[アップデート ポリシー] DNS デプロイメント オプションでは、[動的更新の許可] オプションよりも詳細に DNS 更新を制御することができます。[アップデート ポリシー] には、クライアントの ID の照合や、クライアントが更新可能なリソース レコードの決定のためのオプションが多数あります。
[アップデート ポリシー] オプションと [動的更新の許可] オプションは互いに排他的で、通常は Address Manager の同じレベルで設定することはできません。
アップデート ポリシー DNS デプロイメント オプションを設定するには:
- 構成ドロップダウン メニューから、構成の 1 つを選択します。
- [DNS] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[構成情報] ページにいることを確認します。
- DNS デプロイメント オプションを設定するレベルに移動して、[デプロイメント オプション] タブをクリックします。[デプロイメント オプション] タブは、構成、ビュー、ゾーン、IP ブロック、および IP ネットワークの各レベルで表示されます。
- [デプロイメント オプション] で、[新規] をクリックして [DNS オプション] を選択します。
- [オプション] リストで、[アップデート ポリシー] を選択します。アップデート ポリシーのフィールドがページに表示されます。
-
次のフィールドでアップデート ポリシーを定義します。
- 特権: クライアントがアップデートを実行できるかどうかを決定します。[許可] を選択すると、一致するクライアントはアップデートを実行できます。[却下] を選択すると、一致するクライアントはアップデートを実行できません。
- ID: クライアントの一致条件を指定します。クライアント名、ワイルドカードを含む名前、または GSS-TSIG Kerberos プリンシパルを指定するには、[名前] を選択します。TSIG 鍵を指定するには、[鍵] を選択します。[名前] を選択すると、[ID] フィールドの横にテキスト フィールドが表示されます。このフィールドに、クライアント名、ワイルドカードを含む DNS 名、または GSS-TSIG Kerberos プリンシパルを入力します。Kerberos プリンシパルの指定規則は、クライアントのタイプとクライアントが実行するロールによって異なります。Kerberos プリンシパルを指定する場合は、以下の規則に従います。
クライアントのタイプ Kerberos プリンシパルの規則 DHCP クライアントが IP アドレスをリースするときに DNS 登録を実行する DHCP サーバ 規則: サービス名/ホスト名@レルム
例: サービス名 DHCP、DDNS ホスト host123.example.com、およびレルム EXAMPLE.COM の場合、Kerberos プリンシパルは次のように入力します。DHCP/host123.example.com@EXAMPLE.COM
その他すべての DNS クライアント 規則: サービス名/ホスト名@レルム
例: サービス名 DHCP、DDNS ホスト host123.example.com、およびレルム EXAMPLE.COM の場合、Kerberos プリンシパルは次のように入力します。DHCP/host123.example.com@EXAMPLE.COM
[鍵] を選択した場合、[TSIG] タブで作成した TSIG 鍵のドロップダウン メニューが表示されます。このリストから TSIG 鍵を選択します。
- 名前タイプ: アップデート ポリシーの一致条件を決定します。リストから名前タイプを選択します。
名前タイプ 説明 subdomain アップデートされる名前が [名前] フィールドの値またはそのサブドメインと同じときに一致します。 self アップデートされる名前が [ID] フィールドの値に一致しているときに一致します。このオプションを使用する場合は、[ID] フィールドと [名前] フィールドに同じ完全修飾ドメイン名を入力します。 name アップデートされる名前が [名前] フィールドの値と同じときに一致します。 wildcard アップデートされる名前が [名前] フィールドの値に一致している DNS ワイルドカードであるときに一致します。 selfsub アップデートされる名前が [ID] フィールドの値またはそのサブドメインと同じときに一致します。このオプションを使用する場合は、[ID] フィールドと [名前] フィールドに同じ値を入力します。 selfwild アップデートされる名前が [ID] フィールドの値に一致している DNS ワイルドカードであるときに一致します。 krb5-self クライアントの MIT Kerberos プリンシパルが [ID] フィールドの値に一致しているときに一致します。 ms-self クライアントの Microsoft Kerberos プリンシパルが [ID] フィールドの値に一致しているときに一致します。 krb5-subdomain クライアントの MIT Kerberos プリンシパルが [ID] フィールドの値に一致しているか、そのサブドメイン内であるときに一致します。 ms-subdomain クライアントの Microsoft Kerberos プリンシパルが [ID] フィールドの値に一致しているか、そのサブドメイン内であるときに一致します。 tcp-self アップデートされる名前が TCP を使用して送信され、クライアントの IP アドレスが in-ADDR.ARPA または IP6.ARPA 名前空間に一致しているときに一致します。 6to4-self 6to4 ネットワークまたは対応する IPv4 アドレスからの任意の TCP 接続による 6to4 のアップデートを許可します。 - 名前: 照合する完全修飾ドメイン名を指定します。完全修飾ドメイン名を入力します。注: [名前] フィールドは、以下のルールに従って設定する必要があります。
- [名前タイプ] が self、selfsub、または selfwild に設定されている場合、[名前] フィールド値には期間 (.) 記号または [アイデンティティ] と同じ値が含まれる必要があります。
- [名前タイプ] が selfkrb5、ms-self、subdomain、ms-subdomain、krb5-subdomain、tcp-self、または 6to4-self に設定されている場合、[名前] フィールド値は常にピリオド (.) 記号でなければなりません。
- その他すべての [名前タイプ] の値には、[名前] 値を設定する必要があります。
- RR タイプ: 照合およびアップデートするリソース レコードを定義します。2 つの幅広い範囲のレコードを選択するか、レコードのカスタム リストを作成することができます。アップデートするリソース レコードのタイプを選択します。
- デフォルト: 選択すると、ポリシーは RRSIG、NS、SOA、NSEC、および NSEC3 以外のすべてのリソース レコード タイプに一致します。
- すべて: 選択すると、ポリシーは NSEC および NSEC3 以外のすべてのリソース レコード タイプに一致します。
- カスタム: 選択すると、ドロップダウン リストが表示されます。リソース レコードのカスタム リストを作成するには、リストから 1 つまたは複数のレコード タイプを選択します。単一のレコード タイプを選択するには、リストでそのレコード タイプをクリックします。複数のレコード タイプを選択するには、リストでそれらのレコード タイプを CTRL を押しながらクリックします。
[追加] をクリックして、ポリシー定義をアップデート ポリシーに追加します。
リストのポリシー定義の位置を調整するには、その定義を選択し、[上に移動] および [下に移動] ボタンをクリックして、リスト内の定義を上下に移動するか、リスト内のポリシー定義をクリックしてドラッグします。
リストからポリシー定義を削除するには、ポリシー定義を選択して、[削除] をクリックします。
-
[サーバ] で、オプションを適用するサーバを選択します。
- すべてのサーバ: 構成内のすべてのサーバにデプロイメント オプションを適用します。
- サーバ グループ: 構成内の特定のサーバ グループにデプロイメント オプションを適用します。ドロップダウン メニューからサーバ グループを選択します。
- 特定のサーバ: 構成内の特定のサーバにデプロイメント オプションを適用します。ドロップダウン メニューからサーバを選択します。
注: デプロイメント オプションがサーバ グループ内の特定のサーバに適用されている場合、サーバ グループ レベルから構成レベルで設定されているデプロイメント オプションをオーバーライドすることはできません。 - 必要に応じて [変更管理] で、コメントを追加します。
- [追加] をクリックします。