理系学生日記

おまえはいつまで学生気分なのか

忍者TOOLS

ゾーン情報の複製

DNS サーバを複数構成する場合、ゾーン情報をすべての DNS サーバに複製するには 2 つの方法がある

プライマリサーバ・セカンダリサーバ間のゾーン転送では、複製されるゾーン情報は暗号化されず平文で流れるてしまう。また、ドメインコントローラのレプリケーションとは非同期に実行されるため、より多くの帯域を使用してしまう。
Windows Server の DNS サーバはインクリメンタルゾーン転送をサポートしており、初回のゾーン転送を除き、変更部分だけが転送される。


Active Directory 統合ゾーンの情報は、AD DS のレプリケーションによって他 DNS サーバに転送される。レプリケーションは暗号化された状態で実施されるため、ゾーン情報自体も暗号化される。この方法はドメインコントローラに DNS をインストールした場合のみに可能であるが、別途セカンダリサーバを立て、そのプライマリを Active Directory 統合ゾーンとすれば、DNS サーバ単体に対するゾーン情報複製も可能である(このケースでは、ゾーン情報はゾーン転送される)。

Windows 2000 Server で Active Directory 統合ゾーンを構成すると、このゾーン情報はドメインパーティションに格納されるため、ドメイン内の全ドメインコントローラに複製されるという問題があった。このため、Windows Server 2003 からはアプリケーションパーティションがサポートされた。アプリケーションパーティションにはいくつかの種類があり、そのうち ForestDNSZone に作成されたゾーン情報はフォレスト内の全ての DNS サーバに、DomainDnsZone に作成されたゾーン情報は、ドメイン内の全 DNS サーバにレプリケートされる。

アプリケーションパーティションを独自に作成することもできる。

DnsCmd <Server-Name> /CreateDirectoryPartition <Partition-FQDN>
DnsCmd /EnumDirectoryPartitions

作成したパーティションに特定 DNS サーバを加えるには、以下のコマンドを実行する

DnsCmd <DNS-Server-Name> /EnlistDirectoryPartition <Partition-FQDN>