Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に更新するという動的更新機能を持っている。Windows Server OSのDNSサーバは、デフォルトでは任意のコンピュータからの動的更新要求を受け付けないので、必要に応じて設定を変更する。インターネット向けに利用する場合は動的更新は無効にしておくのがよい。
対象:Windows 2000/Windows Server 2003
Windows OSでは、起動時に自分自身のホスト名とIPアドレスをDNSサーバへ送信して、DNSのエントリを動的に登録、更新するという機能を持っている。DHCPを使ったネットワークのように、コンピュータのIPアドレスが起動するごとに異なる可能性のある環境では、この動的更新の機能によって、DNSのコンピュータ名とIPアドレスの対応が常に正しくなるように維持される。
だがこの機能が有効になっていると、不正な動的更新要求によってホスト名とIPアドレスの対応付けが書き換えられてしまう可能性があるし、動的更新要求によって、ネットワーク全体のトラフィックが増えてしまう可能性もある。そこでDNSサーバのデフォルト設定は、ワークグループ構成のネットワークならば、動的更新機能は無効になっているし、Active Directoryネットワークの場合は、Active Directoryドメインに登録された、権限を持つコンピュータからの動的更新要求だけを受け付けるようになっている。
通常はこのような設定でも構わないだろうが、場合によってはこれを変更したいこともある。
例えばドメインに参加していないクライアントが多数存在する企業内ネットワーク(ワークグループネットワーク)では、クライアントの種類を問わず、動的更新を許可しておきたい。さもないと、それらのクライアントに対するDNSレコードが正しく維持できないからだ。
逆に、DNSサーバをインターネット向けにも公開している場合は、たとえそのコンピュータがActive Directoryドメインに参加している場合でも、セキュリティの観点から動的更新は常に無効にしておくべきである。
DNSサーバの動的更新機能の有効/無効の設定は、DNSのゾーン設定のプロパティを使って行う。
[管理ツール]の[DNS]ツールを起動し、対象となるDNSサーバへ接続する。そして、管理ツールの左側ペインで設定を変更したいゾーンを選択し、右クリックメニューから[プロパティ]を選択する。すると[全般]タブのページに、DNSの動的更新要求を受け付けるかどうかの設定がある。ただし、これは「プライマリDNSサーバ」モードおよび「Active Directory統合」モードでのみ設定可能な項目となっており、「セカンダリDNSサーバ」モードでは利用できない。すべてプライマリDNSサーバ側で設定されるからだ。
次の画面は、Windows Server 2003のDNS管理ツールで、あるゾーンのプロパティを表示したところである。
この動的更新要求の許可設定は、各ゾーンごとに行う必要がある。[前方参照ゾーン]だけでなく、[逆引き参照ゾーン]でも同様に設定を行う。
なお、この更新許可のドロップダウンリストは、DNS管理ツールのバージョンによって表示される内容が異なるが、その意味は同じである。
動的更新の許可 | Windows 2000版 | Windows Server 2003版 |
---|---|---|
常に無効(受け付けない) | [いいえ] | [なし] |
セキュリティにパスしたもののみ有効(一部受け付ける)。プライマリDNSサーバでは利用できない | [セキュリティで保護された更新のみ] | [セキュリティ保護のみ] |
常に有効(常に受け付ける) | [はい] | [非セキュリティ保護およびセキュリティ保護] |
DNS管理ツールのバージョンによる表示の違い Windows 2000 ServerのDNS管理ツールとWindows Server 2003のDNS管理ツールでは、表示される文字列が一部異なるが、意味は同じである。 |
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.