- PR -

AD構築時のクライアントのDNSの指定について

1
投稿者投稿内容
kirby
会議室デビュー日: 2004/10/27
投稿数: 10
投稿日時: 2005-02-16 21:24
いつもお世話になっております。

クライアントのDNS設定なのですが、
現在DC(W2k3Server ADドメイン)を指しており、
インターネットはADのDNSよりフォワーディングする設定を
行なっております。

ここで質問なのですが、クライントのDNSの参照先を
DCではなくて、ADが指しているフォワーディングへ変更した場合
はクライアントに対して何か不具合等がありますでしょうか?

基本的に変更してためしてみたのですが、
特に何か不具合等が出た様子はありませんでした。(少しの時間だけなので今後は分かりませんが)

何か情報でもありましたら、ご教授いただけると幸いです。

#どちらかで、DNSを指定するのはKerbers認証のためだけとか」と見たような気がしたのですが、、、
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-02-16 21:54
引用:

#どちらかで、DNSを指定するのはKerbers認証のためだけとか」と見たような気がしたのですが、、、

基本的にはそれだけだったと思いますので、そのようなDNS構成にした場合、
Kerberos認証が出来なくなる、ってことになります。

要するに、Windows2000以降のクライアントがドメインに対して認証を行えなくなります。
一時的なら、キャッシュログオンが利用できるため、見た目には何も起きてないように見えます。
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2005-02-16 21:58
引用:
DNSよりフォワーディングする設定を
行なっております。


より じゃなく、 へ ではないですか?

ADドメインのクライアントはDCのSRVレコードを検索できないとログオン
出来ません。(キャッシュログオンは別として)

どのDNSというよりも、どんなゾーン情報
あるいはレコードをもったDNSか ということになると思います。
なので、おっしゃるようにDC兼DNSであるサーバーではなく、
他のDNSを参照させることも可能です。(LinuxなどのDNSでも可)

引用:
DCではなくて、ADが指しているフォワーディングへ変更した場合
はクライアントに対して何か不具合等がありますでしょうか?

不具合があるかどうかは状況によりますが、ADドメイン内のゾーン情報を
まったく持たないDNSを参照させたりしたら、ログオンのみならず、LAN内のリソース
へアクセスするにも支障があるのでは?
IPアドレスで指定するならべつですが、FQDNやコンピュータ名ではアクセス不能に
なるはずです。

引用:
少しの時間だけなので今後は分かりませんが

キャッシュが生きていたためとも考えられますが、いずれにせよ状況が判然としませんので
なんともいえません。ただし、イレギュラーな運用ぽいとは思います。
kirby
会議室デビュー日: 2004/10/27
投稿数: 10
投稿日時: 2005-02-16 22:05
Mattun様,まるちねす様

ご返信ありがとうございます。
下記の貴重な意見をご確認させていただき、DNSは変更せず
DCをさすようにし、DNS"へ"フォワーディングさせます。←指摘どうもです^^;間違えていました。


また、別になりますが、
>DドメインのクライアントはDCのSRVレコードを検索できないとログオン
>来ません。(キャッシュログオンは別として)

とありますが、現在クラスAとクラスBのIPが存在しているのですが、
AD兼DNSのDCにクラスAのSRVレコード登録ゾーンしか作成していませんが、
クラスBのゾーンも逆引きで作成した方がよろしいのでしょうか?
ちなみにDCのIPはクラスAとなっております。
このような運用は可能なのでしょうか?というか下記の意見を参考にするとやらないといけない気がしてきましたが。。。。


Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-02-16 22:29
ADに限って言えば、必要となる正引きゾーンさえ存在してればそれで十分です。
"_"で始まる各ゾーンがADで必要とされるゾーンです。

逆引きについては、他の用途で必要なら作ればいいです。
特に理由がなければ、必要とされる可能性があるゾーンおよびレコードは
しっかり整備しておくべきでしょう。
kirby
会議室デビュー日: 2004/10/27
投稿数: 10
投稿日時: 2005-02-17 00:09
Mattun様ありがとうございます。

後一点だけご確認させてください。
今後ドメインへ参加させるクライアントが
DNSを直接DCを指していない場合に参加すると
Netbios名前解決でDCに対して認証すると思いますが。
その場合でも今後上記のような

>要するに、Windows2000以降のクライアントがドメインに対して認証を行えなくなります。
>一時的なら、キャッシュログオンが利用できるため、見た目には何も起きてないように見えます。

や、

>まったく持たないDNSを参照させたりしたら、ログオンのみならず、LAN内のリソース
>へアクセスするにも支障があるのでは?
>IPアドレスで指定するならべつですが、FQDNやコンピュータ名ではアクセス不能に
>なるはずです。

という状態になるのでしょうか?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-02-17 06:51
引用:

今後ドメインへ参加させるクライアントが
DNSを直接DCを指していない場合に参加すると
Netbios名前解決でDCに対して認証すると思いますが。

そんなイレギュラーな構成になることが無いようなネットワーク構成と監視を
前提にしか構築したことが無いので、検証したことがありません。
唯一知ってるのは、ドメインメンバが一度Kerberos認証してしまった参加ドメインに対し、
ドメイン再参加なしの状態じゃNTLMでのドメイン認証が出来ない、ってことだけです。
これはNTドメインからWindows2000/2003ADアップグレード移行時に
NTドメインにロールバックした際に直面する代表的なトラブルです。

興味があればご自身で検証してください。
# そんなことするより、DNS構成の見直し考えた方が有意義な時間だと思うけど。
kirby
会議室デビュー日: 2004/10/27
投稿数: 10
投稿日時: 2005-02-17 09:09
引用:

唯一知ってるのは、ドメインメンバが一度Kerberos認証してしまった参加ドメインに対し、
ドメイン再参加なしの状態じゃNTLMでのドメイン認証が出来ない、ってことだけです。
これはNTドメインからWindows2000/2003ADアップグレード移行時に
NTドメインにロールバックした際に直面する代表的なトラブルです。

了解しました。今回もNTからアップグレードしドメインへ再参加させているため、
Kerberos認証になってしまっているので、上記のDNS変更はやめることにします。

ただし、再参加させずに多分NTLM認証でも行えているCLもあると思うので
そちらもDCを指すようにさせようにしてみます。

引用:

興味があればご自身で検証してください。
# そんなことするより、DNS構成の見直し考えた方が有意義な時間だと思うけど。

DNS構成を見直してみます。

本当にありがとうございました。m(__)m
1

スキルアップ/キャリアアップ(JOB@IT)