「Active Directoryの名前付けに関するよくある質問」の版間の差分
ページの作成:「== はじめに == Active Directoryドメイン名を選択することは、ドメインを設定する上で最も重要なステップの1つです。 そして、後...」 |
|||
| 33行目: | 33行目: | ||
各DNSサーバーは、ゾーンと呼ばれる階層の異なる部分に責任を持っています。ゾーンは"samdom.example.com"やその下のレベルの全ての名前、例えば<nowiki>"www.samdom.example.com"</nowiki>、<nowiki>"ftp.samdom.example.com"</nowiki>やあるいは"server.samdom.example.com"のようなDNS名からなります。DNSサーバーは、担当するように構成されたゾーンへのリクエストに対して、信頼できる、あるいは最終的な回答を提供します。プロセスの詳細については、[http://en.wikipedia.org/wiki/DNS#Address_resolution_mechanism WikipediaのDNSページ]を参照してください。 | 各DNSサーバーは、ゾーンと呼ばれる階層の異なる部分に責任を持っています。ゾーンは"samdom.example.com"やその下のレベルの全ての名前、例えば<nowiki>"www.samdom.example.com"</nowiki>、<nowiki>"ftp.samdom.example.com"</nowiki>やあるいは"server.samdom.example.com"のようなDNS名からなります。DNSサーバーは、担当するように構成されたゾーンへのリクエストに対して、信頼できる、あるいは最終的な回答を提供します。プロセスの詳細については、[http://en.wikipedia.org/wiki/DNS#Address_resolution_mechanism WikipediaのDNSページ]を参照してください。 | ||
=== なぜこれが重要か === | |||
Active Directoryドメイン用に選択したドメイン名も、AD DNSサーバーが正式なプライマリドメインになります。 Active Directory内のすべてのPCは、このドメイン内に名前を持っています。 Active Directoryが正常に動作するためには、その一部であるコンピュータがこれらの名前をすべて正しく解決する必要があります。つまり、ドメイン内に存在するすべてのPCのDNSサーバーとして機能する必要があります。 2つのDNSサーバーが同じ名前を2つの異なるアドレスに解決するDNSの競合が発生すると、問題が発生する可能性があります。 DNSの競合は、IPアドレスの競合と違ってネットワークのフローから妨げられませんが、しばしばトラフィックが意図しないアドレスに流れる問題が起きる可能性があり、要求した名前は解決されたようで、まったく解決されないのです。 | |||
たとえば、ADドメイン名を「samdom.example.com」とした場合、AD DNSサーバーは当然、階層の「samdom.example.com」レベル以下のすべての要求に対して権限を持ちます。これは、 "workstation.samdom.example.com"や "server.samdom.example.com"などのドメイン内の名前、またはDNSサーバー内で設定されている他の名前に対するすべての要求に直接応答します。 www.samba.orgをリクエストした場合でも問題はありませんが、samba.orgドメインには権限がないことがわかり、その名前を担当しているサ | |||
ーバにリクエストを転送してから、あなたに答えを返します。 | |||
しかし、www.samdom.example.comのような外部のウェブサイトを持っていれば、おそらく別の外部DNSサー | |||
バによって処理されるでしょうか?さて、あなたがその名前を要求すると、DNSサーバーは "samdom.example.com"ドメインを担当し、あなたのための応答を探します。それがない場合は、このドメインの最終的な権限であると考えられるので、他のサーバーに要求を転送することはありません。そして、それはあなたに「そのような名前は存在しません」、つまりNXDOMAINを返します。 | |||
=== セキュリティへの影響 === | |||
技術的には、ドメイン名ごとの名前付けという側面ではありませんが、DNSのセキュリティへの影響は考慮 | |||
する上で非常に重要です。あなたのAD DNSサーバにはあなたのネットワーク内のすべてのPCのリストが含まれています。ほとんどのDNSサーバは誰もドメイン名の完全なリストを要求することはできません(ゾーン | |||
転送とも呼ばれます)このリストからの情報は、依然として内部情報の不必要な露出と潜在的なセキュリティリスクを表しています。さらに、ほとんどのAD DNSサーバーは再帰的であり、インターネット上で再帰的なDNSサーバーを実行することは、このドキュメントの範囲を超えて重要なセキュリティの影響をもたらし | |||
ます。 | |||
同様に、内部ネットワークの外部にある内部名のDNS要求を送信しないでください。 DNSサーバーを信頼し | |||
ていても、DNSは暗号化されていないため、トラフィックを通過するすべてのルーターに傍受の可能性があ | |||
ります。これは重大なセキュリティリスクを表します。このトラフィックを制御する攻撃者は、自分が望む場所にPCのトラフィックを誘導する可能性があります。 | |||
これらの理由から、セキュリティで保護されたAD DNSサーバーは、ネットワーク内の要求のみを受信し、別のDNSサーバーはネットワーク外部のDNS要求を処理する必要があります。さらに、すべてのワークステーションは、外部DNSサーバーではなく、DNS用にAD DNSサーバーだけを検索するように構成する必要があります。これは[https://en.wikipedia.org/wiki/Split-horizon_DNS スプリットホライズンDNS]と呼ばれます。 | |||
== NetBIOS名 == | |||
WindowsがDNSを利用する前に、別の命名システム、NetBIOS(技術的にはNetBIOS-NS)、Windowsインターネットネームサービス(WINS)に依存していました。 NetBIOSはディレクトリサービスとして機能することができる点でDNSと似ていますが、名前階層の規定がないため制限があり、名前は15文字に制限されています | |||
。しかし、NetBIOSは、レイヤ2ブロードキャストドメイン(同じサブネット内のすべてのPC)に対してピアツーピアの名前解決の手段を提供します。マイクロソフトはこれをWINSで拡張し、レイヤ3(ルーテッド) | |||
ネットワークを横切って名前解決を提供しました。DNSサービスのないネットワークで名前解決が動作して | |||
いる場合、おそらくNetBIOSによって処理されています。 | |||
これらのシステムの時代は今のところ私たちの後ろに位置していますが、このレガシーシステムの痕跡は、Windows全体ではまだ残っています。たとえば、ネイバーとその子孫のようなWindowsネットワーキングのいくつかの側面は、依然としてこのサービスに依存しています。特に、すべてのADドメインには、従来のDNS | |||
名とともにNetBIOS名があります。また、ドメイン内のすべてのコンピュータにNetBIOS名が付いています(NetBIOS名サービスを無効にしても)。ほとんどの場合、これはデフォルトでPC名の最初の15文字になりま | |||
す。 | |||
=== このことが重要な理由 === | |||
DNS名が競合するように、NetBIOS名も競合する可能性があります。ほとんどの場合、これは問題にならないでしょう。 Windowsは名前解決の最後の手段としてNetBIOSを照会し、ネットワーク内にWINSサーバーがな | |||
ければ、NetBIOS名はレイヤー2(サブネット)を越えることはできません。ただし、Active Directoryは重複した名前のPCを使用できないようにしていますが、通常はコンピュータ名の最初の15桁が同一である場合にのみ発生します。そのような名前の衝突は避けるべきです。 | |||
2018年3月23日 (金) 11:52時点における版
はじめに
Active Directoryドメイン名を選択することは、ドメインを設定する上で最も重要なステップの1つです。 そして、後でそれを変更することは些細なタスクではないのと同様、最初から正しいことは重要であることが一つ。 この問題については宗教的な議論があり、MSの提言は時とともに変化しています。
Active Directoryドメインとは何ですか?
Active Directory(AD)ドメインは基本的にインターネットドメインと同じです。 これは、コンピュータ のグループに対して「管理の自律性、権限、および制御の領域」を定義します。 Active Directoryドメイ ン名は、従来のドメインネームシステム(DNS)を管理するのと同じ規則と原則によって制御されます。 したがって、Active Directoryドメインの命名を理解するためには、DNSを理解することが重要です。
DNSのしくみ
DNSは、IPアドレス(Aレコード)や他の多くのレコードタイプのような名前をコンピュータ消費のための他のタイプのデータに変換するために使用されるシステムです。よく使われるアナロジーは、電話帳のアナロジーです。 DNSサーバーは、コンピュータ名をIP(または他の種類のデータ)にすばやく変換するために使用できる種類のコンピュータ電話帳として機能します。しかし、この電話帳は巨大なサイズ(約40億のIPv4アドレスしかありません)であり、絶えず変化しているため、DNSはどの電話帳またはネームサーバーがど のアドレスセットを担当するかを決定するために階層システムを使用します。
ドメイン名が解決されるたびに、Webブラウザや他のソースからDNS問い合わせが行われます。 Windowsの実際の名前解決はやや複雑な話題ですが、一般的にはWindows PCがそのローカル名を確認した後、そのホストファイルを確認してからDNS要求を出します(名前がキャッシュにない限り)。 DNSネームサーバーは、再 帰的DNSサーバーの場合、アドレスを検索して応答を返します。または、解決のために別のサーバーに要求 を転送します。 Active Directory DNSサーバーは通常、再帰的であり、ドメイン内のPCに対するすべてのDNS要求を処理します。 DNS名は必ずしも単一のアドレスだけに解決されるわけではなく、複数の他のレコードに対応することができ、CNAMEなどのレコードを使用して他のレコードを再帰的に参照することもできま す。
DNS要求は、主にUDP経由で送信されます。 UDPを使用すると、メッセージや応答の配信は保証されません。ユーザーは名前解決が高速かつシームレスであることを期待しているため、DNS応答のタイムアウトは短く なります(Windowsは3秒、Linuxは5秒がデフォルト)。ほとんどの場合、DNSは高速で信頼性が高くなって いますが、時々ルックアップの失敗が予想外ではないことを覚えておくことが重要です。
DNS階層
DNS名はドットによって異なる部分に分割されます。各セグメントは、ドメインと呼ばれる階層の異なる部 分を表します。右の最初のセグメント(.com、.netなど)はトップレベルドメイン(TLD)と呼ばれ、その レベルの下のすべてのドメインはサブドメインと呼ばれます。これらのサブドメインには、最大127の深さ のサブドメインが含まれます。したがって、 "example.com"は.comドメインのサブドメインであり、 ”samdom.example.com”のような複数のサブドメインを含むことができます。特定のデバイスまたは デ ータに解決されるDNS名は、完全修飾ドメイン名(FQDN)と呼ばれます。技術的には、FQDNは、ドメイン名 の最後にドットで指定された空のドメイン名であるルートゾーンも指定する必要があります(例:”www.samdom.example.com.”)が、実際にはルートゾーンは省略されることがあります。
各DNSサーバーは、ゾーンと呼ばれる階層の異なる部分に責任を持っています。ゾーンは"samdom.example.com"やその下のレベルの全ての名前、例えば"www.samdom.example.com"、"ftp.samdom.example.com"やあるいは"server.samdom.example.com"のようなDNS名からなります。DNSサーバーは、担当するように構成されたゾーンへのリクエストに対して、信頼できる、あるいは最終的な回答を提供します。プロセスの詳細については、WikipediaのDNSページを参照してください。
なぜこれが重要か
Active Directoryドメイン用に選択したドメイン名も、AD DNSサーバーが正式なプライマリドメインになります。 Active Directory内のすべてのPCは、このドメイン内に名前を持っています。 Active Directoryが正常に動作するためには、その一部であるコンピュータがこれらの名前をすべて正しく解決する必要があります。つまり、ドメイン内に存在するすべてのPCのDNSサーバーとして機能する必要があります。 2つのDNSサーバーが同じ名前を2つの異なるアドレスに解決するDNSの競合が発生すると、問題が発生する可能性があります。 DNSの競合は、IPアドレスの競合と違ってネットワークのフローから妨げられませんが、しばしばトラフィックが意図しないアドレスに流れる問題が起きる可能性があり、要求した名前は解決されたようで、まったく解決されないのです。
たとえば、ADドメイン名を「samdom.example.com」とした場合、AD DNSサーバーは当然、階層の「samdom.example.com」レベル以下のすべての要求に対して権限を持ちます。これは、 "workstation.samdom.example.com"や "server.samdom.example.com"などのドメイン内の名前、またはDNSサーバー内で設定されている他の名前に対するすべての要求に直接応答します。 www.samba.orgをリクエストした場合でも問題はありませんが、samba.orgドメインには権限がないことがわかり、その名前を担当しているサ ーバにリクエストを転送してから、あなたに答えを返します。
しかし、www.samdom.example.comのような外部のウェブサイトを持っていれば、おそらく別の外部DNSサー バによって処理されるでしょうか?さて、あなたがその名前を要求すると、DNSサーバーは "samdom.example.com"ドメインを担当し、あなたのための応答を探します。それがない場合は、このドメインの最終的な権限であると考えられるので、他のサーバーに要求を転送することはありません。そして、それはあなたに「そのような名前は存在しません」、つまりNXDOMAINを返します。
セキュリティへの影響
技術的には、ドメイン名ごとの名前付けという側面ではありませんが、DNSのセキュリティへの影響は考慮 する上で非常に重要です。あなたのAD DNSサーバにはあなたのネットワーク内のすべてのPCのリストが含まれています。ほとんどのDNSサーバは誰もドメイン名の完全なリストを要求することはできません(ゾーン 転送とも呼ばれます)このリストからの情報は、依然として内部情報の不必要な露出と潜在的なセキュリティリスクを表しています。さらに、ほとんどのAD DNSサーバーは再帰的であり、インターネット上で再帰的なDNSサーバーを実行することは、このドキュメントの範囲を超えて重要なセキュリティの影響をもたらし ます。
同様に、内部ネットワークの外部にある内部名のDNS要求を送信しないでください。 DNSサーバーを信頼し ていても、DNSは暗号化されていないため、トラフィックを通過するすべてのルーターに傍受の可能性があ ります。これは重大なセキュリティリスクを表します。このトラフィックを制御する攻撃者は、自分が望む場所にPCのトラフィックを誘導する可能性があります。
これらの理由から、セキュリティで保護されたAD DNSサーバーは、ネットワーク内の要求のみを受信し、別のDNSサーバーはネットワーク外部のDNS要求を処理する必要があります。さらに、すべてのワークステーションは、外部DNSサーバーではなく、DNS用にAD DNSサーバーだけを検索するように構成する必要があります。これはスプリットホライズンDNSと呼ばれます。
NetBIOS名
WindowsがDNSを利用する前に、別の命名システム、NetBIOS(技術的にはNetBIOS-NS)、Windowsインターネットネームサービス(WINS)に依存していました。 NetBIOSはディレクトリサービスとして機能することができる点でDNSと似ていますが、名前階層の規定がないため制限があり、名前は15文字に制限されています 。しかし、NetBIOSは、レイヤ2ブロードキャストドメイン(同じサブネット内のすべてのPC)に対してピアツーピアの名前解決の手段を提供します。マイクロソフトはこれをWINSで拡張し、レイヤ3(ルーテッド) ネットワークを横切って名前解決を提供しました。DNSサービスのないネットワークで名前解決が動作して いる場合、おそらくNetBIOSによって処理されています。
これらのシステムの時代は今のところ私たちの後ろに位置していますが、このレガシーシステムの痕跡は、Windows全体ではまだ残っています。たとえば、ネイバーとその子孫のようなWindowsネットワーキングのいくつかの側面は、依然としてこのサービスに依存しています。特に、すべてのADドメインには、従来のDNS 名とともにNetBIOS名があります。また、ドメイン内のすべてのコンピュータにNetBIOS名が付いています(NetBIOS名サービスを無効にしても)。ほとんどの場合、これはデフォルトでPC名の最初の15文字になりま す。
このことが重要な理由
DNS名が競合するように、NetBIOS名も競合する可能性があります。ほとんどの場合、これは問題にならないでしょう。 Windowsは名前解決の最後の手段としてNetBIOSを照会し、ネットワーク内にWINSサーバーがな ければ、NetBIOS名はレイヤー2(サブネット)を越えることはできません。ただし、Active Directoryは重複した名前のPCを使用できないようにしていますが、通常はコンピュータ名の最初の15桁が同一である場合にのみ発生します。そのような名前の衝突は避けるべきです。