Try and Error

自宅NOCオペレータの備忘録。

10. 9月 2012 14:03
by K.YAMAGUCHI
0 コメント

Windows Server 2008 R2 DNSサーバー構築 <1>

10. 9月 2012 14:03 by K.YAMAGUCHI | 0 コメント

4月に自ドメインの運用をISPのレンタルDNSから自宅サーバーに移行した際のメモその1です。

WindowsのDNSサーバーというとActiveDirectoryに必要な一機能というイメージをもたれる方が多いと思いますが、インターネット上のドメインの名前解決に使う権威DNSサーバーやキャッシュDNSサーバーも構築することができます。細部を除いて基本的にはGUIで構築管理できるのでいきなりUNIX+Bindで構築するより難易度は低いと思います。

構築に入る前にレジストラで自分のドメインの権威DNSサーバーのIPアドレスをISPから割り当てられた自分のIPアドレスに設定しておきます。逆引きを利用する場合は事前にISPに申請して逆引きの権限委譲を受けておく必要があります。基本的にDNSサーバーを構築する場合やメールサーバーを運用する場合は逆引き権限委譲が必須になります。

以下解説は上記の設定とWindowsServerの初期設定は済んでいる事が前提となります。構築するDNSサーバーはActiveDirectoryには統合しないものとし、ISPからは/29以上のIPv4アドレスを割り当てられており、サーバーに直接グローバルIPアドレスが設定可能な環境であるものとします。

1.DNSサーバーをインストール

サーバーマネージャーを起動し、「役割」→「役割の追加」→「DNSサーバー」を選択しDNSサーバーをインストールします。
インストールが完了したら、「管理ツール」→「DNS」を選択し、DNSマネージャーを起動します。
DNSサーバーの設定は基本的にこのDNSマネージャーから行う事になります。

2.正引きプライマリゾーンの設定

DNSマネージャーで前方参照ゾーンを右クリックして新しいゾーンをクリックします。
作成するゾーンの種類は「プライマリゾーン」を選択して次へをクリックします。

ゾーン名に自分のドメイン名(DNSサーバーのFQDNではない)を入力して次へをクリックします。

ゾーンファイル名を指定して次へをクリックします。デフォルトの名前でも問題ありません。

動的更新は許可しない」を選択して次へをクリックします。
動的更新が可能な状態になっているとDNSポイズニングなどのセキュリティリスクが高まり危険です。

完了」をクリックしてウィザードを終了します。

引き続きSOAレコードとNSレコードを設定します。

3.SOAレコードとNSレコードの設定

2項で作成した正引きゾーンのSOAレコードとNSレコードを設定します。
前方参照ゾーンのドメイン名を右クリックしてプロパティを選択します。

SOAのタブで下記の項目を設定します。

①プライマリサーバー:プライマリネームサーバーのFQDNを入力します。
②責任者:サイト運営者の連絡先を入力します。(基本的にメールアドレスになりますが@は入力できません。)
③TTL等の値:任意の値を設定します。

シリアル番号はゾーンデータを更新すると自動でカウントアップするので設定の必要はありません。

ネームサーバーのタブで編集をクリックします。(標準ではネームサーバー名はコンピュータ名になっているはずです。)

プライマリネームサーバーのFQDNとIPアドレスを入力しOKをクリックします。
IPv4アドレス、IPv6アドレスをそれぞれ入力する必要があります。
IPアドレスを入力するとそれぞれのアドレスに対しての検証を自動で行います。
検証結果がNGになる場合もありますが正しい値を入力していれば問題ありません。

入力が終わったらOKをクリックしてプロパティを終了します。

4.DNSサーバーの動作確認

ここまで設定が終われば最低限の権威DNSサーバーとして動作するはずです。
JPRSのDNS設定チェックツールを使って正しく設定されているかチェックします。

以下のサイトにアクセスします。

DNS設定チェックツール:http://dnscheck.jp/
操作方法説明:http://dnscheck.jp/doc/dnscheck-webif.html

ネームサーバーの設定の事前チェックを選択し、以下のように「ドメイン名」、「ホスト名」、「IPアドレス」を入力し検証をクリックします。

検証結果が以下のように表示されればDNSサーバーは正常に動作しています。

①重要度がOKになっており、警告等が出ていないこと。
②IPv4、IPv6のSOAレコード、NSレコード、ネームサーバーのAレコードが青色で表示されていること。

警告やエラーが出ている場合は再度設定の見直しを行ってください。

5.キャッシュサーバーの無効化

WindowsのDNSサーバーはデフォルトではキャッシュサーバーとしての機能も動作しています。
権威サーバーとキャッシュサーバーを兼用する事はDNSポイズニングやドメインの乗っ取りなどの被害に会う可能性があり非常に危険です。権威DNSサーバーでは必ずキャッシュサーバーの機能は無効化しておきます。

DNSマネージャーでDNSサーバーを右クリックしてプロパティをクリックします。

詳細設定タブの「再帰を無効にする」にチェックを入れてOKをクリックします。

以上で初期設定は終了になります。

コメントを書く

  Country flag

biuquote
  • コメント
  • プレビュー
Loading