【D3技術記事】ActiveDirectory環境用のDNSとしてNetAttest D3を構成

はじめに

クラウド化が進む中でも、オンプレミス環境の認証基盤としてActive Directoryを利用している企業・団体は依然として多く存在します。Active Directoryの運用にはDNSサーバーが必須であり、多くの場合、ドメインコントローラーと同一のWindows Server上でDNSサーバーを構成しているかと思います。

しかし、この構成ではドメインコントローラーへの負荷集中やDNSサーバーの障害がActive Directory全体に影響を与えるリスクが懸念されます。またDNSサービスに問題が発生した場合の問い合わせ窓口が不明確になるといった課題も抱えています。

そこで本記事では、Active Directory環境で利用するDNS サーバーとしてNetAttest D3を活用する構成例を紹介し、これらの課題解決を図ります。NetAttest D3は、高性能でセキュアなDNSアプライアンスであり、直感的なGUI操作で容易に管理できます。これにより、DNSサーバーの運用管理負荷を軽減し、パフォーマンスとセキュリティの向上に貢献します。

以降、具体的な構成例と、それぞれのメリット・デメリット、導入手順について詳しく解説していきます。

構成例

本記事では、いくつか考えられる構成のうち2例を紹介いたします。
※本記事はIPv4環境を想定しており、Active DirectoryサーバーのIPv6は無効にした環境の設定例を記載しております。
※今後のバージョンアップで各設定画面は変更される可能性があります。

■構成例 1

• Active Directory同居のDNSサービスは継続利用
• インターネット閲覧用のDNSキャッシュサーバーとしてNetAttest D3を配置
• Active Directory用のDNSクエリーはActive Directory同居のDNSサービスに転送
  
  
  構成例1－図
   

■構成例2

• インターネット閲覧用のDNSキャッシュサーバーとしてNetAttest D3を配置
• Active Directoryの権威ゾーン(例：example.co.jp)もNetAttest D3で管理する
• NetAttest D3稼働後、Windows ServerのDNSサービスは停止可能
  
  
  構成例2―図

■環境

構成例1―インターネット閲覧用DNSとしてNetAttest D3を追加する

この構成例では、既存のActive Directory同居のDNSサービスの設定は変更せず、NetAttest D3をインターネット閲覧用のキャッシュDNSサーバーとして追加します。

Active Directory関連の名前解決は従来通りWindows Serverが行い、インターネットへの名前解決のみをNetAttest D3が担当します。

1. 問い合わせ制御設定
   AD-DNSへの問い合わせを許可するため、D3-01で再帰問い合わせを許可します。
   [問い合わせ制御設定]の画面で、[再帰問い合わせ]を「許可する」に変更します。
   ※設定変更を行った際は、右上赤アイコン「現在の設定を保存」をしましょう。
   再帰問い合わせの許可により、NetAttest D3がインターネット上のドメインを名前解決できるようになります。
    
2. フォワードゾーンの追加
   example.co.jpへの問い合わせをAD-DNS01とAD-DNS02にフォワードするために、D3-01 でフォワードゾーンの追加を行います。
   [DNS]-[ゾーン]の「＋ゾーン追加」にある「フォワードゾーンを追加」から設定します。  ゾーン名：example.co.jpフォワード先IPv4/IPv6アドレス：192.168.1.1;192.168.1.2
   フォワード先DNSサーバー以外への問い合わせ：行わない
3. D3-01でDNSのサービスを起動
   [DNS]-[サーバー状態]の[操作]にある「起動」を選択してD3-01 のサービスを起動します。
   D3-02でも「1.」～「3.」と同じ手順で設定を行います。
4. 動作確認
   コマンドプロンプトを起動して、nslookupコマンド等でインターネット閲覧用の名前解決と、Active Directory用のexample.co.jp の名前解決に成功するか確認します。
   
   コマンド例：nslookup soliton.co.jp <D3-01 もしくは D3-02のIPアドレス>
   　　　　　　nslookup example.co.jp <D3-01 もしくは D3-02のIPアドレス>
   
   ■D3-01を指定してnslookupコマンド確認 ■D3-02を指定してnslookupコマンド確認

構成例 1の特徴とメリット

• Windows Serverの負担軽減
  インターネット閲覧のDNSクエリーをNetAttest D3が処理することで、Windows ServerのDNSサーバーの負荷を軽減し、Active Directoryの安定稼働に貢献します。特に、社内ユーザーのインターネット利用が多い環境では効果的です。
• 容易な導入
  既存のActive Directory環境やDNS設定への影響が少なく、導入・設定が比較的容易です。Active Directory側の設定変更は不要です。
• Active Directoryとの連携維持
  Active DirectoryのDNS機能は変更しないため、既存の動的DNS登録やセキュリティ保護設定（Secure Onlyなど）はそのまま有効です。

この構成は、導入が容易で、Windows ServerのDNSサーバーの負荷を部分的に軽減できます。しかし、Active Directory関連のDNS負荷軽減効果は限定的であり、DNS全体の冗長性を確保するには追加のNetAttest D3が必要となる点に注意が必要です。より大きな効果を求める場合は、構成例2を検討してください。

構成例 2―インターネット閲覧用とActive Directory向けのDNSとしてNetAttest D3を追加する

この構成例では、Active Directory同居のDNSサービスを廃止し、NetAttest D3をインターネット閲覧用キャッシュDNSサーバー兼Active Directoryドメインの権威DNSサーバーとして利用します。全てのDNS関連処理をNetAttest D3に集約することで、Windows ServerのDNS関連負荷を完全に解消し、DNS運用管理の一元化を実現します。

構成例2の場合、Active DirectoryのDNSサービスをNetAttest D3に移行する際に、権威ゾーンをどのように作成するかは、ご利用環境にあわせてどの方法が適しているかご検討ください。

パターン1：Active Directory同居のDNSサービスからゾーンコピー
パターン2：NetAttest D3に権威ゾーンを作成しActive Directoryからレコード登録
パターン3：CSVインポートでゾーン作成（本記事では割愛）

パターン1.―Active Directory同居のDNSサービスからゾーンコピー

既存のDNSサーバーからゾーン情報をコピーする方法です。既存のDNSレコードをそのまま移行できるため、大規模な環境で有効です。ただしNSレコードやSOAレコードの手動修正が必要です。

なおこの手順は、以下のように「_msdcs」が別ゾーンとなっている場合の操作例です。

別ゾーンとなっていない場合は、手順「7.」は不要です。 
※手順「7.」にあるDNSサービスの起動の操作については、「_msdcs」が同じゾーンの場合でも必ず行うようにしてください。 

1. Active DirectoryのDNS側でゾーン転送を許可
   AD-DNS01でゾーン転送を一時的に許可します。AD-DNS01でDNSマネージャーを起動し、example.co.jpのゾーンを右クリック＞[プロパティ]を選択します。プロパティで[ゾーン転送]タブを開き、「ゾーン転送を許可するサーバー」にチェックをいれて、「すべてのサーバー」を選択し、[適用]を選択後、[OK]でプロパティ画面を閉じます。
   
2. 問い合わせ制御設定
   D3-01のサービス管理ページにて構成例1の「1.」と同じ手順で再帰問い合わせを許可します。
   
   
3. ゾーンコピーの設定
   D3-01のサービス管理ページから[DNS]-[ゾーン]の「＋ゾーン追加」にある「ゾーンコピー」を選択します。
   下記のように設定を行い、[コピー]を選択します。
   ゾーン名：example.co.jp
   プライマリサーバーのIPv4/IPv6アドレス：192.168.1.1（AD-DNS01のIPアドレス）
   アップデートを許可するIPv4アドレス：192.168.1.0/24
   （Active Directoryサーバーおよびクライアント端末が所属するネットワークのIPアドレス)
   ゾーン転送を許可するIPv4アドレス：192.168.1.4（D3-02のIPアドレス）
   Notify送信先IPv4アドレス：必要に応じてセカンダリDNSのアドレスを登録  後の手順で、D3-01からD3-02（セカンダリDNS）へゾーン転送をするため、D3-02へのゾーン転送を許可します。
   またダイナミックDNSによりクライアントからの自動登録を許可する場合は、クライアント端末が所属するネットワークからのアップデートを許可しておきます。
   Notify送信先アドレスにセカンダリDNSのIPアドレスを登録しておくと、プライマリゾーンに更新があった際にセカンダリDNSへ更新通知を送信できます。
   作成した「example.co.jp」のゾーンを選択し、下記の「レコード一覧」を選択してAD-DNS01からゾーンコピーされていることを確認します。 
   
4. NetAttest D3のNSレコードとAレコードを追加
   ゾーンコピーした状態ではNetAttest D3をDNSサーバーとして稼働させるための情報がないため、手動で設定を追加していきます。
   
   example.co.jpのゾーンにD3-01とD3-02のNSレコードとAレコードを追加します。
   下記の画面で[追加]を選択します。
   「タイプ：NS」が選択されていることを確認して「次へ」
   下記の設定でD3-01のNSレコードとAレコードを追加します。
   ネームサーバー：d3-01.example.co.jp
   自動追加するAレコードのIPv4アドレス：192.168.1.3
   上記と同じ手順で D3-02 のNSレコードとAレコードも追加します。
   ネームサーバー：d3-02
   自動追加するAレコードのIPv4アドレス：192.168.1.4
   
5. AD-DNSのNSレコードを削除する
   D3-01にて、AD-DNSからゾーンコピーされたNSレコードを削除します。
   ここでの削除対象のレコードは下記です。
   
   ・example.co.jp　　　　　　NS　　　　ad01.example.co.jp
   ・example.co.jp　　　　　　NS　　　　ad02.example.co.jp
   
   「ad01.example.co.jp」のNSレコードを「削除」します。
   「削除します。よろしいですか？」の表示で[OK]を選択します。
   同じ手順で「ad02.example.co.jp」のNSレコードも削除します。
   
   
6. SOAレコードの書き換え
   SOAレコードをNetAttest D3の情報に書き換えます。
   レコード一覧画面から、タイプが「SOA」のレコードを選択します。
   「プライマリサーバー名」を「d3-01.example.co.jp」に変更して[適用]します。
   
7. _msdcsゾーン情報の登録 
   「_msdcs」が委任先の別ゾーンとなっている場合、example.co.jpのゾーンコピーを行っても、「_msdcs」ゾーンの情報はNetAttest D3へコピーされず、そのままではActive Directory用DNSサーバーとして正常に動作しません。
   Active Directory用のDNSサーバーに必要なレコードを登録するには、Active Directoryサーバーから必要なレコードを自動登録させるか、example.co.jpゾーンとは別に「_msdcs」ゾーンをコピーする方法などがあります。
   本記事ではActive Directoryサーバーから自動登録させる例で進めます。
   
   まず、ゾーンコピーされた「_msdcs」のNSレコードを削除します。D3-01の[ゾーン]から「example.co.jp」を選択し、「レコード一覧」を選択します。
   右上の検索窓に「_msdcs.example.co.jp」と入力して検索します。 「_msdcs.example.co.jp」のNSレコードをすべて削除します。                削除後、構成例1の「3.」と同じ手順でD3-01のDNSサービスを起動します。
   DNSのサービスを起動したら、AD-DNS01とAD-DNS02が参照する優先DNSサーバーにD3-01を設定します。
   
   ■AD-DNS01とAD-DNS02のDNS設定
   AD-DNS01とAD-DNS02のそれぞれのシステム両方を再起動します。
   （Netlogonサービスの再起動でもレコードが自動登録されますが、サーバー自身のAレコードが登録されない等がありますので、システム再起動がおすすめです。）
   
   再起動完了後、AD-DNS01とAD-DNS02の_msdcs.example.co.jp配下のレコードが
   D3-01に登録されていることを確認します。
   レコード一覧画面にて、「_msdcs.example.co.jp」で検索すると確認しやすくなります。
   
   ※参考
   Netlogonサービスの再起動でレコードの自動登録を行う場合、それぞれの各Active Directoryサーバーでサービスの再起動を行います。
   [Ｗindows]キー+[R]キーで「ファイル名を指定して実行」を開き、「services.msc」と入力してWindowsサービスを開いて、「Netlogon」サービスを右クリック→再起動します。
   
8. D3-02で再帰問い合わせを許可
   D3-02にて「1.」と同じ手順で再帰問い合わせを許可します。
   
   
9. セカンダリゾーンの追加
   D3-02でセカンダリゾーンを追加します。
   D3-02のサービス管理ページにアクセスして[ゾーン]-[ゾーン追加]を選択し「セカンダリゾーン追加」を選択します。
   下記のように設定してゾーンを[追加]。
   
   ゾーン名：example.co.jp
   プライマリサーバーのIPv4/IPv6アドレス：192.168.1.3
   
   
10. DNSサービス起動 
    構成例1の「3.」と同じ手順でD3-02のDNSサービスを起動します。サービス起動後、
    D3-01からexample.co.jpのゾーン情報が転送されているか確認します。
    
    [ゾーン]で「example.co.jp」を選択します
    「レコード一覧」を選択してexample.co.jpのレコードが表示されていればOKです。
    
11. 動作確認
    構成例1の手順「4.」と同じ手順で、インターネット閲覧用の名前解決と、Active Directory用のexample.co.jpの名前解決に成功するか確認します。
    対応するIPアドレスが返ってくればOKです。
    
    ■D3-01を指定してnslookupコマンド確認
    ■D3-02を指定してnslookupコマンド確認
     

パターン2.―NetAttest D3に権威ゾーンを作成しActive Directoryからレコード登録

NetAttest D3で新規に権威ゾーンを作成し、Active Directoryサーバーから動的更新でレコードを登録する手順です。新規Active Ｄirectory環境構築時や、既存レコード整理の機会に適しています。

1. 問い合わせ制御設定
   D3-01のサービス管理ページにて構成例1の「1.」と同じ手順で再帰問い合わせを許可してください。
   
   
2. プライマリゾーンの追加
   D3-01にてプライマリゾーンを追加します。[DNS]-[ゾーン]の[+ゾーンの追加]から「プライマリゾーン」を選択します。
   
   下記のようにプライマリゾーンを設定して[追加]を選択します。
   
   ゾーン名：example.co.jp
   自動追加するAレコードのIPv4アドレス：192.168.1.3（D3-01のIPアドレス）
   アップデートを許可するIPv4アドレス：192.168.1.0/24
   （Active Directoryサーバーおよびクライアント端末が所属するネットワークのIPアドレス)
   管理者メールアドレス：hostmaster@example.co.jp（ゾーン管理者のメールアドレス）
   ゾーン転送を許可するIPv4アドレス：192.168.1.4（D3-02のIPアドレス）
   Notify送信先IPv4アドレス：必要に応じてセカンダリDNSのアドレスを登録
   
3. DNSサービスを起動する
   構成例1「3.」と同じ手順でD3-01のDNSサービスを起動します。
   
   
4. 構成例2「パターン1」の手順「7.」と同じ手順でAD-DNS01が参照する優先DNSをD3-01に変更します。
   
5. 構成例2「パターン1」の手順「7.」と同じ手順で、AD-DNS01の再起動、または「Netlogon」サービスの再起動を行います。サービスの再起動の場合は、AD-DNS01で[Windows]キー+[R]キーで「ファイル名を指定して実行」を開き、「services.msc」と入力してWindowsサービスを開いて、「Netlogon」サービスを右クリック→再起動します。
   
   D3-01でゾーン情報がアップデートされているか確認します。
   [ゾーン]からexample.co.jpを選択し、「レコード一覧」を選択します。
   
   ゾーン情報がアップデートされていることを確認します。
   
   サービス再起動後にAD-DNS01とAD-DNS02のAレコードが存在していない場合は、手動で登録してください。
   
   AD-DNS02も手順「4.」～「5.」と同様に参照するDNSサーバーをD3-01に向けてAD-DNS02のWindows サービスからNetlogonサービスを再起動してください。
   サービスの再起動完了後、AD-DNS02のレコードがD3-01に追加で書き込まれていることを確認します。
   
6. D3-01にて、セカンダリDNSの情報としてD3-02のNSレコードとAレコードを追加します。
   レコードの「+追加」から「タイプ：NS」を選択して「次へ」
   
   下記のように設定してNSレコードとAレコードを「追加」
   
   所有者名：空欄
   ネームサーバー：d3-02.example.co.jp
   自動追加するAレコードのIPv4アドレス：192.168.1.4
   
7. D3-02で再帰問い合わせを許可
   D3-02でも「1.」と同じ手順で再帰問い合わせを許可してください。
   
   
8. セカンダリゾーンの追加
   構成例2「パターン1」の手順「9.」と同様の手順、設定でセカンダリゾーンを追加します。
   
   
9. DNSサービスの起動
   D3-02のDNSサービスを起動します。 
   サービス起動後、D3-02にてD3-01からゾーンが転送されているかを構成例2「パターン1」の手順「10.」と同じ手順で確認します。D3-01と同じゾーン情報が確認できればOKです。
   
10. 動作確認
    コマンドプロンプトでnslookupコマンドを打って対応するIPアドレスが返ってくればOKです。
    
    ■D3-01を指定してnslookupコマンド確認
    ■D3-02を指定してnslookupコマンド確認
    

構成例2の特徴とメリット

• Windows ServerのDNS負荷完全解消
  Active Directory同居のDNSサービスを廃止することで、Windows ServerからDNS関連の負荷を完全に取り除き、他の重要なサービスのパフォーマンス向上やリソースの有効活用に貢献します。
• DNSのパフォーマンス向上
  NetAttest D3は高性能なDNSアプライアンスであるため、DNS名前解決のパフォーマンス向上が期待できます。これにより社内システム全体の応答速度向上に繋がる可能性があります。
• DNSログの一元管理
  NetAttest D3は外部Syslogサーバーへのログ転送機能を備えているため、DNSクエリーログなどを一元管理し、セキュリティ分析やトラブルシューティングに役立てることができます。

環境構築のポイント

• 冗長構成（必須）
  NetAttest D3は冗長構成で構築し、可用性を確保することを強く推奨します。プライマリとセカンダリのNetAttest D3を用意し、適切な同期設定を行いましょう。
• 定期的なバックアップ
  障害発生時に備え、スケジュールバックアップ機能などを活用して、NetAttest D3のバックアップを取得するように計画しましょう。
• テスト環境での検証
  本番環境への適用前に、必ずテスト環境で入念な検証を行い、問題がないことをご確認ください。
• DNSSECの導入
  DNSSECを導入することで、DNSレコードの正当性を保証し、DNSスプーフィングなどの攻撃から保護することができます。

これらをもとに、適切な計画・検証を行いながらNetAttest D3を導入することで、Active Directory環境のDNS運用を効率化し、パフォーマンス・運用性・保守性を向上させることが可能です。

おわりに

クラウド化が進む現代においても、DNSは企業ネットワークの根幹を支える重要なサービスです。DNS サーバーのパフォーマンスと安定性は、業務効率やユーザーエクスペリエンスに直結するため、その最適化はビジネスの成功に不可欠です。

本記事で紹介したように、NetAttest D3をActive Directory環境のDNSサーバーとして活用することで、Windows Serverの負荷軽減、DNS パフォーマンスの向上、運用管理の効率化、セキュリティ強化など、多くのメリットが期待できます。直感的なGUI により、専門的な知識がなくても容易にDNSサーバーを構築・運用できるため、管理者の負担軽減にも繋がります。

DNS環境の見直しを検討している、あるいはWindows Serverの負荷軽減やDNSパフォーマンス向上を図りたいと考えている方は、NetAttest D3の仮想アプライアンスの評価版もございますので、実際の環境で動作検証を行い、その効果を実感することをお勧めします。 最適なDNS環境を構築することで、よりセキュアで快適なネットワーク環境を実現し、ビジネスの成長を加速させることができるでしょう。