合するには、ロケーター レコード (SRV レコード) で使用されるサブドメインを委任して、動的更新 (RFC 2136 に従って) を使用できるようにします。 次の手順を実行します。

1. Active Directory ドメインの名前を持つゾーンに対して権限がある非動的 DNS サーバーで、DNS を実行している Windows 2000 ベースのサーバーに次のゾーンを委任します。

   _Udp。 DNSDomainName
   _Tcp。 DNSDomainName
   _サイト。 DNSDomainName
   _msdcs。 DNSDomainName

   たとえば、ルート ゾーンが、デリゲート_sites.reskit.com_udp.reskit.com_tcp.reskit.com、および _msdcs.reskit.com Windows ベースのサーバーに呼び出reskit.comされる場合です。

   さらに 2 つのサブドメインも委任する必要があります。

   ForestDnsZones。 ForestDNSName
   DomainDnsZones。 DNSDomainName

2. Windows ベースのサーバーで、手順 1 で委任された前方ゾーンを作成し、動的更新のゾーンを有効にします。

   新しいゾーンを作成するには:

   1. Windows サーバーで DNS マネージャーを起動します。

   2. DNS マネージャー内で適切な DNS サーバーを展開します。

   3. [前方参照ゾーン] フォルダーを右クリックし、[新しいゾーン] をクリックします。

   4. 新しいゾーン ウィザードが起動したら、[次へ] をクリックし、[プライマリ ゾーン] を選択し、[Active Directory チェック ボックスにゾーンを保存する] を選択して、[次へ] をクリックします。

   5. AD 統合ゾーンの場合は、ドメインまたはフォレスト内のすべての DNS サーバー、またはドメイン内のすべての DCS (Windows 2000 のオプションのみ) にゾーン データを移動する場所を選択します。

   6. [名前] ボックスにゾーンの名前を入力します。 たとえば、「_msdcs.reskit.com」と入力します。

   7. [次へ] をクリックします。 ウィザードの概要を確認したら、[完了] をクリックします。

   ゾーンが動的更新を受け入れるようにするには:

   1. DNS を実行している Windows サーバー上の DNS マネージャーを使用して、新しいゾーンを右クリックし、[プロパティ] をクリックし、[全般] タブをクリックします。
   2. [動的更新を許可する] ボックスで、[セキュリティで保護された更新のみ (推奨)] または [はい] をクリックします。 [唯一のセキュリティで保護された更新] オプションは、サーバーがドメイン コントローラーに昇格された後にのみ使用できます。 手順 1 で説明した 4 つのゾーンがすべて作成され、動的更新が許可されるまで、このプロセスを繰り返します。 これにより、ドメイン コントローラー ロケーター レコードを DNS に動的に登録および登録解除できます。

3. さらに、単一のゾーンまたは複数のゾーンを作成して、クライアントとサーバーが Windows サーバーに動的に登録できるように構成できます。 たとえば、 というゾーン dynamic.reskit.com を使用して、動的更新を介してネットワーク上のすべてのクライアントとサーバーを登録できます。 このようなゾーンを構成するには:

   1. 親ゾーン (たとえば) に対して権限がある非動的 DNS サーバーで、 reskit.comDNS を実行している Windows ベースのサーバーに新しいゾーンを委任します。 たとえば、 を委任します dynamic.reskit.com。 ゾーンを Windows サーバーに送信します。
   2. Windows サーバーで、上記 (dynamic.reskit.com) で委任されたゾーンの前方参照ゾーンを作成します。
   3. Windows サーバーで、動的更新プログラムのゾーンを有効にします。

4. Windows ドメイン コントローラーが起動すると、Netlogon サービスは権限のあるゾーンに複数の SRV レコードを登録しようとします。 SRV レコードを登録するゾーンは、動的に更新できる Windows サーバーに (手順 1 と 2 で) 委任されているため、これらの登録は成功します。 さらに、DC は、ルート ゾーンの Netlogon.dns ファイルに一覧表示されている A レコードの登録を試みます (例: reskit.com)。 この場合、ルート ゾーンは非動的 DNS サーバー上にあるため、これらの更新は成功しません。 DC のシステム ログに次のイベントが生成されます。

   イベントの種類: 警告
   イベント ソース: NETLOGON
   イベント カテゴリ: なし
   イベント ID: 5773
   Date: <DateTime>
   時刻: <DateTime>
   ユーザー: N/A
   コンピューター: DC
   説明:
   この DC の DNS サーバーでは、動的 DNS はサポートされていません。 ファイル %SystemRoot%\System32\Config\netlogon.dns から、そのファイルで参照されているドメインを提供する DNS サーバーに DNS レコードを追加します。

   この動作を修正するには:

   1. すべての Windows DC には、%SystemRoot%\System32\Config フォルダーに Netlogon.dns ファイルがあります。 このファイルには、Netlogon サービスの開始時に DC が登録を試みる DNS レコードの一覧が含まれています。 次の変更を行う前に、このファイルのコピーを作成して、DC が DNS サーバーに登録しようとする元のレコードの一覧を作成することをお勧めします。 各 DC の各ネットワーク アダプターに固有のレコードであるため、各 DC には異なるレコードがあることに注意してください。 Netlogon.dns ファイルを調べて、ファイル内のすべての A レコードを識別します。 "IN" クラス記述子に続くレコードの種類によって A レコードを識別できます。 たとえば、次の 2 つのエントリは A レコードです。

      reskit.com. 600 IN A 10.10.10.10
      gc._msdcs.reskit.com. 600 IN A 10.10.10.10

      Netlogon.dns ファイル内の A レコードの数は、DC が持つアダプターの数、各アダプターが構成されている IP アドレスの数、および DC の役割によって異なります。 DC レジスタ:

      • ドメインの名前の各 IP アドレスごとに 1 つの A レコード。
      • DC がグローバル カタログ (GC) サーバーでもある場合は、gc._msdcs登録されます。 各 IP アドレスの DnsForestName。

   2. 非動的 DNS サーバーは、A レコードを動的に登録するドメイン コントローラーの試行を受け入れないので、A レコードを権限のある DNS サーバーで手動で構成する必要があります (この記事の例では、ゾーン reskit.comに対して権限のある DNS サーバー)。 ドメインの名前に対応する A レコードの追加 (例: ) は、 reskit.comWindows 展開には必要ありません。SRV DNS レコードをサポートしていないサード パーティの LDAP クライアントが Windows DC を検索している場合にのみ必要になる場合があります。

      Windows サーバーで、手順 A で識別された GC サーバー固有の A レコードを適切なゾーンに作成します。 たとえば、_msdcs.reskit.com ゾーンに GC サーバーの A レコードを作成します。

      ゾーンのルートに対して権限がある非動的 DNS サーバーで、手順 A で識別された非 GC サーバー固有の A レコードのルート ゾーン (たとえば) reskit.comに A レコードを作成します。たとえば、ゾーンに の reskit.com A レコードを reskit.com 作成します。

   3. 次のレジストリ キーを使用して、NETlogon.dns ファイルに表示される A レコードの登録を DC で無効にする必要があります。 REG_DWORD RegisterDnsARecords の値を 0 (ゼロ) に設定します。

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

5. この動作を修正するには、Active Directory フォレストとドメインを配置したら、Active Directory を、DNS を実行している Windows サーバーが担当する DNS ドメインと統合する必要があります。 また、セキュリティで保護された動的更新のみを受け入れるように動的更新プログラムを受け入れるように構成されているゾーンを再構成する必要があります。