- - PR -
クライアントからのsite参照時におけるプロキシ設定について
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-02-07 13:16
Mattun 様 確かにご指摘通りです。 二重管理前での検証では、WinServ2003から企業共通DNSへフォワードすれば、 nslookupでwww.yahoo.co.jpの解決が可能にも関わらず、proxyのドメイン名、 proxy.pacを参照させるURLに含まれるドメイン名の名前解決ができません。 優先DNSで企業共通DNSを指定すれば、上記解決も可能だが、WinServ2003の DNSを指定し、企業共通DNSへフォワードすると、解決ができません。 フォワード時としない時との違いは、後者の場合、nslookupでwww.yahoo.co.jpの 解決ができないことを確認しております。 このことから、フォワード機能は動作していると認識しております。 このことを踏まえた場合、何故、フォワード先のDNSでは、解決できるのに、フォワードすれば名前解決が出来ないのかが、疑問に思います。 例えば、企業共通DNSの先に統括DNSが存在していた場合は、どうでしょうか? @統括DNS−A企業共通DNS−BWinServ2003(DNS)−Cクライアント ※企業共通DNSが統括DNSへフォワードする設定になっているかと思われます。 フォワードによるDNS間の移動に制限をかけているとしか思いつきません。 そんなことは可能なのでしょうか? WinServ2003側で考えた場合、デフォルト設定でフォワード機能に関して制御されている のでしょうか?そのようなことは可能なのでしょうか? 宜しくお願いします。 | ||||||||
|
投稿日時: 2006-02-07 13:45
Windows2003DNSサーバが、proxy等の情報を保管すべきDNSゾーンの情報を 持ってるから、でしょう。自身で解決できるゾーンの情報は他にはフォワードしません。 問題は、そのゾーンを、企業共通DNSとは別個に「勝手に」作ってることです。 企業共通DNSサーバの管理者と相談しなきゃならないのはその点です。 そのゾーン、ActiveDirectory構築用にすでに使っちゃってる、とかだったら、 AD設計の時点で考慮不足ってことになります。その場合は二重管理はやむをえないでしょう。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||
|
投稿日時: 2006-02-07 14:26
Mattun 様 ご返答ありがとうございます。
納得です。 Windows2003DNSサーバが、proxy等の情報を保管すべきDNSゾーンの情報を 持ってるから、フォワードする条件が成立できないとのことですね。 フォワードする条件と致しましては、名前解決ができない場合にフォワードするとの 認識ですが、nslookup = ドメイン名解決確認 との認識があり、出来なければ フォワードとの認識がございました。 今回のケースでは、nslookupで名前解決が確認出来ていないのに、自身で解決できるゾーン が存在するが故、フォワードできないとの認識で宜しいのでしょうか? proxy等の情報を保管すべきDNSゾーンの情報を削除・無効にすることは可能なので しょうか? 宜しくお願いします。 | ||||||||
|
投稿日時: 2006-02-07 14:34
どんな内容であれ、ゾーンを保持している=そのゾーンに関しては解決できる、です。 そのゾーンの中に存在するレコードならそれを応答、 存在しないレコードなら存在しないと応答するだけで、 ゾーンを保持している以上、他のDNSサーバにフォワードすることはありません。
そんなの分かりません。これまたどこのDNSサーバの話かすらはっきりしないし。 これ以上は、詳細なDNS構成(*)が分からない限り、ここでいくら聞いても無駄です。 (*)どういうゾーンがあり、どんなレコードが書いてあるか、を 具体的かつ詳細に分かりやすく、です。 詳細なDNS構成を一向に書いてないわけなんだから、企業共通DNSサーバの 管理者と相談したら、と勧めてるわけですが。 企業共通DNSサーバ管理者なら、少なくとも管理しているDNSサーバの 構成については説明不要で話しやすいでしょうし。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||
|
投稿日時: 2006-02-07 15:20
Mattun 様 ご返答ありがとうございます。
分かりました。企業共通DNSサーバの管理者へ確認致します。 今回のケースにつきましては、ご指摘の通りAD構築時における考慮不足かと 良い教訓になりました。 (実際は引き継いだ形ですが、それを見抜けなかったことが勉強になりました) この度も、色々とご指摘下さりありがとうございました。 | ||||||||
|
投稿日時: 2006-02-07 21:46
こんばんわ.
Active Directory で利用されている DNS zone は その DNS Server で管理しているのですから, 他の DNS Server に「訊きに行く必要が無い」と その Active Directory の DNS Server は判断する道理です. なので,同じ DNS zone が他の DNS Server で管理されていても 「訊きに行く必要が無い」と判断してしまっているので, forward 先に正確な情報があっても訊きに行ってくれません. ちなみにこの件は proxy だけの問題ですか? 例えば他の用途の Server,例えば smtp/pop3 server, つまりメールサーバなどの名前解決が必要だったり, そんな話はありませんか? 「2重管理云々」というのは確かに煩雑でしょうけど, 決して不可能なことではないと思いますよ. むしろたったそれだけのために構成変更するほうが刺激が大きいと思います. それに,この場合「企業共通DNSサーバの管理者へ確認」したところで なんの解決にもならないでしょう. なぜならその問題を解決するために 「企業共通DNSサーバ」の DNS zone を変更するとは考えられません. むしろ「なんでそんな構成にしてくれちゃったの?しかも勝手に」 と叱責されるかもしれませんし. 計画的にやるひつようがありますが, http://www.microsoft.com/japan/windowsserver2003/downloads/domainrename.mspx この辺を参考に,自前の Active Directory の zone を変更するほうが 現実的な結論になるように思われます. ※責任は負いかねますけど. 学ぶことを兼ねて,計画だけでもやってみると Active Directory への理解が深まるのではないかと. 以上,ご参考までに. | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。