ルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性

こんにちは、Windows プラットフォーム サポートの串田です。 今回は、先日総務省より通達があった DNSSEC を利用する際に使用されているルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性の確認方法についてご紹介いたします。   ICANN は、ルートゾーン KSK と呼ばれる、DNSSEC で使用される暗号化鍵のペアを更新することをアナウンスしました。 ルート DNS サーバーを経由する、DNSSEC を利用したインターネット上の名前解決には、ルートゾーン KSK が利用されるため、適切な対策が求められています。 これを受けて 2017 年 7 月 14 日(金) に、総務省からも対策の必要性が発表されています。   現在、サポート チームではそもそも運用環境にて DNSSEC を利用しているのか?利用していない場合でも対策が必要なのか?というご質問が多く寄せられています。 そこで以下では、Windows の DNS サーバーにおいて、ルート KSK の更新に伴う対策の必要性、および注意事項についてご案内いたします。   Q1. Windows の DNS サーバーにおいてルート ゾーン KSK の更新に伴い、対策を実施する必要があるのか。 A1. 結論として、Windows…

0

権限のある DNS サーバーからの Upward Referral 応答

こんにちは、Windows プラットフォーム サポート チームの高田です。 今回は、Microsoft Windows DNS, DHCP and IPAM Team のブログ “Upward Referral Responses from Authoritative DNS Servers” (2015 年 9 月 3 日 米国時間公開) を翻訳した記事です。   DNS サーバーの挙動で広く議論されるものの 1 つとして、自身が権限を持たない (自身で保持しないゾーン) に対する名前解決要求を受けた場合の応答が挙げられます。2012 R2 以前の Windows DNS サーバーでは、再帰問い合わせが無効化されている場合、Upward Referral 応答 としてルート ネーム サーバーの一覧を返していました。この挙動により、攻撃者が DNS サーバーにランダムなクエリを送信した場合に、何倍ものサイズの応答を生成させる (増幅させる) ことができるため、攻撃者によって悪用される可能性があります。この何倍ものサイズの応答を生成させる (応答内容を増幅させる) 攻撃による影響は Windows Server 2016 の DNS サーバーで追加された…

0

FRS ジャーナル ラップ エラー トラブルシューティング 第二回 (SYSVOL と NETLOGON フォルダーが共有されない?)

前回は、FRS ジャーナルラップエラーの概要とその確認方法について紹介しました。 続いて、今回は FRS ジャーナル ラップ エラーの具体的な対処方法について解説します。   ジャーナル ラップエラーの修復を行う前に確認すべきこと 修復作業を行う前に、次の点に問題がないか確認することが重要です。  1.  各ドメイン コントローラーの SYSVOL の内容が同じであること  2.  Active Directory の複製が正常に行われていること 以下に、その詳細と確認方法を紹介します。   1.  各ドメイン コントローラーの SYSVOL の内容が同じであること ジャーナル ラップエラーの一般的な修復作業では、エラーが発生したドメイン コントローラー上の SYSVOL の内容を一旦削除して、複製パートナーから複製して修復を行います。 そのため、修復作業を行う前に、複製パートナーの SYSVOL の情報が正しい状態 (整合性がとれた状態) であることを確認する必要があります。 これは、ジャーナル ラップエラーが生じたドメイン コントローラーが、実は正しいデータを保持していた、という場合もあるためです。もしも、複製パートナーの SYSVOL の内容に一部不足が生じている場合は、不足している情報を手動でコピーした後に修復作業を行います。   – 確認方法 Windows Server 2003 では、リソース キットに入っている gpotool.exe を使用して、SYSVOL の整合性を確認することができました。 また、Windows Server 2012 以降では、グループ ポリシー管理コンソール…

0

FRS ジャーナル ラップ エラー トラブルシューティング 第一回 (SYSVOL と NETLOGON フォルダーが共有されない?)

こんにちは、Windows プラット フォーム サポートの進藤です。 Windows Server 2003 のサポート期限も間近に迫り、サーバーのアップグレード作業を実施されている方も多くいらっしゃるかと思います。 アップグレード作業では、新しいサーバーをドメインに追加した後に、それまで使用していたサーバーを降格するという方法が一般的ですが、その作業を実施した際に、新しいサーバーが正常にドメイン コントローラーとして機能していないというトラブルに見舞われることもあります。 このとき、新しいドメイン コントローラーでは SYSVOL や NETLOGON が共有されていない状態かもしれません。 そのような状況に陥らないように、また、陥った場合のトラブルシューティング方法として、FRS ジャーナル ラップ エラーについて取り上げます。   Active Directory の複製 Active Directory はマルチ マスタ レプリケーション モデルとなっているため、プライマリとバックアップという区別はなく、すべてのドメイン コントローラーがマスターとなります。このため、各ドメイン コントローラー間で情報の複製が行われていますが、複製は大きく 2 つに分かれており、ユーザーやコンピューターの情報が格納された「Active Directory のデータベース」の複製とグループ ポリシーの設定情報が格納された 「SYSVOL フォルダー」の複製がそれぞれ行われています。 この「SYSVOL フォルダー」の複製は FRS または DFSR というサービスにより実施されており、Active Directory おける下記の現象は、 FRS または DFSR の問題により発生していることもあります。 ・ 新規で追加したドメイン コントローラーで SYSVOL…

0

Windows Server 2008 以降のドメインコントローラーを追加した場合自動でフォワーダーの設定が追加されることがある。

皆様こんにちは Windows サポートチームの 中垣内 (ナカガイト) です。   Windows Server 2003 の Active Directory の環境から Windows Server 2008 や Windows Server 2012 R2 などの環境に移行作業をすることが増えてきていると思います。 移行作業中に追加した ドメイン コントローラー 兼 DNS サーバーに フォワーダーの設定が追加されている事象に直面されたことはないでしょうか。 今回はその事象についてご紹介させていただきます。   現象 下記のシナリオでは、ドメイン コントローラーを昇格した際に DNS サーバーのフォワーダーの設定が自動で構成されます。   1. OS が Windows Server 2008 、Windows Server 2008 R2、Windows Server 2012 、Windows Server 2012 R2 のいずれかである。 2….

0