The Cable Guy - 2000 年 12 月

  • [アーティクル]

DNS 名前空間のプランニング 概要

The Cable Guy

The Cable Guy の全コラムの一覧と概要をご覧になるには、ここをクリックしてください。

このコラムでは、Windows 2000 DNS の名前空間のプランニングについての概要を説明しています。Active Directory と DNS 名前空間の設計についての詳細は、後のリソースと 『Windows 2000 DNS のプランニング パート 1』 を参照してください。

Microsoft Windows NT 4.0 およびそれ以前のバージョンでは、Windows インターネット ネーム サービス (WINS) などの NetBIOS ネーム サーバーを使用して NetBIOS 名を解決することにより、サーバーとサービスの場所を検索していました。Windows 2000 では、ドメイン ネーム システム (DNS) 名を DNS サーバーを使用して解決することにより、Active Directory ベースのサーバーおよびサービスを検索します。Active Directory を使用するには、DNS インフラストラクチャが必須です。

たとえば、ドメイン コントローラを検索するには、Active Directory を実行しているコンピュータから DNS サーバーに対して、Active Directory ドメイン名に対応する SRV (サービス ロケーション) リソース レコードを照会します。この照会に対し、ドメイン コントローラの DNS 名が返されます。次に、そのコンピュータから DNS サーバーに対して、ドメイン コントローラの DNS ドメイン名に対応する A (アドレス) リソース レコードを照会します。DNS インフラストラクチャが存在しなければ、Active Directory を実行しているコンピュータからドメイン コントローラやその他の種類のアプリケーション サーバーを検索することができません。

DNS ドメインと Active Directory ドメインでは、異なる名前空間によく似た構造を使用します。それぞれの名前空間は、異なるデータを格納し、異なるオブジェクトを管理します。DNS ではゾーンとリソース レコードを使用するのに対し、Active Directory ではドメインとドメイン オブジェクトを使用します。したがって、DNS 名前空間の設計の際には Active Directory について考慮すると共に、組織内部の名前空間が、インターネット上に存在する外部の名前空間と競合しないようにすることが特に重要です。

Windows 2000 Active Directory 用の DNS 名前空間を設計する

Active Directory 環境で DNS 名前空間を設計するときは、まず Active Directory 環境を設計した上で、それに対応する適切な DNS 構造を設計することをお勧めします。ただし、DNS 名前空間が既に存在しているケースもあります。その場合は、Active Directory 環境を独立して設計した後で、完全に別個の DNS 名前空間を設計するか、または既存の DNS 名前空間のサブドメインとして設計してください。

ホワイト ペーパー『Active Directory アーキテクチャ』には、フォレストとツリー ドメイン構造、組織単位 (OU)、グローバル カタログ、信頼関係、および複製を含む、Active Directory の名前空間に関する詳細な説明が記載されています。また、ホワイト ペーパー『Guide to Active Directory Design』には、組織で使用する Active Directory 名前空間を設計する際に、ネットワークの設計者および管理者が考慮すべきプランニング、設計、およびアーキテクチャ上の標準が記載されています。ネットワーク設計者は、このホワイト ペーパーの推奨事項により、会社組織の再編成があっても、変更にコストをかけることなく対応できる Active Directory 名前空間を設計することができます。

DNS 名前空間の設計時には、以下の事項を考慮してください。

ドメインに使用する DNS 名前空間を確認する

インターネットに登録した組織名 (<company>.com など) を確認します。名前をまだ登録していない場合でも、インターネットへの接続を予定しているのであれば、インターネット上で使用する名前をぜひ登録するようにしてください。名前を登録しない場合は、必ず一意な名前を選択しなければなりません。http://www.networksolutions.com/ leave-ms にアクセスすると、既存の名前のチェックや、名前の登録ができます。

内部と外部で異なる名前空間を使用する

内部の名前としては、<comp>.com のように、登録済みの外部名を短縮した名前や、 corp.<company>.com のような外部名のサブドメインを使用することができます。外部の DNS 名前空間が既に存在する場合は、サブドメイン構造を使用するのが有効です。Active Directory のドメイン構造を反映できるように、サブドメイン名として、wcoast.corp.<company>.com や ecoast.corp.<company>.com のような地理的な所在地に応じた名前や、sales.corp.<company>.com または research.corp.<company>.com のような部署に応じた名前をつけることができます。

外部名と内部名を個別のサーバーに分離する

外部の DNS サーバーには、インターネットからアクセスできるようにしたい名前だけを含めます。内部の DNS サーバーには、内部でのみ使用する名前を含めます。内部の DNS サーバーは、解決できない要求を受信したときに、それらの要求を外部のサーバーに転送して解決するように設定できます。クライアントの種類が異なれば、名前解決のニーズも異なります。たとえば、Web プロキシ クライアントの場合はプロキシ サーバーが名前を解決するので、外部名の解決が必要になることはありません。

内部の名前空間と外部の名前空間を重複させることは、お勧めできません。重複する設定を行うと、ほとんどの場合、DNS から不正確な IP アドレスが返されるため、コンピュータからリソースを検索することができなくなります。特に、ネットワーク アドレス変換 (NAT) を使用しており、外部クライアントから到達不可能な範囲に内部 IP アドレスが含まれている場合に問題になります。

DNS でサポートされているコンピュータ名を選択する

コンピュータ名には、DNS ホスト名に使用できるインターネット標準の文字セットに含まれている文字だけを使用するようにしてください。RFC 952 では、ホスト名に使用できる文字として、大文字のアルファベット (A ~ Z)、小文字のアルファベット (a ~ z)、数字 (0 ~ 9)、およびハイフン (-) が定義されています。

Windows NT 4.0 と NetBIOS 名を使用している組織の場合は、コンピュータ名を変更しなければならない可能性があります。NetBIOS 名には、! @ # $ % ^ & ' ) ( - _ { } ~ の各文字とスペースを使用できますが、RFC 952 の規定により、これらの特殊文字を DNS 名として使用することはできません。Windows NT 4.0 の NetBIOS 名を Windows 2000 の DNS ドメイン名に円滑に移行できるように、Windows 2000 DNS サービスでは拡張 ASCII 文字および Unicode 文字がサポートされています。しかし、これらの文字のサポートは純粋な Windows 2000 環境でのみ有効です。

DNS サーバーを選択する

組織で使用する DNS サーバーは、少なくともRFS 2052 で規定された SRV リソース レコードをサポートしている必要があります。SRV リソース レコードは適切な DNS サーバー上で手動で構成することもできますが、RFC 2136 で規定されている動的登録をサポートしている DNS サーバーの使用をお勧めします。動的登録がサポートされていれば、Active Directory のサーバーとクライアントが起動時に DNS レコードを登録でき、手動構成のオーバーヘッドを低減することができます。Windows 2000 では、Active Directory クライアントとサーバーをサポートするために必要な DNSレコードの数が増えていきます。そのため、RFC 1995 で規定されている増分ゾーン転送もサポートしている DNS サーバーの使用をお勧めします。増分ゾーン転送では、ゾーンの複製時にゾーン ファイル全体を送信する代わりに、変更された DNS レコードだけを送信するので、ネットワーク オーバーヘッドが低減します。

Windows 2000 の DNS サーバー サービスは、RFC 2052、RFC 2136、および RFC 1995 をサポートしています。このサービスを使用する場合は、特定のゾーンを Active Directory に統合するように指定できます。通常、DNS ゾーンは、ゾーンのマスタ コピーが物理的に格納されているサーバーで管理する必要があります。しかし、Active Directory 統合ゾーンは、マルチマスタ複製モデルにより、任意のドメイン コントローラから変更できます。

以下のドキュメントには、Active Directory および DNS 名前空間の設計に関する詳細な説明や事例が記載されています。

The Cable Guy の全コラムの一覧と概要をご覧になるには、ここをクリックしてください。