Windows Server 2019 Active Directory環境のDNSお勧め設定を紹介

win2019-dns-top03

 こんにちは、レムシステムのITエンジニアのKomura(@system_kom)です。
前回の記事で、Active Directoryのインストールと基本構成まで説明をしました。

Windows
windowsserver2016-ad-setting-top3
Windows Server 2016 Active Directoryのインストールと設定手順を紹介

Windows Server 2016に関する2つの記事でWindows Server 2016の基本セットアップまでを説明しました。 本記事ではセットアップが完了した環境を利用して、Windowsサーバー目玉機能の一つであるActive ...

この記事の内容のとおりにWindows Serverのセットアップを行うことでActive Directoryのドメインコントローラーとしては動作しますが、本記事では運用を始めるに当たって設定を行ったほうが良いDNS周りの設定項目について紹介したいと思います。既にActive Directoryを運用している環境でも確認してみることをお勧めします。

 弊社レムシステムではActive Directoryの構築サービスを提供しています。当社のホームページでは導入サービスの詳細だけでなくActive Directory導入前に検討が必要なポイントやメリットについても紹介しています。Active Directory導入時の要件を考える際の参考になると思いますので、併せて参照してください。

Windows Active Directory環境の構築サービス  |  サーバーとネットワークの相談はレムシステム
Windows Active Directory環境の構築サービス | サーバーとネットワークの相談はレムシステム

 ビジネスで利用されているコンピューターはWindowsという環境が圧倒的に多いと思います。Windowsで利用するユーザーやPCについてのセキュリティや管理の煩雑さを解決するシステムがActive Directoryです。Active D ...

www.rem-system.co.jp

Active Directoryのセットアップ後に変更したほうが良いDNS設定の1点目は

  • DNSサーバーの逆引きゾーン追加

になります。
Active Directoryでは名前解決にDNSを利用するため、DNSサービスのセットアップが必須です。
Windows Server 2019でセットアップしたActive Directoryでも、DNSサービスが稼働しています。基本的にActive DirectoryのDNSでは前方参照ゾーン(正引きのレコードが保存されるゾーン。コンピューター名からIPアドレスを解決する)があれば動作しますが、逆引き(IPアドレスからコンピューター名を解決する)も設定しておくことをお勧めします。
※前方参照ゾーンはActive Directoryのセットアップ時に自動的に作成されます。
逆引き参照ゾーンはIPアドレスからコンピュータ名を解決する際のレコードが保存されます。トラブルシューティングの際にIPアドレスからコンピュータ名を解決することや、ログの確認でIPアドレスからコンピュータ名を調査するような場面で役立ちます。
DNSの名前解決での正引きと逆引きは以下のような挙動になります。

正引きの名前解決

  • コンピューター名 => IPアドレス

逆引きの名前解決

  • IPアドレス => コンピューター名

本記事ではまず、Active DirectoryをインストールしたWindows Server 2019の環境を利用して、逆引きの名前解決ができるように「逆引き参照ゾーン」を追加する手順を紹介します。

Active Directoryのセットアップ後に変更したほうが良いDNS設定の2点目は

  • DNSのフォワーダ設定

になります。
DNSのフォワーダ設定は、Active Directoryで利用しているDNSサーバーがインターネット側へ直接、接続できない環境ためインターネット側のDNS名前解決を行うことが出来ない場合などに利用します。
DNSフォワーダーを設定すると、DNSサーバーはリクエストされた自ドメイン以外の名前解決を、指定したDNSサーバーへ転送します。これによりドメインコントローラーのDNSサーバーが直接、外部の名前解決をできない環境でもDNSの名前解決ができるようになります。
またDNSフォワーダーを設定することで、インターネット側への無駄な名前解決リクエストを減らすことが出来ます。
DNSフォワーダーの設定はDNSサーバーを運用する上で必須ではありませんが、上記のような理由から出来るだけ設定することをお勧めします。
なお本記事の環境ではOSとしてWindows Server 2019を対象にしていますが、Windows Server 2016は

Windows
win2016-ad-dns-settings
Windows Server 2016 Active Directoryのインストール後に設定するDNS 2項目

前回の記事でWindows Server 2016へのActive Directoryのインストールと構成が完了しました。 この状態でActive Directoryとしては問題なく動作するのですが、運用を容易にするためDNSサーバー関連で ...

Windows Server 2012 R2は記事

Windows
activedirectory-2012-dns-setting-thum
Active Directoryのインストール後にDNSの逆引きとフォワーダーを設定する

前回の記事までで、Windows Server 2012環境へのActive Directoryのインストールが終わりました。 この状態でActive Directoryとしては問題なく動作するのですが、一点、追加しておいたほうがいい設定を ...

で紹介していますので、環境に合わせて参考にしていただければ幸いです。

1. 設定を行う環境

今回、紹介する設定を行う環境については記事

Windows
【Windows Server構築】Windows Server 2019にActive Directoryをインストールする

 こんにちは、レムシステムIT担当の小村(@system_kom)です。  Windows Serverを構築する主な用途はファイルサーバーやActive Directoryなど主にLAN向けの機能を利用するためだと思います。当ブログでは以 ...

を元に作成したWindows Server 2019でのActive Directory環境になります。本記事の設定を進める上で必要となる設定値は以下になります。

  • ドメインの構成:最初のフォレスト/ドメイン
  • ルートドメイン名(DNS):ad.rem-system.com
  • ドメインコントローラー名:win2019/FQDNはwin2019.ad.rem-system.com
  • ドメインコントローラーのIPアドレス:192.168.241.28/24
  • 外部向けDNSサーバー:192.168.241.254/24
  • サブネット:192.168.241.0/24

この環境を元に設定を進めていきます。

2. 逆引き参照ゾーンの作成

DNSで逆引きを行うために、逆引き用のゾーンを作成します。Windows Server 2016では、今までのWindowsサーバと同じようにDNS管理ツールが用意されています。ここではDNS管理ツールであるDNSマネージャーを利用して、ゾーンを作成します。

2-1. DNSマネージャーの起動

DNSマネージャーはWindowsメニューの[Windows 管理ツール]からも起動できますが、本記事ではサーバーマネージャーから起動します。
サーバーマネージャーの左ペインに表示されている[DNS]をクリックすると、右ペインにDNSサーバー名が表示されます。DNSサーバーを右クリックして表示されたメニューから[DNSマネージャー]を選択することでDNSマネージャーが起動します。

win2019-dns-1-1

2-2. 新しいゾーン ウィザードの起動

左ペインに表示されているゾーン名から[逆引き参照ゾーン]を選択後に、上部メニューの[操作]-[新しいゾーン]を選択します。

win2019-dns-1-2-1

新しいゾーンウィザードが起動します。[次へ]をクリックして、先へ進めます。

win2019-dns-1-2-2

2-3. ゾーンの種類を選択

逆引き参照ゾーンとして作成するゾーンの種類を選択します。
基本的にゾーンの種類は[プライマリゾーン]として[Active Directoryにゾーンを格納する]にチェックを入れます。

win2019-dns-1-3

2-4. Active Directoryゾーンレプリケーションスコープの設定

ゾーンデータのレプリケート方法を選択します。DNSのゾーンデータは冗長性を確保するために自動的に他のDNSサーバーへコピーされます。この画面ではどの範囲までのDNSサーバーへデーターをコピーするかを選択します。
今回は1フォレスト、1ドメインの環境になりますので、[このドメインのドメインコントローラー上で実行しているすべてのDNSサーバー]にチェックを入れます。

win2019-dns-1-4

(フォレストが複数ある環境は殆どないかと思いますが、そのような環境の場合には"このフォレスト~"を選択します。)
選択後に[次へ]をクリックして先へ進めます。

2-5. 逆引き参照ゾーン IPv4かIPv6の選択

逆引き参照ゾーンの名前を決定します。
IPv4とIPv6のゾーンを作成するか、選択します。本記事ではIPv6は利用しないので、[IPv4逆引き参照ゾーン]にチェックを入れ、[次へ]をクリックして、先へ進めます。

win2019-dns-1-5

2-6. 逆引き参照ゾーン名の設定

逆引き参照ゾーン名の設定を行います。
ネットワークIDにチェックを入れ、参照ゾーンのネットワークセグメントを入力します。今回の環境ではセグメントは"192.168.241.0/24"ですので、3オクテット目の"192.168.241"までを入力します。入力すると[逆引き参照ゾーンの名前]が自動的に入力されます。

win2019-dns-1-6

[次へ]をクリックして、先へ進めます。

2-7. 動的更新の設定

DNSクライアントから動的更新の要求があった場合の挙動を設定します。DNSクライアントはWindowsクライアントOSなど、DNSを利用しているコンピューターになります。基本的には対象としてWindowsクライアントOSはデフォルトで動的更新に対応しています。動的更新が有効になっていると、DNSのゾーンにコンピュータ名のエントリとIPアドレスを自動的に登録します。主にDHCPでIP配布を行っている環境で、名前引きができるようになる設定です。
通常、[セキュリティで保護された動的更新のみを許可する]にチェックを入れます。

win2019-dns-1-7-1

[次へ]で先へ進めます。
設定完了のサマリが表示されます。[完了]をクリックしてウィザードを終了します。これで逆引き参照ゾーンの追加は完了です。

win2019-dns-1-7-2

DNSマネージャーに戻って、逆引き参照ゾーンに先ほど設定したセグメントが追加されていることを確認します。

win2019-dns-1-7-3

これで逆引き参照ゾーンの確認は完了です。

3. 逆引きの動作確認

逆引き参照ゾーンが設定されていることを確認します。確認はコマンドプロンプトからnslookupコマンドを利用して行います。ここではドメインコントローラーのIPアドレス(192.168.241.28)を逆引きしてみます。※逆引きするIPアドレスは実際の環境に読み替えて下さい。

3-1. nslookupの実行

コマンドプロンプトを開いて

> nslookup 192.168.241.28

を実行し、IPアドレスに対するコンピュータ名が返ってくるかを確認します。
逆引き参照ゾーンを設定した直ぐの状態では、画面のようにエラーメッセージとして「見つかりません」と表示されるはずです。

win2019-dns-2-1-1

これは、項目1. で設定した逆引き参照ゾーンに、ドメインコントローラーのIPアドレスが登録されていないことが原因です。

win2019-dns-2-1-2

3-2. 逆引き参照ゾーンへのレコード追加

通常、DNSのゾーンにはコンピューター名に設定されているのIPアドレスが自動登録されますが、自動登録が実行されるには特定のタイミングがあります。自動登録が実行されるタイミングは以下の2点になります。

  • 対象コンピュータの再起動時
  • ipconfig /registerdns コマンドの実行時

手軽に登録を行うにはコンピュータの再起動です。再起動時にコンピューターのIPアドレスがDNSサーバーに自動登録されます。再起動が難しい場合は、コマンドプロンプトからipconfigコマンドにregisterdnsオプションを付けて自動登録を明示的に行うこともできます。
ドメインコントローラーは再起動が難しいと思いますので、本記事ではコマンドを実行して自動登録を実行してみます。

> ipconfig /registerdns

コマンドプロンプトを開いて上記のコマンドを実行します。

win2019-dns-2-2-1

コマンドの実行後にDNSマネージャーで逆引き参照ゾーンを確認します。
ドメインコントローラーのIPアドレスである 192.168.241.28 が登録されていることが確認できます。(表示されない場合は、上部にある更新アイコンをクリックして表示内容を最新にしてください。)

win2019-dns-2-2-2

画像のようにPTRレコードとしてドメインコントローラーの情報が表示されれば、自動登録は完了しています。

3-3. nslookupの実行(DNS登録後)

逆引き参照ゾーンにドメインコントローラーのレコードが表示されていることが確認できましたので、再度、nslookupコマンドによるドメインコントローラーのIPアドレス逆引きを行ってみます。

> nslookup 192.168.241.28

実行すると、画像のように応答が返ってくるはずです。

win2019-dns-2-3

これで逆引き参照ゾーンの動作確認は完了です。

4. DNSフォワーダーの設定

本章ではDNSサーバーに設定したほうが良い2点目の項目について紹介していきます。
2点目は名前解決の要求を別のDNSサーバーへ転送するための「DNSフォワーダー」設定ですが、利用する環境が多いことから覚えておいて損はないと思います。

4-1. DNSサーバーのプロパティ表示

サーバーマネージャーからDNSマネージャーを起動します。
表示されたDNSサーバー名を右クリックして、サブメニューから[プロパティ]をクリックします。

win2019-dns-3-1

DNSサーバーのプロパティウィンドウが表示されます。

4-2. DNSフォワーダーの追加

プロパティウィンドウから[フォワーダー]タブをクリックします。フォワーダーの設定画面が表示されたら、[編集]をクリックします。

win2019-dns-3-2-1

クエリ転送先DNSサーバーのIPアドレス追加画面が表示されます。
<ここをクリックしてIPアドレスまたはDNS名を追加してください>をクリックします。

名前解決転送先のDNSサーバーをIPアドレスかコンピュータ名で指定します。ここでは外部向けDNSサーバーのIPアドレス 192.168.241.254 を設定しました。

win2019-dns-3-2-2

設定後 [OK] をクリックして先へ進めます。

4-3. DNSフォワーダーの設定完了

フォワーダータブの画面に、設定したDNSサーバーのIPアドレスが表示されていることを確認します。(サーバーFQDNは<解決できません>でも問題ありません。)[OK]をクリックして設定を完了します。

win2019-dns-3-3

これでDNSフォワーダーの設定は完了です。

5. まとめ

本記事ではWindows Server 2019にActive Directoryをセットアップ後に、設定を行ったほうが良いDNS周りの設定項目について2点を紹介しました。
おさらいをすると

  • DNS逆引き参照ゾーンの追加
  • DNSフォワーダーの設定

の2点になります。
逆引き参照ゾーンはIPアドレスからコンピューター名が分かるように設定する項目、DNSフォワーダーは自ドメイン以外の名前解決クエリを他のDNSサーバーへ転送する機能になります。
この2点について設定を行い、設定内容を理解することで、WindowsのDNSサーバーに慣れることができると思います。Active Directoryを運用している人も、これから導入しようとしている人も、是非、この2点について確認してみてください。意外に設定されていない環境があったりします。

  • この記事を書いた人
rem-profile-photo

レムシステム

レムシステムはPC・サーバー・ネットワークでの業務効率化を主な業務としている会社です。全国に対応しています。

-Active Directory, Windows Server 2019