Windows OSのDNSサーバの動的更新設定を変更する：Tech TIPS

連載目次

解説

　Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に登録、更新するという機能を持っている。DHCPを使ったネットワークのように、コンピュータのIPアドレスが起動するごとに異なる可能性のある環境では、この動的更新の機能によって、DNSのコンピュータ名とIPアドレスの対応が常に正しくなるように維持される。

　だがこの機能が有効になっていると、不正な動的更新要求によってホスト名とIPアドレスの対応付けが書き換えられてしまう可能性があるし、動的更新要求によって、ネットワーク全体のトラフィックが増えてしまう可能性もある。そこでDNSサーバのデフォルト設定は、ワークグループ構成のネットワークならば、動的更新機能は無効になっているし、Active Directoryネットワークの場合は、Active Directoryドメインに登録された、権限を持つコンピュータからの動的更新要求だけを受け付けるようになっている。

　通常はこのような設定でも構わないだろうが、場合によってはこれを変更したいこともある。

　例えばドメインに参加していないクライアントが多数存在する企業内ネットワーク（ワークグループネットワーク）では、クライアントの種類を問わず、動的更新を許可しておきたい。さもないと、それらのクライアントに対するDNSレコードが正しく維持できないからだ。

　逆に、DNSサーバをインターネット向けにも公開している場合は、たとえそのコンピュータがActive Directoryドメインに参加している場合でも、セキュリティの観点から動的更新は常に無効にしておくべきである。

操作方法

　DNSサーバの動的更新機能の有効／無効の設定は、DNSのゾーン設定のプロパティを使って行う。

　［管理ツール］の［DNS］ツールを起動し、対象となるDNSサーバへ接続する。そして、管理ツールの左側ペインで設定を変更したいゾーンを選択し、右クリックメニューから［プロパティ］を選択する。すると［全般］タブのページに、DNSの動的更新要求を受け付けるかどうかの設定がある。ただし、これは「プライマリDNSサーバ」モードおよび「Active Directory統合」モードでのみ設定可能な項目となっており、「セカンダリDNSサーバ」モードでは利用できない。すべてプライマリDNSサーバ側で設定されるからだ。

　次の画面は、Windows Server 2003のDNS管理ツールで、あるゾーンのプロパティを表示したところである。

DNSゾーンの［全般］プロパティ
DNZのゾーンごとに、このようなプロパティの設定画面があり、動的更新を受け付けるかどうかを設定することができる。［動的更新］の部分の表示は、DNSサーバの管理ツールのバージョンによって少し異なるが、機能は同じである。
　 （1）DNSサーバの動作モード。これは「Active Directory統合」モードで動作中の場合。このほかに「プライマリ」と「セカンダリ」がある。「セカンダリ」の場合は動的更新に関する設定は行えない。
　 （2）［なし］にすると、動的更新要求をいっさい受け付けなくなる。インターネット向き。プライマリDNSサーバにおけるデフォルト設定。
　 （3）どのクライアントからの要求でも受け付けるモード。ワークグループネットワーク構成のクライアントからの要求を受け付ける場合は、これを選択する。
　 （4）Active Directory環境におけるデフォルト設定。Active Directoryドメインに登録されているクライアントからの更新要求のみを受け付ける。
　 （5）セキュリティ設定。このセキュリティ許可リストで、書き込み許可の権限を持つコンピュータからの更新要求のみが受け付けられる。

　この動的更新要求の許可設定は、各ゾーンごとに行う必要がある。［前方参照ゾーン］だけでなく、［逆引き参照ゾーン］でも同様に設定を行う。

　なお、この更新許可のドロップダウンリストは、DNS管理ツールのバージョンによって表示される内容が異なるが、その意味は同じである。

「Tech TIPS」