再びゼロデイの話。Windows DNSサーバにもゼロデイ脆弱性が見つかり、Microsoftはユーザに注意を呼びかけているとか、困ったものだ。

Windows DNSサーバのゼロデイ脆弱性が明らかに

と言いたいところだが、それ以前に「Windows DNSサーバって何？」と問い直してみたいものだ。Microsoftは、またまたパッチ作成に大慌てだろうが、そもそもMicrosoft以外で誰が困るのだろうかという疑問である。そりゃあ、インターネットに公開しているDNSサーバーが危険な状態になっているのだから、どうたらと答える人はいないだろう。いたら、素人と言ってもいいだろう。
　DNSサーバーといったらBINDでしょと。他にもややマニアックなDNSサーバーはあるものの、公開サーバーの実装システムとしてBIND以外は考えるべきではないだろう。もしWindowsサーバーを、DNSサーバーに限らず、インターネット公開サーバーとして提案するような業者がいたら、あまりにも筋が悪すぎというか、物がわかっていないと相手にされなくてもしかたがないだろう。

　Windowsサーバーが存在しうるのはLANの中だけ、ファイアウォールの内側だけだ。クライアントはほとんどがWindowsだから、組織内ドメインにしかたがないから、Windowsドメイン（Active Directoryとか言うのか）を構成してログオンの認証だけさせる。問題は内部での名前解決だが、従来はWINSとかWindows固有のシステムでやっていた。インターネットでTCP/IPが主流になってから、Windows独自のNetBIOSを NetBIOS over TCP/IP として、複雑怪奇なやり方で名前解決するようになった。このへんはまともに勉強したり、説明する気にもならない。いずれにしろMicrosoftのエゴの強引なやり方に見える。 Windows 2000 Serverまではそうだったが、Windows Server 2003 からは、確か申し訳のようにBINDも使えるようになったはずである。

　結局、外部DNSサーバーではなく内部DNSサーバーが危険ですよという状態なのだろう。一番安全なのは、Windows Serverそのものを使わないことである。次善の策としてはWindows ServerのフリをするSambaをWindowsドメインの認証サーバーをしてしまうことだろうか。
　Web2.0時代になったら、NetBIOSそのものをLANの中から締め出してしまった方がよいだろう。なぜならWindowsアプリそのものを利用する必要がなくなるだろうから。