• ベストアンサー
  • すぐに回答を!

DMZのLinuxマシンドメインについて

  • 質問No.6718844
  • 閲覧数570
  • ありがとう数3
  • 回答数4

お礼率 80% (423/528)

DMZのLinuxマシンとWindowsマシンのドメイン名の関連性について不明な点があります。
「なぜ、外部D<ZのLinux・Unixサーバのドメイン名と内部のドメイン名を一緒にする必要があるのかわからないのです。」

一般環境では
・DMZに、LinuxまたはUNIXサーバに、bindやapcheを導入したサーバ設置。(Apacheサーバ、DNSサーバと名前はします。)
・内部LANには、ADでドメインを構築し、PC端末をドメインで管理するのが一般的だと思っております。

このとき、
(1)内部LAN(WindowsのADで.tast.netドメイン)を構築しPC1を参加させる。⇒PC1.test.net
(2)DMZのLinuxやUnixのサーバーのホストネームを、「サーバ名.test.net」として、bindやapacheをインストールして外部に公開する。

DMZ側のドメインと、Windows側のドメインを同じ名前にしておく必要があるのでしょうか?
DMZ側は、当然外に公開しているので、指定(=取得)したドメインを設定する必要があると思うのですが、
極論ですが、内部のWindowsADドメイン名は、DMZと異なったドメイン(test.com以外のもの「aaa.net等」)でも実際は問題無いのでしょうか?
(当然、わかりにくくなって管理しにくくなるとはおもうのですが)

なぜ、DMZとLANの 両ドメインを同じものに設定するのでしょうか?

ADと同じドメインに参加したクライアントは、「サーバー等から管理もでき」「ドメイン不参加端末には、ファイルサーバ等にアクセスさせない」といったことができると考えております。
ですが、dmzのlinux群は、ドメイン名だけ一致しており、別にWindowsADに参加しているわけでは
ないので恩恵がないのでは?なぜ中のドメイン名は外と一致させているのか?と思っております。

今、私が考え付くドメインを一致させておかないと不便かと思うのが
内部から外部にメールを送る際に、postfix等で転送する異なるドメイン名(=異なったWindowsサーバドメイン名:aaa.net)の指定等がいるのかなと思っているのですが。

・確認したい点
(1).なぜ、外と内のドメイン名を一緒にする必要があるのでしょうか?
linuxがwindowsのADとかに参加しているというのであれば、納得はできるのですが。
DMZに設置しているLinux群のサーバが、ADドメインに参加しているという状況を見たことが無いのです。

(2).DMZのドメイン名(apache.test.net) と AD参加内部クライアント(PC1.test.net)は、
ただドメインの一致だけさせており、DMZのサーバは、内部クライアントとは異なりドメインには
参加していない。の考えであっていますでしょうか?(コンピューターの管理とうに、DMZマシン名はでない。)

どうしても、ドメイン名がつくと、内部のADに参加し、ドメイン名がくっついた形になっているのか?
と考えていますのです。(DMZ:Apacheサーバ ⇒apache.test.net)

どなたか ご教授のほうよろしくお願いします。

質問者が選んだベストアンサー

  • 回答No.4
  • ベストアンサー

ベストアンサー率 47% (4568/9562)

No1です。
>私が、経験してきた複数の職場では、外も中も同じドメインを使用してたもので

あえて変える必要/理由がないからだと思いますよ。

外部公開用にexample.comを取得してそれと別に内部用にexample.netを取得しても良いですけどそうする理由がない。わずかですがお金もかかるし。
内部用にドメインを取得しないとすると、localを使って、sukinanamae.local とかでもいいのですが(内部用だからと言って正式に取得しないで、comやjpのドメインを付けると、それに該当する外部のサイトが出てきた時に混乱するので、トップレベルはlocalにすべきでしょう)、なんかイマイチ。
というわけで、実際には外部公開用に取得した物のサブドメイン、例えばinner.example.comとか、BUSHOMEI.example.com を使ったりするのだと思います。
お礼コメント
ShiftTail

お礼率 80% (423/528)

補足ありがとうございます。
やっぱり、comとかとってないものをつけたりすると、外部サイトと衝突する可能性がある。
確かに、これもひとつの原因かなと思っておりました。
それを防ぐためにも、同じドメインにしておいたら問題ないのかな。という考え他はあったのですが、
ありがとうございます。納得できました。
投稿日時:2011/05/14 01:33

その他の回答 (全3件)

  • 回答No.3

ベストアンサー率 66% (392/593)

ドメイン名を一致させると便利なのは、内部設置のサーバーにアクセスするときのホスト名を
外部(インターネット)からアクセスするときと、内部(社内LAN)からアクセスするときで同じURLに統一できる点でしょうか。
(社内LANからでもグローバルIPでアクセスできるDMZならいらないかもしれませんが)
お礼コメント
ShiftTail

お礼率 80% (423/528)

回答ありがとうございます。
確かに名前の一致をさせておくと、わかりやすいかと思いますが、
セキュリティ的にはどうなのかな。と考えてしまいます。

やはり、ただ単に一致させてるだけのような気がしてきました。
投稿日時:2011/05/14 01:35
  • 回答No.2

ベストアンサー率 62% (5/8)

こんにちは。
ご質問にあるような、どうしてもこのようにしなければならないとようなことは無いと思います。
ドメイン名の運用については、どのような使い方をしたいのかで決めてはいかがでしょうか。

最近、私もテスト用のネットワークを構築しましたが、
ルータやスイッチなどによるサブネットの構成、
名前解決(DNSやNetBIOSなど)の方法やサーバの配置、
メールサーバやWebサーバなど外部サービス用のサーバの配置、
IPv6グローバルアドレスの有効利用、
などを考えたときに、
外部(インターネット側)から参照できるドメイン名(例えばtest.net)と、内部だけで使用するイントラネット用のドメイン名(例えばintra.local)を使い分けるような使い方も安全で便利かと思いました。

今後、IPv6グローバルアドレスを使用するとほとんどすべての機器にグローバルアドレスを使用できるようになります。
このような場合、Linux系のサーバだけでなく、WindowsやMacOSなどのサーバも同一の名前の体系で扱えると便利な場合もあるのではないかとも思います。

例えば、
取得したドメイン名;test.net
DNSサーバ(Linux)のホスト名:dns1.test.net
メールサーバ(Linux)のホスト名:ml1.test.net
Webサーバ(Linux)のホスト名:www.test.net
Windowsドメインコントローラ(ActiveDirectory+DNS)のドメイン名:win1.test.net
Windowsドメインコントローラ(ActiveDirectory+DNS)のホスト名:ad1.win1.test.net
Windowsドメインのクライアント1のホスト名:cl1.win1.test.net
Windowsドメインのクライアント2のホスト名:cl2.win1.test.net
というような名前の付け方もできると思います。

どのような使い方をしたいのかでサーバの構成や名前を決めると良いのではないかと思います。
ご質問の趣旨に合っていたかどうか分かりませんが、参考になりましたら幸いです。
お礼コメント
ShiftTail

お礼率 80% (423/528)

確かに、ドメインを分けて管理することで見た目では便利だとは思います。
ただ、運用で考えるとやはり面倒かな。と思ってしまいます。

情報ありがとうございました。
投稿日時:2011/05/14 01:37
  • 回答No.1

ベストアンサー率 47% (4568/9562)

>(1).なぜ、外と内のドメイン名を一緒にする必要があるのでしょうか?

そんな必要は無いと思いますが、何故そう思ったのでしょう?誰かに言われたのならその人に聞いてみましょう。おそらく、組織ローカルなルールがあるのかと思います。
補足コメント
ShiftTail

お礼率 80% (423/528)

やっぱり一致させるルールはないのですか。
私が、経験してきた複数の職場では、外も中も同じドメインを使用してたもので
そういうルールがあるのかなと思ったのです。

ではやはり、DMZのドメインと中のLAN(AD)上のドメインは異なっても
構築上問題ないということでしょか。
(DMZは、Apache.test.net。LAN上は、ADで、PC名.try.net)
投稿日時:2011/05/07 00:58
関連するQ&A

その他の関連するQ&Aをキーワードで探す

ページ先頭へ