none
DCのファイアーウォール設定と統合DNSの複製について RRS feed

  • 質問

  • ドメインコントローラでWindowsファイアーウォールを有効にしているのですが、ポートをブロックしていて複製に失敗しているようです。

    1.DC、Webサーバ、ファイルサーバ、DNSサーバ、DHCPサーバのファイアーウォール設定はどのようにすることが多いでしょうか?(無効??)

    2.ファイアーウォールで最初はアプリが通信するときに通信を許可するかダイアログがでたと思うのですが、もう一度毎回きいてくるようにするにはどうすればよいでしょうか?

    3.DNSで統合ゾーンでForestDnsZones,DomainDnsZonesがありますが、ドメインにAレコードを登録するときは

    これらのゾーンにも手動で登録する必要があるのでしょうか?

    4.すべてのドメインコントローラのレコード(Aレコード,SRVレコード)をForestDnsZones,DomainDnsZonesに書いておいた方がよいでしょうか?

    教えてください。

    よろしくおねがいします。

     

    2010年5月14日 18:23

回答

  • 自分の場合はDCのファイヤーウォールは既定のままにしているので「無効」になっています。

    1台目のDCDNSサーバーをインストールしAD統合ゾーンを作成すれば、2番目のDCにも冗長性をもたせるためDNSサーバーをインストールします。(ただし、すでに1台目のDCにゾーンを作成しているため2番目のDCには手動でゾーンは作成しません。)

    そうすれば、ForestDnsZones,DomainDnsZones台目のDCのレコードが自動的に作成されます。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク nodame2010 2010年5月20日 12:38
    2010年5月17日 14:57

すべての返信

  • Windows Server 2003ではWindows Firewall/Internet Connection Sharing (ICS)」 サービスがスタートアップの種類で既定で「無効」になっています。このサービスを有効にしスタートアップの種類で開始させてWindowsファイヤーウォールの設定を見ると既定では「無効」になっています。

    もしWindows ファイアウォールの設定を既定値「無効」から変更するのであれば、「ローカルエリア接続」のプロパティから「詳細設定」と操作していって「既定値に戻す」とファイヤーウォールは「有効」になります。あとは自分の会社の環境に応じて「例外」として許可したいポートを追加すればよいのではないでしょうか。(Windows Firewall/Internet Connection Sharing (ICS)」 サービスを停止させスタートアップの種類で再度「無効」に戻してください。)

    http://tooljp.com/qa/B8DE7415988104354925751D006CC861.html

     

    ドメイン環境で使用されるポート番号についてはしたのページにあります。

    http://blogs.technet.com/jpntsblog/archive/2009/03/04/3208978.aspx

    http://www.microsoft.com/downloads/details.aspx?FamilyID=dd6bed8f-a706-48ee-95b7-bdc21455815a&DisplayLang=

    http://support.microsoft.com/default.aspx?scid=kb;ja;832017

     

    >DNSで統合ゾーンでForestDnsZones,DomainDnsZonesがありますが、ドメインにAレコードを登録するときはこれらのゾーンにも手動で登録する必要があるのでしょうか?

    Windows 2000以降のクライアントでは手動で登録する必要はありません。

     

    >すべてのドメインコントローラのレコード(Aレコード,SRVレコード)をForestDnsZones,DomainDnsZonesに書いておいた方がよいでしょうか?

    手動で書く必要はありません。

     

    >ファイアーウォールで最初はアプリが通信するときに通信を許可するかダイアログがでたと思うのですが、もう一度毎回きいてくるようにするにはどうすればよいでしょうか?

    状況がよく分かりませので別の回答を待ってください。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年5月16日 1:25
  • ありがとうございます。

    リンク大変参考になりました。

     

    1. たくさんポートがありますが、みなさんはDCのFirewall設定はどうされているのでしょうか?

     

    >すべてのドメインコントローラのレコード(Aレコード,SRVレコード)をForestDnsZones,DomainDnsZonesに書いておいた方がよいでしょうか?

    手動で書く必要はありません。

     

    2. 上記ですがDCに昇格したときに自動で追加されるのでしょうか?

    2台目のDCを追加したのですが、2台目のDCにはDNSサーバをインストールしませんでした。

    そうするとForestDnsZones,DomainDnsZonesに2台目のDCのレコードがありませんでした。

     

    3. それが原因なのか複製に問題がでているのですが、DCを追加する場合追加するDCにもDNSをインストールする必要があるのでしょうか?

     

    よければ教えてください。

    2010年5月17日 14:08
  • 自分の場合はDCのファイヤーウォールは既定のままにしているので「無効」になっています。

    1台目のDCDNSサーバーをインストールしAD統合ゾーンを作成すれば、2番目のDCにも冗長性をもたせるためDNSサーバーをインストールします。(ただし、すでに1台目のDCにゾーンを作成しているため2番目のDCには手動でゾーンは作成しません。)

    そうすれば、ForestDnsZones,DomainDnsZones台目のDCのレコードが自動的に作成されます。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク nodame2010 2010年5月20日 12:38
    2010年5月17日 14:57