このシナリオでは,3台が「Active Directory統合ゾーン」をホストしているため,そのうちのどれか1台でも稼働していれば,ゾーン・データの更新,転送とも引き続き可能である。
ゾーンとは,DNSサーバーがコンピュータの名前とIPアドレスの対応情報を保存するデータ・ファイルの単位である。Windows Serverで構成するDNSサーバーは,Active Directory統合ゾーンのほか,「プライマリ・ゾーン」(オリジナル情報を保持するゾーン),「セカンダリ・ゾーン」(オリジナル・ゾーンのコピー),「スタブ・ゾーン」(他のゾーンへの参照情報だけを保持するゾーン)をホストできる。
Active Directory統合ゾーンをホストするDNSサーバーはマルチ・マスター構成となり,インストールした順に関係なく,どのサーバーを使ってもプライマリ・ゾーンと同様にゾーン・データの登録・更新と転送ができる。
Active Directory統合ゾーンは,非統合ゾーンに対するマスターとして構成できる。そのため,セカンダリ・サーバーとして構成されたBIND(Berkeley Internet Name Domain。UNIXなどで多用されているDNSサーバー・ソフトウエア)に対しては,プライマリ・サーバーとして動作する。最近ではWindows Serverのみで構成されたネットワークも増えてきているが,Active Directory導入前に使用していたDNSサーバーも残して運用しているケースもまだ多い。
Active Directory統合ゾーンとして構成しなかった場合,シングル・マスター構成となるため,ゾーン・データの更新ができるのはプライマリ・ゾーンをホストするDNSサーバー1台のみとなる。その場合,そのDNSサーバーに障害が起こると,ホスト名解決は引き続き可能だが,ゾーン・ファイルの更新はできなくなる。
ゾーン・ファイルの更新が途絶えると,セカンダリ・サーバーは有効期間を過ぎたローカルのゾーン・ファイル(デフォルトでは1日)を「信頼できないデータ」としてマークし,クライアントからのクエリに応答しなくなる。そのため,プライマリ・サーバーの復旧が困難な場合は,セカンダリ・ゾーンをプライマリ・ゾーンに変更する必要がある。
セカンダリ・ゾーンからプライマリ・ゾーンへの変更は,ゾーン・ファイルの種類の変更だけなので,作業自体は簡単である。ただし,プライマリ・サーバーはセカンダリ・サーバーに対してゾーン転送を行うため,レコードの更新の頻度やネットワークの帯域など考慮して選定する必要がある。
最後に,Active Directory統合ゾーンのその他の特徴について確認しておこう。Windows Server 2003では,DNSサーバーの詳細はDNS管理コンソール([スタート]-[管理ツール]で「DNS」を選択して起動する)で確認できる(図1)。詳細を確認したいゾーンを右クリックして[プロパティ]を表示したのが図2である。ゾーンの種類を変更する場合,[変更]ボタンをクリックすると,図3の「ゾーンの種類の変更」の画面が表示される。
|
| 図1●DNS管理コンソール |
|
| 図2●ゾーンのプロパティ画面 |
|
| 図3●「ゾーンの種類の変更」画面 |
Active Directory統合ゾーンはドメイン・コントローラ上にのみ作成可能で,ゾーン・ファイルはActive Directoryに格納される。そのため,以下のようなメリットがある。
・ゾーンをセキュリティで保護できる
他のActive Directoryオブジェクトと同様に,DACL(随意アクセス制御リスト)でアクセス制御ができ,ゾーンに対する動的更新をセキュリティで保護できる。
・ゾーン転送トラフィックを抑制できる
ゾーン転送をActive Directoryのデータベース複製に統合できるため,DNSゾーン転送トラフィックを抑制できる。
Active Directory統合ゾーンではなく,プライマリ/セカンダリ構成にした場合,セカンダリ・サーバーは変更通知を受け取った際かまたはプライマリ・サーバーに対して15分ごとに変更の確認をする。ここでは,ゾーン転送トラフィックは圧縮されない。増分ゾーン転送により,変更部分だけを転送することも可能だが,圧縮は行わない。
一方,Active Directory統合ゾーンでは,ゾーン情報をActive Directory情報と統合して送信する。そのため通信の開始と終了の手順が節約できる上,セキュリティ的にも安全である。また,異なるサイト間ではデータ圧縮も行う。
