メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

アクティブ・ディレクトリ・ドメインにおけるDNS設定のベストプラクティス(英語)

概要: Active DirectoryでDNSを設定するためのベストプラクティスの推奨事項

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

文書の概要: この文書では、Active DirectoryドメインでDNSを設定するためのベストプラクティスの推奨事項を説明します。


 

Active Directoryが意図したとおりに機能するためには、DNSを適切に設定する必要があります。DNSが正しく構成されていないと、ログオンの失敗、グループ ポリシーの処理の問題、レプリケーションの問題など、さまざまな問題が発生する可能性があります。次のベスト プラクティスのリストはすべてを網羅しているわけではありませんが、Active Directoryドメイン内で適切な名前解決を行うために活用できます。

  • 小規模な環境では、少なくとも1台のドメイン コントローラー(DC)をDNSサーバーにする必要があります。Windows Server以外のサーバーを含め、DCではないサーバーにDNSをインストールすることはできますが、DCにDNSをインストールするとAD統合ルックアップ ゾーン(下記参照)を使用できるようになり、セキュリティーが強化されてゾーン レプリケーションが簡略化されます。
     
  • 大規模な環境では、各物理サイトで少なくとも2台のドメイン コントローラーをDNSサーバーにする必要があります。これにより、1台のDCが予期せずオフラインになった場合に冗長性が提供されます。この機能を利用するために、ドメインに参加するマシンでは、複数のDNSサーバーを使用するように構成する必要があります。

     
  • 複数のDCをDNSサーバーとして構成する場合は、解決するために最初にお互いを使用してから、次にそれ自体を使用するように構成する必要があります。各DCのDNSサーバーのリストには固有のアドレスを含める必要がありますが、リストの最初のサーバーとして含める必要はありません。DCがそれ自体のみを使用して解決する場合は、他のDCとのレプリケーションを停止することがあります。これは、1台のDCのみを使用するドメインでは、もちろん問題になりません。

     
  • ドメインに参加するすべてのコンピューターは、内部DNSサーバーのみを使用する必要があります。ドメインに参加するコンピューターが外部サーバーを代替DNSサーバーとして使用するように構成されている場合は、内部DNSサーバーへの接続が一時的に失われることが原因で、そのマシンは解決するために外部サーバーの使用を開始します。その外部サーバーはADドメイン内のすべてのクエリーを解決できず、また、接続が復元されても、クライアント マシンは自動的に内部DNSサーバーに戻りません。これは一般的に、影響を受けるマシンからドメイン内のリソースにアクセスできないことを意味します。小規模オフィス/ホームオフィス(SOHO)ルーターを使用してクライアント マシンにDHCPアドレスを割り当てる場合、それらのクライアントにも外部DNSサーバーが割り当てられる可能性がありますので注意してください(または手動で設定してこれを防止します)。

     
  • マルチサイト環境では、別のサイトよりも先にローカル サイトのDNSサーバーを使用するようにドメイン メンバーを設定する必要があります。これにより、低速WANリンクを通過するDNSトラフィックの量が最小限に抑えられます。

     
  • Active Directory統合DNSゾーンを使用してセキュリティーを強化し、DNSのレプリケーションを簡略化します。AD統合DNSゾーンは、Active Directory内のディレクトリー パーティションに格納されます。これらのディレクトリー パーティションは他のADと同じようにレプリケートされるため、DNSのレプリケーションに追加の構成(ゾーン転送の設定など)は必要ありません。さらに、AD統合ゾーンではセキュアな動的更新を使用できます。これにより、ドメインで認証できないマシンからのDNSレコードに対するアップデートを防ぐことができます。

     
  • それ以外のやむを得ない理由がある場合を除いて、DNSゾーンではセキュアな動的更新のみを許可する必要があります。セキュアでない動的更新を許可すると、ドメインの一部でないマシンがドメインのDNSサーバーでレコードを変更できるようになるため、セキュリティー上のリスクが生じます。一方、動的更新を無効にすると、DNSレコードはセキュリティーで保護されますが、ドメインを管理しにくくなります。

     
  • インターネットに接続されている環境では、外部の名前解決にフォワーダまたはルート ヒントを設定します。フォワーダは、外部クエリーへの応答を高速化することができますが、本文書作成時点で存在する広く分散された374のルートDNSサーバーよりも冗長性が低くなります。ルート ヒントはデフォルトでWindows Serverに存在しますが、フォワーダは手動で設定する必要があります。 

     
  • ドメイン内のDNSサーバーは互いをフォワーダとして使用できません。フォワーダは、DNSサーバーが回答できないクエリー(つまり、ホストしないゾーンのレコードに対するクエリー)を送信するサーバーです。通常、1つのドメイン内のDNSサーバーはすべて同じゾーンをホストしているため、いずれか1つが特定のクエリーに回答できない場合はすべてのサーバーが回答できず、1つのサーバーから別のサーバーにそのクエリーを転送すると、単純に遅延が発生します。

     
  • 古いDNSレコードを回避するために、エージングとスカベンジングを設定します。エージングとスカベンジングを適切に設定すると、古いレコード(設定可能な特定の年月日よりも古いレコード)がDNSから自動的に消去されます。 

     
  • DNSベスト プラクティス アナライザを使用します。DNS BPAは、ここに記載されているよりも多くの項目をチェックし、検出された問題を解決するためのガイドラインを提供します。  DNS BPAの詳細については「ドメイン ネーム システムのベスト プラクティス アナライザ(英語)」を参照してください。
 

 

SLN155801_ja__1icon メモ: DNSベスト プラクティスの詳細については、オペレーティング システムのバージョン/エディションに応じてMicrosoftの公式文書を参照してください。

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution