Windows 2000 DNS の Active Directory サポートへの構成
このシナリオでは、Microsoft Windows 2000 ドメイン ネーム システム (DNS) サーバーのインフラストラクチャを設計する方法を紹介します。ここでの目的は、DNS の管理を単純化すること、および各コンピュータからドメイン コントローラを検索できるようにして Active Directory™ ディレクトリ サービスをサポートすることにあります。さらに、Active Directory を使用して DNS のセキュリティと信頼性を向上させる方法も紹介します。
トピック
目的
設計のロジック
機能するしくみ
実装した方法
その他の参考資料
目的
このシナリオでは、以下の目的を達成するために Windows 2000 DNS サーバーを構成しました。
Active Directory をサポートすること。DNS によって各コンピュータからドメイン コントローラを検索できるようにして、Active Directory の機能を活用できるようにします。
DNS と Active Directory を統合した場合の利点を活用すること。DNS をドメイン コントローラにインストールすると、Active Directory 統合ゾーンを使用できるようになるので、保護された動的更新によってセキュリティの強化が実現され、さらにマルチマスタ複製によって信頼性の向上と管理の単純化が実現されます。また、保護された動的更新によって、管理のための作業負担を軽減し、承認されていないユーザーによって DNS ゾーンおよびレコードが修正されるのを防止することもできます。
信頼性の高いソリューションを実現すること。
このシナリオで紹介するのは、Windows 2000 DNS サーバーのサービスだけですが、ほかの DNS サーバーを使用しても、名前解決と Active Directory のサポートを同様に行うことができます。詳細については、『Microsoft Windows 2000 Server リソースキット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS」の「6.9 ほかの DNS サーバーとの総合運用性 () 」 (英語) を参照してください。
また、このシナリオで紹介するのは、DNS に関連した内容だけであり、Windows インターネット ネーム サービス (WINS) については紹介しません。DNS は、クライアントから Windows 2000 ドメイン コントローラを検索する場合に必要になります。
次の「設計のロジック」では、上に指摘した目的に対応する方法を紹介します。
設計のロジック
図 1 に示すように、このシナリオでは、reskit.com と noam.reskit.com という 2 つのドメインに含まれるドメイン コントローラについて検討します。ドメイン reskit.com には 1 台のドメイン コントローラが含まれ、ドメイン noam.reskit.com には 2 台のドメイン コントローラが含まれています。2 台のうちの 1 台は Seattle サイトに設置され、もう 1 台はブリティッシュ コロンビア (B.C.) 州の Vancouver サイトに設置されています。また、このシナリオでは、Seattle サイトのドメイン noam.reskit.com に含まれているクライアントについても検討します。
.gif "dns02-30")
図 1: ドメイン reskit.com および noam.reskit.com に含まれるコンピュータ
各ドメイン コントローラには、DNS サーバー サービスもインストールされています。ドメイン コントローラに DNS サーバー サービスがインストールされていると、Active Directory 統合ゾーンを使用できます。このシナリオの各ゾーンは、Active Directory 統合ゾーンです。
注意
このシナリオでは、シナリオの機能を実現するために必要なコンポーネントのみを示しています。しかし、Microsoft® Windows® 2000 リソース キット導入実験では、最善の慣行に従って、その他のコンポーネントも使用しています。
SEA-RK-DC-01.reskit.com
ドメイン reskit.com のドメイン コントローラ SEA-RK-DC-01.reskit.com では、Windows 2000 と DNS サーバー サービスが実行されています。このドメイン コントローラは Seattle サイトに設置されています。テスト環境では、これ以外にも DNS サーバー サービスをインストールしたもう 1 台のドメイン コントローラが、同じドメインに設置されています。最善の慣行に従えば、1 つのドメインに最低でも 2 台のドメイン コントローラを設置することが必要です。これは、1 台のドメイン コントローラが使用できなくなっても、ドメインに関する情報に対するアクセスや更新を各コンピュータから引き続き行えるようにするためです。
必要なドメイン コントローラの数を決定する方法の詳細については、『Microsoft Windows 2000 Server リソース キット 1 導入ガイド』の「第 9 章 Active Directory 構造の設計」を参照してください。また、各組織のプロファイル、ドメイン情報、およびサイト トポロジに基づいて必要なドメイン コントローラの数を見積もるためのツールとして、Active Directory Sizer を使用することもできます。Active Directory Sizer をダウンロードするには、『Adsizer.exe: Active Directory Sizer』にアクセスしてください。
SEA-RK-DC-01.reskit.com で実行されている DNS サーバーは、Active Directory 統合ゾーン reskit.com に対する権限を持っています。テスト環境では、複製用のサーバーにも DNS サーバー サービスをインストールし、これにも Active Directory 統合ゾーン reskit.com に対する権限を持たせています。最善の慣行に従えば、各ゾーンに最低でも 2 台の DNS サーバーを設置して、フォールト トレランス性と負荷分散性を向上させる必要があります。
SEA-RK-DC-01.reskit.com では、優先 DNS サーバーとして自身を参照します。これは、SEA-RK-DC-01.reskit.com がドメイン内で最初に接続されるドメイン コントローラだからです。別の方法として、reskit.com に対して権限を持つ別の DNS サーバー、または reskit.com に対して権限を持つサーバーにクエリを発行できる別の DNS サーバーを参照するように SEA-RK-DC-01.reskit.com を構成することもできます。
SEA-NA-DC-01.noam.reskit.com
ドメイン noam.reskit.com の最初のドメイン コントローラ SEA-NA-DC-01.noam.reskit.com でも、Windows 2000 と DNS サーバー サービスが実行されています。このドメイン コントローラは、Seattle サイトに設置されています。
Microsoft® Windows® 2000 リソース キット導入シナリオの図では、異なるサイトに設置されているその他の複数のドメイン コントローラに加えて、このドメインとサイト用にももう 1 台のドメイン コントローラを設置しています。最善の慣行に従えば、各ドメインごとに最低でも 2 台のドメイン コントローラを設置し、また、ドメインが複数のサイトに展開されている場合は各サイトごとに最低でも 1 台を設置して、フォールト トレランス性と負荷分散性を向上させる必要があります。ただし、ユーザー数が非常に多い場合は、3 台以上のドメイン コントローラを設置して、フォールト トレランスと負荷共有をさらに向上させることが必要になる可能性もあります。導入シナリオの図では、ユーザー数が多いので、数台のドメイン コントローラを設置しています。
ドメイン noam.reskit.com は、reskit.com の子ドメインになっています。SEA-NA-DC-01.noam.reskit.com をドメイン コントローラに昇格させる前に、ゾーン reskit.com に委任を追加しました。このゾーンのホストは SEA-RK-DC-01.reskit.com であり、SEA-NA-DC-01.noam.reskit.com にはゾーン noam.reskit.com に対して権限を持つものとして参照します。ドメイン コントローラに昇格させる手順の中で、DNS の自動構成に同意したために、ゾーン noam.reskit.com は SEA-NA-DC-01.noam.reskit.com に追加されました。詳細については、このシナリオで後述する「実装した方法」を参照してください。
SEA-NA-DC-01.noam.reskit.com で実行されている DNS サーバーは、Active Directory 統合ゾーン noam.reskit.com に対する権限を持ちます。テスト環境では、同じ Active Directory ドメイン内のドメイン コントローラ上で実行されるその他の DNS サーバーもゾーンのホストとして追加しました。各ゾーンに対して権限を持つ DNS サーバーは最低でも 2 台設置するのが最善の慣行ですが、当然それよりも多く設置することも可能です。
SEA-NA-DC-01.noam.reskit.com は、その優先 DNS サーバーとして SEA-RK-DC-01.reskit.com を参照します。
VAN-NA-DC-01.noam.reskit.com
ドメイン noam.reskit.com のドメイン コントローラである VAN-NA-DC-01.noam.reskit.com でも、Windows 2000 と DNS サーバー サービスが実行されています。このドメイン コントローラは、Vancouver サイトに設置されています。導入シナリオの図では、フォールト トレランス性と負荷分散性をさらに向上させるために、このドメインとサイトにもう 1 台のドメイン コントローラを設置しました。
VAN-NA-DC-01.noam.reskit.com は、Active Directory 統合ゾーン noam.reskit.com に対して権限を持ちます。導入シナリオの図では、ドメインとサイト用の別のドメイン コントローラにも DNS サーバー サービスをインストールしました。
このシナリオの場合、VAN-NA-DC-01.noam.reskit.com は、優先 DNS サーバーとして SEA-RK-DC-01.reskit.com を参照します。しかし、導入シナリオの図では、B.C. の Vancouver サイトに 2 台のドメイン コントローラが設置されているので、VAN-NA-DC-01.noam.reskit.com は同じサイト内の別のサーバーを参照するように構成されています。これは、最善の慣行に従えば、同じサイトに含まれる DNS サーバーを優先サーバーとして参照するべきだからです。DNS サーバー サービスを実行しているドメイン コントローラは、そのドメイン コントローラがフォレスト内の最初のドメイン コントローラである場合、または DNS サーバーがドメイン _msdcs.<DNSForestName> 内の名前に対して権限を持っていない場合、自身を参照することもできます。
クライアント
クライアントでは、Microsoft® Windows® 2000 Professional を実行します。このクライアントは Seattle サイトに設置されているので、ここではその優先 DNS サーバーとして SEA-NA-DC-01.noam.reskit.com を選択しました。この結果、クライアントでは最も近くにある DNS サーバーに対して最初にクエリを発行できるので、ネットワーク トラフィックが削減されます。
次の「機能するしくみ」では、このシナリオで計画している目的にインフラストラクチャによって対応する方法を紹介します。
機能するしくみ
ドメイン コントローラ SEA-NA-DC-01.noam.reskit.com は、ドメイン コントローラ ロケータ リソース レコードを DNS に登録します。それらのレコードは、最初に Active Directory 統合ゾーン noam.reskit.com で、DNS サーバー SEA-NA-DC-01.noam.reskit.com に追加されます。次にそのゾーンは、ドメイン コントローラ VAN-NA-DC-01.reskit.com に複製されます。ワークステーション クライアントでは、ドメイン コントローラ ロケータ リソース レコードを使用して、ドメイン コントローラを検索します。これらのコンピュータの関係を図 2 に示します。
図 2: ドメイン reskit.com および noam.reskit.com に含まれるコンピュータ
既に説明した方法に従ってこのシナリオのプロセスを動作させるためには、このシナリオの「実装した方法」に示す手順に従って、SEA-RK-DC-01.reskit.com および SEA-NA-DC-01.noam.reskit.com の 2 台のコンピュータを構成しなければなりません。また、ここで示す結果は、このシナリオに特有のものです。サーバーの構成が異なる場合、あるいはネットワークの状態によってサーバーが最適に動作できない場合、得られる結果が異なることもあります。DNS の詳細については、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS (https://msdn.microsoft.com/ja-jp/library/9c4h5y3e.aspx) 」 (英語) を参照してください。また、プロセスに関する一般的な理解を得られる程度に、コンピュータ間で受け渡しされるパケットの一部だけを紹介します。
次に、ドメイン コントローラへの昇格が完了した後で DNS と Active Directory がどのように動作するかを、手順に従って紹介します。このシナリオにおけるコンピュータの昇格プロセスについては、「セットアップ手順」を参照してください。
2 つのサーバー SEA-RK-DC-01.reskit.com と SEA-NA-DC-01.noam.reskit.com をドメイン コントローラに昇格します。SEA-NA-DC-01.noam.reskit.com を昇格して再起動すると、Netlogon サービスから同じコンピュータ上の DNS クライアント サービスに対して、ドメイン コントローラ ロケータ リソース レコードを動的に更新することが要求されます。DNS クライアントでは、優先 DNS サーバーにクエリを発行して、更新を行うために必要なリソース レコードに対して権限を持っているサーバーとゾーンの名前の照会を行います。この場合の優先 DNS サーバーは、SEA-RK-DC-01.reskit.com です。このプロセスを図 3 に示します。
.gif "dns02-22")
図 3: 権限を持っているゾーンとサーバーのクエリ
DNS サーバーから DNS クライアントに対する応答として、権限を持っているサーバーとゾーンの名前が返されます。この場合に権限を持っているサーバーは、DNS クライアント サービスと同じコンピュータ上の DNS サーバーです。次にクライアントでは、ロケータ リソース レコードを DNS に登録します。登録するときには、このサーバーで使用するように構成されている保護された動的更新が使用されます。サーバーではこれらのレコードをゾーン noam.reskit.com に追加します。このゾーンは、サーバー SEA-NA-DC-01.noam.reskit.com 上に設定されています。このゾーンは、昇格の操作を行ったときに追加されたものです。これは、その操作の中でゾーン noam.reskit.com を SEA-RK-DC-01.reskit.com から SEA-NA-DC-01.noam.reskit.com に委任し、さらに自動構成に同意したためです。
VAN-NA-DC-01.noam.reskit.com を子ドメイン noam.reskit.com 用の追加ドメイン コントローラに昇格します。昇格の間およびその後で、ドメイン noam.reskit.com 内の 2 つのドメイン コントローラでは、DNS ゾーンを含むディレクトリ情報を複製できます。
ドメイン noam.reskit.com における Active Directory 複製のプロセスの実行中に、ドメイン コントローラ SEA-NA-DC-01.noam.reskit.com からロケータ リソース レコードを含むゾーンがドメイン コントローラ VAN-NA-DC-01.noam.reskit.com に送信されます。ゾーンの複製の関係を図 4 に示します。DNS サーバーをドメイン コントローラ VAN-NA-DC-01.noam.reskit.com にインストールするときに、DNS では DNS ゾーンが自動的に Active Directory からロードされます。したがって、DNS のインフラストラクチャでは、Active Directory によって DNS の管理が単純化されます。
.gif "dns02-24")
図 4: ゾーンの複製
各コンピュータでは、DNS を使用してドメイン コントローラを検索します。ワークステーション クライアントを再起動した場合、そのワークステーション クライアントが含まれるサイトまたはその最も近くのサイトのドメインに対応するドメイン コントローラを探し出さなければなりません。このワークステーション クライアントは、Seattle サイトに構築されているドメイン noam.reskit.com のメンバです。ワークステーション クライアント上の Netlogon サービスによって、同じコンピュータ上の DNS クライアントに対して適切なドメイン コントローラを検索することが要求されます。DNS クライアント サービスからは、優先 DNS サーバーである SEA-NA-DC-01.noam.reskit.com に対して DNS クエリが送信され、そのドメインとサイト用のドメイン コントローラの名前と IP アドレスを含むリソース レコードが要求されます。クライアントでは、サービス (SRV) リソース レコード _ldap._tcp.seattle._sites.dc._msdcs.noam.reskit.com を紹介します。
この図の場合、2 つのドメイン コントローラが条件に一致します。それは、Seattle サイトに設置されているドメイン noam.reskit.com 用の 2 つのドメイン コントローラです。しかし、このシナリオの場合に条件に一致するドメイン コントローラは、SEA-NA-DC-01.noam.reskit.com だけです。ワークステーション クライアントの優先 DNS サーバーからは、要求された条件を満たすドメイン コントローラの名前と IP アドレスが含まれる SRV および アドレス (A) リソース レコードが、応答として返されます。要求された条件を満たすドメイン コントローラが複数存在する場合、DNS サーバーからは、それらのドメイン コントローラを示すその他のリソース レコードも、応答として返されます。
次にクライアントからドメイン コントローラに Lightweight Directory Access Protocol (LDAP) クエリが送信され、ドメイン コントローラがクライアントと同じドメインとサイトに設置されているかどうかについての照会が行われます。ドメイン コントローラからは、同じドメインとサイトに設置されているという応答が返されます。クライアントによる自身の認証が完了すると、ドメイン コントローラを使用できるようになります。したがって、DNS のインフラストラクチャでは、コンピュータからドメイン コントローラを検索できるようにすることによって、Active Directory をサポートすることに成功します。
実装した方法
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして示したものです。実際の各ネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、そのシナリオの機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。
管理者は、ここに記載したセットアップ手順で必要になる構成を各コンピュータで実行するための適切な権限を持たなければなりません。既定で適切な権限を割り当てられているのは、ルート ドメイン (RESKIT\Administrator) に対する Administrator アカウントです。このアカウントは、ドメイン コントローラの昇格が完了した後で、 Enterprise Admins グループのメンバになります。しかし運用ネットワークでは、権限をさらに制限することが必要な場合もあります。このシナリオのセットアップ手順で使用したアカウントについて説明しておきます。
このセットアップ手順では、以下の構成を仮定しています。
各コンピュータのハードディスクを再フォーマットし、適切なオペレーティング システムをインストールしてあります。
各コンピュータに適切な名前を付けてあります。
各コンピュータで通信を行うために適切なルーティングをセットアップしています。各コンピュータには次の IP アドレスを割り当てます。
SEA-RK-DC-01.reskit.com 172.16.4.11 SEA-NA-DC-01.noam.reskit.com 172.16.8.11 VAN-NA-DC-01.noam.reskit.com 172.16.44.11 クライアント 172.16.8.51注意
これらの IP アドレスは、プライベート ネットワーク用の IP アドレス空間内のアドレスです。これらの IP アドレスは、テスト環境またはファイアウォールの背後のプライベート ネットワーク内で使用できます。インターネットに接続したネットワークでは使用できません。詳細については、RFC 1918 を参照してください。
表 1 に、このシナリオのために使用したハードウェアおよびソフトウェアの一覧を示します。
表 1 このシナリオで使用したハードウェアおよびソフトウェア
コンポーネント |
ハードウェア |
ソフトウェア |
|---|---|---|
SEA-RK-DC-01.reskit.com |
Compaq ProLiant サーバー |
ドメイン コントローラおよび DNS サーバーとして構成された Windows 2000 Server |
SEA-NA-DC-01.noam.reskit.com |
Compaq ProLiant サーバー |
ドメイン コントローラおよび DNS サーバーとして構成された Windows 2000 Server |
VAN-NA-DC-01.noam.reskit.com |
Compaq ProLiant サーバー |
ドメイン コントローラおよび DNS サーバーとして構成された Windows 2000 Server |
クライアント |
Compaq Deskpro デスクトップ コンピュータ |
Windows 2000 Professional |
VAN-NA-W2RT-01.noam.reskit.com |
Compaq ProLiant サーバー |
ルーターとして構成された Windows 2000 Server |
SEA-NA-CISCO-01 |
Cisco 7513 ルーター |
|
SEA-NA-CISCO-03 |
Cisco 6006 L3 スイッチ |
|
セットアップ手順
このシナリオをセットアップするために、以下の作業を実施しました。
図 5 は、このシナリオで議論したネットワークの一部分を示しています。
図 5: ドメイン reskit.com および noam.reskit.com に含まれるコンピュータ
その他の参考資料
Microsoft Windows 2000 Server リソース キット
『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 5 章 DNS 入門」
『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS () 」 (英語)
『Microsoft Windows 2000 Server リソース キット 3 分散システムガイド 上』の「第 1 章 Active Directory の論理構造」
『Microsoft Windows 2000 Server リソース キット 1 導入ガイド』の「第 9 章 Active Directory 構造の設計」
ツール
-
Active Directory Sizer を使用すると、Active Directory を導入するために必要なハードウェアを、その組織のプロファイル、ドメイン情報、およびサイト トポロジに基づいて見積もることができます。Active Directory Sizer にユーザーが値を入力すると、その値と内部の計算方式に基づいて、次の数の見積もりが求められます。
各サイトの各ドメインごとのドメイン コントローラ
各サイトの各ドメインごとのグローバル カタログ サーバー
コンピュータごとの CPU と CPU の種類
Active Directory のデータ記憶域として必要なディスク
さらに Active Directory Sizer では、次の値のおよその見積もりも求められます。
必要なメモリの容量
ネットワーク帯域幅の使用状況
ドメイン データベースのサイズ
グローバル カタログ データベースのサイズ
サイト間の複製に必要な帯域幅
Netdiag
Netdiag は、ネットワーク クライアントの状態を確認し、それが機能しているかどうかを特定する一連のテストを実行することによって、ネットワーク機能の問題と接続の問題を分離できるユーティリティです。Netdiag について詳しくは、Windows 2000 Support Tools のヘルプを参照してください。Windows 2000 Support Tools および Support Tools ヘルプをインストールし、使用する方法については、Windows 2000 オペレーティング システム CD-ROM の \Support\Tools フォルダ内のファイル Sreadme.doc (英語) を参照してください。
Dnscmd.exe
コマンドライン ツール Dnscmd.exe を使用すれば、DNS サーバーを構成できます。Dnscmd.exe について詳しくは、Windows 2000 Support Tools のヘルプを参照してください。Windows 2000 Support Tools および Support Tools ヘルプをインストール、使用する方法については、Windows 2000 オペレーティング システム CD-ROM の \Support\Tools フォルダ内のファイル Sreadme.doc (英語) を参照してください。
Windows 2000 Server オンライン ドキュメント
Windows 2000 Server ヘルプの「ネットワーク」の「DNS」
Windows 2000 Server ヘルプの「Active Directory」
ホワイト ペーパー
その他のホワイト ペーパー
- 「Designing the Active Directory」 (『Planning for Windows 2000』 (英語) から引用された章)
Microsoft Press
- Microsoft Press のWindows 2000 関連書籍
その他
導入実験の詳細と協力企業について
- 導入実験、および導入実験に提供されたハードウェアに関する情報については、『導入実験のハードウェア仕様』を参照してください。
リソース キット導入実験シナリオの凡例
- Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。
リソース キット導入実験のネットワーク図
- ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。