- ベストアンサー
ローカルネットワークのドメイン名について
- Active Directory学習のため職場のPCにWindows Server 2003を導入し、学習用のドメイン名をどう付けるか悩んでいます。
- 現在私の組織はJPNICに登録してあるドメインを持っており、ネームサーバも存在します。学習用ADのドメイン名をJPNICに登録しているものと同じものにしても大丈夫でしょうか。
- 学習用という性質上、本家ネームサーバに登録できないため、ADにDNSサーバもインストールしました。初心者のため質問が馬鹿げているかもしれませんが、ご教示ください。
- cell2008
- お礼率85% (12/14)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数8
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
> すみません、これはドメインのネームサーバではなく > 内部LAN用のネームサーバの間違いでした。 なるほど。それならOK。内部のネームサーバなら問題ないね。外出しネームサーバと一緒にするだと、設定のミスで全マシンのエントリをインターネットに公開する事になりかねないので普通はしない(と思う)。 ところで、前回は細かい話を端折ってしまったが、いい機会なのでついでにADのドメインを外向けドメインと同じかあるいはそのサブドメインにする意味(メリット)も解説しておこう。 ADのドメインは、外出しと同じにしても良いしサブドメインにしても良いし独自のドメインにしても良いというのは既に述べたけど、へーそうなんだできるんだ、だけじゃなくって、それぞれにメリットデメリットがあるという事は押さえておいて欲しい。いずれかの方法だけが飛びぬけて良いのであれば、そんな選択肢はしょっぱちから用意されないはずだからね。ケースバイケースでどれにするかを選ぶためには良い点と悪い点を知ってないといけないよね。 まず、ADの配下にあるマシンは、優先DNSサーバがADサーバのドメインを管理するネームサーバになる。これは、ドメインログオンに際してDNSのレコードでADサーバのありかを問い合わせるからだ。これが、NT4のドメインがNetBIOSで動作しているのと違う部分。 ところで、仮にあなたの組織内の内部ドメインがcell2008.localであり、AD用にad.cell2008.localとし、かつ、あなたの学習用の場合と同じ、この2ドメインのネームサーバが別である場面を考えてみる。cell2008.localが現在本番稼動している内部ネームサーバ(サバA)で、ad.cell2008.localが学習用(サバB)やね。 ここで、前述の通り学習用クライアントマシン(クラC)の優先DNSはサバBになる。そうすると、クラCの代替DNSをサバAにしても、+.cell2008.localドメインのAレコードを引くことができない(サバBの設定を細かくやればそうではないが)。サバBは、そのままでは*.ad.cell2008.localの情報しか持っておらず、自分の親である*.cell2008.localの情報も分からないからだ。つまり、クラCからwww.cell2008.localの問い合わせを受けた場合、cell2008.localドメインの情報を持っていないので「ルートネームサーバから」探しに行くことになる。がルートネームサーバは当然*.localなんてドメインの情報は持っていないのでそこで名前解決が途絶えてしまうのだ。 ここで、設定を変えてサバAのドメインをcell2008.tldとして外出しドメインを担当する役だとし、サバBのドメインをad.cell2008.tldとし、tldは「com」などの実在するトップレベルドメインであると仮定する。ADを自社のグローバルドメインにあるいはそのサブドメインにしていた場合、クラCがサバBにwww.cell2008.tldを問い合わせると、ルートネームサーバからの正引きが正しく順々に行われ、最終的にサバAまでたどり着くことができる。 まぁここまで説明すれば分かるように、別にこれはADだけがどうのこうのじゃなくって、社内用ホストの名前をどうつけるかまで話は広がるのだがね。まさにDNSの利点と欠点を知り尽くした中々こじゃれた名前計画だ。もちろん、AD用にad.cell2008.localとして、それ以外の社内用ホストをcell2008.tldとする事でも可能なのだが、それなら統一した方が良いよね。 混乱するかも知れないが、今、社外向けネームサービスと社内向けネームサービスとAD用のネームサービスの話が複雑に絡み合ってるので注意深く読んでいって欲しい。 > まだインターネット上のDNSとADのDNSの違いが分かってなく もう一つついでに。Windows NT4までで使われていたいわゆるNTドメインはNetBIOSによって行われていた。これは、NetBIOSドメインという単位でNT4やWin95、98マシンのセキュリティポリシーやプロファイルを一元管理できる、これはこれで中々便利なものだった。この時代の話を知らないというのであればまぁこんなモンなんだと思って欲しい。 これを、認証にKerberos、名前解決にDNS、ディレクトリ(階層構造のデータ群)管理にLDAPというオープンでグローバルな仕様を取り入れて拡張したものがActiveDirectoryと言える。 これが、ActiveDirectoryにDNSがなぜ絡んでくるのかの理由。これはADの理解に意外と重要な概念なのでぜひ覚えておいて欲しい。意外にこの辺が分かってなくて「こんな操作をしたらこんな事ができる」としか知らないAD管理者も多い。こんな事じゃトラブルが発生した時に原因の切り分けができなくて「くそ、MSめ」って悪態をつくばっかり。そんな人たちに差をつけちゃえ! また、普通の(?)DNSとADを構築する際のDNSは同じものだというのは、これでご理解いただけたのではないかと思う。
その他の回答 (1)
- anmochi
- ベストアンサー率65% (1332/2045)
> このADマシンのドメイン名を付ける必要があるのですが、 > 学習用としてはどのような名前が良いのでしょうか。 > 「グループ名.local」などが妥当でしょうか。 学習用であればそれで全く問題ないでしょう。実際、実運用でも.localが使われる事もあります。 > 現在私の組織はJPNICに登録してあるドメイン・・・・ > 同じものにして良いのでしょうか。 全く同じものにするのは、不可能ではないですし障害も普通はおきませんし実運用でも例がありますが、個人的には考えものだと思います。仮にJPNICドメインがcell2008.tldであれば、ad.cell2008.tldなどという風にAD専用のサブドメイン名でつけると良いでしょう(私個人の意見ですが)。まぁ、さすがに馬鹿にされたりはしないと思います。 > ちなみに学習用という性質上、 > 本家ネームサーバに登録出来ないためADにDNSサーバ(デーモン)も > インストールしました。 本番運用でもDNSは本家ネームサーバーと別にすべきですというか本番でそんなものを一緒にするなんて暴挙に出るとそれはさすがに馬鹿にされるかも。ADサーバは同ドメインのネームサーバにもなるのが基本で、ADサーバのレプリケーションパートナーが3台程度までならそうすべきだと思います。
お礼
なるほど、internalなADであるから(というかADはinternalですかね笑) cell2008.local または ad.cell2008.co.jp で良いわけですね。 > 本番運用でもDNSは本家ネームサーバーと別にすべきですというか本番でそんなものを一緒にするなんて暴挙に出ると… すみません、これはドメインのネームサーバではなく内部LAN用のネームサーバの間違いでした。 でもanmochiさんのご回答ですと、ADのドメインにはサブドメイン(またはTLDが違うもの)を付けるし、ADはそのドメインのDNSになるだけなので実害はないのですね。 まだインターネット上のDNSとADのDNSの違いが分かってなく変な理解ですが、ありがとうございました。
お礼
度々ご回答ありがとうございます。 一連のご説明、大変参考になりました! 自分の中で ADが名前解決にDNSを用いる = ADがネームサーバの機能を持つ と勘違いしていました。 ADはリゾルバだけ持ってる感じなんですね。 なのでインストール時に既存のDNSを選択するか新規にインストールするか聞かれるわけですね。 それで、ADが認証したマシン(?)はDNSに登録され、外部に置いた場合 LANの構成要素が筒抜けると。 > サバA、サバB… このお話はとても参考になりました。 cell2008.localだと名前解決「.(ルートDNS)」に「local」を聞いて、 知らないって言われて(笑)名前解決できないと。 ad.cell2008.tldで、かつJPNIC登録していればad参加のマシンがwww.cell2008.co.jpを問い合わせる場合、「.」に「co」を聞いて…と名前解決出来るわけですね。 現在の自分の会社では、一般ユーザのPCのPriDNSが内部NSに設定されているので、もしかしたらad.cell2008.tldというドメインを付けたほうがよいのかなと思いました。 それにしても、ADの勉強をする為にDNSの勉強をやりなおさないとなんて…笑 そのことに気づけて良かったです。 ありがとうございました。