ドメイン ネーム システム (DNS) ゾーンの次の構成オプションは、標準的な DNS ゾーンと Active Directory 統合 DNS ゾーンの両方のセキュリティに関連するものです。

セキュリティで保護された動的更新を構成する

既定では、[動的更新] は動的な更新を許可するように構成されていません。攻撃者による DNS ゾーンの更新を防ぐことができるので、これは最も安全な設定です。ただし、この設定では、ユーザー自身も動的更新による管理面での利点を得ることができません。コンピューターで DNS データを安全に更新するには、DNS ゾーンを Active Directory ドメイン サービス (AD DS) に格納して、セキュリティで保護された動的更新機能を使用します。セキュリティで保護された動的更新では、DNS サーバーが配置されている Active Directory ドメインに属している認証済みのコンピューター、およびその DNS ゾーンのアクセス制御リスト (ACL) で定義されている特定のセキュリティ設定のみが DNS ゾーン更新の対象となります。

詳細については、「セキュリティで保護された動的更新のみを許可する」を参照してください。

AD DS に格納された DNS ゾーンの随意アクセス制御リスト (DACL) を管理する

DACL を使用すると、DNS ゾーンを制御する Active Directory のユーザーやグループのアクセス許可を管理できます。

次の表は、AD DS に格納されている DNS ゾーンの既定のグループ名またはユーザー名とアクセス許可を示しています。

グループ名またはユーザー名 アクセス許可

Administrators

許可 : 読み取り、書き込み、すべての子オブジェクトの作成、特殊なアクセス許可

Authenticated Users

許可 : すべての子オブジェクトの作成

Creator Owner

特殊なアクセス許可

DnsAdmins

許可 : フル コントロール、読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除、特殊なアクセス許可

Domain Admins

許可 : フル コントロール、読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除

Enterprise Admins

許可 : フル コントロール、読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除

Enterprise Domain Controllers

許可 : フル コントロール、読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除、特殊なアクセス許可

Everyone

許可 : 読み取り、特殊なアクセス許可

Pre-Windows 2000 Compatible Access

許可 : 特殊なアクセス許可

System

許可 : フル コントロール、読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除

詳細については、「ディレクトリ統合ゾーンのセキュリティを変更する」を参照してください。

ゾーンが AD DS に格納されているドメイン コントローラー上で動作する DNS サーバー サービスは、Active Directory のオブジェクトと属性を使用して、そのゾーンのデータを AD DS に格納します。DNS Active Directory オブジェクトに対して DACL を構成すると、DNS マネージャーで DNS ゾーンに対して DACL を構成した場合と同じ効果が得られます。したがって、Active Directory オブジェクトと DNS データのセキュリティ管理者は互いに直接連絡しあい、それぞれのセキュリティ設定が矛盾しないようにします。

次の表は、DNS ゾーン データが使用する Active Directory オブジェクトと属性を示しています

オブジェクト 説明

DnsZone

ゾーンを AD DS に格納するときに作成されるコンテナー。

DnsNode

ゾーン内の名前をリソース データにマッピングし、関連付けるときに使用されるリーフ オブジェクト。

DnsRecord

名前付きのノード オブジェクトに関連付けられたリソース レコードを保存するときに使用する、dnsNode オブジェクトの複数値属性。

DnsProperty

ゾーン構成情報を保存するときに使用する、dnsZone オブジェクトの複数値属性。

ゾーン転送を制限する

DNS サーバー サービスの既定の設定では、ゾーンのネーム サーバー (NS) リソース レコードで指定されているサーバーにのみゾーン情報が転送されます。これはセキュリティで保護された構成ですが、セキュリティをさらに強化するには、指定した IP アドレスへの転送を許可するようにこの設定を変更します。すべてのサーバーへのゾーン転送を許可するようにこの設定を変更すると、ネットワークに侵入しようとする攻撃者から DNS データが見えるようになる危険性があります。

詳細については、「ゾーン転送設定を変更する」を参照してください。

ゾーンを委任した場合のメリットとデメリットを確認する

独立して管理されている DNS サーバー上でホストされているゾーンに DNS ドメイン名を委任するかどうかを決定するときには、ネットワークの DNS データを管理する権限を複数のユーザーに与えた場合、それがセキュリティにどのような影響を与えるかを考慮することが重要です。DNS ゾーンの委任では、セキュリティ上の利点を重視して 1 台の DNS サーバーにすべての DNS データに対する権限を与えるか、または管理上の利点を重視して DNS 名前空間に対する権限を複数の管理者に分散するかを選択することになります。プライベート DNS 名前空間のトップレベル ドメインには機密性の高い DNS データが含まれているので、このドメインを委任するときは、この問題が非常に重要となります。

詳細については、「ゾーンの委任とは」を参照してください。

DNS ゾーン データを回復する

DNS データが破損した場合は、%systemroot%/DNS/Backup フォルダーにあるバックアップ フォルダーから DNS ゾーン ファイルを回復できます。ゾーンを最初に作成するときに、そのゾーンのコピーがバックアップ フォルダーに追加されます。ゾーンを回復するには、バックアップ フォルダーにある元のゾーン ファイルを %systemroot%/DNS フォルダーにコピーします。新しいゾーン ウィザードを使用してゾーンを作成する場合は、新しいゾーンのゾーン ファイルとして、%systemroot%/DNS フォルダーにあるゾーン ファイルを指定します。詳細については、「前方参照ゾーンを追加する」を参照してください。

この操作は、AD DS に格納されていない標準のゾーンにのみ適用されます。

詳細については、「DNS のセキュリティ情報」を参照してください。


目次