- PR -

クローズしたネットワークにおいて単一ドメインを構築。完全なDNS名は?

«前のページへ 1|2
投稿者投稿内容
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-22 00:39
引用:

ちょっとした疑問なのですが、Internet globalにて、トップルートドメインに
Windows2000のAD統合DNSを使用した場合(まずあり得ないと思いますが…)は
構築できない仕様なのですかね?

というか,そのような domain name を取得できますでしょうか?
「トップルートドメイン」というところで「認識がずれているかな?」と感じますが,要するに aaa.co.jp という domain を取得している場合,内部で ActiveDirectory を構築する際にこれを使ってしまうと Internet 上へ公開する場合の zone の作り方で困ったことになると思います.その場合は aaa.co.jp を Internet に公開して,aaa.co.local のような local な名前や aaa.co.jp の sub-domain として zzz.aaa.co.jp を作って ActiveDirectory に利用したほうが「たぶん幸せ」になると思います.
ぴんぴん
大ベテラン
会議室デビュー日: 2004/05/07
投稿数: 141
投稿日時: 2004-05-22 01:17
これについては、DMZを作成しDMZにスタンドアロンのDNSを置き、これに公開するサーバー
のアドレスを登録し、逆引きを許す。
DMZの内側には、プライベートなDNSを置き、コンディショナルフォワーディングで同一
ドメインの場合DMZのDNSを引きに行く(できたかな?)、というやりかたで、公開するのと
同じドメイン名を内部で使いながら、外部から内部DNSの参照を防ぐということが
できませんか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-05-22 01:46
引用:

ぴんぴんさんの書き込み (2004-05-22 01:17) より:
これについては、DMZを作成しDMZにスタンドアロンのDNSを置き、これに公開するサーバー
のアドレスを登録し、逆引きを許す。
DMZの内側には、プライベートなDNSを置き、コンディショナルフォワーディングで同一
ドメインの場合DMZのDNSを引きに行く(できたかな?)、というやりかたで、公開するのと
同じドメイン名を内部で使いながら、外部から内部DNSの参照を防ぐということが
できませんか?

少なくとも,手近で「D.M.Z. と内部を同じ domain で」をやった実例があります.ぴんぴん様と違い彼は「深く考えず」にやったようですが,内部の ActiveDirectory 側の DNS を参照する client から D.M.Z. 上の DNS の名前は引けませんでした.結局「D.M.Z. と内部の DNS をそれぞれ個別に管理する」ことになったようです.

個人的にはぴんぴん様ご指摘のように,ActiveDirectory の DNS zone は Internet に晒さずにおくのが吉です.が,D.M.Z. なり,forwarding 先と「同一」はよろしくないのではないかと...
ぴんぴん
大ベテラン
会議室デビュー日: 2004/05/07
投稿数: 141
投稿日時: 2004-05-22 03:35
kazさま、こんばんは。
確かに、ちょっと今試してみましたが、conditional forwardingで、自分が持つドメイン名
と同じ物は設定できませんでした。
ちょっといんちきをして、DMZ上にはroot.xxxx.comのゾーンを作っておき、xxxx.comの
コンディショナルフォワーディングを掛けたら、中からでも一応引くことはできました。

ただ、これは「貰ったドメイン名をDMZと中双方に使用する」目的には使えませんね。
やはり、ゾーンを分けるのが、正しいデザインのようですね。

上記を応用すれば、内部ドメインをroot.xxxx.comにして、DMZをxxxx.comにして、
DMZのDNSにroot.xxxx.comとxxxx.comのゾーンを作って、DMZのサーバーを双方のゾーンに
登録して、内部のDNSにxxxx.comのコンディショナルフォワードをかけると、DMZのサーバー
もホスト名だけで引けるようになるかな?
DNSルックアップの時のサフィックスの設定とかは、いろいろ有った気がして、もっと
うまくできるのかもしれませんが。
井上孝司
ぬし
会議室デビュー日: 2001/09/08
投稿数: 668
お住まい・勤務地: 東京都
投稿日時: 2004-05-22 10:56
井上です。

単一ラベルドメイン名に関連する過去ログと KB はこれです。参考にしてください。

http://support.microsoft.com/default.aspx?scid=kb;JA;300684

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?mode=viewtopic&topic=6237&forum=6&start=0
_________________
www.kojii.net
こばさん
大ベテラン
会議室デビュー日: 2004/03/17
投稿数: 147
投稿日時: 2004-05-24 11:24
 ちょっと便乗質問。
引用:

ぴんぴんさんの書き込み (2004-05-21 23:15) より:
いえ、その逆で、xxxxx.comを持っているので、root.xxxxx.comを使っています。
これで、大抵の状況で、ドメイン名はrootで通りますね。たとえば、rootyyy でログイン
するとか、\rootpublicでDFSを参照するとか、です。

それ風で、私も root.xxxx.co.jp ドメイン作りました。
 ドメインに入ってるクライアントは pc.root.xxxx.co.jp とかいう名前になる訳ですすが、デフォルトで DNS Suffix Search List に co.jp が加えられてしまい、ドメインに所属しないホスト名 yahoo が社内にあっても、yahoo.co.jp のアドレスを拾ってきてしまうようになっちゃいました。

1)yahoo.root.xxxx.co.jp を探す
2)yahoo.xxxx.co.jp を探す
3)yahoo.co.jp を探す
4)ブロードキャスト飛ばす

 って順序のようで。(2、3がお節介)
 クライアントPCのネットワークのプロパティで、DNS Suffix Search List を勝手に作るな!ってしたら問題は解消しました(先の順序で2、3が無くなった)が、端末数が膨大なネットワークではローカルなドメイン名も考えて名づけしないといけないと痛感しました。
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)