ITmedia エンタープライズ

　Windows 2000がDNSクライアントであり，BINDのみをDNSサーバーとしてネットワークを構成する場合，セキュアDynamic DNSを使用することはできない。なぜなら，BINDはTKEYを使用しない標準的なTSIGはサポートしているものの，Windows 2000のMicrosoft DNSで採用されているGSS-TSIGはサポートしていないからである。セキュアDynamic DNSを使用できないと，ゾーン情報を任意のコンピュータやプログラムから変更できるようになるため，セキュリティ上は脆弱になってしまう。

　このような場合，Dynamic DNSによるゾーン情報の更新を許可するネットワークを制限することで，ある程度はセキュリティを向上させることができる。たとえば，自分のLANが192.168.1.0/24というネットワークだった場合，List 9-5のように設定すれば，192.168.1.0/24に属するクライアントだけがゾーン情報を更新できるようになる。このような設定を施すことで，外部ネットワークからゾーン情報を書き換えられてしまうことはなくなる。

　しかし，List 9-5のように設定しても，内部ネットワークに属するクライアントが設定を間違えた場合には対処することができない。つまり，セキュアDynamic DNSが使用できない限り，内部システムからの攻撃や設定ミスに対して，完全に対抗することはできないのである。

　ただし，設定ミスによるゾーン情報の改変を防ぐためには，DHCPを利用する方法もある。DHCPを使用すれば，各クライアントの使用者がTCP/IP関連パラメータを設定する必要はなくなり，設定ミスの可能性は激減する。そのうえで，静的なIPアドレスを利用するクライアントとDHCPクライアントを異なるネットワークに所属させることで，設定ミスによりゾーン情報が書き換えられるおそれは，さらに少なくなるだろう。たとえば，静的にIPアドレスを割り当てるクライアントは192.168.1.0/24のネットワークに，DHCPクライアントは192.168.2.0/24のネットワークに，それぞれ参加させ，192.168.2.0/24に参加しているクライアントからのみDynamic DNSによる更新を許可すればよいのである。