DNS サーバー サービスは、Active Directory ドメイン サービス (AD DS) の設計と実装環境に統合されています。AD DS は、ネットワーク上のリソースの整理、管理、検索のためのエンタープライズ レベルのツールを提供します。

AD DS でドメイン ネーム システム (DNS) サーバーを展開する場合は、次の点を考慮します。

  • ドメイン コントローラーを検索するには DNS が必要です。

    Net Logon サービスは、DNS サーバー サポートを使用して、DNS ドメイン名前空間にドメイン コントローラーを登録します。

  • Windows Server 2003 または Windows Server 2008 を実行している DNS サーバーは、AD DS を使用して、ゾーンの格納とレプリケーションを実行できます。

    ゾーンを AD DS に統合することにより、AD DS レプリケーション、セキュリティで保護された動的更新、レコードのエージング機能と清掃機能など、DNS の機能を活用できます。

DNS と AD DS の統合のしくみ

サーバーに AD DS をインストールすると、そのサーバーを、指定されたドメインのドメイン コントローラーの役割に昇格できます。この処理の一部として、昇格するサーバーの対象となる、参加させようとしている AD DS ドメインの DNS ドメイン名を指定するように求められます。また、DNS サーバーの役割をインストールするオプションも表示されます。このオプションが表示されるのは、このサーバーまたは AD DS ドメインのメンバーの他のドメイン コントローラーを検索するために DNS サーバーが必要になるためです。

AD DS の統合の利点

DNS の展開によって AD DS をサポートしているネットワークの場合は、ディレクトリに統合されたプライマリ ゾーンの使用を強くお勧めします。これには次の利点があります。

  • AD DS の機能に基づくマルチマスター データ更新および拡張セキュリティを利用できます。

    標準のゾーン格納モデルでは、シングルマスター更新モデルに基づいて DNS の更新が行われます。このモデルでは、1 つのゾーンに対して権限のある 1 つの DNS サーバーが、ゾーンのプライマリ ソースとして指定されます。このサーバーは、ゾーンのマスター コピーをローカル ファイルに保存します。このモデルの場合、ゾーンのプライマリ サーバーが決まった単一障害点になります。このサーバーが利用不能になると、DNS クライアントからのゾーンの更新要求は処理されなくなります。

    ディレクトリ統合の格納方式では、DNS に対する動的更新が 1 つの AD DS 統合 DNS サーバーに送られ、AD DS レプリケーションによって、他のすべての AD DS 統合 DNS サーバーにレプリケートされます。このモデルでは、どの AD DS 統合 DNS サーバーでも、ゾーンに対する動的更新を受け付けることができます。ゾーンのマスター コピーが、すべてのドメイン コントローラーにすべてレプリケートされる AD DS データベースで維持されるため、ドメインの任意のドメイン コントローラーで動作している DNS サーバーがゾーンを更新できます。AD DS のマルチマスター更新モデルでは、ドメイン コントローラーがネットワーク上で利用可能で、通信可能である限り、ディレクトリ統合ゾーンのどのプライマリ サーバーでも DNS クライアントからのゾーン更新要求を処理できます。

    また、ディレクトリ統合ゾーンを使用する場合は、アクセス制御リスト (ACL) を編集することによって、ディレクトリ ツリー内の dnsZone オブジェクト コンテナーをセキュリティで保護できます。この機能を利用して、ゾーンまたはゾーン内の指定されたリソース レコードへのアクセスを詳細に制御できます。たとえば、ゾーンのリソース レコードに対する ACL を制限して、指定されたクライアント コンピューター、またはドメイン管理者グループなど、セキュリティで保護されたグループにのみ動的更新を許可することができます。標準のプライマリ ゾーンでは、このセキュリティ機能は利用できません。

  • 新しいドメイン コントローラーが AD DS ドメインに追加されるたびに、ゾーンが新しいドメイン コントローラーに自動的にレプリケートされ、ゾーンの同期が行われます。

    DNS サービスをドメイン コントローラーから選択的に削除することはできますが、ディレクトリ統合ゾーンは既に各ドメイン コントローラーに格納されています。このため、ゾーンの格納と管理は付加的なリソースになりません。また、ディレクトリに格納された情報の同期に使われる方式は、ゾーン全体の転送が必要になる可能性がある標準のゾーン更新方式に比べて、パフォーマンスが高くなります。

  • DNS ゾーン データベースの記憶域を AD DS で統合することにより、ネットワークのデータベース レプリケーション計画を合理化できます。

    DNS 名前空間と AD DS ドメインを別々に格納し、レプリケートする場合は、それぞれを個別に計画し、管理する必要があります。たとえば、標準の DNS ゾーン格納方式と AD DS を共に使用する場合は、2 つの異なるデータベース レプリケーション トポロジの設計、実装、テスト、および保守が必要になります。

    たとえば、ドメイン コントローラー間でディレクトリ データをレプリケートするために 1 つのレプリケーション トポロジが必要になり、DNS サーバー間でゾーン データベースをレプリケートするために別のトポロジが必要になります。このため、最終的にネットワークを拡張できるように、ネットワークを計画し、設計するための管理作業がより複雑になる可能性があります。DNS の記憶域を統合することにより、DNS と AD DS の両方の記憶域管理とレプリケーションの問題を一本化し、両者を統合して 1 つの管理実体として見ることができます。

  • ディレクトリ統合のレプリケーションは、標準の DNS のレプリケーションより高速で、効率が高くなります。

    AD DS のレプリケーション プロセスはプロパティ単位で実行されるため、関係のある変更のみが伝達されます。これにより、ディレクトリに格納されるゾーンの更新では、使用され、送信されるデータ量が減少します。

ディレクトリにはプライマリ ゾーンのみを格納できます。DNS サーバーは、ディレクトリにセカンダリ ゾーンを格納できません。DNS サーバーは、セカンダリ ゾーンを標準のテキスト ファイルに格納しなければなりません。すべてのゾーンを AD DS に格納すれば、AD DS のマルチマスター レプリケーション モデルではセカンダリ ゾーンが不要になります。

AD DS 統合向けに DNS を構成する詳細については、「DNS サーバーを Active Directory ドメイン サービスで使用するように構成する」および「チェックリスト: DNS サーバー サービスにドメイン コントローラーを追加する」を参照してください。

目次