Windows Server 2008 では、DHCP サーバーを使用して、動的更新をサポートしている任意のクライアント 1 つに対し、DNS 名前空間の動的更新を有効にすることができます。DHCP により割り当てられたアドレスに変更が生じた場合、スコープ クライアントは、DNS 動的更新プロトコルを使用して、ホスト名からアドレスへのマッピング情報を更新します。このマッピング情報は、DNS サーバーのゾーンに保存されます。Windows Server 2008 ベースの DHCP サーバーは、DHCP クライアントに代わって、任意の DNS サーバーに対して更新を実行することができます。

DHCP および DNS 更新の連携方法

DHCP サーバーを使用して、サーバーの DHCP 対応クライアントの代わりに、PTR および A リソース レコードを登録および更新することができます。それには、クライアント FQDN オプション (オプション 81) という追加の DHCP オプションを使用する必要があります。クライアントはこのオプションを使用して、DHCP サーバーに対し、自身の FQDN を DHCPREQUEST パケットで送信できます。これにより、クライアントは DHCP サーバーに対して、必要とするサービス レベルを通知できるようになります。

FQDN オプションには、次の 6 個のフィールドが含まれています。

  1. Code -- このオプションのコードを指定します (81)。

  2. Len -- このオプションの長さを指定します (4 以上に指定してください)。

  3. Flags -- サービスの種類を指定します。

    • 0 -- クライアントが "A" (ホスト) レコードを登録します。

    • 1 -- クライアントが DHCP に対して、"A" (ホスト) レコードを登録するように要求します。

    • 3 -- クライアントの要求にかかわらず、DHCP が "A" (ホスト) レコードを登録します。

  4. RCODE1 -- サーバーがクライアントに送信する応答コードを指定します。

  5. RCODE2 -- RCODE1 の追加記述を指定します。

  6. Domain Name -- クライアントの FQDN を指定します。

クライアントがクライアントのリソース レコードを DNS に登録するように要求した場合、そのクライアントは RFC (Request for Comments) 2136 に従って、動的 UPDATE 要求を生成します。すると、DHCP サーバーがその PTR (ポインター) レコードを登録します。

このオプションが、適切な DHCP クライアント (Windows Vista、Windows 2000、または Windows XP を実行している DHCP 対応コンピューターなど) によって生成されたとします。この場合、オプションは Windows Server 2008 ベースの DHCP サーバーによって処理および解釈され、サーバーがクライアントの代わりに更新を開始する方法が指定されます。

セキュリティ保護された動的更新

Windows Server 2008 の場合、DNS 更新セキュリティは Active Directory に統合されているゾーンでのみ使用できます。ゾーンを統合すると、DNS スナップインで提供されるアクセス制御リスト (ACL) 編集機能を使用できるようになります。これにより、特定のゾーンまたはリソース レコードの ACL からユーザーやグループを追加または削除することができます。

既定では、Windows Server 2008 ベースの DNS サーバーおよびクライアントの動的更新セキュリティは、次のように処理されます。

  1. Windows Server 2008 ベースの DNS クライアントは、まず非セキュリティ保護の動的更新を使用しようとします。非セキュリティ保護の更新が拒否されると、クライアントはセキュリティ保護された更新を使用します。

    また、更新セキュリティによって特に禁止されていない限り、クライアントは既定の更新ポリシーを使用します。このポリシーにより、クライアントは以前登録されたリソース レコードの上書きを試みることができます。

  2. 規定では、ゾーンが Active Directory に統合されると、Windows Server 2008 ベースの DNS サーバーでは、セキュリティ保護された動的更新だけが有効になります。

    標準のゾーン記憶域を使用する場合、既定では DNS サーバー サービスでは、そのゾーンでの動的更新が有効になりません。ディレクトリに統合されたゾーンまたは標準のファイル ベースの記憶域を使用するゾーンの場合、ゾーンを変更して動的更新をすべて有効にすることができます。これにより、セキュリティ保護された更新の使用を許可し、すべての更新を受け入れることが可能になります。

ネットワークで複数の Windows Server 2008 ベースの DHCP サーバーを使用し、セキュリティ保護された動的更新のみを有効にするようゾーンを構成している場合は、Active Directory ユーザーとコンピューター スナップインを使用して、DHCP サーバー コンピューターをビルトインの DnsUpdateProxy グループに追加します。こうすると、すべての DHCP サーバーが、任意の DHCP クライアントに対してプロキシの更新を実行するために必要なセキュリティ権限を持つことができます。

注意
  • 次の両方の条件があてはまる場合、セキュリティ保護された動的更新機能が正常に機能しない可能性があります。
  • •DHCP サーバーを Windows Server 2008 ベースのドメイン コントローラーで実行している場合。
  • •DHCP サーバーが、クライアントの代わりに DNS レコードの登録を行うよう構成されている場合。
  • この問題を避けるには、DHCP サーバーとドメイン コントローラーを別のコンピューターに展開するか、動的更新に専用のユーザー アカウントを使用するように DHCP サーバーを構成します。

セキュリティ保護された動的更新機能は、Active Directory に統合されたゾーンでのみサポートされています。別の種類のゾーンを構成する場合は、DNS 更新用にセキュリティ保護する前に、ゾーンの種類を変更し、そのゾーンを統合します。動的更新とは、DNS 標準の RFC 準拠拡張機能です。DNS の更新プロセスは、RFC 2136 の "Dynamic Updates in the Domain Name System (DNS UPDATE)" で定義されています。

その他の資料

関連情報を提供しているヘルプ トピックの一覧については、「DHCP サーバーの役割で推奨されるタスク」を参照してください。

DHCP に関する IT 専門家向けの最新の詳細情報については、Microsoft TechNet Web サイトにある Windows Server 2008 のドキュメント (英語の可能性あり) を参照してください。

目次