Windows Server での DNS クライアント設定のベスト プラクティス

この記事では、ドメイン ネーム システム (DNS) クライアント設定の構成に関するベスト プラクティスについて説明します。 この記事の推奨事項は、以前に定義された DNS インフラストラクチャがない、サポートされている Windows Server 環境をインストールするためのものです。

元の KB 番号: 825036

DNS がインストールされているドメイン コントローラー

DNS サーバーとしても機能するドメイン コントローラーでは、次の仕様に従ってドメイン コントローラーの DNS クライアント設定を構成することをお勧めします。

• サーバーがドメインにインストールする最初の唯一のドメイン コントローラーであり、サーバーが DNS を実行する場合は、その最初のサーバーの IP アドレスを指すように DNS クライアント設定を構成します。 たとえば、それ自体を指す DNS クライアント設定を構成する必要があります。 そのドメインに DNS をホストする別のドメイン コントローラーが存在するまで、他の DNS サーバーを一覧表示しないでください。

• DCPromo プロセス中に、ドメインとサイトで DNS を実行しており、新しいドメイン コントローラーがインストールされているドメインの名前空間をホストする別のドメイン コントローラーを指すように、追加のドメイン コントローラーを構成する必要があります。 または、その DC の Active Directory ドメインのゾーンをホストする DNS サーバーに対してサード パーティの DNS を使用している場合。 Active Directory の受信と送信の両方のレプリケーションが機能していることを確認し、最新の状態になるまで、ドメイン コントローラーが独自の DNS サービスを使用するように構成しないでください。 これを行わないと、DNS "Islands" が発生する可能性があります。
  関連トピックの詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。

  275278 ドメイン コントローラーが _msdcs.ForestDnsName ドメインをポイントすると、DNS サーバーがアイランドになります

• レプリケーションが正常に完了したことを確認したら、環境の要件に応じて、2 つの方法のいずれかで各ドメイン コントローラーに DNS を構成できます。 構成オプションは次のとおりです。

  • プライマリ DNS サーバーとして使用するように、各ドメイン コントローラーの TCP/IP プロパティで優先 DNS サーバーを構成します。
    • 利点: 可能であれば、ドメイン コントローラーから送信された DNS クエリがローカルで解決されるようにします。 ドメイン コントローラーの DNS クエリがネットワークに与える影響を最小限に抑えます。
    • 欠点: DNS ゾーンが最新であることを確認するには、Active Directory レプリケーションに依存します。 レプリケーションが長時間失敗すると、ゾーン内のエントリのセットが不完全になる可能性があります。
  • 優先 DNS サーバーとして一元化された DNS サーバーを使用するように、すべてのドメイン コントローラーを構成します。
    • 長所:
      • ドメイン コントローラー ロケーター レコードの DNS ゾーン更新に対する Active Directory レプリケーションへの依存を最小限に抑えます。 これには、レプリケーションのラグ タイムは問題ではないので、新規または更新されたドメイン コントローラー ロケーター レコードの迅速な検出が含まれます。
      • 単一の権限のある DNS サーバーを提供します。これは、Active Directory レプリケーションの問題のトラブルシューティングに役立つ場合があります
    • 短所:
      • ドメイン コントローラーから送信された DNS クエリを解決するために、ネットワークをより頻繁に使用します
      • DNS の名前解決は、ネットワークの安定性によって異なります。 優先 DNS サーバーへの接続が失われると、ドメイン コントローラーからの DNS クエリを解決できません。 ネットワーク セグメントが失われていない場所であっても、接続が明らかに失われる可能性があります。

• リモート DNS サーバーを優先 DNS サーバーとして設定し、ローカル ドメイン コントローラーを代替 (またはその逆) に設定することで、2 つの戦略を組み合わせて使用できます。 この戦略には多くの利点がありますが、この構成を変更する前に考慮する必要がある要素があります。

  • DNS クライアントは、各クエリの TCP/IP 構成に記載されている各 DNS サーバーを利用しません。 既定では、起動時に DNS クライアントは優先 DNS サーバー エントリでサーバーの使用を試みます。 このサーバーが何らかの理由で応答できない場合、DNS クライアントは代替 DNS サーバー エントリに一覧表示されているサーバーに切り替わります。 DNS クライアントは、次の場合までこの代替 DNS サーバーを引き続き使用します。
    • DNS クエリへの応答に失敗します。または、次の手順を実行します。
    • ServerPriorityTimeLimit 値に達しました (既定では 15 分)。

Note

応答に失敗した場合にのみ、DNS クライアントは優先 DNS サーバーを切り替えます。が正しくない応答を受信しても、DNS クライアントは別のサーバーを試しません。 その結果、ドメイン コントローラー自体と別の DNS サーバーを優先サーバーと代替サーバーとして構成すると、応答を確実に受信できますが、その応答の精度は保証されません。 いずれかのサーバーで DNS レコードの更新エラーが発生すると、名前解決エクスペリエンスが一貫性がない可能性があります。

• インターネット サービス プロバイダー (ISP) の DNS サーバーを指す DNS クライアント設定をドメイン コントローラーで構成しないでください。 ISP の DNS サーバーを指す DNS クライアント設定を構成した場合、ドメイン コントローラー上の Netlogon サービスは Active Directory ディレクトリ サービスの正しいレコードを登録しません。 これらのレコードを使用すると、他のドメイン コントローラーやコンピューターで Active Directory 関連の情報を見つけることができます。 ドメイン コントローラーは、そのレコードを独自の DNS サーバーに登録する必要があります。

外部 DNS 要求を転送するには、ISP の DNS サーバーを DNS フォワーダーとして DNS 管理コンソールに追加します。 フォワーダーを構成しない場合は、既定のルート ヒント サーバーを使用します。 どちらの場合も、内部 DNS サーバーをインターネット DNS サーバーに転送する場合は、ルート "." も削除する必要があります。Forward Lookup Zones フォルダー内の DNS 管理コンソール内のゾーン ("dot" とも呼ばれます)。

• DNS をホストするドメイン コントローラーに複数のネットワーク アダプターがインストールされている場合は、DNS 名の登録用に 1 つのアダプターを無効にする必要があります。

この状況で DNS を正しく構成する方法の詳細については、次の資料番号をクリックして、Microsoft サポート技術情報の記事を表示します。

DNS または WINS も実行するルーティングおよびリモート アクセス サーバーでの名前解決と接続の問題を292822 する

ドメイン コントローラーの DNS クライアント設定を確認するには、コマンド プロンプトで次のコマンドを入力して、インターネット プロトコル (IP) 構成の詳細を表示します。 ipconfig /all
ドメイン コントローラーの DNS クライアント構成を変更するには、次の手順に従います。

1. [ネットワークの場所] 右クリックしPropertiesを選択します。

2. [地域接続 を右クリックしプロパティ 選択。

3. Internet Protocol (TCP/IP)を選択し、Properties を選択します。

4. Advancedを選択し、DNS タブを選択します。DNS 情報を構成するには、次の手順に従います。

   1. DNS サーバー アドレスの順にボックスに、推奨される DNS サーバー アドレスを追加します。
   2. 非修飾名の解決設定が [これらの DNS サフィックスを (順番に) 追加する] に設定されている場合は、最初に Active Directory DNS ドメイン名を一覧表示することをお勧めします (上部)。
   3. この接続の DNS サフィックス 設定が Active Directory ドメイン名と同じであることを確認します。
   4. [DNS でこの接続のアドレスを登録する] チェック ボックスがオンになっていることを確認します。
   5. [OK] を 3 回選択します。

5. DNS クライアント設定を変更する場合は、DNS リゾルバー キャッシュをクリアし、DNS リソース レコードを登録する必要があります。 DNS リゾルバー キャッシュをクリアするには、コマンド プロンプトで次のコマンドを入力します。 ipconfig /flushdns
   DNS リソース レコードを登録するには、コマンド プロンプトで次のコマンドを入力します。 ipconfig /registerdns

6. DNS データベースで DNS レコードが正しいことを確認するには、DNS 管理コンソールを開始します。 コンピューター名のホスト レコードが存在する必要があります。 (このホスト レコードは、詳細ビューの "A" レコードです)。また、権限の開始 (SOA) レコードと、ドメイン コントローラーを指すネーム サーバー (NS) レコードも必要です。

DNS がインストールされていないドメイン コントローラー

Active Directory 統合 DNS を使用せず、DNS がインストールされていないドメイン コントローラーがある場合は、次の仕様に従って DNS クライアント設定を構成することをお勧めします。

• コンピューターがメンバーであるドメインに対応するゾーンに対して権限のある DNS サーバーを指す DNS クライアント設定をドメイン コントローラーで構成します。 ワイド エリア ネットワーク (WAN) トラフィックに関する考慮事項があるため、ローカルプライマリおよびセカンダリ DNS サーバーが推奨されます。
• 使用可能なローカル DNS サーバーがない場合は、信頼できる WAN リンクによって到達可能な DNS サーバーをポイントします。 アップタイムと帯域幅によって信頼性が決まります。
• ISP の DNS サーバーを指す DNS クライアント設定をドメイン コントローラーで構成しないでください。 代わりに、内部 DNS サーバーは ISP の DNS サーバーに転送して外部名を解決する必要があります。

Windows Server メンバー サーバー

Windows Server メンバー サーバーでは、次の仕様に従って DNS クライアント設定を構成することをお勧めします。

• コンピューターの Active Directory ドメインの DNS ゾーンをホストするローカルプライマリおよびセカンダリ DNS サーバー (ローカル DNS サーバーが使用可能な場合) を指すプライマリおよびセカンダリ DNS クライアント設定を構成します。
• 使用可能なローカル DNS サーバーがない場合は、信頼できる WAN リンクを介してアクセスできるそのコンピューターの Active Directory ドメインの DNS サーバーをポイントします。 アップタイムと帯域幅によって信頼性が決まります。
• ISP の DNS サーバーを指すクライアント DNS 設定を構成しないでください。 その場合、Windows Server ベースのサーバーをドメインに参加させようとしたときや、そのコンピューターからドメインにログオンしようとすると、問題が発生する可能性があります。 代わりに、内部 DNS サーバーは、外部名を解決するために ISP の DNS サーバーへの転送を構成する必要があります。

Windows Server 非メンバー サーバー

• ドメインの一部として構成されていないサーバーがある場合でも、Active Directory 統合 DNS サーバーをプライマリ DNS サーバーとセカンダリ DNS サーバーとして使用するように構成できます。 Active Directory 統合 DNS を使用するメンバー以外のサーバーが環境内にある場合、セキュリティで保護された更新プログラムのみを受け入れるように構成されているゾーンに DNS レコードが動的に登録されることはありません。
• Active Directory 統合 DNS を使用せず、内部 DNS 解決と外部 DNS 解決の両方に非メンバー サーバーを構成する場合は、インターネットに転送される内部 DNS サーバーを指す DNS クライアント設定を構成します。
• インターネット DNS の名前解決のみが必要な場合は、ISP の DNS サーバーを指す非メンバー サーバーの DNS クライアント設定を構成できます。