名前のオーバーラップによらない、既存の DNS インフラストラクチャへの Active Directory 名前空間の統合
このシナリオでは、Service (SRV) リソース レコードをサポートしない DNS サーバーが企業の DNS 名の処理を管理していて、DNS 名を Active Directory ドメイン名にオーバーラップさせたくない場合に、Active Directory™ ディレクトリ サービスをサポートするように Windows 2000 ドメイン ネーム システム (DNS) を構成する方法を紹介しています。SRV レコードをサポートしない DNS サーバー単独では、Active Directory をサポートすることはできません。
トピック
目的
設計のロジック
機能するしくみ
実装した方法
その他の参考資料
目的
このシナリオでは、Windows 2000 DNS サーバーを実行する Microsoft® Windows® 2000 ベースのコンピュータを使用して、以下の作業を行いました。
DNS 名の処理を BIND 4.9.3 サーバーが管理している環境で、Active Directory をサポートさせます。BIND 4.9.3 単独では、Active Directory をサポートできません。したがって、それを補うために Windows 2000 DNS サーバーを実行するコンピュータを使用します。これによって、既存の BIND サーバーのソフトウェアへの投資を無駄にしなくても済みます。
現在の DNS インフラストラクチャ内でまだ使用されていない Active Directory DNS 名を使用します。つまり、既に使用中の DNS 名にオーバーラップしない (同じでない) Active Directory DNS 名を使用します。
Active Directory 統合 DNS ゾーンを実装します。これは、マルチマスタ複製および保護された動的更新などの機能を提供できます。
ドメイン コントローラと DNS サーバーの可用性を保証することによって、フォールト トレランスを実現します。
『名前のオーバーラップによる、既存の DNS インフラストラクチャへの Active Directory 名前空間の統合』では、DNS サーバーを実行する Windows 2000 を使用して、BIND 4.9.3 サーバーを補うもう 1 つの構成を紹介します。このシナリオでは、BIND サーバーの処理する DNS ドメイン名と Active Directory ドメイン名の重複を許します。この構成について詳しくは、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS 」 (英語) を参照してください。
このシナリオに代わるもう 1 つの方法として、SRV レコードをサポート可能な BIND バージョンに BIND 4.9.3 サーバーをアップグレードするか、あるいは BIND を Windows 2000 DNS に置き換えることもできます。
設計のロジック
ドメイン コントローラ ロケータでは、DNS サーバーではサポートされない SRV リソース レコードを使用しています。ここでは、SRV リソース レコードをサポートしない DNS サーバーで DNS ドメイン名を処理していて、DNS 名をオーバーラップせずに Active Directory ドメインを作成するケースを想定します。このためには、SRV レコードをサポートするサーバーにゾーンを委任し、委任したゾーンの名前を Active Directory ドメイン名として使用します。このシナリオでは、このような目的を達成できる構成を示します。
このシナリオでは、DNS 名の処理を BIND 4.9.3 サーバーが管理している環境で、Windows 2000 DNS を使用して Active Directory をサポートします。図 1 で示すように、このシナリオでは BIND 4.9.3 を実行する 2 台の DNS サーバー、DNS サーバー サービスをインストールした 2 台のドメイン コントローラ、そして 1 台のクライアントを使用します。
注意
ここで BIND バージョン 4.9.3 を選択した理由は、古い RFC である RFC 952 に従ったホスト名適合チェックが行われないためです。RFC 952 に従ったホスト名をチェックするバージョンの BIND を使用した場合、このコンピュータ上および SJC-SP-DC-02.partner.supplier01-int.com 上で名前チェック機能を無効にすることがさらに必要になります。
.gif "dns03-01")
図 1: San Jose サイトのコンピュータ
注意
このシナリオでは、シナリオの機能を実現するために必要なコンポーネントのみを示しています。しかし、Microsoft® Windows® 2000 リソース キット導入実験では、最善の慣行に従って、その他のコンポーネントも使用しています。
このシナリオでは、 Windows 2000 を導入する以前は、ドメイン supplier01-int.com 内のすべての名前の処理を BIND 4.9.3 サーバーのみが管理していました。そして、supplier01-int.com 内のクライアントはすべて、優先 DNS サーバーとして BIND サーバーを使用していました。ゾーン supplier01-int.com を管理している BIND サーバー SJC-SP-DNS-01.supplier01-int.com は、単独で Active Directory をサポートすることはできません。これは、Active Directory ドメイン名の処理を管理する DNS サーバーでは SRV リソース レコードをサポートすることが必要になるためです。BIND サーバー SJC-SP-DNS-02.supplier01-int.com は、SJC-SP-DNS-01.supplier01-int.com によってホストされたゾーンのセカンダリ サーバーとして機能します。
管理者は Windows 2000 導入の準備を進めるために、Active Directory ドメインのフォレスト ルートの名前として partner.supplier01-int.com を割り当てました。管理者は、BIND サーバーから Windows 2000 の DNS サーバーに新しいゾーン partner.supplier01-int.com の委任を追加し、Active Directory ドメイン partner.supplier01-int.com を作成しました。ゾーン partner.supplier01-int.com は、Active Directory 統合になっており、ドメイン コントローラの位置特定で必要になる SRV レコードやその他のレコードを含んでいます。
ネットワーク上のどのクライアントからでも、このドメイン コントローラ ロケータ リソース レコードを参照できます。このシナリオのクライアントでは、優先 DNS サーバーとして BIND サーバーを使用します。クライアントから BIND サーバーにドメイン コントローラ ロケータ リソース レコードを照会すると、BIND サーバーは Windows 2000 DNS サーバー SJC-SP-DC-01.partner.supplier01-int.comに照会し、その応答をクライアントに返します。
フォールト トレランスを実現し、ドメイン コントローラの可用性を常に保証するために、ドメイン partner.supplier01-int.com 用にもう 1 台のドメイン コントローラ SJC-SP-DC-02.partner.supplier01-int.com を構成しました。フォールト トレランス性と負荷分散性を向上させるための最善の慣行として、1 つのドメインあたりに少なくとも 2 台のドメイン コントローラを配置し、1 つのサイトあたりに少なくとも 1 台のドメイン コントローラを置きます。
DNS サーバーの可用性を保証するために構成した SJC-SP-DC-02.partner.supplier01-int.com では、ゾーン partner.supplier01-int.com の Active Directory 統合コピーをホストします。最善の慣行に従う場合、各ゾーンを管理する DNS サーバーが少なくとも 2 台必要です。
機能するしくみ
SJC-SP-DC-01.partner.supplier01-int.com は、ドメイン コントローラ リソース レコードを DNS 内に登録しています。クライアントはこのリソース レコードを使用して、ドメイン コントローラを特定、使用します。
注意
ここで示す結果は、このシナリオに特有のものです。サーバーの構成が異なる場合、あるいはネットワークの状態によってサーバーが最適に動作できない場合、得られる結果が異なることもあります。たとえば、優先 DNS サーバーが応答しない場合、代替の DNS サーバーが使用されます。名前解決手順の詳細については、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS 」 (英語) を参照してください。
Windows 2000 Server を実行する SJC-SP-DC-01.partner.supplier01-int.com をドメイン コントローラに昇格させて再起動すると、Netlogon サービスは同じコンピュータ上の DNS クライアント サービスがロケータ リソース レコードを登録するように定期的に要求します。
SJC-SP-DC-01.partner.supplier01-int.com 上の DNS クライアント サービスは、ロケータ リソース レコードを登録するために、ゾーン partner.supplier01-int.com を管理する DNS サーバーに動的更新を送信する必要があります。クライアントは動的更新処理を開始するために、優先 DNS サーバーに SOA リソース レコードを照会して登録すべき名前を求め、登録するリソース レコードを管理するサーバーおよびゾーンの名前を識別します。優先サーバーは、BIND サーバー SJC-SP-DNS-01.supplier01-int.com です。
BIND サーバーは、ゾーン ファイルへのクエリを行います。ゾーン ファイルには、ゾーンを管理するサーバーとしてコンピュータ SJC-SP-DC-01.partner.supplier01-int.com および SJC-SP-DC-02.partner.supplier01-int.com を参照する委任が含まれています。したがって、BIND サーバーはこの管理サーバーにクエリを送信した後、その応答をクライアントに返します。
コンピュータ SJC-SP-DC-01.partner.supplier01-int.com 上の DNS クライアント サービスは、さらに動的更新の処理を継続し、同じコンピュータ上の DNS サーバーに動的更新を送信することによって、ゾーン partner.supplier01-int.com に最初のロケータ リソース レコードを追加します。DNS ゾーンでは保護された動的更新が要求されるので、この動的更新は拒否されます。クライアントは、否定応答を受け取った後、ゾーン partner.supplier01-int.com にロケータ リソース レコードを追加するために、同じコンピュータ上の DNS サーバーに保護された動的更新を送信します。この処理はレコードごとに繰り返されます。 図 2 にこの要求を示します。
.gif "dns03-04")
図 2: ロケータ リソース レコードの登録要求
SJC-SP-DC-01.partner.supplir01-int.com 上の DNS サーバー サービスは、ゾーン partner.supplier01-int.com にロケータ リソース レコードを登録します。その後、DNS サーバー サービスは DNS クライアント サービスに動的更新の結果を応答します。そして、DNS クライアント サービスが Netlogon サービスに応答します。図 3 にこの要求を示します。
.gif "dns03-06")
図 3: ロケータ リソース レコードの登録要求に対する応答
クライアントをドメインに参加させて再起動すると、そのクライアントは所属ドメインのドメイン コントローラを自身のサイトまたは最も近いサイトで探索します。クライアントは、Windows 2000 を実行している優先 DNS サーバーに DNS クエリを送信し、ドメインおよびサイトの LDAP (Lightweight Directory Access Protocol) サーバーの名前および IP アドレスの情報が含まれているリソース レコードを要求します。この要求は以下の SRV レコードを照会します。
_ldap._tcp.sanjose._sites.dc._msdcs.partner.supplier01-int.com.
Windows 2000 を実行する SJC-SP-DC-01.partner.supplier01-int.com はゾーン ファイルを照合します。要求された基準を満たすのはこのドメイン コントローラのみです。このドメイン コントローラは、自身の名前と IP アドレスのリストを含む SRV レコードと A レコードの応答をクライアントに返します。要求された基準に複数のドメイン コントローラが一致する場合には、ドメイン コントローラを参照する追加リソース レコードが DNS サーバーによって返されます。図 4 は、クライアントと SJC-SP-DC-01.partner.supplier01-int.com 間のクエリと応答を示しています。
.gif "dns03-07")
図 4: ロケータ リソース レコードを探索する DNS クエリとその応答
その後クライアントは、同じドメイン/サイトにドメイン コントローラが存在するかどうか調べるために、ドメイン コントローラに LDAP クエリを送信します。ドメイン コントローラは、それを肯定する返答を行います。これを受けてクライアントは、ドメイン コントローラの使用を開始することができます。したがってこのような構成をとれば、既存のソフトウェア BIND 4.9.3 への投資を無駄にしないで Active Directory をサポートできます。
実装した方法
このシナリオでは、セットアップ手順の実装を始める前に、BIND サーバー SJC-SP-DNS-01.supplier01-int.com が既にインストールされ、構成されています。この構成では、Active Directory ドメイン名 partner.supplier01-int.com を管理する Windows 2000 ベースのサーバー SJC-SP-DC-01.partner.supplier01-int.com を参照する委任を含むゾーン ファイルを適用します。セットアップ手順ではこの委任を指定します。このシナリオの BIND の構成について詳しくは、『SJC-SP-DNS-01.supplier01-int.com 上のゾーン ファイル』を参照してください。
このシナリオのセットアップ手順では、Windows 2000 ベースのサーバー SJC-SP-DC-01.partner.supplier01-int.com ドメイン コントローラに昇格させました。そして、ドメイン コントローラへの昇格時に自動的な構成に同意したので、DNS サーバー サービスが自動的にインストールされ、Active Directory 統合ゾーン partner.supplier01-int.com が自動的に作成されました。さらに昇格後に、ドメイン コントローラ ロケータ リソース レコードが自動的に追加されました。
次に、Windows 2000 ベースのサーバー SJC-SP-DC-02.partner.supplier01-int.com をドメイン コントローラに昇格させて、DNS サーバー サービスをインストールしました。この DNS サーバーには Active Directory 統合ゾーン partner.supplier01-int.com がロードされます。
このセットアップ手順を完了した後は、ネットワーク上のどのコンピュータからでも、DNS 名前解決を通じてドメイン コントローラ ロケータ リソース レコードを検索することによって、ドメイン コントローラを特定できました。
管理者は、ここに記載したセットアップ手順で必要になる構成を各コンピュータで実行するための、適切な権限を持たなければなりません。既定でドメイン partner.supplier01-int.com (PARTNER\Administrator) の Administrator アカウントは適切な権限を持っています。このアカウントは、SJC-SP-DC-02.partner.supplier01-int.com を昇格させた後、Enterprise Admins グループのメンバになります。しかし運用ネットワークでは、権限をさらに制限することが必要な場合もあります。このシナリオのセットアップ手順で使用したアカウントについて説明しておきます。
このセットアップ手順では、以下の構成を仮定しています。
SJC-SP-DC-01.partner.supplier01-int.com、SJC-SP-DC-02.partner.supplier01-int.com、およびクライアントが再フォーマットされています。
表 2 で示すように、各コンピュータには適切なオペレーティング システムが動作していて、適切な名前が割り当てられています。
コンピュータが通信するためのルーティングが適切にセットアップされていて、表 1 で示すようにコンピュータに IP アドレスが割り当てられる状態にあります。
表 1 このシナリオで使用したコンピュータの IP アドレス
コンピュータ名 |
IP アドレス |
|---|---|
SJC-SP-DNS-01.supplier01-int.com |
192.168.2.13 |
SJC-SP-DC-01.partner.supplier01-int.com |
192.168.4.11 |
SJC-SP-DC-02.partner.supplier01-int.com |
192.168.4.12 |
クライアント |
192.168.4.51 |
注意
これらの IP アドレスは、プライベート ネットワーク用の IP アドレス空間内のアドレスです。これらの IP アドレスはテスト環境またはファイアウォールの背後のプライベート ネットワーク内で使用できますが、インターネットに接続したネットワークでは使用できません。詳細については、RFC 1918 を参照してください。
表 2 に、このシナリオのために使用したハードウェアおよびソフトウェアの一覧を示します。
表 2 このシナリオで使用したハードウェアおよびソフトウェア
コンポーネント |
ハードウェア |
ソフトウェア |
|---|---|---|
SJC-SP-DNS-01.supplier01-int.com |
Compaq コンピュータ |
BIND 4.9.3 |
SJC-SP-DC-01.partner. |
Compaq コンピュータ |
ドメイン コントローラおよび DNS サーバーとして構成された Windows 2000 Server |
SJC-SP-DC-02.partner. |
Compaq コンピュータ |
ドメイン コントローラおよび DNS サーバーとして構成された Windows 2000 Server |
Client.partner.supplier01-int.com |
Compaq コンピュータ |
Windows 2000 Professional |
SJC-SP-CISCO-01.partner. |
Cisco 3600 ルーター |
|
注意
このシナリオにおいてコンピュータおよびデバイスを構成するために使用した手続きはサンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になるその他の手順については取り上げていません。
セットアップ手順
このシナリオをセットアップするために、以下の作業を実施しました。
図 5 は、このシナリオで議論したネットワークの一部分を示しています。
図 5: San Jose サイトのコンピュータ
その他の参考資料
Windows 2000 リソース キット
DNS の詳細については、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の『第 6 章 Windows 2000 DNS 』 (英語) を参照してください。
Active Directoryの詳細については、『Microsoft Windows 2000 Server リソース キット 3 分散システムガイド上』の「第 1 章 Active Directory の論理構造」、と『Microsoft Windows 2000 Server リソースキット 1 導入ガイド』の「第 9 章 Active Directory 構造の設計」を参照してください。
Windows 2000 Server ドキュメント
DNS について詳しくは、Windows 2000 Server ヘルプ の「ネットワーク」の「DNS」を参照してください。
Active Directory について詳しくは、Windows 2000 Server ヘルプ の「Active Directory」を参照してください。
ツール
Netdiag
ネットワーク接続の問題を解決するには、Netdiag ツールを使用します。
Netdiag は、ネットワーク クライアントの状態を確認し、それが機能しているかどうかを特定する一連のテストを実行することによって、ネットワーク機能の問題と接続の問題を分離できるユーティリティです。Netdiag について詳しくは、Windows 2000 Support Tools のヘルプを参照してください。Windows 2000 Support Tools および Support Tools ヘルプをインストールし、使用する方法については、Windows 2000 オペレーティング システム CD-ROM の \Support\Tools フォルダ内のファイル Sreadme.doc (英語) を参照してください。
Dnscmd.exe
コマンド プロンプトから DNS 構成を実行するには、Dnscmd.exe ツールを使用します。
コマンドライン ツール Dnscmd.exe を使用すれば、[DNS] スナップインでできる ほとんどの作業を実行できます。Dnscmd.exe について詳しくは、Windows 2000 Support Tools のヘルプを参照してください。Windows 2000 Support Tools および Support Tools ヘルプをインストール、使用する方法については、Windows 2000 オペレーティング システム CD-ROM の \Support\Tools フォルダ内のファイル Sreadme.doc (英語) を参照してください。
ホワイト ペーパー
- DNS について詳しくは、『Windows 2000 DNS』を参照してください。
Microsoft 以外からリリースされているドキュメント
- BIND についてさらに詳しく調べたい方は、『DNS and BIND』
.gif "leave-ms")
(英語) , 3rd ed., by Paul Albitz and Cricket Liu, 1998, Sebastopoilly & Associates をご覧ください。
導入実験の詳細と協力企業について
- 導入実験、および導入実験に提供されたハードウェアに関する情報については、『導入実験のハードウェア仕様』を参照してください。
リソース キット導入実験シナリオの凡例
- Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されていて、導入実験シナリオで参照されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。
リソース キット導入実験のネットワーク図
- ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。