名前チャレンジ可能ゾーン
名前チャレンジ可能ゾーンを実装するための方法及びシステムがここに説明される。DNSサーバはクライアントデバイスからアップデートを受信する。DNSサーバがアップデートについて権限のあるゾーンをホストする場合、DNSサーバはホスト名についてのレコードがあるかどうかを決定する。レコードがある場合、ホスト名に関連付けられたIPアドレスが決定される。IPアドレスはアップデートを送信するクライントデバイスのソースアドレスと比較される。IPアドレスが一致する場合、アップデートは許可される。
【発明の詳細な説明】
【技術分野】
【0001】
DNS(Domain Name System)は、1又は複数のネットワーク上の分散データベースにおけるドメイン名に関連付けられた情報を格納するシステムである。格納された情報は、ドメイン名に関連付けられたIP(Internet Protocol)アドレスを含む。ドメイン名空間は、ドメイン名のツリーとして考えることもできる。ツリーにおける各ノード又は葉は、リソースのレコードと関連付けられていて、ドメイン名に関連付けられた情報を持つ。ツリーはゾーンに分けられる。ゾーンは権限のあるDNSサーバにより権限的に供給される接続されたノードの集合である。DNSサーバは1又は複数のゾーンをホストする。
【発明の概要】
【発明が解決しようとする課題】
【0002】
テキストベースのファイルを使用すること又はディレクトリシステムを使用することにより、ゾーンを格納できる。ゾーンは、マシン名、IPアドレス又は他のドメイン情報における変更を取り扱うために、クライアントマシンからの動的なアップデートを許可するよう構成できる。動的アップデートはセキュアであるかもしれないが、セキュアでないかもしれない。セキュアなアップデートはクライアントマシン及びDNSサーバ間のセキュリテイコンテキスト(security context)のネゴシエーション(negotiation)を必要とするかもしれない。セキュアなアップデートを使用することは、登録された名前のオリジナルのオーナーのみが存在するレコードへの変更を行えることを必要とする。同じ名前についての他のクライアントマシンによる登録(registration)の試みは拒否される。セキュアなアップデートはドメイン証明書をアップデートし、テキストベースのファイルを使用して格納されるゾーンに利用可能でない。
【0003】
セキュアでないアップデートは、クライアントが新しい登録を作成又は存在する登録を修正することを可能にする。存在するデータについてのセキュアでないアップデートは、オリジナルのオーナーに制限されない。従って、別のマシンは、同じ名前についての動的アップデートを実行するかもしれない。これが故意になされた場合、これは名前ハイジャック攻撃(name hijacking attack)として知られている。セキュアでないアップデートはドメイン証明書を必要とせず、ゾーンにどんなストレージシステムが使用されるかに関わらず使用できる。しかし、セキュアでないアップデーを使用することにより、クライアントは名前ハイジャック攻撃に対して脆弱性を有し、ゾーン内の名前の一意性を保証できない。
【課題を解決するための手段】
【0004】
以下は、読者に基本的な理解を提供するために開示の簡略化された概要を示す。この課題を解決するための手段は、開示の広範囲の概要ではなく、本発明の鍵/重要な要素を特定又は本発明の範囲を明確化しない。この唯一の目的は、後に示されるより詳細な説明への前置きとしての簡単な形式でここで開示されているいくつかの概念を表すことである。
【0005】
ここで開示されたものは、名前チャレンジ可能ゾーンを実装するための方法及びシステムのための様々な技術及び技法である。説明された技術の一実装に従って、DNSサーバ名前についてのアップデートを受信する時、DNSサーバはホスト名が適用可能ゾーンに既に存在するかどうかを見てチェックする。名前についてのレコードが既にある場合、DNSサーバは、オリジナルの登録(registrant)及びアップデートを送信するクライアントデバイスの識別が、これらのソースIPアドレスと比較することにより同じであるかどうかを決定する。ソースIPアドレスが同じである場合、アップデートは許可される。ソースIPアドレスが異なる場合、DNSサーバはオリジナルの登録にDNSクエリを送信する。オリジナルの登録がDNSクエリに応答する場合、アップデートは拒否される。オリジナルの登録がDNSクエリに応答しない場合、アップデートは許可される。
【0006】
添付の図面とあわせて考慮される以下の詳細な説明を参照することによってより良く理解されるのと同じように、付随する特徴の多くはより容易に理解される。
【0007】
この説明は、添付の図面と照らして読まれる以下のより詳細な説明からより理解される。
【図面の簡単な説明】
【0008】
【図1】名前チャレンジを実装するための例示的なシステムを示すブロック図である。
【図2】DNSゾーンを管理するための例示的なユーザインターフェースを示すスクリーンショットである。
【図3】DNSゾーンのプロパティを閲覧及び編集するための例示的なユーザインターフェースを示すスクリーンショットである。
【図4】名前チャレンジを実装するための例示的な処理を示すフロー図である。
【図5】本発明のある態様が実装される例示的なコンピューティング環境を示す図である。
【発明を実施するための形態】
【0009】
添付の図面において同様の参照番号は同様の部分を指定するのに使用される。
【0010】
添付の図面と併せて以下で提供される詳細な説明は、当面の例の説明として意図し、当面の例が構成又は利用できる形式のみを表すことを意図しない。この説明は、例の機能並びに例を構成及び操作するためのステップのシーケンスを説明する。しかし同じ又は同等の機能及びシーケンスは、異なる例により達成されるかもしれない。
【0011】
図1はDNSサーバ102上の1又は複数のゾーンについての名前チャレンジを実装するための例示的なシステム100を示すブロック図である。DNSサーバ102は、104、106又は108などの1又は複数のクライアントデバイスに通信的に結合されている。DNSサーバ102は110、112又は114などの1又は複数のゾーンをホストする。各ゾーンは、ドメイン内のクライアントデバイスへのIPアドレスのマッピングなどのドメイン情報を格納する1又は複数のレコードを含む。1又は複数のゾーンは、Active Directory(登録商標)システムなどのディレクトリシステムにファイルバック(file-back)又は統合される。1又は複数のゾーンは、クライアントデバイス名、IPアドレス又は他のドメイン情報における1又は複数の変更を扱うために、クライアントデバイスからの動的アップデートを許可するよう構成できる。動的アップデートはセキュアであるかもしれないが、セキュアでないかもしれない。セキュアなアップデートはクライアントマシン及びDNSサーバ間のセキュリテイコンテキストのネゴシエーションを必要とするかもしれない。セキュアなアップデートは、ドメイン名を登録したオリジナルのクライアントデバイスのみがそのドメイン名と関連付けられたレコードに変更を行えることを必要とするかもしれない。同じ名前について試みる他のクライアントマシンからの登録(registration)は拒否されるだろう。
【0012】
セキュアでないアップデートは、クライアントが新しい再登録を生成又は存在する登録を修正することを可能とする。存在するデータについてのセキュアでないアップデートはオリジナルのオーナーに制限されない。図1に示されるようにシステム100は、セキュアでない動的アップデートを可能にし、存在する登録に衝突(コンフリクト、conflict)するアップデートに対する名前チャレンジを実装する。104、106又は108などの各クライアントデバイスは、DNSサーバ102に120、122又は124などのアップデートを送信することができる。DNSサーバ102がアップデートを受信するとき、DNSサーバは、ホスト名が適用可能ゾーンに既に存在するかどうかをチェックして見る。ホスト名についてのレコードが既にある場合、DNSサーバ102は、オリジナルの登録(registrant)及びアップデートを送信するクライアントデバイスの識別が、これらのソースIPアドレスと比較することにより同じであるかどうかを決定する。ソースIPアドレスが同じである場合、アップデートは許可される。ソースIPアドレスが異なる場合、DNSサーバはオリジナルの登録にDNSクエリを送信することができる。オリジナルの登録がDNSクエリに応答する場合、アップデートは拒否される。オリジナルの登録がDNSクエリに応答しない場合、アップデートは許可される。DNSサーバ102は、要求されたアップデートの許可又は拒否をクライアントデバイスに通知するために、アップデートを要求したクライアントデバイスに、130、132又は134などの応答を送り返す。
【0013】
例えば、ゾーン110はドメイン「corp.contoso.com」についてのレコードを格納する。ゾーン110は、クライアントデバイス104から受け取った登録により生成された「comp.corp.contoso.com」についてのアドレス(A)レコードを有する。クライアントデバイス104は「corp.contoso.com」ドメインに結合されたホスト名「lab-comp」を有する。
【0014】
第1のシナリオにおいて、クライアントデバイス104がそのレコードAをリフレッシュ(refresh)するために「lab-comp.corp.contoso.com」についての動的アップデートを送信すると仮定する。権限のあるDNSサーバ102が見つかるとき、「corp.contoso.com」ゾーンにおける「lab-comp」についてのレコードAに対する任意の存在するデータをチェックする。「lab-comp」についてのレコードAが存在する。従って、DMSサーバは、オリジナルの登録のソースアドレス及びアップデートを送信するクライアントデバイスのソースアドレスが同じであるかどうかを見てチェックする。ソースアドレスは同じである。従ってDNSサーバ102はアップデートを許可する。アップデートは処理され、アップデートの成功はクライアントデバイス104へ返される。
【0015】
第2のシナリオにおいて、クライアントデバイス105は、そのIPアドレスの登録の試みにおいて、「lab-comp.corp.contoso.com」についての動的アップデートを送信すると仮定する。権限のあるDNSサーバ102が見つかるとき、「corp.contoso.com」ゾーンにおける「lab-comp」についての任意の存在するレコードAをチェックする。「lab-comp」についてのレコードAが既に存在する。従って、DMSサーバは、オリジナルの登録のソースアドレス及びアップデートを送信するクライアントデバイスのソースアドレスが同じであるかどうかを見てチェックする。オリジナルの登録はクライアントデバイス104であり、クライアントデバイス105はアップデートを送信しているので、それらのソースIPアドレスは同じでない。DNSサーバ102はアップデートを拒否するかもしれない。DNSサーバ102はクライアントデバイス104にDNSクエリを送信することができる。DNSクエリに応答してクライアントデバイス104から確認応答(acknowledgement)を受信する場合、DNSサーバ102はアップデートを拒否する。クライアントデバイス104からDNSクエリへの応答が受信されない場合、DNSサーバ102はアップデートを許可する。
【0016】
図2−3はDNSゾーンを管理するための例示的なユーザインターフェースを示すスクリーンショット200及びスクリーンショット300を示す。図2に示されるシステムにおいて、_msdcs.dnsregression.com202、bar.com204、dnsregression.com206及びセキュアでないゾーン208を含む複数のDNSゾーンが存在する。ユーザは管理されたDNSゾーンを選択でき、選択されたゾーンの1又は複数のプロパティを編集できる。図3に示されるように、ユーザはビューを選択及び/又はセキュアでないゾーン208のプロパティを編集している。各ゾーンについて、ユーザはゾーンについての動的アップデートが可能にするかどうかを選択できる。ユーザが動的アップデートを可能にすることを選択する場合、ユーザはセキュアなアップデートのみを可能にすることを選択でき、又はユーザはセキュア及びセキュアでないアップデートの両方を可能にすることを選択できる。図3に示される例において、ユーザは302に示されるように、セキュア及びセキュアでないアップデートの両方を可能にすることを選択した。セキュアでないアップデートが可能となるとき、ユーザは304に示されるように、ユーザはセキュアでないアップデートについての名前チャレンジを可能にすることを選択できる。名前チャレンジが可能にされると、図4の例示的な処理によってより詳細が説明されるように、DNSサーバは存在する名前についての任意のアップデートをチャレンジする。
【0017】
図4は、名前チャレンジ可能ゾーンについての例示的な処理を示すフロー図である。図4の説明が他の図を参照してなされる一方で、図4に示される例示的な処理は、任意の特定の図のシステム又は他のコンテンツに関連付けられているとして限定されることを意図しないことを理解されたい。さらに、図4の例示的な処理が操作の実行の特定の順序を示す一方で、1又は複数の代替の実施形態において、操作は異なる順序となってもよいことを理解されたい。さらに、図4の例示的な処理に示されるステップ及びデータのいくつかは必須ではなく、いくつかの実装において省くこともできる。最後に、図4の例示的な処理が複数の分離したステップを含む一方で、いくつかの環境においてはこれらの操作のいくつかは結合及び同時に実行できることを認識されたい。
【0018】
402において、DNSサーバにおいて、第1のクライアントデバイスから名前についてのアップデートを受信する。アップデートはホスト名を含む。404において、DNSサーバがアップデートについての権限のあるゾーンをホストするかどうかに関しての決定がなされる。ホストする場合、処理は408に進む。ホストしない場合406においてアップデートは拒否される。アップデートについての権限のあるゾーンをホストするDNSサーバが見つかる場合、408において、ホスト名についてのレコードが既にあるかどうかを決定するためにゾーンをチェックする。ホスト名についてのレコードが既にあるかどうかを決定するステップにおいて、1又は複数のタイプの1又は複数のレコードをチェックできる。チェックされるかもしれない例示的なレコードのタイプは、アドレス(A)レコード、IPv6アドレスレコード及びCNAME(Canonical Name)レコードを含むがこれらに限定されない。
【0019】
ホスト名についてのレコードが見つからない場合、430において、アップデートは許可される。ホスト名についてのレコードが既にある場合、412において、ホストレコードに関連付けられたソースIPアドレスが決定される。414において、ホストレコードに関連付けられたソースIPアドレスが、第1のクライアントデバイスのソースIPアドレスと比較される。IPアドレスが一致する場合、420において、アップデートは許可される。IPアドレスが一致しない場合、416において、DNSクエリがホストレコードに関連付けられたIPアドレスを有する第2のクライアントデバイスに送信され、418において、第2のクライアントデバイスからの応答があるかどうかに関しての決定が成される。DNSクエリに応答して第2のクライアントデバイスから確認応答を受信する場合、422において、アップデートは拒否される。第2のクライアントデバイスからDNSクエリへの応答を受信しない場合、422において、アップデートは許可される。アップデートが許可され、1又は複数の他のDNSサーバがゾーンのコピーを有する場合、アップデートは1又は複数の他のDNSサーバに反復できる。
【0020】
図5は本発明のある態様において実装される例示的なコンピューティング環境を示す。コンピューティング環境500が、ここで説明された様々な技術を採用できる唯一の適切なコンピューティング環境ではなく、ここに説明される技術の使用又は機能の範囲に関して任意の限定を提案する意図はないことを理解されたい。また、コンピュータ環境500はここに示される全てのコンポーネントを必須的に必要とするものとして解釈されるべきではない。
【0021】
ここに説明される技術は、他の多くの一般目的又は特定目的のコンピューティング環境又は構成で動作可能である。ここで説明される技術での使用に適している構成の良く知られているコンピューティング環境及び/又は例は、上述のシステム又はデバイスなどの任意を含むパーソナルコンピュータ、サーバコンピュータ、ハンドヘルドデバイス若しくはラップトップデバイス、タブレットデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラマブル家電、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、分散コンピューティング環境を含むがこれらに限定されない。
【0022】
図5を参照して、コンピューティング環境500は、一般目的のコンピューティングデバイス510を含む。コンピューティングデバイス510のコンポーネントは、処理ユニット512、メモリ514、ストレージデバイス516、入力デバイス518、出力デバイス520及び通信接続522を含むことができるがこれらに限定されない。
【0023】
処理ユニット512は、1又は複数の一般又は特定目的のプロセッサ、ASIC又はプログラマブル論理チップを含むことができる。コンピューティングデバイスの構成及び種類によって、メモリ514は揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)又はこの2つのいくつかの組み合わせであることができる。コンピューティングデバイス510は、磁気又は光ディスク又はテープを含むがこれらに限定されない追加のストレージ(リムーバブル及び/又はリムーバブルでない)を含むこともできる。このような追加のストレージはストレージ516により図5に示される。コンピュータストレージメディアは、コンピュータ可読命令、データ構造、プログラムモジュール又は他のデータなどの情報の格納のための任意の方法又は技術において実装される、揮発性及び不揮発性、リムーバブル及びリムーバブルでないメディアを含む。メモリ514及びストレージ516はコンピュータストレージメディアの例である。コンピュータストレージメディアは、所望の情報を格納するために使用でき、コンピューティングデバイス510によりアクセスできる、RAM、ROM、EEPROM、フラッシュメモリ又は他のメモリ技術、CD−ROM、DVD(digital versatile disk)又は他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ若しくは他の磁気ストレージデバイス、又は任意の他のメディアを含むがこれらに限定されない。任意のこのようなコンピュータストレージメディアはコンピューティングデバイス510の一部であることができる。
【0024】
コンピューティングデバイス510は、コンピューティングデバイス510がネットワーク530を介する他のコンピューティングデバイスなどの他のデバイスと通信することを可能にする通信接続522を含むこともできる。通信接続522は通信メディアの例である。通信メディアは一般に、搬送波又は他の転送メカニズムなどの変調されたデータ信号において、コンピュータ可読命令、データ構造、プログラムモジュール又は他のデータを組み込み、任意の情報伝達メディアを含む。「変調されたデータ信号」という用語は、1又は複数のその特性セットを有する信号、又は信号において情報をエンコードするためのこのような方式で変更された信号を意味する。限定ではなく例として、通信メディアは、有線ネットワーク又は直接有線接続などの有線メディア、及びアコースティック、無線周波、赤外線及び他の無線メディアなどの無線メディアを含む。コンピュータ可読媒体という用語は、ここで使用されるように、ストレージメディアを含む。
【0025】
コンピューティングデバイス510は、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイス及び/又は他の任意の入力デバイスなどの入力デバイス518も含むことができる。1又は複数のディスプレイ、スピーカー、プリンター及び/又は任意の他の出力デバイスなどの出力デバイス520もまた含まれる。
【0026】
本発明は、多くの例示的な実装の観点で説明されてきたが、本発明は説明された実装に限定されず、添付の特許請求の範囲の精神及び範囲内の修正及び代替物で実行できることを当業者は理解されたい。この説明はしたがって、限定の代わりに例示としてみなされることとなる。
【技術分野】
【0001】
DNS(Domain Name System)は、1又は複数のネットワーク上の分散データベースにおけるドメイン名に関連付けられた情報を格納するシステムである。格納された情報は、ドメイン名に関連付けられたIP(Internet Protocol)アドレスを含む。ドメイン名空間は、ドメイン名のツリーとして考えることもできる。ツリーにおける各ノード又は葉は、リソースのレコードと関連付けられていて、ドメイン名に関連付けられた情報を持つ。ツリーはゾーンに分けられる。ゾーンは権限のあるDNSサーバにより権限的に供給される接続されたノードの集合である。DNSサーバは1又は複数のゾーンをホストする。
【発明の概要】
【発明が解決しようとする課題】
【0002】
テキストベースのファイルを使用すること又はディレクトリシステムを使用することにより、ゾーンを格納できる。ゾーンは、マシン名、IPアドレス又は他のドメイン情報における変更を取り扱うために、クライアントマシンからの動的なアップデートを許可するよう構成できる。動的アップデートはセキュアであるかもしれないが、セキュアでないかもしれない。セキュアなアップデートはクライアントマシン及びDNSサーバ間のセキュリテイコンテキスト(security context)のネゴシエーション(negotiation)を必要とするかもしれない。セキュアなアップデートを使用することは、登録された名前のオリジナルのオーナーのみが存在するレコードへの変更を行えることを必要とする。同じ名前についての他のクライアントマシンによる登録(registration)の試みは拒否される。セキュアなアップデートはドメイン証明書をアップデートし、テキストベースのファイルを使用して格納されるゾーンに利用可能でない。
【0003】
セキュアでないアップデートは、クライアントが新しい登録を作成又は存在する登録を修正することを可能にする。存在するデータについてのセキュアでないアップデートは、オリジナルのオーナーに制限されない。従って、別のマシンは、同じ名前についての動的アップデートを実行するかもしれない。これが故意になされた場合、これは名前ハイジャック攻撃(name hijacking attack)として知られている。セキュアでないアップデートはドメイン証明書を必要とせず、ゾーンにどんなストレージシステムが使用されるかに関わらず使用できる。しかし、セキュアでないアップデーを使用することにより、クライアントは名前ハイジャック攻撃に対して脆弱性を有し、ゾーン内の名前の一意性を保証できない。
【課題を解決するための手段】
【0004】
以下は、読者に基本的な理解を提供するために開示の簡略化された概要を示す。この課題を解決するための手段は、開示の広範囲の概要ではなく、本発明の鍵/重要な要素を特定又は本発明の範囲を明確化しない。この唯一の目的は、後に示されるより詳細な説明への前置きとしての簡単な形式でここで開示されているいくつかの概念を表すことである。
【0005】
ここで開示されたものは、名前チャレンジ可能ゾーンを実装するための方法及びシステムのための様々な技術及び技法である。説明された技術の一実装に従って、DNSサーバ名前についてのアップデートを受信する時、DNSサーバはホスト名が適用可能ゾーンに既に存在するかどうかを見てチェックする。名前についてのレコードが既にある場合、DNSサーバは、オリジナルの登録(registrant)及びアップデートを送信するクライアントデバイスの識別が、これらのソースIPアドレスと比較することにより同じであるかどうかを決定する。ソースIPアドレスが同じである場合、アップデートは許可される。ソースIPアドレスが異なる場合、DNSサーバはオリジナルの登録にDNSクエリを送信する。オリジナルの登録がDNSクエリに応答する場合、アップデートは拒否される。オリジナルの登録がDNSクエリに応答しない場合、アップデートは許可される。
【0006】
添付の図面とあわせて考慮される以下の詳細な説明を参照することによってより良く理解されるのと同じように、付随する特徴の多くはより容易に理解される。
【0007】
この説明は、添付の図面と照らして読まれる以下のより詳細な説明からより理解される。
【図面の簡単な説明】
【0008】
【図1】名前チャレンジを実装するための例示的なシステムを示すブロック図である。
【図2】DNSゾーンを管理するための例示的なユーザインターフェースを示すスクリーンショットである。
【図3】DNSゾーンのプロパティを閲覧及び編集するための例示的なユーザインターフェースを示すスクリーンショットである。
【図4】名前チャレンジを実装するための例示的な処理を示すフロー図である。
【図5】本発明のある態様が実装される例示的なコンピューティング環境を示す図である。
【発明を実施するための形態】
【0009】
添付の図面において同様の参照番号は同様の部分を指定するのに使用される。
【0010】
添付の図面と併せて以下で提供される詳細な説明は、当面の例の説明として意図し、当面の例が構成又は利用できる形式のみを表すことを意図しない。この説明は、例の機能並びに例を構成及び操作するためのステップのシーケンスを説明する。しかし同じ又は同等の機能及びシーケンスは、異なる例により達成されるかもしれない。
【0011】
図1はDNSサーバ102上の1又は複数のゾーンについての名前チャレンジを実装するための例示的なシステム100を示すブロック図である。DNSサーバ102は、104、106又は108などの1又は複数のクライアントデバイスに通信的に結合されている。DNSサーバ102は110、112又は114などの1又は複数のゾーンをホストする。各ゾーンは、ドメイン内のクライアントデバイスへのIPアドレスのマッピングなどのドメイン情報を格納する1又は複数のレコードを含む。1又は複数のゾーンは、Active Directory(登録商標)システムなどのディレクトリシステムにファイルバック(file-back)又は統合される。1又は複数のゾーンは、クライアントデバイス名、IPアドレス又は他のドメイン情報における1又は複数の変更を扱うために、クライアントデバイスからの動的アップデートを許可するよう構成できる。動的アップデートはセキュアであるかもしれないが、セキュアでないかもしれない。セキュアなアップデートはクライアントマシン及びDNSサーバ間のセキュリテイコンテキストのネゴシエーションを必要とするかもしれない。セキュアなアップデートは、ドメイン名を登録したオリジナルのクライアントデバイスのみがそのドメイン名と関連付けられたレコードに変更を行えることを必要とするかもしれない。同じ名前について試みる他のクライアントマシンからの登録(registration)は拒否されるだろう。
【0012】
セキュアでないアップデートは、クライアントが新しい再登録を生成又は存在する登録を修正することを可能とする。存在するデータについてのセキュアでないアップデートはオリジナルのオーナーに制限されない。図1に示されるようにシステム100は、セキュアでない動的アップデートを可能にし、存在する登録に衝突(コンフリクト、conflict)するアップデートに対する名前チャレンジを実装する。104、106又は108などの各クライアントデバイスは、DNSサーバ102に120、122又は124などのアップデートを送信することができる。DNSサーバ102がアップデートを受信するとき、DNSサーバは、ホスト名が適用可能ゾーンに既に存在するかどうかをチェックして見る。ホスト名についてのレコードが既にある場合、DNSサーバ102は、オリジナルの登録(registrant)及びアップデートを送信するクライアントデバイスの識別が、これらのソースIPアドレスと比較することにより同じであるかどうかを決定する。ソースIPアドレスが同じである場合、アップデートは許可される。ソースIPアドレスが異なる場合、DNSサーバはオリジナルの登録にDNSクエリを送信することができる。オリジナルの登録がDNSクエリに応答する場合、アップデートは拒否される。オリジナルの登録がDNSクエリに応答しない場合、アップデートは許可される。DNSサーバ102は、要求されたアップデートの許可又は拒否をクライアントデバイスに通知するために、アップデートを要求したクライアントデバイスに、130、132又は134などの応答を送り返す。
【0013】
例えば、ゾーン110はドメイン「corp.contoso.com」についてのレコードを格納する。ゾーン110は、クライアントデバイス104から受け取った登録により生成された「comp.corp.contoso.com」についてのアドレス(A)レコードを有する。クライアントデバイス104は「corp.contoso.com」ドメインに結合されたホスト名「lab-comp」を有する。
【0014】
第1のシナリオにおいて、クライアントデバイス104がそのレコードAをリフレッシュ(refresh)するために「lab-comp.corp.contoso.com」についての動的アップデートを送信すると仮定する。権限のあるDNSサーバ102が見つかるとき、「corp.contoso.com」ゾーンにおける「lab-comp」についてのレコードAに対する任意の存在するデータをチェックする。「lab-comp」についてのレコードAが存在する。従って、DMSサーバは、オリジナルの登録のソースアドレス及びアップデートを送信するクライアントデバイスのソースアドレスが同じであるかどうかを見てチェックする。ソースアドレスは同じである。従ってDNSサーバ102はアップデートを許可する。アップデートは処理され、アップデートの成功はクライアントデバイス104へ返される。
【0015】
第2のシナリオにおいて、クライアントデバイス105は、そのIPアドレスの登録の試みにおいて、「lab-comp.corp.contoso.com」についての動的アップデートを送信すると仮定する。権限のあるDNSサーバ102が見つかるとき、「corp.contoso.com」ゾーンにおける「lab-comp」についての任意の存在するレコードAをチェックする。「lab-comp」についてのレコードAが既に存在する。従って、DMSサーバは、オリジナルの登録のソースアドレス及びアップデートを送信するクライアントデバイスのソースアドレスが同じであるかどうかを見てチェックする。オリジナルの登録はクライアントデバイス104であり、クライアントデバイス105はアップデートを送信しているので、それらのソースIPアドレスは同じでない。DNSサーバ102はアップデートを拒否するかもしれない。DNSサーバ102はクライアントデバイス104にDNSクエリを送信することができる。DNSクエリに応答してクライアントデバイス104から確認応答(acknowledgement)を受信する場合、DNSサーバ102はアップデートを拒否する。クライアントデバイス104からDNSクエリへの応答が受信されない場合、DNSサーバ102はアップデートを許可する。
【0016】
図2−3はDNSゾーンを管理するための例示的なユーザインターフェースを示すスクリーンショット200及びスクリーンショット300を示す。図2に示されるシステムにおいて、_msdcs.dnsregression.com202、bar.com204、dnsregression.com206及びセキュアでないゾーン208を含む複数のDNSゾーンが存在する。ユーザは管理されたDNSゾーンを選択でき、選択されたゾーンの1又は複数のプロパティを編集できる。図3に示されるように、ユーザはビューを選択及び/又はセキュアでないゾーン208のプロパティを編集している。各ゾーンについて、ユーザはゾーンについての動的アップデートが可能にするかどうかを選択できる。ユーザが動的アップデートを可能にすることを選択する場合、ユーザはセキュアなアップデートのみを可能にすることを選択でき、又はユーザはセキュア及びセキュアでないアップデートの両方を可能にすることを選択できる。図3に示される例において、ユーザは302に示されるように、セキュア及びセキュアでないアップデートの両方を可能にすることを選択した。セキュアでないアップデートが可能となるとき、ユーザは304に示されるように、ユーザはセキュアでないアップデートについての名前チャレンジを可能にすることを選択できる。名前チャレンジが可能にされると、図4の例示的な処理によってより詳細が説明されるように、DNSサーバは存在する名前についての任意のアップデートをチャレンジする。
【0017】
図4は、名前チャレンジ可能ゾーンについての例示的な処理を示すフロー図である。図4の説明が他の図を参照してなされる一方で、図4に示される例示的な処理は、任意の特定の図のシステム又は他のコンテンツに関連付けられているとして限定されることを意図しないことを理解されたい。さらに、図4の例示的な処理が操作の実行の特定の順序を示す一方で、1又は複数の代替の実施形態において、操作は異なる順序となってもよいことを理解されたい。さらに、図4の例示的な処理に示されるステップ及びデータのいくつかは必須ではなく、いくつかの実装において省くこともできる。最後に、図4の例示的な処理が複数の分離したステップを含む一方で、いくつかの環境においてはこれらの操作のいくつかは結合及び同時に実行できることを認識されたい。
【0018】
402において、DNSサーバにおいて、第1のクライアントデバイスから名前についてのアップデートを受信する。アップデートはホスト名を含む。404において、DNSサーバがアップデートについての権限のあるゾーンをホストするかどうかに関しての決定がなされる。ホストする場合、処理は408に進む。ホストしない場合406においてアップデートは拒否される。アップデートについての権限のあるゾーンをホストするDNSサーバが見つかる場合、408において、ホスト名についてのレコードが既にあるかどうかを決定するためにゾーンをチェックする。ホスト名についてのレコードが既にあるかどうかを決定するステップにおいて、1又は複数のタイプの1又は複数のレコードをチェックできる。チェックされるかもしれない例示的なレコードのタイプは、アドレス(A)レコード、IPv6アドレスレコード及びCNAME(Canonical Name)レコードを含むがこれらに限定されない。
【0019】
ホスト名についてのレコードが見つからない場合、430において、アップデートは許可される。ホスト名についてのレコードが既にある場合、412において、ホストレコードに関連付けられたソースIPアドレスが決定される。414において、ホストレコードに関連付けられたソースIPアドレスが、第1のクライアントデバイスのソースIPアドレスと比較される。IPアドレスが一致する場合、420において、アップデートは許可される。IPアドレスが一致しない場合、416において、DNSクエリがホストレコードに関連付けられたIPアドレスを有する第2のクライアントデバイスに送信され、418において、第2のクライアントデバイスからの応答があるかどうかに関しての決定が成される。DNSクエリに応答して第2のクライアントデバイスから確認応答を受信する場合、422において、アップデートは拒否される。第2のクライアントデバイスからDNSクエリへの応答を受信しない場合、422において、アップデートは許可される。アップデートが許可され、1又は複数の他のDNSサーバがゾーンのコピーを有する場合、アップデートは1又は複数の他のDNSサーバに反復できる。
【0020】
図5は本発明のある態様において実装される例示的なコンピューティング環境を示す。コンピューティング環境500が、ここで説明された様々な技術を採用できる唯一の適切なコンピューティング環境ではなく、ここに説明される技術の使用又は機能の範囲に関して任意の限定を提案する意図はないことを理解されたい。また、コンピュータ環境500はここに示される全てのコンポーネントを必須的に必要とするものとして解釈されるべきではない。
【0021】
ここに説明される技術は、他の多くの一般目的又は特定目的のコンピューティング環境又は構成で動作可能である。ここで説明される技術での使用に適している構成の良く知られているコンピューティング環境及び/又は例は、上述のシステム又はデバイスなどの任意を含むパーソナルコンピュータ、サーバコンピュータ、ハンドヘルドデバイス若しくはラップトップデバイス、タブレットデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、プログラマブル家電、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、分散コンピューティング環境を含むがこれらに限定されない。
【0022】
図5を参照して、コンピューティング環境500は、一般目的のコンピューティングデバイス510を含む。コンピューティングデバイス510のコンポーネントは、処理ユニット512、メモリ514、ストレージデバイス516、入力デバイス518、出力デバイス520及び通信接続522を含むことができるがこれらに限定されない。
【0023】
処理ユニット512は、1又は複数の一般又は特定目的のプロセッサ、ASIC又はプログラマブル論理チップを含むことができる。コンピューティングデバイスの構成及び種類によって、メモリ514は揮発性(RAMなど)、不揮発性(ROM、フラッシュメモリなど)又はこの2つのいくつかの組み合わせであることができる。コンピューティングデバイス510は、磁気又は光ディスク又はテープを含むがこれらに限定されない追加のストレージ(リムーバブル及び/又はリムーバブルでない)を含むこともできる。このような追加のストレージはストレージ516により図5に示される。コンピュータストレージメディアは、コンピュータ可読命令、データ構造、プログラムモジュール又は他のデータなどの情報の格納のための任意の方法又は技術において実装される、揮発性及び不揮発性、リムーバブル及びリムーバブルでないメディアを含む。メモリ514及びストレージ516はコンピュータストレージメディアの例である。コンピュータストレージメディアは、所望の情報を格納するために使用でき、コンピューティングデバイス510によりアクセスできる、RAM、ROM、EEPROM、フラッシュメモリ又は他のメモリ技術、CD−ROM、DVD(digital versatile disk)又は他の光ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ若しくは他の磁気ストレージデバイス、又は任意の他のメディアを含むがこれらに限定されない。任意のこのようなコンピュータストレージメディアはコンピューティングデバイス510の一部であることができる。
【0024】
コンピューティングデバイス510は、コンピューティングデバイス510がネットワーク530を介する他のコンピューティングデバイスなどの他のデバイスと通信することを可能にする通信接続522を含むこともできる。通信接続522は通信メディアの例である。通信メディアは一般に、搬送波又は他の転送メカニズムなどの変調されたデータ信号において、コンピュータ可読命令、データ構造、プログラムモジュール又は他のデータを組み込み、任意の情報伝達メディアを含む。「変調されたデータ信号」という用語は、1又は複数のその特性セットを有する信号、又は信号において情報をエンコードするためのこのような方式で変更された信号を意味する。限定ではなく例として、通信メディアは、有線ネットワーク又は直接有線接続などの有線メディア、及びアコースティック、無線周波、赤外線及び他の無線メディアなどの無線メディアを含む。コンピュータ可読媒体という用語は、ここで使用されるように、ストレージメディアを含む。
【0025】
コンピューティングデバイス510は、キーボード、マウス、ペン、音声入力デバイス、タッチ入力デバイス及び/又は他の任意の入力デバイスなどの入力デバイス518も含むことができる。1又は複数のディスプレイ、スピーカー、プリンター及び/又は任意の他の出力デバイスなどの出力デバイス520もまた含まれる。
【0026】
本発明は、多くの例示的な実装の観点で説明されてきたが、本発明は説明された実装に限定されず、添付の特許請求の範囲の精神及び範囲内の修正及び代替物で実行できることを当業者は理解されたい。この説明はしたがって、限定の代わりに例示としてみなされることとなる。
【特許請求の範囲】
【請求項1】
第1のクライアントデバイスからDNS(Domain Name System)サーバでアップデートを受信するステップであって、前記アップデートはホストネームを含む、受信するステップと、
前記DNSサーバが前記アップデートについて権限のあるゾーンをホストするかどうかを決定するステップと、
前記ホスト名についてのレコードが既にあるかどうかを決定するステップと、前記レコードが既にある場合、
前記ホスト名に関連付けられたIP(Internet Protocol)アドレスを決定するステップと、
前記ホスト名に関連付けられた前記IPアドレスが前記第1のクライアントデバイスのソースIPアドレスと一致するかどうかを決定するステップと、
前記IPアドレスが一致する場合に、前記アップデートを許可するステップと
を備えたことを特徴とする方法。
【請求項2】
前記ホスト名についてのレコードが無い場合、前記アップデートを許可するステップをさらに備えたことを特徴とする請求項1記載の方法。
【請求項3】
前記ホスト名に関連付けられた前記IPアドレスが前記第1のクライアントデバイスの前記ソースIPアドレスに一致しない場合、前記ホスト名に関連付けられた前記IPアドレスを有する第2のクライアントデバイスにDNSクエリを送信するステップをさらに備えたことを特徴とする請求項1記載の方法。
【請求項4】
前記DNSクエリに応答して前記第2のクライアントデバイスから確認応答(acknowledgement)を受信する場合、前記アップデートを拒否するステップをさらに備えたことを特徴とする請求項3に記載の方法。
【請求項5】
前記DNSクエリに応答して前記第2のクライアントデバイスから確認応答を受信しない場合、前記アップデートを許可するステップをさらに備えたことを特徴とする請求項3に記載の方法。
【請求項6】
別のDNSサーバに前記アップデートを置き換えるステップをさらに備えたことを特徴とする請求項1に記載の方法。
【請求項7】
前記ホスト名についてのレコードが既にあるかどうかを決定するステップは、複数のタイプの複数のレコードをチェックするステップをさらに備えたことを特徴とする請求項1に記載の方法。
【請求項8】
前記レコードのタイプの1つはアドレス(A)レコードであることを特徴とする請求項7に記載の方法。
【請求項9】
前記レコードのタイプの1つはIPv6アドレスレコードであることを特徴とする請求項7に記載の方法。
【請求項10】
前記レコードのタイプの1つはCNAME(Canonical Name)レコードであることを特徴とする請求項7に記載の方法。
【請求項11】
前記ゾーンはファイルバックされている(file-backed)ことを特徴とする請求項1に記載の方法。
【請求項12】
前記ゾーンはディレクトリシステムで統合されることを特徴とする請求項1に記載の方法。
【請求項13】
アップデートのための権限のあるゾーンをホストするDNS(Domain Name System)サーバで第1のクライアントデバイスからアップデートを受信するステップであって、前記アップデートはホスト名を含む、受信するステップと、
前記ホスト名についてのレコードが既にあるかどうかを決定するために、前記ゾーン内の1又は複数のレコードをチェックするステップと、前記レコードが既にある場合に、
前記ホスト名に関連付けられたIP(Internet Protocol)アドレスを決定するために、前記ホスト名についての前記レコードをチェックするステップと、
前記ホスト名に関連付けられた前記IPアドレスが前記第1のクライアントデバイスのソースIPアドレスと一致するかどうかを決定するステップと、前記IPアドレスが一致しない場合に、
前記ホスト名に関連付けられた前記IPアドレスを有する第2のクライアントデバイスにDNSクエリを送信するステップと
前記第2のクライアントデバイスが前記DNSクエリに応答するかどうかに基づいて、アップデートを許可するかどうかを決定するステップと
を実行するためのデバイス実行可能命令を有する1又は複数のデバイス可読メディア。
【請求項14】
前記ホスト名についてのレコードがない場合に、前記アップデートを許可するステップをさらに備えることを特徴とする請求項13に記載の1又は複数のデバイス可読メディア。
【請求項15】
前記ホスト名に関連付けられた前記IPアドレスが前記第1のクライアントデバイスの前記ソースIPアドレスと一致する場合に、前記アップデートを許可するステップをさらに備えることを特徴とする請求項13に記載の1又は複数のデバイス可読メディア。
【請求項16】
前記第2のクライアントデバイスが前記DNSクエリに応答するかどうかに基づいて前記アップデートを許可するかどうかを決定するステップは、前記第2のクライアントデバイスが前記DNSクエリに応答する場合に前記アップデートを拒否するステップと、前記第2のクライアントデバイスが前記DNSクエリに応答しない場合に前記アップデートを許可するステップとをさらに備えることを特徴とする請求項13に記載の1又は複数のデバイス可読メディア。
【請求項17】
DNS(Domain Name System)サーバで第1のクライアントデバイスからアップデートを受信するステップであって、前記アップデートはホスト名を含む、受信するステップと、
前記ホスト名についてのレコードが既にあるかどうかを決定するステップと、前記レコードが既にある場合に、
前記ホスト名の登録(registrant)のソースIPアドレスを決定するステップと、
前記ホスト名の前記登録の前記ソースIPアドレスが前記第1のクライアントデバイスのソースIPアドレスと一致するかどうかを決定するステップと、一致しない場合に、
前記ホスト名の前記登録にDNSクエリを送信するステップと、
前記DNSクエリに応答して前記登録から確認応答を受信する場合に前記アップデートを拒否するステップと
を備えたことを特徴とする方法。
【請求項18】
前記ホスト名についてのレコードがない場合に前記アップデートを許可するステップをさらに備えたことを特徴とする請求項17に記載の方法。
【請求項19】
前記ホスト名の前記登録の前記ソースIPアドレスが前記第1のクライアントデバイスのソースIPアドレスと一致する場合に、前記アップデートを許可するステップをさらに備えたことを特徴とする請求項17に記載の方法。
【請求項20】
前記DNSクエリに応答して前記登録から応答を受信しない場合に前記アップデートを許可するステップをさらに備えたことを特徴とする請求項17に記載の方法。
【請求項1】
第1のクライアントデバイスからDNS(Domain Name System)サーバでアップデートを受信するステップであって、前記アップデートはホストネームを含む、受信するステップと、
前記DNSサーバが前記アップデートについて権限のあるゾーンをホストするかどうかを決定するステップと、
前記ホスト名についてのレコードが既にあるかどうかを決定するステップと、前記レコードが既にある場合、
前記ホスト名に関連付けられたIP(Internet Protocol)アドレスを決定するステップと、
前記ホスト名に関連付けられた前記IPアドレスが前記第1のクライアントデバイスのソースIPアドレスと一致するかどうかを決定するステップと、
前記IPアドレスが一致する場合に、前記アップデートを許可するステップと
を備えたことを特徴とする方法。
【請求項2】
前記ホスト名についてのレコードが無い場合、前記アップデートを許可するステップをさらに備えたことを特徴とする請求項1記載の方法。
【請求項3】
前記ホスト名に関連付けられた前記IPアドレスが前記第1のクライアントデバイスの前記ソースIPアドレスに一致しない場合、前記ホスト名に関連付けられた前記IPアドレスを有する第2のクライアントデバイスにDNSクエリを送信するステップをさらに備えたことを特徴とする請求項1記載の方法。
【請求項4】
前記DNSクエリに応答して前記第2のクライアントデバイスから確認応答(acknowledgement)を受信する場合、前記アップデートを拒否するステップをさらに備えたことを特徴とする請求項3に記載の方法。
【請求項5】
前記DNSクエリに応答して前記第2のクライアントデバイスから確認応答を受信しない場合、前記アップデートを許可するステップをさらに備えたことを特徴とする請求項3に記載の方法。
【請求項6】
別のDNSサーバに前記アップデートを置き換えるステップをさらに備えたことを特徴とする請求項1に記載の方法。
【請求項7】
前記ホスト名についてのレコードが既にあるかどうかを決定するステップは、複数のタイプの複数のレコードをチェックするステップをさらに備えたことを特徴とする請求項1に記載の方法。
【請求項8】
前記レコードのタイプの1つはアドレス(A)レコードであることを特徴とする請求項7に記載の方法。
【請求項9】
前記レコードのタイプの1つはIPv6アドレスレコードであることを特徴とする請求項7に記載の方法。
【請求項10】
前記レコードのタイプの1つはCNAME(Canonical Name)レコードであることを特徴とする請求項7に記載の方法。
【請求項11】
前記ゾーンはファイルバックされている(file-backed)ことを特徴とする請求項1に記載の方法。
【請求項12】
前記ゾーンはディレクトリシステムで統合されることを特徴とする請求項1に記載の方法。
【請求項13】
アップデートのための権限のあるゾーンをホストするDNS(Domain Name System)サーバで第1のクライアントデバイスからアップデートを受信するステップであって、前記アップデートはホスト名を含む、受信するステップと、
前記ホスト名についてのレコードが既にあるかどうかを決定するために、前記ゾーン内の1又は複数のレコードをチェックするステップと、前記レコードが既にある場合に、
前記ホスト名に関連付けられたIP(Internet Protocol)アドレスを決定するために、前記ホスト名についての前記レコードをチェックするステップと、
前記ホスト名に関連付けられた前記IPアドレスが前記第1のクライアントデバイスのソースIPアドレスと一致するかどうかを決定するステップと、前記IPアドレスが一致しない場合に、
前記ホスト名に関連付けられた前記IPアドレスを有する第2のクライアントデバイスにDNSクエリを送信するステップと
前記第2のクライアントデバイスが前記DNSクエリに応答するかどうかに基づいて、アップデートを許可するかどうかを決定するステップと
を実行するためのデバイス実行可能命令を有する1又は複数のデバイス可読メディア。
【請求項14】
前記ホスト名についてのレコードがない場合に、前記アップデートを許可するステップをさらに備えることを特徴とする請求項13に記載の1又は複数のデバイス可読メディア。
【請求項15】
前記ホスト名に関連付けられた前記IPアドレスが前記第1のクライアントデバイスの前記ソースIPアドレスと一致する場合に、前記アップデートを許可するステップをさらに備えることを特徴とする請求項13に記載の1又は複数のデバイス可読メディア。
【請求項16】
前記第2のクライアントデバイスが前記DNSクエリに応答するかどうかに基づいて前記アップデートを許可するかどうかを決定するステップは、前記第2のクライアントデバイスが前記DNSクエリに応答する場合に前記アップデートを拒否するステップと、前記第2のクライアントデバイスが前記DNSクエリに応答しない場合に前記アップデートを許可するステップとをさらに備えることを特徴とする請求項13に記載の1又は複数のデバイス可読メディア。
【請求項17】
DNS(Domain Name System)サーバで第1のクライアントデバイスからアップデートを受信するステップであって、前記アップデートはホスト名を含む、受信するステップと、
前記ホスト名についてのレコードが既にあるかどうかを決定するステップと、前記レコードが既にある場合に、
前記ホスト名の登録(registrant)のソースIPアドレスを決定するステップと、
前記ホスト名の前記登録の前記ソースIPアドレスが前記第1のクライアントデバイスのソースIPアドレスと一致するかどうかを決定するステップと、一致しない場合に、
前記ホスト名の前記登録にDNSクエリを送信するステップと、
前記DNSクエリに応答して前記登録から確認応答を受信する場合に前記アップデートを拒否するステップと
を備えたことを特徴とする方法。
【請求項18】
前記ホスト名についてのレコードがない場合に前記アップデートを許可するステップをさらに備えたことを特徴とする請求項17に記載の方法。
【請求項19】
前記ホスト名の前記登録の前記ソースIPアドレスが前記第1のクライアントデバイスのソースIPアドレスと一致する場合に、前記アップデートを許可するステップをさらに備えたことを特徴とする請求項17に記載の方法。
【請求項20】
前記DNSクエリに応答して前記登録から応答を受信しない場合に前記アップデートを許可するステップをさらに備えたことを特徴とする請求項17に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2010−500786(P2010−500786A)
【公表日】平成22年1月7日(2010.1.7)
【国際特許分類】
【出願番号】特願2009−513155(P2009−513155)
【出願日】平成19年4月26日(2007.4.26)
【国際出願番号】PCT/US2007/010298
【国際公開番号】WO2007/142759
【国際公開日】平成19年12月13日(2007.12.13)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.EEPROM
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
【公表日】平成22年1月7日(2010.1.7)
【国際特許分類】
【出願日】平成19年4月26日(2007.4.26)
【国際出願番号】PCT/US2007/010298
【国際公開番号】WO2007/142759
【国際公開日】平成19年12月13日(2007.12.13)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.EEPROM
【出願人】(500046438)マイクロソフト コーポレーション (3,165)
【Fターム(参考)】
[ Back to top ]