ローカルネットワークのドメイン名について

Question

こんにちは。

Active Directory学習のため職場のPCにWindows Server 2003を導入してみました。
とここで、このADマシンのドメイン名を付ける必要があるのですが、学習用としてはどのような名前が良いのでしょうか。
「グループ名.local」などが妥当でしょうか。

また、現在私の組織はJPNICに登録してあるドメインを持っており、ネームサーバも存在します（LINUX）。
この状態で、学習用ADのドメイン名をJPNICに登録しているものと同じものにして良いのでしょうか。
何か障害など起きませんでしょうか。（セキュアでない、馬鹿にされる、などのお話はさておき汗）
ちなみに学習用という性質上、本家ネームサーバに登録出来ないためADにDNSサーバ（デーモン）もインストールしました。

サーバ初心者なもので馬鹿な質問かもしれませんが、よろしくお願いします。

anmochi · Accepted Answer

> すみません、これはドメインのネームサーバではなく
> 内部LAN用のネームサーバの間違いでした。
　なるほど。それならOK。内部のネームサーバなら問題ないね。外出しネームサーバと一緒にするだと、設定のミスで全マシンのエントリをインターネットに公開する事になりかねないので普通はしない(と思う)。

　ところで、前回は細かい話を端折ってしまったが、いい機会なのでついでにADのドメインを外向けドメインと同じかあるいはそのサブドメインにする意味（メリット）も解説しておこう。
　ADのドメインは、外出しと同じにしても良いしサブドメインにしても良いし独自のドメインにしても良いというのは既に述べたけど、へーそうなんだできるんだ、だけじゃなくって、それぞれにメリットデメリットがあるという事は押さえておいて欲しい。いずれかの方法だけが飛びぬけて良いのであれば、そんな選択肢はしょっぱちから用意されないはずだからね。ケースバイケースでどれにするかを選ぶためには良い点と悪い点を知ってないといけないよね。
　まず、ADの配下にあるマシンは、優先DNSサーバがADサーバのドメインを管理するネームサーバになる。これは、ドメインログオンに際してDNSのレコードでADサーバのありかを問い合わせるからだ。これが、NT4のドメインがNetBIOSで動作しているのと違う部分。
　ところで、仮にあなたの組織内の内部ドメインがcell2008.localであり、AD用にad.cell2008.localとし、かつ、あなたの学習用の場合と同じ、この2ドメインのネームサーバが別である場面を考えてみる。cell2008.localが現在本番稼動している内部ネームサーバ(サバA)で、ad.cell2008.localが学習用(サバB)やね。
　ここで、前述の通り学習用クライアントマシン(クラC)の優先DNSはサバBになる。そうすると、クラCの代替DNSをサバAにしても、+.cell2008.localドメインのAレコードを引くことができない(サバBの設定を細かくやればそうではないが)。サバBは、そのままでは*.ad.cell2008.localの情報しか持っておらず、自分の親である*.cell2008.localの情報も分からないからだ。つまり、クラCからwww.cell2008.localの問い合わせを受けた場合、cell2008.localドメインの情報を持っていないので「ルートネームサーバから」探しに行くことになる。がルートネームサーバは当然*.localなんてドメインの情報は持っていないのでそこで名前解決が途絶えてしまうのだ。
　ここで、設定を変えてサバAのドメインをcell2008.tldとして外出しドメインを担当する役だとし、サバBのドメインをad.cell2008.tldとし、tldは「com」などの実在するトップレベルドメインであると仮定する。ADを自社のグローバルドメインにあるいはそのサブドメインにしていた場合、クラCがサバBにwww.cell2008.tldを問い合わせると、ルートネームサーバからの正引きが正しく順々に行われ、最終的にサバAまでたどり着くことができる。
　まぁここまで説明すれば分かるように、別にこれはADだけがどうのこうのじゃなくって、社内用ホストの名前をどうつけるかまで話は広がるのだがね。まさにDNSの利点と欠点を知り尽くした中々こじゃれた名前計画だ。もちろん、AD用にad.cell2008.localとして、それ以外の社内用ホストをcell2008.tldとする事でも可能なのだが、それなら統一した方が良いよね。
　混乱するかも知れないが、今、社外向けネームサービスと社内向けネームサービスとAD用のネームサービスの話が複雑に絡み合ってるので注意深く読んでいって欲しい。

> まだインターネット上のDNSとADのDNSの違いが分かってなく
　もう一つついでに。Windows NT4までで使われていたいわゆるNTドメインはNetBIOSによって行われていた。これは、NetBIOSドメインという単位でNT4やWin95、98マシンのセキュリティポリシーやプロファイルを一元管理できる、これはこれで中々便利なものだった。この時代の話を知らないというのであればまぁこんなモンなんだと思って欲しい。
　これを、認証にKerberos、名前解決にDNS、ディレクトリ(階層構造のデータ群)管理にLDAPというオープンでグローバルな仕様を取り入れて拡張したものがActiveDirectoryと言える。
　これが、ActiveDirectoryにDNSがなぜ絡んでくるのかの理由。これはADの理解に意外と重要な概念なのでぜひ覚えておいて欲しい。意外にこの辺が分かってなくて「こんな操作をしたらこんな事ができる」としか知らないAD管理者も多い。こんな事じゃトラブルが発生した時に原因の切り分けができなくて「くそ、MSめ」って悪態をつくばっかり。そんな人たちに差をつけちゃえ！
　また、普通の(?)DNSとADを構築する際のDNSは同じものだというのは、これでご理解いただけたのではないかと思う。

anmochi · Answer

> このADマシンのドメイン名を付ける必要があるのですが、
> 学習用としてはどのような名前が良いのでしょうか。
> 「グループ名.local」などが妥当でしょうか。
学習用であればそれで全く問題ないでしょう。実際、実運用でも.localが使われる事もあります。

> 現在私の組織はJPNICに登録してあるドメイン・・・・
> 同じものにして良いのでしょうか。
全く同じものにするのは、不可能ではないですし障害も普通はおきませんし実運用でも例がありますが、個人的には考えものだと思います。仮にJPNICドメインがcell2008.tldであれば、ad.cell2008.tldなどという風にAD専用のサブドメイン名でつけると良いでしょう（私個人の意見ですが）。まぁ、さすがに馬鹿にされたりはしないと思います。

> ちなみに学習用という性質上、
> 本家ネームサーバに登録出来ないためADにDNSサーバ（デーモン）も
> インストールしました。
本番運用でもDNSは本家ネームサーバーと別にすべきですというか本番でそんなものを一緒にするなんて暴挙に出るとそれはさすがに馬鹿にされるかも。ADサーバは同ドメインのネームサーバにもなるのが基本で、ADサーバのレプリケーションパートナーが3台程度までならそうすべきだと思います。

ローカルネットワークのドメイン名について

> すみません、これはドメインのネームサーバではなく

> このADマシンのドメイン名を付ける必要があるのですが、

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング