セキュリティ ベストプラクティス
名前解決の管理者権限
最終更新日: 2002年8月14日
マイクロソフト ソリューション フレームワーク
メモ このホワイト ペーパーは、企業セキュリティのベストプラクティス シリーズの 1 つです。セキュリティ要素構成アーキテクチャも併せてご参照ください。
トピック
このホワイト ペーパーの趣旨
名前解決のテクニック
Windows 2000 動的更新、WINS および DHCP
Windows 2000 動的更新、WINS および DHCP サーバーに関する可用性のプランニング
Windows 2000 動的更新、WINS および DHCP サーバーに関するセキュリティのプランニング
名前解決管理のベスト プラクティス
リファレンス
このホワイト ペーパーの趣旨
名前解決のコンポーネント
企業の複雑なTCP/IP 環境における名前解決プロセスに関連するコンポーネントには次のものが含まれます。
動的ホスト構成プロトコル (DHCP) サーバー。これは要求しているクライアントに動的な IP アドレスを提供し、動的な更新をサポートする (DNS) サーバー内の A レコードや PRT レコードを登録します。
クライアント/サーバー メカニズム。これは一意の IP アドレスに対する名前を解決します。また名前に対する一意の IP アドレスも解決します。
サーバー。名前解決サービスを実行し、クライアントの名前解決リクエストを行います。
サーバー間の複製。名前解決サービスの可用性を向上させます。
.gif)
図 1: Windows 2000 名前解決のセキュリティ シナリオ
拡大表示する 以前のバージョンのクライアントまたはサーバー (例 : Microsoft Windows NTョ 4.x、3.5x、Windows 9x など) の存在の有無に関わらず、Microsoftョ Windowsョ 2000 環境では、名前解決プロセスの可用性およびセキュリティを考察する興味深いシナリオは次の通りです。
.gif){kind=link}
IP アドレスの偽装と名前の盗難に対するセキュリティ
Windows 2000 動的更新および DHCP のセキュリティ関連機能
DHCP サーバーおよび名前解決 (WINS および動的更新) サービスの可用性
クライアント サーバー トラフィックのセキュリティ (DHCP、WINS、および動的更新サービスを検討しています。)
サーバー間の複製 (DDNS および WINS の複製) トラフィックのセキュリティ
項目 1 は広範囲に渡って 3 つのセキュリティ概論 (セキュリティへの脅威、セキュリティ戦略 および セキュリティ プランニング) で説明されています。この文書では、項目 2 ~ 5 に関する詳細に焦点を当て、推奨する最善策を提供します。また、重要な点は、この文書は DNS/DHCP/WINS クライアント/サーバー アーキテクチャの構成方法についての詳細なガイドではなく、基本的なセキュリティ概念に基づく広範な推奨策を提供するものであるということです。
このホワイト ペーパーの目的は何ですか?
情報セキュリティのプランニングを行う場合、名前解決のセキュリティ、可用性、および信頼性の計画は必須です。理由は、これは情報アクセスの基本的なコンポーネントであるためです。
ハッカーによる攻撃は一般的に標的となる環境 (使用されているハードウェア、ソフトウェア、セキュリティ) に精通している、またはそのような情報の収集方法を知っている人物が関与します。攻撃に先行する一般的なプロセスには次のようなものがあります。
盗難の対象となるデータや情報を決定する
標的となるデータや情報が存在するシステムを発見する
プロセスで利用できるセキュリティの抜け道を確認する (ハードウェア、ソフトウェア、構成など)
実際に攻撃を実行し、必要とするデータを取得する
このプロセス内の最初の 2 つのステップは名前およびアドレス解決により異なります。これは IP アドレスの割り当て、名前の登録、サーバー間での名前に対する IP アドレスの伝達、そして名前解決のプロセスをセキュリティで保護する必要性を示しています。
名前解決管理の目標
どのような組織においても、プロジェクトや全体の運営における IT 管理の各レベルで目標を設定しています。名前解決プロセスについて、IT 上層管理レベル、運営管理レベル、そしてエンド ユーザー レベルでの高レベルな目標のいくつかの概要を次に説明します。
IT 管理の目標
ユーザーはどの場所からでも、ユーザー自身の Windows 2000 ドメインにログ オンし、ユーザー自身のカスタム デスクトップおよびユーザー構成を使用することができます。
ユーザーは迅速に、そして問題なく、ネットワークのリソースを見つけることができます。
システム構成は組織の総所有コストを低減します。
運営管理の目標
IP アドレス管理は容易にセット アップ、そして管理されます。
名前解決サービス (動的更新および WINS) は容易にセット アップ、そして管理されます。
ユーザーの目標
ユーザーは容易にネットワーク (ラップトップおよびデスクトップ) に接続し、どこからでもネットワークにログ オンできます。
ユーザーは容易にネットワークのリソースにアクセスできます。
名前解決のテクニック
Windows 2000 の名前解決は、Windows NT 4.0 の名前解決とは著しく異なります。Windows NT 4.0 では、リゾルバが DNS 名解決で NetBIOS を強調していました。しかし、Windows 2000 では、リゾルバは NetBIOS 名解決で DNS を強調します。異なる名前解決のテクニックと対応する名前解決サービスについては、次のセクションで簡潔に説明します。
ホスト名解決および DNS
ネットワークの TCP/IP リソースは、その番号による IP アドレスで一意に識別されます。名前の方がより容易に覚えられるため、IP アドレスは階層的で、TCP/IP ネットワーク上のホストを一意に識別するホスト名と組み合わされています。コンピュータは IP アドレスを使用して接続先デバイスと通信するため、hosts ファイルを使用する IP アドレスに対し、ホスト名を解決するプロセスはドメイン ネーム システム (DNS) によって処理されます。
DNS は分散型の複製された階層的なネーム サービスで、TCP/IP ネットワーク内のホスト名と IP アドレスのマッピングを提供する手助けをします。これらの機能は高い可用性と拡張性を提供し、DNS をグローバル ネットワークでの重要な分散型サービスとして適切であるようにする特質です。
DNS サーバーは、DNS クライアント メカニズム、DNS サーバー メカニズムを持つように構成されます。DNS サーバーは DNS データベースに IP アドレスに対するホスト名のマッピングに関する情報を保存します。リゾルバと呼ばれる DNS のクライアントである部分は、クエリを作成し、そのクエリを DNS サーバーに送り、IP アドレスに対するホスト名を解決します。
DNS はホスト名解決のためにインターネット全体で使用されており、常にプロトコルを発展させています。ホスト名解決とともに、DNS は電子メールのルーティングやそのほかの TCP/IP ベースのアプリケーション サービスの手助けをします。
NetBIOS 名前解決および WINS
NetBIOS のネットワーク (Windows NT 4.x およびそれより以前のバージョン、Windows 9x、Windows for Workgroups、LAN Manager など) では、各ネットワーク デバイスは NetBIOS 名 (均一な名前で、長さは 16 バイト) により一意に識別されます。
WINS はルートされたインターネットワーク環境での、IP アドレス マッピングに対する動的なコンピュータ名 (NetBIOS 名と同じ名前) の登録やクエリのための分散型のデータベースを提供します。WINS は Request for Comments (RFC) 1001 (https://www.ietf.org/rfc/rfc1001.txt)、"Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Concepts and Methods" および RFC 1002 (https://www.ietf.org/rfc/rfc1002.txt)、"Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Detailed Specifications" に基づいています。
WINS クライアント/サーバー システムを構成するものは次の通りです。
WINS サーバー : WINS クライアントからの名前登録リクエストを処理し、その名前と IP アドレスを登録します。このサーバーもまた、照会されている名前の IP アドレス を返すことにより、WINS クライアントからの名前照会に応答します。(名前は WINS サーバーで登録されたものと見なされます。)
WINS クライアント : ネットワークに接続またはネットワークから切断する場合、WINS サーバーへの名前の登録や登録解除を行います。WINS サーバーでのリモート名前解決の照会、ブラウズの処理などを行います。クライアント ソフトウェアはすべてのマイクロソフト ベースのネットワーク クライアントで実行できます。(例 : Windows NT Workstation または Windows 95)
(オプション) WINS プロキシ : WINS 対応以外のクライアントが WINS を使用し、名前を解決する手助けをします。
DHCP および IP アドレス管理
動的ホスト構成プロトコル (DHCP) は、DHCP 対応のネットワーク クライアントについて、プロセスを自動化するための標準を提供することにより、IP アドレス構成の管理を簡素化します。
Microsoft Windows 2000 Server の DHCP サービスは Internet Engineering Task Force (IETF) 標準に基づいています。DHCP 仕様は IETF およびそのほかのワーキング グループにより公開されている RFC で定義されています。RFC とは一連のレポート、プロトコルへの提案、およびインターネット コミュニティで使用されているプロトコル標準です。次の RFC は、マイクロソフトが DHCP サービスでサポートするコア DHCP 標準を指定しています。
RFC 2131 (https://www.ietf.org/rfc/rfc2131.txt)、"Dynamic Host Configuration Protocol" (RFC 1541 から取って代わったもの)
RFC 2132 (https://www.ietf.org/rfc/rfc2132.txt)、"DHCP Options and BOOTP Vendor Extensions"
Windows 2000 動的更新、WINS および DHCP
このセクションでは、名前解決プロセスの可用性とセキュリティを向上させる DNS 動的更新プロトコル、WINS および DHCPの Windows 2000 の実装のいくつかの新しい機能について簡潔に説明します。後半のセクションでは、セキュリティに関連する機能のいくつかについてさらに詳しく説明します。これらのすべての機能に関する詳細情報は 『Windows 2000 Server リソースキット TCP/IP ガイド』 第 6 章 「Windows 2000 DNS」 をご覧ください。
Windows 2000 動的更新機能
Windows 2000 は DNS 動的更新プロトコルに関連する次の機能を提供します。
ドメイン コントローラのロケータ サービスとしての Microsoft Active Directory ディレクトリ サービスのサポート
Active Directory との統合
リソースレコードのエイジングと清掃のサポート
Active Directory 統合ゾーンにおけるセキュリティで保護された動的更新のサポート
さらに簡略化された管理
コマンド プロンプトからの管理
強化された名前解決
拡張キャッシングと否定キャッシング
DNS サーバーとその他の実装との相互運用性
他のネットワーク サービスとの統合
増分ゾーン転送
新しいリソース レコードのサポート
動的更新およびセキュリティで保護された動的更新
Windows 2000 は RFC 2136 (https://www.ietf.org/rfc/rfc2136.txt)、"Dynamic Updates in the Domain Name System (DNS UPDATE)" で定義された動的更新と IETF Internet Draft "GSS Algorithm for TSIG (GSS-TSIG)" で定義されたセキュリティで保護された動的更新をサポートします。
動的更新で、クライアントは、変更したいレコードに権限を持つネーム サーバーに自動的に更新を送ることができます。権限を持つネーム サーバーは特定の前提条件が満たされているかどうかを確認します。前提条件とは、レコードを更新するために存在しなければならない、または存在してはいけないリソース レコードです。前提条件が満たされている場合、権限を持つネーム サーバーが変更を行います。変更とは、レコードの追加、レコードの削除、レコードの変更などです。
動的更新には次の利点があります。
クライアント (DHCP クライアントを含む) が A リソース レコードと PTR リソース レコードをプライマリ サーバーに動的に登録することができます。その結果、手作業でこれらのレコードを管理する負担が軽減されます。
DHCP クライアントに代わって、DHCP サーバーが A リソース レコードと PTR リソース レコードを登録することができます。その結果、これらのレコードを手作業で管理する負担を軽減し、動的更新を実行できない DHCP クライアントのサポートも提供されます。
SRV リソース レコードを使用して、ドメイン コントローラが動的に登録できるようになるため、Active Directory のセットアップが簡易化されます。
セキュリティで保護された動的更新は、次の例外を除き、動的更新のように動作します。
権限を持つネーム サーバーは、DnsZone および DnsNode オブジェクトに動的更新を行う権限のあるクライアントとサーバーからの更新のみを受け付けます。
セキュリティで保護された動的更新には次の利点があります。
権限のないユーザーによって、ゾーンやリソース レコードが変更されることを防ぎます。
ゾーンやリソース レコードを変更することができるユーザーおよびグループを指定することができます。
新しい Windows 2000 動的更新機能に関する詳細は、このホワイトペーパーの最後にある 「リファレンス」 セクションをご覧ください。
Windows 2000 WINS 機能
Windows 2000 の WINS の新しい実装は次の拡張機能を提供します。
固定接続 : WINS サーバー間の固定接続を維持することにより、複製を最適化します。
手作業によるレコードの廃棄 (tombstone) : 削除の可能性について、手作業でレコードをマークすることができます。
改善された管理ユーティリティ : WINS コンソールとは MMC ベースのコンソールで、より優れたフレキシビリティおよび使いやすさを提供します。
強化されたフィルタリング機能とレコード検索機能 : 改善されたフィルタリング機能と新しい検索機能が管理と保守を簡易化します。
動的レコード削除とマルチセレクト : 動的レコード削除とマルチセレクト機能は WINS データベースの効果的な管理に役立ちます。
レコードの確認とバージョン番号の検証 : これは組織内の WINS サーバーの整合性をチェックする手助けをし、名前解決プロセスの信頼性を向上させます。
エクスポート機能 : WINS データベースをファイルにエクスポートし、分析と報告のために、そのファイルをそのほかのアプリケーションにインポートする手助けをします。
向上したクライアントのフォールト トレランス : Windows 2000 または Windows 98 クライアントは現在、インターフェースごとに、最大 12 の WINS サーバーを指定することができます。(これまでは 2 台までしか指定できませんでした。)
WINS 管理コンソールによる WINS 情報のへ読み取り専用アクセス : WINS がインストールされる時に、WINS セットアップは自動的に特別な目的を持つローカル ユーザー グループである WINS ユーザー グループを追加します。このローカル グループに属すユーザーは WINS 管理コンソールを介し、ローカル WINS データベースへの読み取り専用アクセスを持ちます。
Windows 2000 DHCP 機能
Windows 2000 DHCP サービスは次の新しい機能を提供します。
拡張されたパフォーマンス監視機能およびサーバー レポート機能
マルチキャスト スコープおよびスーパースコープの拡張されたサポート
ユーザーまたはベンダー固有の DHCP オプションのサポート。これにより同じような構成を必要とする複数のクライアントに同じオプションを割り当て、特別な構成が必要なクライアントには独自のオプションを割り当てることが可能になります。
DHCP と DNS との統合。DHCP サーバーは、これらの更新をサポートするすべての DHCP クライアントの DNS 名前空間で動的更新を有効にすることができます。
認証されていない DHCP サーバーの検出。これにより認証されていない DHCP サーバーが Windows 2000 Server および Active Directory が導入されている既存の DHCP ネットワークに参加することを防ぎます。DHCP サーバー オブジェクトは、DHCP サービスをネットワークに提供することを認証されているサーバーの IP アドレスのリストで、Active Directory で作成されます。ネットワーク上で DHCP サーバーが起動しようとすると、Active Directory が照会され、そのサーバー コンピュータの IP アドレスが認証された DHCP サーバーのリストと比較されます。一致するものが見つかると、そのサーバー コンピュータは DHCP サーバーとして認証され、システムの起動を完了することを許可されます。一致するものが見つからない場合、そのサーバーは認証されないサーバーとして認識され、DHCP サービスが自動的にシャット ダウンします。
BOOTP クライアントの動的サポート。動的 BOOTP とは BOOTP プロトコルの拡張で、DHCP サーバーが、明示的な固定アドレス構成を使用する必要なく、BOOTP クライアントを構成することを許可します。
DHCP 情報へのコンソールからの読み取り専用アクセス。DHCP がインストールされる時、DHCP セットアップは自動的に、DHCP ユーザー グループと呼ばれる特別な目的を持つローカル ユーザー グループを追加します。このローカル グループに属すユーザーは DHCP コンソールを介し、ローカル DHCP データベースおよび情報への読み取り専用アクセスを持ちます。
アドレスの競合の防止
Windows 2000 の DHCP コンポーネントには、サーバー側およびクライアント側の IP アドレス競合検出の両方があり、ネットワークで重複した IP アドレスが存在することを防ぎます。これはアドレス割り当てプロセスの信頼性を追加します。
サーバーの競合の検出
DHCP サーバーは、IP アドレスをクライアントに割り当てる前に、そのIP アドレスを ping することにより、競合を検出します。(競合の検出が DHCP サーバー プロパティ シートを介し DHCP コンソールにより有効にされている場合。) ping が正常に行われると (コンピュータからの応答を受けとる場合、競合が存在することを意味します)、そのアドレスは競合と登録され、サーバーからリースを要求しているクライアントに割り当てられることはありません。そのアドレスは、アクティブなリースのリストに BAD_Address 値が付加されマークされます。このアドレスは BAD_Address として残り、競合が解決された後、アクティブなリースのリストから削除することができます。BAD_Address として残る期間は、スコープのリース期間と同じで、削除された後は、利用可能なプールに戻されます。DHCP サーバーは以前リースされたことのないアドレスのみを ping します。
サーバーがアドレスの競合をテストする回数は、既定では 0 (無効) です。このエントリの値を変更するためには、DHCP コンソールを使用して下さい。サーバーの名前を右クリックし、[プロパティ] をクリックします。次に [詳細設定] タブをクリックします。[競合検出の試行回数] で、0 (ゼロ) 以上の数を入力し、[OK] をクリックします。
クライアントの競合の検出
Windows 2000 または Windows NT クライアント コンピュータもまた、DHCP サーバーとアドレス構成を完了する前、またはクライアントが静的 IP アドレスを構成される前に、アドレスがすでに使用されているかどうかを確認します。これは中身のない Address Resolution Protocol (ARP) 要求を使用することで検出できます。Windows 2000 または Windows NT コンピュータが起動すると、パケットがコンピュータの TCP/IP アドレスを含むネットワークでブロードキャストされ、同じネットワーク上で重複したアドレスが使用されることを防ぎます。
クライアントが競合を検出すると、クライアントは DHCP サーバーからの DHCP 割り当てを (DHCP Decline メッセージを送ることにより) 拒否し、リースの取得プロセスを再び開始し、スコープ内の次に割り当て可能なアドレスが提示されます。クライアントが静的 IP アドレスで構成されていた場合、インターフェースが無効で、イベント (イベント ID 26) がイベント ログで生成されます。詳細はマイクロソフト サポート技術情報 Q199773 (英語情報) (https://support.microsoft.com/default.aspx?scid=KB;EN-US;Q199773)、"Behavior of Gratuitous ARP in Windows NT 4.0" をご覧ください。また、マイクロソフト サポート技術情報 JP219374 (https://support.microsoft.com/default.aspx?scid=kb;JA;JP219374)、「 [NT]gratuitous ARP 機能を無効にする方法」 で、クライアントでこの機能を無効にするために必要な手順を説明しています。
Windows 2000 動的更新、WINS および DHCP サーバーに関する可用性のプランニング
DNS 動的更新および WINS サービスは、データのサーバー間の複製により、高い可用性を提供します。DNS 動的更新サーバーは、追加のセカンダリ動的更新サーバーを活用することにより (通常のプライマリ - セカンダリ DNS サーバー モデル)、または DNS サービスを実行するそのほかのドメイン コントローラ (DC) を用意し、戦略的にこれらを配置し、クエリ トラフィックと負荷を最適化することにより、その可用性を高めることができます。Windows 2000 ホワイト ペーパーはこれらの概念に関する詳細を説明しています。https://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/plan/w2kdns2.mspx で 「Windows 2000 DNS」 をご覧ください。
WINS サーバーは類似したテクニックを使用して、その可用性を高めることができます。そのテクニックとは追加の WINS サーバーを戦略的に組織のネットワーク環境に配置することです。そのほかの情報については、『Microsoft Windows 2000 Server リソースキット TCP/IP ガイド』 第 7 章 「WINS (Windows Internet Name Service)」 をご覧ください。
DHCP サーバーのクラスタ化
DNS 動的更新および WINS はサーバー間の複製を介し、可用性がプロトコルに組み込まれていますが、DHCP サーバー間の複製について、RFC に定義されているそのようなメカニズムはありません。このため、ネットワーク管理者は通常、DHCP サーバー間で DHCP スコープを配分します。あるサーバーがダウンした場合、割り当て可能な IP アドレスの割合は (配分の割合により異なりますが) 2 番目の DHCP サーバーを介し、残りの割合分は引き続き割り当て可能な状態となります。一般的に、プライマリおよびセカンダリ DHCP サーバー間で 80/20 ベースの割合で IP アドレスの配分が特定のスコープに割り当てられます。この対策は、管理者にとってアドレスが不足している状況では可能ではありません。したがって、DHCP サーバーの可用性は低下します。
Windows 2000 では、DHCP サービスはクラスタ対応で、IP アドレス スコープを分割せずに、より高い可用性を提供します。Windows のクラスタ化により、2 つのサーバーを単一のシステムとして管理することができます。Windows 2000 クラスタ サービスは、より高い可用性、さらに容易な管理、そしてさらに向上した拡張性を提供するために、DHCP サーバーに使用することができます。
Windows のクラスタ化は自動的にアプリケーション エラーまたはサーバー エラーを検出し、稼動を続けているサーバー上で迅速にアプリケーションやサービスを再起動します。ユーザー側から見れば、サービスが一時的に中断するだけです。
Windows 2000 動的更新、WINS および DHCP サーバーに関するセキュリティのプランニング
Windows 2000 DHCP のセキュリティ
DHCP 名前解決はクライアント/サーバー間のトラフィック、および DHCP サーバー自体の制御において、セキュリティ上の危険を受けやすいものです。
DHCP クライアント/サーバー間のトラフィックのセキュリティ
DHCP クライアント/サーバー間のトラフィックのセキュリティを向上させることにより、IP アドレスの偽装やそのほかの悪質な中継攻撃のテクニックを阻止します。
DHCP クライアント/サーバー間、またはサーバー/クライアント間のトラフィックは現在プレーンテキストであり、セキュリティで保護された実装は IETF 標準グループで依然として討議段階です。クライアント、サーバー、およびリレーエージェントが認証メカニズムを介し、DHCP プロセスで互いに識別するプロセスを実装するという提案が出ています。これにより、IP アドレスの偽装または中継攻撃を回避します。さらに詳しい情報は、下記をご覧ください。
Institute of Electrical and Electronic Engineers (IEEE) standard 802.1x (https://grouper.ieee.org/groups/802/1/pages/802.1x.html)、"Port Based Network Access Control."
The IETF Internet Draft "DHCP Relay Agent Information Option." (https://www.ietf.org/rfc/rfc3046.txt)
DHCP サーバーのセキュリティ
Windows 2000 は、認証されていないワークグループ DHCP サーバーがネットワークに導入され、IP アドレス割り当てに関する問題の原因となることを防ぐための、DHCP サーバーの構成を制限するサーバー側のセキュリティを実装します。これはすべての Windows 2000 DHCP サーバーに適用されますが、Windows NT サーバーで実行されている DHCP サービスには適用されません。DHCP サーバー認証はエンタープライズな管理者権限を必要としますが、この権限はそのほかの管理者に委任することができます。
この機能の実装方法に関する情報は、『Microsoft Windows 2000 Server リソースキット TCP/IP ガイド』 第 4 章 「DHCP (動的ホスト構成プロトコル)」 をご覧ください。
Windows 2000 DHCP サーバーの認証は、コンソールの DHCP サーバーを右クリックし、[承認] をクリックし、自動的に DHCP サーバーを承認することにより、DHCP コンソールを介し、実行することができます。
Windows 2000 エンタープライズで DHCP サーバーを承認する権限の委任のプロセスは次の場所の Windows 2000 Server ヘルプで説明しています。
[ネットワーク]、[DHCP]、[操作方法]、[サーバー アクセスを管理する]、[DHCP サーバーを承認する資格を非エンタプライズ管理者に委任する]
または、Web サイト https://technet.microsoft.com/ja-jp/windowsserver/2000/default.aspx
Windows 2000 DNS 動的更新のセキュリティ
動的に DNS のデータを変更することに関する問題はセキュリティです。静的にゾーン データを追加する DNS サーバーには黙示的なセキュリティがあります。この理由は管理者がゾーン データを変更するための唯一のアクセスを持つためです。DNS クライアントによるゾーン データの動的な変更は、DNS クライアントがデータ変更の権限があるかどうかを確認することにおいて、潜在的なセキュリティ問題となります。Windows 2000 は Active Directory 統合されたゾーンにセキュリティで保護された更新機能を提供します。
DNS の動的更新プロセス
既定で、動的更新クライアントは自動的に DNS で名前と IP アドレスのマッピングを登録しますが、DNS で、クライアントがその名前と IP アドレスを登録しないように構成することができます。([コントロール パネル]、[ネットワークとダイアルアップ接続]、[接続プロパティ]、[TCP/IP プロパティ]、[詳細設定]、[DNS] タブで、接続の DNS のプロパティを変更します。) また、Windows 2000 DHCP サーバーに DNS でクライアントのリソース レコードを登録させることもできます。これは、動的更新に対応していない初期バージョンのクライアント (Windows 9x、Windows NT) の場合、非常に便利です。A リソース レコードおよび PTR リソース レコード登録の信頼性は、DHCP プロセスの間、DHCP クライアントと DHCP サーバー間でネゴシエートされます。
動的更新は、DHCP クライアント、DHCP サーバー、Netlogon、クラスタ サービスなどの多くのサービスにより送ることができます。このセクションでは、主に DHCP クライアントとサーバーにより実行される動的更新に焦点を当てます。
Windows 2000 では、クライアントは、DHCP、静的 IP アドレス、リモート アクセスの 3 種類の構成のネットワーク アダプタの動的更新要求を送信できます。使用されているアダプタの構成を問わず、DHCP クライアント サービスは、ゾーン権限を持つ DNS サーバーに動的更新を送ります。DHCP クライアント サービスは、DHCP クライアントとして構成されているかどうかに関わらず、すべてのコンピュータで実行されます。
すべてのプライマリ ゾーンは動的更新用に構成することができます。しかし、Active Directory 統合ゾーンのみがセキュリティで保護された動的更新用に構成することができます。
既定で、動的更新クライアントは動的更新を最初に試行し、それに失敗すると、セキュリティで保護された動的更新をネゴシエートします。
次のレジストリ エントリを設定すると、この動作を変更することができます。
次のサブキーに UpdateSecurityLevel レジストリ エントリを追加します。
HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Tcpip \Parameters
UpdateSecurityLevel の値は十進法の値、0、16 または 256 に設定することができ、次のようにセキュリティを構成します。
| 256. | セキュリティで保護された動的更新のみの使用を指定します。 |
| 16. | セキュリティで保護されていない動的更新のみの使用を指定します。 |
| 0. | セキュリティで保護されていない動的更新が拒否される場合、セキュリティで保護された動的更新の使用を指定します。これは既定の値です。 |
| 1. | クライアントが作成しようとしている名前がすでに存在する場合、クライアントは既存の名前に上書きしません。 |
| 0. | クライアントが作成しようとしている名前がすでに存在する場合、クライアントは既存の名前に上書きします。(既定値) |