Active Directory 展開のための DNS 要件

  • [アーティクル]

この文書は、Windows® 2000 Active Directory サービスを展開する際に DNS (ドメイン ネーム サービス) に必要なリソースが十分であるかどうかを確認するためのチェックリストです。また、dcdiag コマンド ライン ツールを使用して、ここに挙げた構成を満たしているかどうかを自動的に確認することもできます。このツールは https://download.microsoft.com/download/ win2000platform/Update/5.0.2195.2103/NT5/EN-US/dcdiag_setup.exe からダウンロードできます。

トピック

チェックリスト : Active Directory のインストール ウィザードを実行して、新規フォレストに最初のドメイン コントローラを作成する チェックリスト : Active Directory のインストール ウィザードを実行して、新規フォレストに最初のドメイン コントローラを作成する
チェックリスト : Active Directory のインストール ウィザードを実行して既存のフォレストにドメイン コントローラを作成する チェックリスト : Active Directory のインストール ウィザードを実行して既存のフォレストにドメイン コントローラを作成する
よく寄せられる質問 よく寄せられる質問

Active Directory は DNS を "ドメイン コントローラ検索メカニズム" として使用します。これによって、各コンピュータはドメイン コントローラの IP アドレスを見つけることができます。クライアントが特定のドメインまたはフォレスト内のドメイン コントローラを検索するには、DNS に対し、適切なサービス ロケーション (SRV) とアドレス (A) リソース レコードを要求するクエリを発行します。これらの DNS リソース レコードから、ドメイン コントローラの名前と IP アドレスがわかります。

したがって、Active Directory の展開をサポートするための DNS サーバーは SRV レコードをサポートしていることが必要です。また、それに加えて動的更新もサポートしている DNS サーバーの使用を強くお勧めします。ドメイン コントローラは、ドメイン コントローラ 検索メカニズムが正しく動作するために必要な DNS レコードを動的に登録します。

チェックリスト : Active Directory のインストール ウィザードを実行して、新規フォレストに最初のドメイン コントローラを作成する

新規フォレストに最初のドメイン コントローラを作成する際には、以下の確認作業が必要です。

  1. サーバー側の DNS リゾルバの構成を確認する
    サーバーのネットワーク接続の構成で、クエリの送信先となる DNS サーバーが指定されているかどうかチェックします。指定されていない場合は、ネットワーク接続の構成で、1 つ以上の DNS サーバーの IP アドレスを指定してください。ネットワークに DNS サーバーがない場合は、サーバー自身の IP アドレスを DNS サーバーの IP アドレスとして指定します。このとき、DNS サーバーがインストールされていなくてもかまいません。管理者の確認後、Active Directory のインストール ウィザードにより、DNS サーバーのインストールと構成が自動的に行われます。

    ネットワーク接続の構成で、コンピュータがクエリを送る DNS サーバーを指定する手順については、後の「DNS クライアントで優先する DNS サーバーと代替 DNS サーバーを設定するには」を参照してください。

  2. ドメイン コントローラが登録する DNS リソース レコードに対して信頼されている DNS ゾーンで動的更新が可能かどうかを確認する。
    ネットワークに DNS サーバーがない場合は、この確認は不要です。

    DNS サーバーがある場合は、ドメイン コントローラが登録するリソース レコードに対して信頼されている DNS ゾーンを探します。ドメイン コントローラが登録するレコードについての詳細は、 https://technet.microsoft.com/library/bb742582.aspx にあるホワイトペーパー『Windows 2000 DNS』の「Domain Locator」を参照してください。

    ドメイン コントローラが登録するリソース レコードの名前はすべて Active Directory ドメインの DNS 名で終わるため、通常、リソース レコードに対して信頼されている DNS ゾーンの名前は Active Directory ドメインの DNS 名または親 DNS ドメインの 1 つと同じです。

    たとえば、Active Directory ドメイン名が "example.reskit.com." であれば、信頼されているゾーンは "example.reskit.com."、"reskit.com."、"com." のいずれかとなり、ネットワークにプライベート "com." またはルート ゾーンがある場合はルート ゾーンとなります。

SRV および動的更新のサポート

このゾーンをホストする DNS サーバーが SRV リソース レコード (RFC 2782) と動的更新 (RFC 2136) をどちらもサポートし、そのゾーンの動的更新が有効に設定されていることを確認します。Windows 2000 DNS サーバーは、必要な標準をサポートしています。ゾーン構成の確認については、後の「DNS ゾーンの動的更新を有効にするには」を参照してください。

Windows 2000 以外の DNS サーバーの使用
Windows 2000 以外の DNS サーバーを使用している場合は、DNS 管理者または DNS サーバーのベンダに問い合わせ、DNS サーバーが必要な標準をサポートしているかどうか確認してください。DNS サーバーが必要な標準をサポートしていない場合や、ゾーンの動的更新を有効にできない場合は、DNS インフラストラクチャを変更する必要があります。詳細は、Windows 2000 Server リソース キット 6 の『TCP/IP ガイド』第 6 章を参照してください。

既存の DNS インフラストラクチャへの Active Directory 名前空間の統合と DNS 構成の一般的なシナリオについては、そのガイドにある展開ラボのシナリオを参照してください。

ページのトップへ ページのトップへ

チェックリスト : Active Directory のインストール ウィザードを実行して既存のフォレストにドメイン コントローラを作成する

既存のフォレストにドメイン コントローラを作成するためには、以下の確認作業が必要です。

  1. サーバー側の DNS リゾルバ構成を確認する
    サーバーのネットワーク接続構成で DNS クエリの送信先となる DNS サーバーが指定されているかどうかチェックします。指定されていない場合は、DNS サーバーの IP アドレスを指定してください。

    ネットワーク接続構成にコンピュータがクエリを送信する DNS サーバーを指定する手順については、後の「DNS クライアントで優先 DNS サーバーと代替 DNS サーバーを設定するには」を参照してください。

  2. DNS にドメイン コントローラの昇格に必要なレコードがあることを確認する
    フォレスト内ですでに昇格されているドメイン コントローラがすべて DC ロケータ DNS レコードを正しく登録していれば、このステップは省略してかまいません。Active Directory のインストール ウィザードが既存の Active Directory ドメインを見つけられない場合は、このステップに戻って確認を行ってください。

    DNS に以下のレコードが存在しており、サーバーが DNS クエリを発行したときには、サーバーの昇格に必要な役割に応じたレコードが返されなければなりません。

  • _ldap._tcp.dc._msdcs.<Active Directory ドメインの DNS 名> の SRV レコード -既存ドメインのドメイン コントローラの複製物

  • _ldap._tcp.dc._msdcs.<親 Active Directory ドメインの DNS 名> の SRV レコード -新しい子ドメインの最初のドメイン コントローラ

  • _ldap._tcp.dc._msdcs.<フォレスト ルート ドメインの DNS 名> の SRV レコード -新しいツリーの最初のドメイン コントローラ

DNS 内のレコードを確認する
すべてのシナリオで、適切な SRV レコードのデータ フィールドに指定されたドメイン コントローラの名前に対応するアドレス レコードも DNS にあることを確認してください。

DNS に必要なレコードがあることを確認するには、DNS コンソールまたはコマンド ライン ツール "nslookup" を使用します。

DNS コンソールの使い方の詳細については、後の「DNS コンソールを使用してゾーン内のレコードを列挙するには」を参照してください。

nslookup の使い方の詳細については、Windows 2000 Server リソースキット 6の『TCP/IP ガイド』第 6 章を参照してください。

名前解決失敗の原因を突き止めるには、ドメイン コントローラに昇格するサーバー上でコマンド ライン ツール "dcdiag" を実行し、診断のために "DcPromo" テストを使用します。このツールは https://download.microsoft.com/download/win2000platform /Update/5.0.2195.2103/NT5/EN-US/dcdiag_setup.exe. からダウンロードできます。

レコードの登録
登録されるべきレコードが登録されていないことが判明した場合には、動的登録失敗の原因となった問題を解決するか、必要なレコードを手動で登録しなければなりません。ドメイン コントローラが登録する必要のあるレコードの一覧は、ドメイン コントローラの %SystemRoot%\System32\Config\Netlogon.dns ファイルにあります。

DNS レコードがドメイン コントローラに動的登録されなかった原因を突き止めるには、そのドメイン コントローラでコマンド ライン ツール "dcdiag" を実行し、"RegisterInDNS" テストを使用します。このツールは https://download.microsoft.com/download/win2000platform /Update/5.0.2195.2103/NT5/EN-US/dcdiag_setup.exe からダウンロードできます。ドメイン コントローラによる DNS レコードの動的登録に必要な条件は、次のステップに挙げてあります。

ドメイン コントローラが登録する DNS リソース レコードに対して信頼されている DNS ゾーンで動的更新が可能かどうかを確認する。
ドメイン コントローラが登録するリソース レコードに対して信頼されている DNS ゾーンを探します。ドメイン コントローラが登録するレコードをチェックする方法については、https://technet.microsoft.com/library/bb742582.aspx にあるホワイトペーパー 『Windows 2000 DNS』の「Domain Locator」を参照してください。

ドメイン コントローラが登録するリソース レコードの名前はすべて Active Directory ドメインの DNS 名で終わるため、通常、リソース レコードに対して信頼されている DNS ゾーンの名前は Active Directory ドメインの DNS 名または親 DNS ドメインの 1 つと同じです。たとえば、Active Directory ドメイン名が "example.reskit.com." であれば、信頼されているゾーンは "example.reskit.com."、"reskit.com."、"com." のいずれかとなり、ネットワークにプライベート "com." またはルート ゾーンがある場合はルート ゾーンとなります。

SRV および動的更新のサポート

このゾーンをホストする DNS サーバーが SRV リソース レコード (RFC 2782) と動的更新 (RFC 2136) をどちらもサポートし、そのゾーンの動的更新が有効に設定されていることを確認します。Windows 2000 DNS サーバーは、必要な標準をサポートしています。ゾーン構成の確認については、後の「DNS ゾーンの動的更新を有効にするには」を参照してください。

Windows 2000 以外の DNS サーバーの使用
Windows 2000 以外の DNS サーバーを使用している場合は、DNS 管理者または DNS サーバーのベンダに問い合わせ、DNS サーバーが必要な標準をサポートしているかどうか確認してください。DNS サーバーが必要な標準をサポートしていない場合や、ゾーンの動的更新が有効にできない場合は、DNS インフラストラクチャを変更する必要があります。詳細は、Windows 2000 Server リソース キット 6 の『TCP/IP ガイド』第 6 章を参照してください。

既存の DNS インフラストラクチャへの Active Directory 名前空間の統合と DNS 構成の一般的なシナリオについては、そのガイドにある展開ラボのシナリオを参照してください。

共通の操作

DNS クライアントで優先 DNS サーバーと代替 DNS サーバーを設定するには

  1. [ スタート ] ボタンをクリックし、[設定] をポイントして [コントロールパネル] をクリックします。

  2. [ ネットワークとダイヤルアップ接続 ] をダブルクリックします。

  3. [ ローカル エリア接続 ] を右クリックし、[プロパティ] をクリックします。

  4. [ インターネット プロトコル (TCP/IP)] をクリックして、[プロパティ] をクリックします。

  5. [ 次の DNS サーバーのアドレスを使う ] を選択します。

  6. [優先 DNS サーバー] ボックスに DNS クエリの送信先とする DNS サーバーの IP アドレスを入力します。通常、このサーバーは同じサイト内の既存の DNS サーバーです。クエリを発行するクライアントと送信先の DNS サーバーが同じコンピュータにある場合は、そのコンピュータの IP アドレスを入力してください。必要に応じて、優先 DNS サーバーが応答しない場合に送信先とする別の DNS サーバーの IP アドレスを [代替 DNS サーバー] ボックスに指定できます。

  7. DNS サーバーがこのコンピュータで稼働している (または、稼働する予定である) 場合は、静的 IP アドレスに設定することを強くお勧めします。そのためには、[次の IP アドレスを使う]をクリックし、[IP アドレス][サブネットマスク][デフォルトゲートウェイ] の各ボックスに IP アドレス、サブネット マスク、デフォルト ゲートウェイの IP アドレスをそれぞれ入力します。

  8. [OK] をクリックして、[TCP/IP 詳細設定] ダイアログ ボックスを閉じます。

  9. [OK] をクリックして、TCP/IP 構成の変更を適用します。

  10. [OK] をクリックして、[ローカル エリア接続のプロパティ] ダイアログ ボックスを閉じます。

DNS ゾーンの動的更新を有効にするには

  1. [ スタート ] ボタンをクリックして [プログラム] - [管理ツール] の順にポイントし、[DNS] をクリックします。

  2. DNS コンソールで、信頼されているゾーンがある [DNS サーバー] を展開します。さらに [前方参照ゾーン] フォルダを展開します。

  3. 設定するゾーンを右クリックし、[プロパティ] をクリックします。

  4. [全般] タブの [動的更新を使用可能にしますかセキュリティで保護された更新のみ] (推奨) または [動的更新を使用可能にしますかはい] をクリックし、[OK] をクリックして変更を適用します。

DNS コンソールを使用してゾーン内のレコードを列挙するには

  1. [ スタート ] ボタンをクリックして [プログラム] - [管理ツール] の順にポイントし、[DNS] をクリックします。

  2. DNS コンソールで、表示するゾーンがある [DNS サーバー] を展開します。さらに [前方参照ゾーン] フォルダを展開します。

  3. 目的のゾーンを展開します。その DNS ゾーン名の直下のサブドメインであるレコードが右側のパネルに表示されます。たとえば、reskit.com ゾーン直下のサブドメインは "child.reskit.com" であり、"grandchild.child.reskit.com" は reskit.com ゾーン直下のサブドメインではありません。

  4. 探しているレコードがゾーン直下のサブドメインではない場合は、レコード名の中でゾーン名より前のラベルと一致する名前のフォルダを展開します。このフォルダは、上の例では "child" フォルダです。目的のレコードが見つかるか、存在しないことが判明するまで、後続のラベルに対応するフォルダを展開していきます。

ページのトップへ ページのトップへ

よく寄せられる質問

  1. Q: DNS サーバーには必要なレコードがあるにもかかわらず、他のコンピュータはドメイン コントローラを見つけることができません。これはなぜですか。

    A: 最も可能性の高い原因は、親ゾーンに子ゾーンへの委任がないことです。たとえば、ドメイン コントローラ上で動作する DNS サーバーに "ActiveDirectory.reskit.com." というゾーンを作成したものの、別の DNS サーバーにロードされた "reskit.com." ゾーンに委任 [つまりネーム サーバー (NS) リソース レコードとアドレス (A) リソース レコード] がない場合などに、そのような問題が発生します。

  2. Q: ドメイン コントローラに DNS サーバーをインストールし、 "ActiveDirectory.reskit.com" のように Active Directory ドメインの名前に対応するゾーンを設定したにもかかわらず、このドメイン コントローラは DNS レコードの動的登録に失敗します。これはなぜですか。

    A: ドメイン コントローラのネットワーク接続構成でローカル DNS サーバー以外が指定されている場合、最も可能性の高い原因は、親ゾーンに子ゾーンへの委任がないことです。たとえば、ドメイン コントローラ上で動作する DNS サーバーに "ActiveDirectory.reskit.com." というゾーンを作成したものの、別の DNS サーバーにロードされた "reskit.com." ゾーンに委任 [つまりネーム サーバー (NS) リソース レコードとアドレス (A) リソース レコード] がない場合などに、そのような問題が発生します。

  3. Q: 必ず Microsoft DNS サーバーを使用しなければなりませんか。

    A: いいえ。SRV レコードをサポートするものであれば、どの OS のどのような DNS サーバーでも使用できます。ただし、動的更新 (RFC 2136) をサポートする DNS サーバーの使用を強くお勧めします。Windows 2000 DNS サーバーは、これら 2 つの機能をどちらもサポートします。

ページのトップへ ページのトップへ