コンテンツ・サーバとキャッシュ・サーバを分ける。
コンテンツ・サーバでは、キャッシュ機能を無効にし、自身で保持しているゾーン情報の提供のみを行う。
キャッシュ・サーバでは、ほかのDNSゾーンに対するリゾルバ機能のみを提供する。さらに、ネットワーク・アドレスなどによるアクセス制限を行い、インターネットからアクセスできないようにする。

　Windows Server OSに付属のDNSサービスでは、コンテンツ・サーバ機能とキャッシュ・サーバ（リゾルバ）機能を分離して運用することができないので、代わりに、2種類のサービスを完全に2台のサーバ・コンピュータに分けて運用するのがよい。本TIPSでは、まずコンテンツ・サーバとして設定する方法を説明する。キャッシュ・サーバに対する対策については、TIPS「DNS ampの踏み台サーバになるのを防ぐ（キャッシュ・サーバ編）」を参照していただきたい。

コンテンツ・サーバとキャッシュ・サーバ
インターネットにDNSサーバを公開する場合は、必ず別にキャッシュ・サーバを用意し、コンテンツ・サーバではキャッシュ機能は利用できないようにしておく。

操作方法

　Windows 2000 ServerやWindows Server 2003のDNSサービスは、コンテンツ・サーバとキャッシュ・サーバの両方の機能を持っている。どちらか一方だけをアンインストールすることはできない。だが設定を変更することにより、キャッシュ・サーバ機能（リゾルバ機能）を無効にできるので、結果的にコンテンツ・サーバ機能だけが利用可能になる。インターネットに向けてDNSのゾーン情報を提供しているDNSコンテンツ・サーバでは、以下のように設定して、踏み台として利用されないようにするのがよい。

●DNSの再帰的問い合わせを無効にする

　［管理ツール］の［DNS］ツールを起動し、サーバ名を右クリックしてポップアップ・メニューから［プロパティ］を選択する。するとサーバの設定ダイアログが表示されるので、［詳細］タブを選択し、一番上にある［再帰を無効にする］（Windows 2000の場合）もしくは［再帰を無効にする（フォワーダも無効になります）］（Windows Server 2003の場合）というチェック・ボックスをオンにする。

再帰クエリの禁止によるキャッシュ・サーバ機能の無効化
キャッシュ・サーバ機能を禁止するには、サーバの設定画面で再帰的問い合わせを禁止する（これはWindows Server 2003のDNSサービスの設定画面）。
　 （1）DNSサーバのプロパティ画面で、このタブを選択する。この画面で分かるように、再帰クエリの禁止は、DNSサービス全体で効果を持つ設定である。リッスンするIPアドレスやDNSのゾーンごとに設定を変更することはできない。
　 （2）このチェック・ボックスをオンにすると、リゾルバ機能が無効になり、キャッシュ・サーバとして動作しなくなる。デフォルトはオフ。

●フォワーダの無効化

　キャッシュ・サーバ機能を無効にするには、上記の設定だけで構わないが、念のために、フォワーダも無効にしておくとよい。この対策も併用することにより、何らかのミスなどでチェック・ボックスがオンになっても、キャッシュ・サーバとして動作しなくなり、安全性が高くなる。

　フォワーダとは、自分自身で解決できない名前解決要求を、別のDNSサーバに依頼して解決するための機能である。デフォルトではここには何も定義されていないはずなので、空になっていることを確認しておく。

フォワーダ設定の無効化
フォワーダ設定をすべて空にし、間違ってほかのDNSサーバに名前解決を転送（フォワード）しないようにしておく。これはWindows 2000 ServerのDNSサーバの管理画面である。Windows Server 2003の場合はドメインごとに異なるサーバに転送することができるが（条件付きフォワード機能という）、やはりすべての転送先設定を空にしておく。
　 （1）このタブを選択する。
　 （2）これをオフにすると、フォワーダ機能が無効になる。Windows Server 2003の場合は、条件付きフォワーダとなっているので、フォワード先のDNSドメインとDNSサーバの組をすべて削除する。