Active Directoryを活用したクライアント端末の管理～DNSに関する追加設定～

さて、前回はまずはActiveDirectoryとDNSを構築しました。

しかし、「ActiveDirectoryのインストールウィザード」を利用してDNSが構築された場合、
一部の設定が完了しておらず運用に支障をきたす為、今回はその点の改善から作業に入ります。

最初に、「ActiveDirectoryのインストールウィザード」にてDNSを構築した際、
前回のエントリー通りの順番で作業が進んだ方はサーバのネットワークの設定変更が必要になります。
（つまり、インストール時のネットワークの設定でDNSを設定していなかった方）

ネットワークの設定を開くとすぐにわかるのですが、DNSが指定されていない状態になっています。

ですので、まず最初に「優先DNSサーバ」に「127.0.0.1」または
該当サーバに割り振られているIPである「20.1.100.11」のいずれかを設定してください。

この二つの違いは、該当サーバ上でnslookupを実施した際に、
「127.0.0.1」を設定している場合は、「server」欄が「localhost」と表示され、
「20.1.100.11」を設定している場合は、「srv-dev001.level-9.jp」となるかの違いです。

さて、最低限上記の設定を行ったら、現在構築された環境でnslookupを実行してみましょう。

上図は管理ドメイン内の名前解決を行った結果です。

お気づきになりますでしょうか？

上図の下段で逆引きを行っている部分（「nslookup 20.1.100.11」の部分）の応答結果を見てください。
本来、正引きで得られた結果をみると「srv-dev001.level-9.jp」は「20.1.100.11」となっています。
これを逆引きした際に得られた結果は「usvafch_3170c-ll.vtc.csc.com」となっています。

理由がわかるでしょうか？

まず、「20.1.100.11」というのはローカルネットワーク上で該当サーバに付与しているIPアドレスです。
それに対して、逆引きした結果応答を得られた「usvafch_3170c-ll.vtc.csc.com」は
インターネット上に登録されているレコードとなります。

なんとなく雰囲気としてつかめるのは、正引きは情報が正常に返っているが、
逆引きは構築したDNSから情報が得られておらず、外部DNSに問い合わせを行った結果、
「usvafch_3170c-ll.vtc.csc.com」を応答結果として受け取っていることが想定されます。

この状況から考えられることは、構築したDNSの逆引きが動作していないか、
または、なにか設定がおかしいことが想定されます。

では、少しDNSの設定について確認してみましょう。

スタートメニューから「サーバの役割管理」を選択してください。

すると、構築された「ドメインコントローラ（ActiveDirectory）」の管理に関するメニューと、
「DNSサーバ」の管理に関するメニューが追加されていることがわかります。

この中から「このDNSサーバを管理する」を選択してください。

「dnsmgmt」という画面が立ち上がります。これがDNSの管理画面になります。

早速、正引きの設定（前方参照ゾーン）や逆引きの設定（逆引き参照ゾーン）を確認したいと思います。

左側ツリーでツリーを展開し「前方参照ゾーン」を選択してください。
そして、さらにその中にあるドメイン名を選択（説明では「level-9.jp」）を選択します。

すると「level-9.jp」に関する情報が表示されます。
ここで登録されている情報を確認すると、右側の最下段に「srv-dev001」という記述がみつかります。

該当する情報をみると種類が「Host（A）」となっており、データが「20.1.100.11」になっていますね。
これは、「level-9.jp」ドメインに「srv-dev001」がホストレコード（Aレコード）として登録されており、
そのIPが「20.1.100.11」であることを表しています。

さて、このまま説明を進めて、今度は逆引き参照ゾーンの状況を確認します。

前方参照ゾーンの操作と同様に、右側ツリーで逆引き参照ゾーンを選択してください。

上図をみると、説明するまでもありませんね。
そうです。このDNSサーバには逆引きの設定が行われていないのです。

この結果、あらかじめ検証したNSLOOKUPの挙動に対する推測がおおよそ正しいことがわかりました。

実は、この結果は当然で、「ActiveDirectoryのインストールウィザード」を利用する過程で
DNSを構築した場合、この現象が発生してしまうのです。

さて、原因がわかったら、早速対処したいと思います。

1.新しいゾーンウィザードの開始

左側ツリーの「逆引き参照ゾーン」を右クリックし、「新しいゾーン」を選択してください。

すると、「新しいゾーンウィザードの開始」画面が表示されます。

内容を確認したら「次へ」をクリックして先に進んでください。

2.ゾーンの種類の選択

「ゾーンの種類」画面が表示されます。

ここでは、それぞれの選択項目の説明を読んでもわかるように
今回構築する環境はこのサーバで直接更新が行えるゾーンになりますので、
「プライマリゾーン」を選択し、「次へ」をクリックします。

3.レプリケーションスコープの選択

次に「ActiveDirectoryゾーンレプリケーションスコープ」画面が表示されます。

ここでは、DNSで管理するデータをネットワーク上の各サーバに対して
どのように複製（レプリケート）させるか選択を行います。

今回は、サーバOSとしてはWindows2003Server以降を対象にしていること、
そして、比較的小規模な組織内での運用を前提としていることから、
「ActiveDirectoryドメインlevel-9.jpのDNSサーバすべて」を選択します。

4.逆引きゾーン名の設定

次に「逆引き参照ゾーン名」画面が表示されます。

ここでは、逆引き参照ゾーンを識別する為の逆引きゾーン名を設定するのですが、
設定方法としてネットワークIDを指定する方法と、逆引き参照ゾーン名を設定する方法があります。

今回は、ネットワークIDで設定することとします。

ネットワークIDはご自身が設定しているIPアドレスとサブネットから算出し、
今回の説明でいえば、「20.1.100.0」になります。
なお、実際の入力画面は、サブネットの設定が反映された状態になっているため、
「20.1.100」まで入力することとなります。

5.動的更新に関する設定

次に、「動的更新」画面が表示されます。
ここでは、構築するDNSに対する更新をどのレベルまで受け入れるかを設定します。

選択肢としては、大きくわけて更新を受け入れるか、受け入れないかのいずれかを設定することとなり、
ActiveDirectoryの運営を前提とした場合、基本的にDNSの更新を受け入れる方がよいと私は思います。

今回は、「セキュリティで保護された動的更新のみを許可する（ActiveDirectory用に推奨）」を選択します。

6.新しいゾーンウィザードの完了

最後に「新しいゾーンウィザードの完了」画面が表示され、ここまでの選択や設定が表示されますので、
内容に問題が無ければ「完了」をクリックし作業を終了します。

さて、これで逆引き参照ゾーンの設定が完了しました。

しかし、逆引きに関するレコード（PTR）を登録した訳ではないので、
DNSの情報を更新するために一度再起動を行っておきます。

これは、ActiveDirectoryに統合したDNSサーバはActiveDirectoryに認証を行う際
その該当ホストをDNS上の管理情報として動的に追加するため、
その仕組みを利用して動的に追加しようというわけです。

先再起動が終了したらDNSが正常に設定されているか早速確認します。

最初と同じように、「サーバの役割管理」からDNSの管理画面である「dnsmgmt」を起動し
左側ツリーにて「逆引き参照ゾーン」を選択します。

すると、先ほどまでは何もなかったところに「20.1.100.x Subnet」という項目が追加されています。
これが先ほど登録した逆引き参照ゾーンになり、
さらにこの「20.1.100.x Subnet」を選択すると登録されている内容が確認できます。

上図で確認していただきたいのは、名前項目が「20.1.100.11」となっており、
種類が「Pointer(PTR)」となっているレコードです。

これがいわゆる逆引き参照用のレコードです。

では最後に、nslookupを再度行って正常に応答が得られるか確認しましょう。

正常に取得できるようになっていることが確認できます。

これで、ActiveDirectoryの構築とDNSの構築は完了です。
それぞれの挙動や運用に関連する説明はまた別な投稿で行いたいと思います。

次回は、クライアント端末がネットワークに接続する際に
IPアドレスを取得するためのDHCPサーバの構築と、
その際、DNSやゲートウェイ等の付加情報の配信等について説明を行います。

お疲れ様でした。

Technorati Tags: ActiveDirectory, DNS, Windows 2003 Server