★高周波な生活(の一部)トップページへ戻る★ 

このページは・・・
  since 2011/04/03 出張先でのサーバ更新作業などの為、資料としてhtml化
  update 2012/05/10 公私に渡って質問される事が多いので、公開に伴い内容整理変更
  update 2013/07/16   内容を多少修正・追記を足した

W2k 以降 DNSセットアップ の 俺様的メモ
   (自社内とか家庭内とか、ローカルなDNSの話)

・何度もWindows2000サーバOSを丸ごと再インストールして培った経験で、本文にtipsを記す。
 これで絶対大丈夫!という話ではなく、これでうまく行ってるという例。

・ローカルネットワーク内でW2k(及びそれ以降)を導入するときに
 アクティブディレクトリ(以下AD)も導入する場合が殆どだと思う。
 つかインストール途中でADインストールウィザードが出てきたんだっけか?

・ADのインストールウィザードを進めて行く途中で
 DNSをインストールするとトラブル発生の憂き目にあった。
 なお、上記はDNSサーバのセットアップをいい加減にやってしまった事が原因と思われる( ´Д⊂ヽ

・ローカルネットワーク内のDNSといっても、
 ローカル内部向けにwww鯖やpop鯖を立てる為ではなく
 ローカルなドメイン内の名前解決を行う為のDNSである場合が殆どである。

・インターネット用DNSとローカル用DNSは分けて考えた方が良い(と思う)。
 公開サーバを立てる場合でも、ローカル用DNSは別のほうが良い。

  また、ローカル用のDNSさえ正常に稼働すれば、
  そこに前方参照ゾーンで公開用のゾーンを追加できる。
  セキュリティ的問題があるのであれば、DMZを作ってその中にインターネット側から
  アクセスされるDNSサーバを置くべきである。
  そして内部からそのDNSにアクセスする必要があれば(無いと思うけど)、
  ローカル用のDNSにスタティックに設定すりゃいいって話。(愚痴w

 ★ DNSセットアップウィザードを起動する前に、
   そのサーバからインターネット閲覧可能な状態にしておく事。
   TCP/IPの設定で、DNSとGWへルータのIPを設定しておく。
   無論、使っているルータが俗に言う「DNSリーカシブ」とか「DNSフォワード」
   とかいう機能を持っている事が前提。
   (今時の民生用ルータなら持ってるとは思うが・・・)
   つまり、httpで名前解決ができてればok。

 ★ これを怠ると、ローカルドメインしか解決できないDNSになってしまってハマる。
   最初の段階でルートサーバーの情報が取れないと、ローカル解決しかしなくなるっぽい。

 ★ DNSをインストールするサーバはDHCPではなく、固定IPとする。
   (サーバ立てて使おうとする場合に、サーバのIPをDHCPで・・・ってのは聞いた事がないw)

 ★ 使用するドメイン名を先に決めておく
   (インターネット上のドメイン名ではなく、内部のドメイン名で、これがADドメイン名にもなるハズ)

 ★ IP体系とかをある程度決めておけということ。
   また、DNSサーバのコンピュータ名も、後から変更することの無いように決めておく事。

 ★ 上記が決まったら、サーバの構成等からDNSのサービスをインストール開始。



【DNSサーバのインストール〜設定まで】

<1>
 管理ツールから、DNSのアイコンをクリックしてDNSのコンソールを開く(実体はdnsmgmt.msc)

DNSコンソール

<2>
 サーバを右クリックして[サーバーの構成]をクリックする。
 これでウィザードが起動する。
 または、サーバツリーの下の「前方参照ゾーン」を左クリックで展開してから右クリックして
 【新しいゾーン】を選ぶ。

<3>
 前方参照ゾーンを作成するウィザードに入ってすぐにゾーンの種類選択がでる。
 ゾーンの種類は「標準プライマリ」とする。
 2k3以降の場合は、プライマリゾーンを選択して【Active Directory にゾーンを格納する】の
 チェックは外しておく。

    * W2kの場合↓
w2k新しいゾーン ウィザード

      * W2k3の場合↓
w2k3新しいゾーン ウィザード

<4>
 ゾーン名は、従来のWindowsNTドメインのあとに[ .local ]をつけた名前にする。
 WindowsNTドメイン名 or ワークグループ名が[ HOGEHOGE ]であれば、
 [ hogehoge.local ]という感じで。
 (.localはプライベート用に予約されている物)
 次へをクリックして[hogehoge.local.dns]ファイルを作るとか聞かれるので
 そのまま次に進んで完了する。
ゾーンの名前

<5>
 次に逆引き参照ゾーンを作成する。
 サーバアイコンを右クリックして「新しいゾーン」を選べばウィザードが起動する。
 標準プライマリとして作成すれば良い。
 自分の家or自分の会社で使ってるIPアドレスを入れればOK。
 (2k3以降の場合は[ActiveDirectoryにゾーンを格納する]のチェックは外しておく事)
逆引き参照ゾーンのウィザード

<6>
 このままだとローカル内しか解決できない変な鯖になるので、設定を行う。
 DNSコンソールでサーバ名を右クリックして[プロパティ]を開く。

<7>
 [フォワーダ]タブを選択し、ルータのipアドレスを追加する。
 ispのDNSや他のインターネット上のDNSのIPを設定しても解決出来るが、
 回線側のメンテナンスによる停止などでリクエストが届かないと
 わけわからん状態になる事がある。


 「ispに接続する口」になっているルータのIPを指定しておけばトラブルが少ない。と思う。
 (無論、使っているルータが俗に言う「DNSリーカシブ」とか「DNSフォワード」とかいう機能を持っている事が前提)


 各ispで提供しているDNSのIPとルータのIPを両方登録して、
 一番上をispのDNS、二番目をルータとしてもOK。(下画像の例はルータだけ登録した状態)
フォワーダの設定

<8>
 ダイナミックDNSの設定を行う。
 先に作成した[hogehoge.local]が前方参照ゾーンに作成されているので、
 ソレをポイントして右クリックでプロパティを開く。
 全般タブで「動的更新を使用可能にする」を[はい]にする。

  * W2kの場合↓
フォワーダの設定

  * W2k3の場合↓ ゾーン作成中に以下の表示が出る(ハズだけど記憶が.....)

    W2k3鯖以降だと[非セキュリティ保護及びセキュリティ保護]の方を選ぶ。
フォワーダの設定


 ☆ 【セキュリティによる保護が脆弱になります】とか出てるけど、気にしない。
   というか、ローカルLAN内に信頼されていない、
   このDNSにアクセスするサーバやPCなどが
   存在するほうがおかしい。
   なので、ソチラを先に対処する。

 ☆ あとはWINSタブで、WINSの前方参照も使う用にしておくとよさげ。
   WINS使ってない場合は無視で。

【TCP/IPの設定(クライアントPCとサーバ)】

<1>
TCPIPのプロパティを開く。

<2>
サーバの場合は、優先DNSサーバーに自分自身のIPを設定。
クライアントは、DNSサーバーを入れたPCのIPを設定。

<3>
「コントロールパネル」→「システム」を開く。
「ネットワークID」タブ(2k3以降だと「コンピュータ名」タブ)を選ぶ。

<4>
プロパティ(又は変更)をクリックする。

<5>
「詳細」をクリックして[DNSサフィックスとNetBIOSコンピュータ名]が開くので、
[このコンピュータのプライマリDNSサフィックス」に、先に設定したローカルドメイン名を入れる。
この場合だとhogehoge.localになる。
(ひょっとしたらDNSをインストールしたサーバだと既に入ってるかもしれないが確認する)

<6>
再起動する。
これでDNSにクライアントが登録される。
サーバの場合は自分自身が登録されるハズなので確認。
登録されてなかったら間違いがあるかもしれないので最初から確認。

【動作確認】

<1>
サーバで、NSLOOKUPによりDNSサーバによる名前解決ができてるか確認する。

<2>
クライアントPCでNSLOOKUPによりDNSサーバによる名前解決ができてるか確認する。


おわり。
あとはADいれる。



2012/05/10 追記:

冒頭にも書いたように、これで絶対大丈夫って訳では無い事に注意。

 ・上記設定でうまくいってる環境は総サーバ台数5〜7台(時々臨時鯖立ててる)で、
 ADドメインに子ドメイン(しかも遠隔地とVPN)が1個という構成で運用中。

・ADインストール前にDNSサービス動かしておいて、
 そのDNSを使って内外共に名前解決が出来てれば
 切り分けも楽だろー という所から始まった。

・DNSをAD統合?とかMSの推奨らしいけども、
 従来どおりのWindowsNTドメイン(とかワークグループ)と
 同様な使い勝手(管理勝手?)だと、これが良いんじゃないかー?って話で。

・以前、DNSをAD統合してた時に、そのサーバがお亡くなりになった。
 他のAD鯖だとか子ドメインAD鯖の中に逝っちゃったサーバの情報が残りまくってしまい、
 削除やら再起動で苦労した。



2012/05/10 追記その2:

・うちの社内ネットワーク上では、
 ネットワークコンピュータを開いてサーバやクライアントが見える・見えないとか、
 所謂「コンピュータブラウズ」については、クライアントPCでWINSサービス入れてるサーバを参照させてる。

・だから正直DNS無くても良いんだけど、ADを入れる時はDNS必須なのでー・・・

   つまり逃げ道なのか?



2012/05/10 追記その3:

・なんかおかしいぞ? って所があったら、教えて下さい>オレを知ってる人


2013/07/16 追記:

・DNSをAD統合してないウチの環境で、AD子ドメインのサーバが1台死んだ。
 その後、同じ名前で代替サーバを立てて復旧させる際、
 以前AD統合してた影響か、AD内に色々と死んだサーバの名前等々が残って大変だった。

・しかしAD統合してない別なDNSサーバが立っており、
 クライアントPCはちゃんとソッチで名前解決して内外アクセス無問題だった。
 代替サーバを立てるときも、スグに社内の各サーバの名前解決が出来ていたので楽だった。。。