ドメインコントローラー(DC)は、ITインフラの不可欠な部分です。ドメイン内の役割を考えると、そのIPを正確に変更することが極めて重要です。
DCのアドレスはサーバーに静的に割り当てられています。しかし、ローカルサブネットのIPアドレッシングスキームの変更などの際には、DCのIPアドレスを変更する必要が出てくる場合があります。DCの変更はサービスの中断を引き起こし、運用に影響を及ぼす可能性があるため、IPアドレスを変更する前に確認する必要のあるいくつかの事項があります。以下はそれを簡単にするためのチェックリストです。
変更前のチェックリスト
複数のドメインコントローラーを有する
アクティブディレクトリのバックアップと共に、複数のドメインコントローラーを持つことが推奨されます。これにより、プライマリDCに何かあった場合でも、セカンダリDCから運用を続けられます。1つのDCしかない場合は、大きな変更は推奨されません。このコマンドでドメイン内の他のDCを確認できます:
Get-ADDomainController -filter * | select hostname, domain, forest
FSMO役割を確認する
また、プライマリDCがフレキシブルシングルマスターオペレーション(FSMO)役割を実行しているかどうかにも注意が必要です。これを確認するには、以下のコマンドを実行します:
netdom query fsmo
プライマリDCがFSMO役割を実行している場合、認証サービスへの中断を避けるために、FSMO役割を同じサイト内の別のDCに移動する必要があります。サーバーに手動で設定されたその他のサービスもセカンダリDCに移動する必要があるでしょう。
インストールされた役割とフィーチャーを確認する
IPアドレスを変更する前に、DCで実行中のサービスを確認することをお勧めします。DCがDHCPサーバーやWebサーバーのようなサービスを実行している場合、IPアドレスの変更によって中断が発生する可能性があります。これを回避するために、以下のコマンドを実行して確立された役割とフィーチャーを確認できます:
Get-WindowsFeature | Where-Object {$_. installstate -eq 'installed'}
DCおよびDNSの健康状態を確認する
複製の問題やDNSの問題に遭遇しないように、IP変更を実施する前にDCが健全であることを確認するのが最善です。以下のコマンドを実行してDCの健康状態を確認できます:
dcdiag
デフォルトでは、dcdiagコマンドはDNSをテストしませんので、DNSの健康状態について確認するために、以下のコマンドを実行できます:
dcdiag /test:dns /v
Windowsベストプラクティスアナライザーを実行する
移行中に潜在的な問題を回避するために、ベストプラクティスアナライザーツールを使用して、マイクロソフトのベストプラクティスに従って設定の誤りがないかどうかを調べることができます。このツールは常に正確とは限りませんので、スキャン結果を確認する際には検出結果を再度チェックすることを忘れないでください。
サブネットの変更
サーバーがDHCPを実行しており、サブネットを変更する予定の場合は、スイッチまたはファイアウォール上でヘルパーアドレスを更新する必要があります。また、アクティブディレクトリのサイトとサービスに新しいサブネットを追加する必要があります。
ファイアウォールのルールを更新する
ドメインコントローラーのIPアドレスを変更する前に、ネットワークファイアウォールおよびWindowsベースのファイアウォールのルールを更新して、DCの新しいIPアドレスへのトラフィックを許可する必要があります。
IP変更のスケジュールを組む
これは、ドメインコントローラーのIPアドレスを変更する際に従うべき良い慣習です。いくら準備をしても、IPを変更する際に何かが間違ってしまう可能性は常にあります。IP変更のスケジュール設定により、発生する可能性のある問題を解決するためのメンテナンスウィンドウが確保されます。
ドメインコントローラーのIPアドレスを変更する方法
変更前のチェックリストが完了したら、ドメインコントローラーのIPアドレスを変更する準備が整います。以下の手順で行います:
- コンソールアクセスを使用して、サーバーにローカルでログインします。RDPやリモートアクセスは使用しないでください。
- タスクバーの右下にあるネットワークアイコンを右クリックします。
- 「ネットワークと共有センター」を開き、「アダプター設定の変更」を選択します。あるいは、Windowsキー + Rを押し、ボックスにncpa.cplと入力してEnterキーを押してもよいです。
- 「ネットワーク接続」画面で、IPアドレスを変更したいネットワークアダプターを右クリックし、メニューから「プロパティ」を選択します。
- 「イーサネットプロパティ」ダイアログボックスのリストをスクロールして、インターネットプロトコルバージョン4(TCP/IPv4)をダブルクリックします。
- インターネットプロトコルバージョン4(TCP/IPv4)のプロパティダイアログボックスで、IPアドレスを変更します。
- 必要に応じて、サブネットマスクとデフォルトゲートウェイを変更します。
- 特にDCがドメイン内で唯一のDNSサーバーである場合は、プライマリDNSサーバーエントリを新しいIPアドレスに変更します。優先DNSサーバーは同じサイト内の別のDNSを指すべきであり、代替DNSサーバーはループバックアドレス(127.0.0.1)であるべきです。
ドメインコントローラーの新しいIPアドレスを登録する方法
ドメインコントローラーのIPアドレスを変更した後、新しいIPアドレスを登録する必要があります。そのためには、次のコマンドを昇格したコマンドプロンプトまたはPowerShellで一度に実行します:
-
ipconfig /flushdns
- これにより、キャッシュされたDNSエントリがクリアされます。
-
ipconfig /registerdns
- これにより、新しいIPアドレスがDNSサーバーに登録されることを保証します。
-
dcdiag /fix
- これにより、サービスプリンシパル名(SPN)レコードが登録され、すべてのテストが正常にパスされることを保証します。
変更後のチェックリスト
ドメインコントローラーのIPアドレスを正常に変更した後、確認する必要のあるいくつかの事項があります:
- 以下のようなサービス、サーバー、クライアントマシンを更新します:
- DCがDNSサーバーでもある場合はDHCP設定。
- サブネットアドレスが変更された場合はアクティブディレクトリサイトとサービス。
- 静的IPアドレスを使用するクライアント。
- 必要に応じて、DCのネットワークインターフェースコントローラー設定。
- ファイワールのルール。
- 任意の問題があるかどうかを確認します:dcdiagおよびdcdiag /test:dns /vコマンドを実行します。クライアントシステムに問題が発生しているように見える場合は、ipconfig /flushdnsコマンドをフラッシュする必要があるかもしれません。
- DNSが機能していることを確認します:nslookupまたは他のDNSルックアップツールを使用します。
- DCへの認証をテストします:クライアントのIP DNS設定をDCのIPに手動で設定するか、PowerShellを使用して認証サーバーを指定します。
最終的な考え
ドメインコントローラーのIPを変更しようとしている場合、それを行う前に確認するべきいくつかの事項があります。DCはITインフラの不可欠な部分であるため、このプロセスを正しく実行することは、中断や他の問題を回避するために不可欠です。IPの変更をスケジュールすることも強く推奨されます。これにより、潜在的に発生する可能性のあるその他の問題に対処できるメンテナンスウィンドウが確保されるからです。