よくあるお問い合わせ

質問
Windows Server(Microsoft DNS) のオープンリゾルバ対策について
お問い合わせ分類
設定・マニュアル・トラブル
対象のサービス
ZOOT NEXT for フレッツ光
ZOOT NEXT for フレッツADSL
ZOOT NEXT for フレッツISDN

答え

Microsoft DNSのキャッシュサーバーはアクセス制限ができません。その為、コンテンツサーバーとキャッシュサーバーを2台に分ける構成として前者はDMZに、後者はLAN内に配置してください。

Microsoft DNSを2台に分けることができない場合は、キャッシュサーバーのアクセス制限ができるWindows版BINDに切り替えをご検討ください。
>>BINDでDNSサーバを構築する場合は、こちらをご覧ください。

コンテンツサーバーとキャッシュサーバーの2台構成にする場合、コンテンツサーバーは以下の通り「再帰問い合わせの無効化」にして、外部からアクセスできるDMZに配置します。また、DMZにはドメインコントローラは配置しません。キャッシュサーバーは「再帰は有効」のまま、LAN内に配置します。

DNSサーバー 配置 処理
コンテンツサーバー DMZ(外部からアクセス可) 再帰問い合わせを「無効」にする
キャッシュサーバー LAN(外部からアクセス不可) 再帰問い合わせを「有効」にする

Windows Server 2008RCで再帰問い合わせを無効にする方法

DNSを権威サーバー(コンテンツサーバー)として構築している場合は、下記のように再帰問い合わせを禁止してください。

1.DNSマネージャーを起動します。


2.該当するDNSサーバーを右クリックしてプロパティをクリックします。


3.詳細設定より、「再帰を無効にする」にチェックを入れ、OKボタンをクリックします。


4.設定を有効にする為、DNSを再起動します。該当のDNSサーバーを選択し、操作→全てのタスク→再起動をクリックします。


対策・設定完了後、DNS/NTP/SNMP/UPnPリフレクション診断ツールにてチェックを行ってください。

>>DNS/NTP/SNMP/UPnPリフレクション診断ツール

 

この回答は役に立ちましたか?評価をお願いします。

メンバーIDまたはメールアドレス:
パスワード: