none
ActiveDirectory ドメインの命名ルール RRS feed

  • 質問

  • お世話になっております。

     

    社内にドメインを構築するため、Windows2003+ActiveDirectoryを利用しようとしております。

    ※いろいろな書籍、インターネット上にて、勉強中です。

     

    さて質問ですが、ドメインの命名を行なう場合、いろんな書籍を読んでかかれていることですが

    インターネット上で既に独自にドメインを取得している場合、ActiveDirectoryの名前も取得したドメイン名ベースに構築する

    ことを推奨しており、取得していない場合は、「***.local」を推奨しております。

    ここで疑問なのですが、例えばインターネット上で「hogehoge.co.jp」を取得し、ActiveDirectoryでも「hogehoge.co.jp」にすると、

    インターネット上で「www.hogehoge.co.jp」といウェブサーバを構築し、社内のActiveDirectory側でも「www.hogehoge.co.jp

    というウェブサーバを構築した場合、ブラウザから上記のURLを入力した場合、どちらを見に行くのでしょうか。

    どう考えてみても、社内のウェブサーバしかみれなくなると思われるのですが・・・とおもって調べてみると、

     

    ただ、社内のサーバのドメイン名の階層を増やし、「internal.hogehoge.co.jp」とすることで

    www.hogehoge.co.jp」(インターネット上)と「www.internal.hogehoge.co.jp」(社内)となるわけですが、

    www.hogehoge.co.jp」の名前解決は、どのように行なわれるのでしょうか。

     

    この場合、社内のDNSで解決できない場合、社外のDNSを見に行くことになり解決されるのでしょうか。

     

    ご教授ください。

     

     

     

     

     

     

     

     

     

    2007年10月19日 7:01

回答

  • チャブーンです。

     

    状況によって、対応が異なるでしょう。

     

    まず、"(インターネット公開された)社内 DNS ドメイン" と Active DIrectory ドメインが全く同じものの場合ですが、最初にドメインコントローラの DNS にアクセスしてレコードがなくても、同じドメイン名の社内 DNS にアクセスさせることはできません。これは DNS 実装の制限事項なので、どういう方法を採ってもムリですよ。この場合、本来社内 DNS サーバ上で確認したいレコード (www 等) を、手動で Active Directory DNS に投入しておくことで、名前解決ができます。

     

    で、Active Directory DNS にサブドメインを付けた場合ですが、フォワーダでもよいのですが、通常の DNS 再帰動作をさせることで、ルートサーバから社内 DNS サーバを引いてくれるはずです。こちらの方がスマートかもしれません。Active Directory DNS がルートサーバはじめ外部にクエリをかけられない場合や、社内 DNS サーバが外部に公開されていないケースでは、フォワーダを行なうことになります。

     

    名前空間の設計については、図示されたよい資料があるので、見てみるとよいでしょう。

     

    http://www.atmarkit.co.jp/fwin2k/operation/2003adprimer05/2003adprimer05_03.html 

     

    2007年10月23日 3:19
    モデレータ
  • チャブーンです。

     

    > www.internal.hogehoge.co.jpの問い合わせならば、プライベート側のIPアドレスを返してくれそうですが、

    > www.hogehoge.co.jpの問い合わせでは、正しくパブリック側のIPアドレスを返してくれるのでしょうか。

    >

    > で結論として、「この場合、プライベート側のDNSのフォワーダ機能にて、パブリック側のDNSを登録すれば正しいIPアドレスを

    > 返してくれる」と理解したのですが・・・・・

     

    DNS の「再帰」の実装を理解いただければわかりますが、[hogehoge.co.jp] ゾーンがインターネットから名前引きできるゾーンなら、実装上はフォワーダを設定しようがしまいが、名前解決ができます。

     

    > パブリック側のDNSに、プリベート側のDNSサーバを登録する理由がわかりません。

     

    サブドメイン DNS を委任している、ということが親ドメイン上で明示されている場合、再帰により 親ドメイン DNS にアクセスした段階でサブドメインゾーンのアクセス先がわかります。つまり、(プライベート IP 通信が可能な) 外部サーバがサブドメイン上のコンピュータにアクセスできますし、クライアントはドメインコントローラ DNS を直接参照先に設定しなくてもドメインリソースにアクセスできます。

     

    ただし、完全にプライベートなゾーンとして管理したい場合、サブドメインへの委任は必要ありません。この場合クライアントにはドメインコントローラ DNS を参照させ、外部 DNS は再帰かフォワーダで名前解決させます。

    2007年10月28日 10:40
    モデレータ

すべての返信

  • 通常、クライアントには社内DNSサーバを指定してもらって、社外サイトへは社内DNSが社外向けのDNSへforwardすることになります。あるいはProxyサーバにお任せする..という方法ですね。

     

    社内のDNSをちゃんとforward設定していれば大丈夫ですよ。

    2007年10月21日 2:52
  • ご返事ありがとうございました。

     

    確かにフォワーダ設定をすれば問題ないように思えてきました。

     

     

    2007年10月22日 2:14
  • チャブーンです。

     

    状況によって、対応が異なるでしょう。

     

    まず、"(インターネット公開された)社内 DNS ドメイン" と Active DIrectory ドメインが全く同じものの場合ですが、最初にドメインコントローラの DNS にアクセスしてレコードがなくても、同じドメイン名の社内 DNS にアクセスさせることはできません。これは DNS 実装の制限事項なので、どういう方法を採ってもムリですよ。この場合、本来社内 DNS サーバ上で確認したいレコード (www 等) を、手動で Active Directory DNS に投入しておくことで、名前解決ができます。

     

    で、Active Directory DNS にサブドメインを付けた場合ですが、フォワーダでもよいのですが、通常の DNS 再帰動作をさせることで、ルートサーバから社内 DNS サーバを引いてくれるはずです。こちらの方がスマートかもしれません。Active Directory DNS がルートサーバはじめ外部にクエリをかけられない場合や、社内 DNS サーバが外部に公開されていないケースでは、フォワーダを行なうことになります。

     

    名前空間の設計については、図示されたよい資料があるので、見てみるとよいでしょう。

     

    http://www.atmarkit.co.jp/fwin2k/operation/2003adprimer05/2003adprimer05_03.html 

     

    2007年10月23日 3:19
    モデレータ
  • チャブーンさん、ご返事ありがとうございます。

    資料のURLですが、イメージしやすくわかりやすかったのです。

     

    パブリック・インターネット側のドメイン名(hogehoge.co.jp)を取得している場合、

    プライベート・インターネットのトップレベル・ドメイン名を、(internal.hogehoge.co.jp)とした場合、

    (※プライベート側のDNSは、「ActiveDirectory統合DNS」とするつもりです。)

    www.internal.hogehoge.co.jpの問い合わせならば、プライベート側のIPアドレスを返してくれそうですが、

    www.hogehoge.co.jpの問い合わせでは、正しくパブリック側のIPアドレスを返してくれるのでしょうか。

     

    で結論として、「この場合、プライベート側のDNSのフォワーダ機能にて、パブリック側のDNSを登録すれば正しいIPアドレスを

    返してくれる」と理解したのですが・・・・・

     

    私の理解は間違っておりますでしょうか。

    ご教授お願いします。

     

    /*****

    参考としたURLの資料で記載されている「パターン1」が理想ですが、

    パブリック側のDNSに、プリベート側のDNSサーバを登録する理由がわかりません。

    またサブドメインとして使用するつもりもありません。

    社内では「ルータ兼プロクシサーバ」を通してインターネットを参照しているし、

    パブリック(WAN)側のDNSにプライベート(LAN)側のDNSを登録しても意味がないので、無視するべき内容かもしれませんが。

    *****/

     

     

     

     

     

     

     

     

    2007年10月23日 7:40
  • チャブーンです。

     

    > www.internal.hogehoge.co.jpの問い合わせならば、プライベート側のIPアドレスを返してくれそうですが、

    > www.hogehoge.co.jpの問い合わせでは、正しくパブリック側のIPアドレスを返してくれるのでしょうか。

    >

    > で結論として、「この場合、プライベート側のDNSのフォワーダ機能にて、パブリック側のDNSを登録すれば正しいIPアドレスを

    > 返してくれる」と理解したのですが・・・・・

     

    DNS の「再帰」の実装を理解いただければわかりますが、[hogehoge.co.jp] ゾーンがインターネットから名前引きできるゾーンなら、実装上はフォワーダを設定しようがしまいが、名前解決ができます。

     

    > パブリック側のDNSに、プリベート側のDNSサーバを登録する理由がわかりません。

     

    サブドメイン DNS を委任している、ということが親ドメイン上で明示されている場合、再帰により 親ドメイン DNS にアクセスした段階でサブドメインゾーンのアクセス先がわかります。つまり、(プライベート IP 通信が可能な) 外部サーバがサブドメイン上のコンピュータにアクセスできますし、クライアントはドメインコントローラ DNS を直接参照先に設定しなくてもドメインリソースにアクセスできます。

     

    ただし、完全にプライベートなゾーンとして管理したい場合、サブドメインへの委任は必要ありません。この場合クライアントにはドメインコントローラ DNS を参照させ、外部 DNS は再帰かフォワーダで名前解決させます。

    2007年10月28日 10:40
    モデレータ
  •  

    チャブーンさん、ご返事ありがとうございます。

     

    セキュリティー対策上、完全なプライベートゾーンとして扱うので、

    これから社内に構築する予定の「ActiveDirectory統合DNSサーバ」が、

    「フルサービス・リゾルバ」の役割を実行してくれると解決ができそうです。

    ※この辺の役割の設定は、これからの勉強の課題とします。

    ※フォワーダの仕組みにしても、自分(DNSサーバ)で解決できない場合に、フォワーダ設定したDNSサーバへ

    その検索条件に転送するのか、検索条件だけ受け取ってにフォワーダサーバへ

    スルーしてしまうのかなど(これなら問題ありだが)、文献によって説明がことなって少々混乱しておりますが、

    もう少し整理していきたいと思います。

     

    ありがとうございました。

     

     

    2007年10月29日 4:50
  •  

    こんにちは、フォーラム オペレータの鈴木裕子です。

     

    チャブーン さん、

    大変わかりやすく、参考になる回答をありがとうございました!

     

    TAKAKUN さん、

    その後、いかがですか?ご希望の環境は構築できましたでしょうか?

    チャブーン さんの回答が大変参考になったと思いましたので、

    回答済みチェックをつけさせて頂きました。

    回答済みチェックが付くことにより、有用な情報を探している方が情報を見つけやすくなります。
    問題解決につながる回答があった場合は、なるべく回答済みボタンを押してチェックを付けてくださいね

     

    TAKAKUN さんは設定を元に戻すこともできますので、もし不適切でしたら、修正なさってください。

     

    また何かありましたら、フォーラムの情報を参考になさってください!

    お待ちしております

     

    2008年1月7日 8:36
    モデレータ