猫も勉強中 ♪ 仮想化・クラウド・セキュリティ

猫も勉強中 ♪ 仮想化・クラウド・セキュリティについて。

信頼関係設定時のDNS構成

マルチフォレスト間で信頼関係を結ぶ場合、お互いのドメイン間で名前解決ができるようDNSサーバーを適切に構成する必要があります。DNS構成には、次の2つのいずれかの方法を選択します。

  • 条件付きフォワーダーの設定
  • セカンダリゾーンの作成

条件付きフォワーダーを設定すると、domx.localといった特定のドメインの名前解決を、社内の特定のDNSサーバーに転送することができます。セカンダリゾーンを設定すると、別ドメインのアドレスの一覧を自ドメインのDNSサーバーにコピーすることができます。ここでは、次の環境のDNSの構成を行います。

 

OS: Windows Server 2008 R2

ドメイン:domz.local

ホスト名:DC1Z

IP192.168.12.80

 

OS: Windows Server 2008 R2

ドメイン:domx.local

ホスト名:DC1X

IP192.168.12.60

 

■ 条件付きフォワーダーの設定

  • DC1X DNSマネージャーを起動し、[条件付きフォワーダー] – [新規条件付きフォワーダー] をクリックします。f:id:Hideyamaz:20130623235359j:plain
  • DNSドメインに、相手方ドメインのドメイン名、IPアドレスを入力します。サーバーFQDNは、名前解決が成功すれば自動的に表示されます(名前解決が失敗しても問題ありません)。
  • 自ドメイン(domx.local)に複数のドメインコントローラーが存在する場合、[このActive Directory に条件付きフォワーダーを保存し、次の方法でレプリケートする] にチェックを入れいます。
  • [このドメインのすべての DNS サーバー] を選択します。f:id:Hideyamaz:20130623235741j:plain
  • DC1Z DNSマネージャーを起動し、[条件付きフォワーダー] – [新規条件付きフォワーダー] をクリックします。

    f:id:Hideyamaz:20130623235909j:plain

  • DNSドメインに、相手方ドメインのドメイン名、IPアドレスを入力します。サーバーFQDNは、名前解決が成功すれば自動的に表示されます(名前解決が失敗しても問題ありません)。

  • 自ドメイン(domz.local)に複数のドメインコントローラーが存在する場合、[このActive Directory に条件付きフォワーダーを保存し、次の方法でレプリケートする] にチェックを入れいます。

  • [このドメインのすべての DNS サーバー] を選択します。f:id:Hideyamaz:20130624000029j:plain

  • [OK]  をクリックして完成です。

     

■セカンダリゾーンの作成

条件付きフォワーダーを設定している場合、セカンダリゾーンの作成の必要はありません。

  • DC1X DNSマネージャーを起動し、[前方参照ゾーン] を展開し、ドメインのプロパティをクリックします。
    f:id:Hideyamaz:20130624000222j:plain
  •  [ゾーンの転送] タブをクリックし、[ゾーン転生を許可するサーバー] にチェックを入れます。
  • [次のサーバーのみ] を選択し、ゾーン転送先の DNS サーバーの IP アドレスを入力します(検証環境であれば、[すべてのサーバー] を選択しても問題ありません。
    f:id:Hideyamaz:20130624000556j:plain
  • DC1Z DNSマネージャーを起動し、[前方参照ゾーン] を右クリックし、[新しいゾーン]をクリックします。

    f:id:Hideyamaz:20130624001217j:plain

  • [新しいゾーン ウイザード] で [次へ] をクリックします。

  • [セカンダリ ゾーン] を選択し、[次へ] をクリックします。

    f:id:Hideyamaz:20130624001257j:plain

  • コピー元のドメイン名(ここでは、domx.local)を入力します。

    f:id:Hideyamaz:20130624001331j:plain

  • コピー元のDNSサーバーのIPアドレスを入力します。

    f:id:Hideyamaz:20130624001351j:plain

  • [新しいゾーン ウイザード] [完了] をクリックします。

  • domx.local の情報がコピーされていることを確認します。
    f:id:Hideyamaz:20130624001436j:plain

  • 反対に、DC1Zでdomz.local のゾーン転送を許可し、DC1Xでセカンダリゾーンを作成して完成です。

DNS の構成が終わりましたら、信頼関係の設定を行います。