- - PR -
ADのドメインとインターネット上に公開されているドメインについて
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-02-07 20:16
こんにちわ。
新人のネットワーク管理者です。 先日、新規にWindows2000ServerのADを構築しました。 その際、同タイミングでDNSを構築しました。 今考えると「××××.local」にすべきだったのですが、 「××××.co.jp」にしてしまいました。 この××××.co.jpのドメイン名は、外部のレンタルサーバー業者に 依頼して弊社のホームページが存在します。 今のところ、社内のネットワークも問題なく動いているようですが、 いろいろな資料を見ますと、 「インターネット上でほかの組織が利用している名前を使うのは厳禁だ。 Active Directoryのドメイン名は××××.localという名前を指定する。」と 記述があります。 ただし、もし同じドメイン名にしてしまった場合何が起きるのかと 言うことはどの本を見ても書いてありませんでした。(調査不足かもしれませんが・・・) 社内で構築したいADは単純に、社内のだけの管理ができればよいだけで、 外部に公開するとかはありません。 どなたか、この状況に関してアドバイスを頂けますでしょうか? | ||||||||
|
投稿日時: 2006-02-07 20:59
ユクヒロです。
私個人的には、既に公開用ドメインを取得しているのであれば、そのサブドメイン名で 社内のアクティブディレクトリを作成します。 上記引用は間違っていないと思います。でも、全て、xxx.localにせよ!という訳ではありません。 ひとつ気になるのですが、社内のクライアントからホームページを参照できますか? 社内DNSが管理するゾーンが、同じになっていると思うので、社内DNSが管理しているゾーンにAレコードが存在しないと名前解決ができないと思いますが、いかがでしょうか? | ||||||||
|
投稿日時: 2006-02-07 21:13
「他の組織が」なら問題だけど、「自分の組織が」管理してるなら無問題です。 Microsoftが公開しているActiveDirectory設計資料においては、 AD DNSゾーン設計に関しては、 1.既存企業DNSゾーンと別(.localを使う例) 2.既存企業DNSゾーンのサブドメイン 3.既存企業DNSゾーンと同一ドメイン というケースが考えられ、それぞれメリットデメリットあるので、 状況に合わせて選択して設計、というような文面があります。 今回は3.のケースです。 Microsoftの情報も探せば同じようなこと書いてあるとは思いますが、 この構成の特徴を簡単に。 ・メリット: 企業で使うDNSゾーン名が統一される ・デメリット: 内向け、外向けDNSで、同じゾーンに対して内容が異なる構成を管理する必要あり (外向けは外部公開サーバのレコードのみ、内向けはAD関連レコード+外部公開サーバのレコード) かつ内部と外部で、同じレコードでも解決結果が異なるのを理解 (外部: グローバルIP、内部: プライベートIP) ・注意点 ADのDNS管理者と、外部DNS管理者はしっかり連携して構成管理すること なお、ActiveDirectoryに関しては、Microsoftの資料を重視してください。 だってMicrosoft固有の実装ですし、資料も十分公開されてますし。 それ以外の資料は、言葉足らずだったり誤解交じりだったりする可能性を それなりに含んでいるのは意識して読む必要があります。 (手放しで信頼できる資料を公開してる人や団体もあるはあるけどね。) _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||
|
投稿日時: 2006-02-07 22:17
こんばんわ.
一般的な DNS の仕組みの問題と認識してよいです. Active Directory 云々以前の問題です. 同じ DNS zone を管理している DNS では, お互いを参照しようとしません. つまり,Active Directory の DNS server は 業者さんにお願いして作ってもらったという DNS server にある その DNS zone を参照しようとはしません. 例えば Active Directory の DNS が その業者さん謹製の DNS server へ forward する場合に支障が出るでしょう.
であれば問題ないです. 「厳禁」という表現は行き過ぎでしょうけど, あまりやるべきではない,DNS server の運用の仕方としては 「間違っている」程度で,仕組みに対する理解があればやらないでしょう. 「二重管理になるよ」という話もありますが, 言い換えると「それだけ我慢すれば運用はできるよ」という話です. 以上,ご参考までに. | ||||||||
|
投稿日時: 2006-02-08 00:30
b-max様
アドバイスありがとう御座います。 引用: -------------------------------------------------------------------------------- 社内のクライアントからホームページを参照できますか? 社内DNSが管理するゾーンが、同じになっていると思うので、社内DNSが管理しているゾーンに Aレコードが存在しないと名前解決ができないと思いますが、いかがでしょうか? -------------------------------------------------------------------------------- すぐに確認させて頂きます。Aレコードに関しては、社内のドメインに参加しているクライアントの ものだけです。(もちろんドメインを構築しているサーバーのAレコードも存在致します。) Mattun様 アドバイスありがとう御座います。 引用: -------------------------------------------------------------------------------- 内向け、外向けDNSで、同じゾーンに対して内容が異なる構成を管理する必要あり (外向けは外部公開サーバのレコードのみ、内向けはAD関連レコード+外部公開サーバのレコード) -------------------------------------------------------------------------------- これは、b-max様のご指摘の部分と思いますが、今回私の構成してしまったDNSゾーンに 外部公開サーバのレコードを登録する設定が必要ということですね。 ADの資料に関してはMicrosoftのものを重視するというのは、認識しておりましたが、 自分の甘えから避けておりました。管理者という立場をもっと強く認識し、 今後理解に努めるように致します。 Kaz様 アドバイスありがとう御座います。 引用: -------------------------------------------------------------------------------- 「厳禁」という表現は行き過ぎでしょうけど, あまりやるべきではない,DNS server の運用の仕方としては 「間違っている」程度で,仕組みに対する理解があればやらないでしょう. 「二重管理になるよ」という話もありますが, 言い換えると「それだけ我慢すれば運用はできるよ」という話です. -------------------------------------------------------------------------------- 今はそのような話が無いのですが、社内のServerを外部に公開するHTTPやFTPとしても利用する場合に 問題になってきそうですね。今回の問題は自分の知識不足が100%の原因で、 外部に公開する場合は、Microsoftの資料をよく理解した上で行いたいと思います。 みなさま貴重なアドバイスありがとう御座いました。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。