- - PR -
DNSフォワーダについて
| 投稿者 | 投稿内容 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-12-02 01:41
いつもサイトを参考にさせていただいております。
現在、新しい環境(AD環境)を構築中です。 Win2003Server 3台 WindowsXP 10台 http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=10752&forum=11&4 過去のスレッドを拝見し、ご教授いただきたいことがございまして 投稿させていただきました。 今回の環境でクライアントは個別に(.pacファイルにより) Proxyを使用しWEBアクセスを行う予定です。 そのためAD環境で「DNSフォワーダ」を使用しない方針です。 ※内部の名前解決はDCに付加するDNS機能で行います。 以前のスレッドにあった情報ですと、メールサーバーがある場合はDNSフォワーダが必要なようなのですが、内部にメールサーバー(Exchange)がある場合はDNSフォワーダは必要でしょうか? Proxyがダウンして使用不能になったときに備え、個人的にはDNSフォワーダを設定したいのですが、要件として「クライアントのWEBアクセスを直接インターネットに出させたくない(Proxyを介したい)」ということがあり、設定出来ない状態です。 DNSの基本的な動きを理解できていないのかもしれないのですが、AD内のDNSが名前の解決を出来なかった際に、外部のDNSにフォワーダする設定をした場合、クライアントは直接WEBに出て行くような形になってしまうのでしょうか? ※フォワーダ元のDCがProxyのような役割になる? つたない説明で申し訳ないのですが、どなたかご教授いただける方が いらっしゃったら、是非お願いいたします。 | ||||||||||||||||
|
投稿日時: 2005-12-02 02:40
こんばんわ.
proxy は web proxy のことですよね? 内部にある「メールサーバ」が外部とのやり取りをする場合は DNS を forward させる必要がありますが, 例えば relay server が上位にあるのであれば, その「メールサーバ」が Internet 上の 宛先のメールサーバの名前を解決できなくても良いです. むしろその relay server が web proxy と同様に 外部の名前を解決できる DNS を参照していれば良いです. ちなみに proxy が堕ちていた場合, www browser は Internet と接続できません. proxy を利用している限り, Internet 上の www server の名前を解決しているのは www browser が起動している client ではなく proxy server だからです. proxy server の指定を IP address でやっていなければ, そこで名前解決は必要になりますが, その場合,解決できなければならない名前は proxy だけです. それ以外の名前解決はすべて proxy が「なんとか」してくれます. これは SMTP server も同様で, client は名前解決できなくても宛先に届くのは, SMTP server が名前解決をしてくれているからです. これらはすべて「DNS client として DNS server に名前解決をお願いする」 と理解すればわかりやすいのでは? proxy や relay server は DNS client として Internet 上の他 site の名前解決が必要です. relay server が無くて,その Exchange server が 自ら外部の他 site へ配送するのであれば, 自ずと DNS client としての機能を必要とするわけです. 逆に client 達は Internet 上の他 site の名前解決をする必要は無いので, これらが参照する DNS server では forward も必要ない道理です. | ||||||||||||||||
|
投稿日時: 2005-12-02 09:30
最終的に確認したいと思っているのは、以下の二点?
1)内部にメールサーバーがある場合はDNSフォワーダは必要か? 2)Proxyがダウンしていた場合に、AD内のDNSが名前の解決を出来なかった際に外部のDNSにフォワーダする設定をした場合クライアントはProxy経由ではなく直接WEBに出て行くような形になる? 1)はkazさんが書いていますが、上位にrelay serverがあれば、そこを経由する設定になっていると思いますので、DNSフォワーダが必要は無いと思います。 ただし、この上位サーバへ接続するための名前解決に必要になる可能性もありますが・・・ 2)これもkazさんが書いてある通りで、基本的にWebProxy側で名前解決をしてくれたはずです。 DNSフォワーダの設定云々は関係ないと思います。 #ちなみに、WebProxyがダウンしていたら、 #クライアントはWebアクセスできないのではないでしょうか? #私は、WebProxyを経由して通信されると理解してますので・・・ | ||||||||||||||||
|
投稿日時: 2005-12-02 09:57
kaz様 宣伝中止!様
ご返答有難うございます。かなり詳細に記載いただき恐縮です。。。
上記の通りです。 ちなみにProxy=Webproxyになります。
なるほど、Exchange側で「ルーティンググループコネクタ名(?)」で SMTPリレーサーバーを指定するようなので、DNSフォワーダは必要ないかもしれませんね。ただ、宣伝中止様がおっしゃるようにリレーサーバー自体(ドメイン外)との名前の 解決に必要になるかも・・・ということですね。
なるほど。。。以前、プロキシを使用しない(ADに参加しているクライアントが)でWebアクセスをDCのDNSフォワーダ(プロバイダのDNSにフォワーダ)で実現している環境があったものですから・・・ クライアント(Webブラウザ)でWebProxyを使用する設定にしておき、さらにDNSフォワーダを行っているドメイン環境で、クライアントが参照しているWebProxyがダウンした場合は、DNSフォワーダの機能でクライアントはWebアクセスをしにいくものではないんでしょうか・・・・ | ||||||||||||||||
|
投稿日時: 2005-12-02 10:11
一応補足です。
えーと、「以前、プロキシを使用しない」云々と書かれている環境は、WebProxyが存在しない環境であったものと推測しますが。 この場合であれば、クライアントが直接アクセスしに行ってるので、名前解決はクライアントに設定されたDNSサーバが行うのかな?と。 (DNSフォワーダ設定が必要になりますよね、これなら) 今回、chageさんが書いていた環境は、「WebProxy」が存在し、「クライアントのWebブラウザの設定で、WebProxyを利用する」という環境であれば、ブラウザが必ずWebProxyに接続しに行ってしまうのではないか?と、私は理解したのです。 そのため、WebProxyが落ちていたら、そこでエラーで返るのでは?と、そういう意味で書かせていただきました。 ただ、もしかしたらWebProxyが落ちていた場合、他のルートを通って接続という設定があれば、また別の話になるかもしれません・・・ #すいません、もしかしたら混乱させる内容かもしれません。 [追加] すいません、改めて補足です。 PACファイル中にDIRECT指定があれば、名前解決にDNSを利用する事になると思います。 クライアントのDNS設定が、ADのDNSを指定してあり、それ以外が無いのであれば、フォワーダは必要になりそうですね。 [/追加] _________________ #「やらない」と「出来ない」を混同してはならない [ メッセージ編集済み 編集者: 宣伝中止! 編集日時 2005-12-02 10:18 ] | ||||||||||||||||
|
投稿日時: 2005-12-02 11:15
ご返答有難うございます。
おっしゃるとおりです。 以前の環境ではクライアントはDC(DNS)を優先/代替DNSにしていしており、ドメイン内の名前解決を行っておりました。また、外部(ドメイン外)との名前解決およびWebアクセスはDNSフォワーダ(プロバイダのDNS)を使用しておりました。
私も同様に理解しております。
ここが疑問なのですが、クライアントのWebブラウザでProxyを指定してあり、尚且つドメインでDNSフォワーダの設定をしている環境で、Proxyがダウンした場合は、前述のようにクライアントPCはDNSフォワーダの機能でWebアクセスを実現できないのでしょうか?ただ、Proxyが見つからないというエラーが返るだけなのでしょうか・・・ 上記のように冗長性を持たせることが出来ると考えて、Proxy+DNSフォワーダの設定を提案してみたいのですが。。 あとは、Proxyがダウンしている時に、クライアントPCがProxyを介さずにWebアクセスをしてしまう状況の安全性をうまく説明できればよいのですが。 #DNSフォワーダ元のDCがProxyのような役割をして、外部に名前解決要求をするのはDCのみになる。みたいな。。。←まったく根拠はありません。
とんでもないです! いたらない説明にお付き合いいただき有難うございます。。 | ||||||||||||||||
|
投稿日時: 2005-12-02 11:31
DNSとProxy、分けて考えてください。 Webアクセス時にProxyを経由する場合は、ProxyがDNS名前解決を必要とし、 Webアクセス時にProxyを経由しない場合は、クライアント自身がDNS名前解決を必要とする。 で、DNS名前解決を行う際、インターネット上のDNSホスト名を解決する必要があれば、 そのDNSサーバが直接インターネットへ再帰クエリを投げるか、 他のDNSサーバにフォワードして解決を任せるかしないと、解決できない。 ただそれだけの関係です。 Proxyが利用できる、できないによって、使うProxyを変えたり直接接続させたり するのは、PACファイルで制御できます。
直接接続をすれば、Proxyでログ集中管理ができません。 誰がどこにアクセスしたのか、管理するのが非常に困難になります。 Proxyダウン時限定で一時的にファイアウォールに穴あけるならまだしも、 常時ファイアウォールで外部へHTTP許可しちゃうようであれば、 ちょっと知恵があるユーザや、Proxy設定を忘れてるユーザのWebアクセスの ログはどこにも残りません。 上記を安全だと思えるなら、それを説明すればいいでしょう。 思えないなら、安全じゃないんだろうから説明しようが無いですよね。 求められるセキュリティ要件次第でどちらとも言えるわけではあるので、 後は判断してください。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||||||||||
|
投稿日時: 2005-12-02 11:48
WebProxyダウンに対して冗長性を持たせるというのであれば、
Proxyを二台にして接続を並列にするという方法にしたほうがいいのではないでしょうか? _________________ #「やらない」と「出来ない」を混同してはならない | ||||||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。