- PR -

信頼関係 : セカンダリゾーン

1
投稿者投稿内容
Spx
会議室デビュー日: 2005/09/04
投稿数: 13
投稿日時: 2006-01-25 20:23
こんにちは。

二つのForestの信頼関係を結ぶのに各フォレストのドメインコントローラ(1台ずつ)に
それぞれお互いのセカンダリゾーンを設定しました。
信頼関係自体はうまくいきました。ただDNSのセカンダリゾーンの設定でわからない事がありましたので教えて下さい。

それぞれのフォレストには複数台のMS-DNSが動作しているドメインコントローラがあります。
これらのドメインコントローラに全てセカンダリゾーンを設定する必要があるはずですが
それらは全て手動設定をしていく必要があるでしょうか?
ドメインコントローラの数は5台ほどなので作業自体は特に面倒ではないのですが
AD統合モードにすれば手間がかからないと思いました。
DNSスナップインで単純にAD統合モードに変えてしまっても良いものなのでしょうか。

どうかご教授下さい。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-01-25 20:44
ゾーン自体は作成する必要があります。
あとはそのゾーン構成を、プライマリ・セカンダリな構成にするのか、
すべてAD統合にするのか、ってだけです。

セカンダリで作る場合はプライマリDNSサーバを指定する必要があり、
AD統合だったら作成したらそれでおしまいです。
作業的にはその違いだけ。

特別な理由がなければ、AD統合ゾーンでよいんじゃないかと。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
Spx
会議室デビュー日: 2005/09/04
投稿数: 13
投稿日時: 2006-01-25 21:07
mattunさん
ありがとうございます。
それでやってみます。
tachi
会議室デビュー日: 2006/01/22
投稿数: 18
お住まい・勤務地: 横浜・東京
投稿日時: 2006-01-26 00:50
ひとつ注意を申し上げます。

セカンダリゾーンは別フォレストのゾーンのコピーですので別フォレストのゾーンのレコードの更新が行われれば自動的にセカンダリゾーンも更新されます。
このセカンダリゾーンをAD統合ゾーンにすると、別フォレストのゾーンの更新情報が送られてこなくなります。このゾーンを清掃設定しようものならはじめのうちは良いのですがそのうちレコードが消えていき名前解決ができなくなります。

そこを特に考慮してゾーンの設定を変更してください。個人的にはフォワードかルートヒントを使うのがベストなのではと思います。状況にもよりますが・・・。

それでは。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-01-26 01:11
そういや複製範囲の補足が必要ですね。

引用:

このセカンダリゾーンをAD統合ゾーンにすると、別フォレストのゾーンの更新情報が送られてこなくなります。このゾーンを清掃設定しようものならはじめのうちは良いのですがそのうちレコードが消えていき名前解決ができなくなります。

そこを特に考慮してゾーンの設定を変更してください。


DNSサーバ=(いずれかのActiveDirectoryドメインの)ドメインコントローラかつWindows2003
であれば、複製範囲を
Active Directory フォレスト内のすべての DNS サーバー
に設定することで、フォレスト内であればすべてAD統合ゾーンの複製は
AD複製の一環として行われます。

上記条件に沿わない場合はセカンダリゾーンを使わないとです。
さもないと同一ADドメイン内でのみにしか複製できません。

http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/sag_DNS_und_Active_Dir_Storage.asp
Spx
会議室デビュー日: 2005/09/04
投稿数: 13
投稿日時: 2006-01-26 22:49
ありがとうございます。
最終的に以下のようにしました。
セカンダリゾーンを使用するのはやめました。
信頼関係を結ぶフォレスト(ドメイン)のそれぞれのDNS(DC)でフォワーダの設定をしました。(相手方のFQDNドメイン名を指定したフォワーダです)
名前解決にも特に問題は起きずうまく信頼関係を確立することができました。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-01-27 01:34
引用:

セカンダリゾーンを使用するのはやめました。
信頼関係を結ぶフォレスト(ドメイン)のそれぞれのDNS(DC)でフォワーダの設定をしました。(相手方のFQDNドメイン名を指定したフォワーダです)

条件付きフォワーダで問題ない場合、
一応スタブゾーンの機能についても調べてみたほうがいいと思います。
条件付きフォワーダ、スタブゾーン、セカンダリゾーンそれぞれよしあしありますが、
結果的にできることはほとんど同じですから。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
1

スキルアップ/キャリアアップ(JOB@IT)