既定では、マルチホーム コンピューター上で動作する DNS サーバー サービスは、そのすべての IP アドレスを使用して DNS クエリをリッスンするように構成されています。DNS サーバー サービスがリッスンする IP アドレスを、DNS クライアントが優先 DNS サーバーとして使用する IP アドレスに制限することによって、DNS サーバーのセキュリティを向上させることができます。
この手順を実行するには、Administrators グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要となります。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、
選択されたアドレスだけをリッスンするように DNS サーバーを制限する
Windows インターフェイスを使用して、選択されたアドレスだけをリッスンするように DNS サーバーを制限するには |
DNS マネージャーを開きます。
コンソール ツリーで、該当する DNS サーバーをクリックします。
場所 :
-
DNS\該当する DNS サーバー
-
DNS\該当する DNS サーバー
[操作] メニューの [プロパティ] をクリックします。
[インターフェイス] タブの [指定した IP アドレスのみ] をクリックします。
[IP アドレス] に、この DNS サーバーに対して有効にする IP アドレスを入力し、[追加] をクリックします。
必要に応じてこの手順を繰り返して、この DNS サーバーに対して有効にする他のサーバー IP アドレスを指定します。
一覧から IP アドレスを削除するには、削除する IP アドレスをクリックし、[削除] をクリックします。
その他の考慮事項
-
DNS マネージャーを開くには、[スタート] ボタンをクリックして [管理ツール] をポイントし、[DNS] をクリックします。
-
既定では、DNS サーバー サービスは、サーバー コンピューターのすべての構成済みの IP アドレスで DNS メッセージ通信をリッスンします。
-
ここで追加するサーバー IP アドレスは、静的に管理する必要があります。ここで指定されたアドレスを、後でこのサーバーで管理される TCP/IP 構成から変更または削除した場合は、それに応じてこの一覧を更新します。
-
制限されたインターフェイスの一覧を更新または改訂した後で、DNS サーバーを停止し、再起動して、新しい一覧を適用する必要があります。
-
DNS サーバー サービスが特定の IP アドレスだけをリッスンするように制限すると、同じネットワーク サブネット上のホストだけ、または同じセグメントに接続するルーターを持つホストだけがサーバーにアクセスできるようになるため、効果的にセキュリティを確保できます。
コマンド ラインを使用して、選択されたアドレスだけをリッスンするように DNS サーバーを制限するには |
コマンド プロンプトを開きます。
次のコマンドを入力して、Enter キーを押します。
dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]
パラメーター | 説明 |
---|---|
dnscmd |
DNS サーバーの管理用コマンド ライン ツールの名前を指定します。 |
<サーバー名> |
必須。DNS サーバーの DNS ホスト名を指定します。DNS サーバーの IP アドレスを入力することもできます。ローカル コンピューター上の DNS サーバーを指定するには、ピリオド (.) を入力することもできます。 |
/ResetListenAddresses |
必須。DNS サーバーがリッスンするインターフェイスの IP アドレスをリセットします。 |
<リッスン アドレス> ... |
DNS サーバーがリッスンするインターフェイスの IP アドレスを指定します。IP アドレスは複数指定することもできます。既定では、DNS サーバー サービスは、サーバー コンピューターのすべての構成済みの IP アドレスで DNS メッセージ通信をリッスンします。 |
このコマンドの完全な構文を表示するには、コマンド プロンプトで次のように入力し、Enter キーを押します。
dnscmd <ServerName> /ResetListenAddresses /help
その他の考慮事項
-
高度なコマンド プロンプト ウィンドウを開くには、[スタート]、[すべてのプログラム]、[アクセサリ] の順にクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。
-
ここで追加するサーバー IP アドレスは、静的に管理する必要があります。ここで指定されたアドレスを、後でこのサーバーで管理される TCP/IP 構成から変更または削除した場合は、それに応じてこの一覧を更新します。
-
制限されたインターフェイスの一覧を更新または改訂した後で、DNS サーバーを停止し、再起動して、新しい一覧を適用する必要があります。
-
DNS サーバー サービスが特定の IP アドレスだけをリッスンするように制限すると、同じネットワーク サブネット上のホストだけ、または同じセグメントに接続するルーターを持つホストだけがサーバーにアクセスできるようになるため、効果的にセキュリティを確保できます。