パソコンの友達

ドメインコントローラのIPアドレスを変更する方法

IT管理者として、ネットワーク上のドメインコントローラのIPアドレスを変更する方法という課題に直面することがあります。DCはミッションクリティカルなITインフラストラクチャであり、このタスクをどのように実行できるかについてのベストプラクティスを探しているかもしれません。この投稿では、前、中、後のプロセスについて説明します。

ドメインコントローラのIPアドレスを変更する方法

ドメインコントローラーはDHCPからIPアドレスを取得するように構成できますが、ネットワーク全体で確実に検出できるように、静的IPアドレスを構成するのがベストプラクティスです。たとえば、ローカルサブネットのIPアドレス指定スキームが変更された場合など、何らかの理由でDCのIPアドレスを変更する必要がある場合があります。ドメインコントローラーに加えた変更は、サービスを中断し、ビジネスオペレーションに影響を与える可能性があることに注意してください。

つまり、DCが他のサーバーロールをホストしていないと仮定すると、Windows 11/10クライアントマシンに静的IPを割り当てるのと同じように、IPアドレスを変更するのは非常に簡単で、難しいプロセスではありません。このトピックについては、以下の小見出しで説明します。

  1. 変更前のチェックリスト
  2. ドメインコントローラのIPアドレスを変更する
  3. ドメインコントローラの新しいIPアドレスを登録する
  4. 変更後のチェックリスト

このタスクを正常に実行するために必要な4ステップのプロセスの説明を見てみましょう。

1] 変更前のチェックリスト

常に物事がうまくいかない可能性があるので、メンテナンスウィンドウ中にIP変更を計画してスケジュールすることが重要です。また、意図した変更は事前に確実に伝達してください。ドメインコントローラのIPアドレスの変更を適切に進める前に、この変更前のチェックリストを実行し、すべての項目にチェックマークを付ける必要があります。ケースシナリオや設定によっては、これは網羅的なリストではないため、追加する必要があるタスクがある場合があります。以下に、ほとんどの設定の基本的な一般的なガイドラインを示します。

  • 複数のドメインコントローラーを確認する: 災害復旧の理由から、複数のドメインコントローラーを持つことがベストプラクティスです。ドメインコントローラーが1つしかない場合、ドメインコントローラーに大きな変更を加えるとサーバーが壊れる可能性があります。この場合でも、セカンダリDCから操作を続けることができます。また、Active Directoryをバックアップしてください。ドメイン内のすべてのドメインコントローラーのリストを取得するには、以下のコマンドを実行します。
Get-ADDomainController -filter * | select hostname, domain, forest
  • FSMOロールを確認する: 対象のDCがFlexible Single Master Operations (FSMO)ロールをホストしているかどうかを確認する必要があります。これを行うには、以下のコマンドを実行します。
netdom query fsmo

出力から、DCがFSMOロールを実行している場合、FSMOロールを同じサイトにある別のドメインコントローラーに移行する必要があります。このアクションにより、認証サービスの中断を回避できます。また、サーバーに手動で構成されているサービスもすべて移行する必要があります。

  • インストールされたロールと機能を確認する: DCがDHCPサーバーやWebサーバーなどのサービスを実行しているかどうかを確認できます。コントロールパネルでインストールされているソフトウェアを確認したり、以下のコマンドを実行してサーバーで確立されたロールと機能を確認したりできます。
Get-WindowsFeature | Where-Object {$_. installstate -eq "installed"}

出力に、DCがDHCPやDNSなどの重要なサービスを実行していることが示されている場合、IPアドレスを変更する際にはこれを考慮する必要があります。Wiresharkを使用して、DNS、DHCPなどのさまざまなサービスのためにドメインコントローラーを指しているシステムを特定できます。

こちらをお読みください: Windows Serverでロールと機能を削除する方法

  • ドメインコントローラーとDNSの正常性を確認する: IPを変更する前に、ドメインコントローラーが正常であることを確認する必要があります。そうしないと、DNSまたはレプリケーションの問題が発生する可能性があります。DCの正常性を確認するには、以下のコマンドを実行します。
dcdiag

DCDiagを使用すると、ドメインコントローラーで約30の異なる正常性チェックを実行し、DNS設定、レプリケーションの正常性、エラーなどをテストできます。デフォルトでは、dcdiagはDNSをテストしません。したがって、DNSで完全なテストを実行するには、以下のコマンドを実行し、サーバーがすべてのテストに合格し、名前解決SRVレコードが登録されていることを確認してください。

dcdiag /test:dns /v

こちらをお読みください: このマシンをDCとして構成しようとしたときにエラーが発生しました

  • ベストプラクティスアナライザーを実行する: 潜在的な移行の問題を回避するために、Microsoftのベストプラクティスに従って構成の問題を見つけるのに役立つベストプラクティスアナライザー(BPA)を実行できます。BPAツールを実行した後、スキャン結果を確認しますが、ツールが常に正確であるとは限らないため、その結果をダブルチェックする必要があります。また、エラーや警告があっても、移行が失敗するわけではありません。このツールはMicrosoft.comからダウンロードできます。
  • サブネットとファイアウォールルールを変更する: 新しいサブネットに変更し、DCサーバーもDHCPを実行している場合、スイッチまたはファイアウォールのヘルパーアドレスを更新する必要があります。また、新しいサブネットをActive Directoryサイトとサービスに追加します。ネットワークファイアウォールとWindowsベースのファイアウォールのルールを更新する必要がある場合があります。たとえば、ネットワークファイアウォールに、ドメインコントローラーなどの重要なサーバーへのネットワークアクセスを制限するルールがある場合があります。この場合、ファイアウォールルールを更新して新しいDC IPへのトラフィックを許可する必要がある場合があります。

2] ドメインコントローラのIPアドレスを変更する

変更前のチェックリストが完了したら、以下の手順に従ってドメインコントローラーのIPアドレスを変更することができます。

  • コンソールアクセスのため、サーバーにローカルでログインします(RDPを使用したり、リモートアクセスを使用したりしないでください)。
  • タスクバーの右下にあるネットワークアイコンを右クリックします。
  • メニューからネットワークと共有センターを開くを選択します。
  • ネットワークと共有センターで、アダプター設定の変更をクリックします。
  • または、Windowsキー+Rを押して、ボックスにncpa.cplと入力してEnterキーを押します。
  • ネットワーク接続画面で、IPアドレスを変更したいネットワークアダプターを右クリックします。
  • メニューからプロパティを選択します。
  • イーサネットのプロパティダイアログボックスで、リストを下にスクロールしてインターネットプロトコルバージョン4(TCP/IPv4)をダブルクリックします。
  • TCP/IPv4ダイアログボックスで、IPアドレスを変更します。
  • 必要に応じて、サブネットマスクとデフォルトゲートウェイを変更します。

注意: DCがドメイン内の唯一のDNSサーバーでもある場合、プライマリDNSサーバーのエントリをDCの新しい静的IPアドレスに変更します。そして、Microsoftのベストプラクティスに従って、DNSサーバーの最初のエントリである優先DNSサーバーのIPアドレスは、同じサイトにある別のDNSサーバーを指す必要がありますが、代替DNSサーバーのIPはループバックまたはLocalHostアドレスを指定する必要があります。

  • OKをクリックして続行します。
  • イーサネットのプロパティダイアログボックスでOKをクリックします。
  • ネットワークと共有センターを閉じます。

3] ドメインコントローラの新しいIPアドレスを登録する

DCのIPアドレスの変更が完了したら、次の手順はローカルDNSキャッシュを空にして、DNSにDCの新しいIPアドレスを登録することです。以下の手順を実行します。

  • 管理者権限のあるコマンドプロンプトまたはPowerShellで、以下のコマンドを順番に実行します。
ipconfig /flushdns

このコマンドは、ローカルDNSリゾルバによって作成されたキャッシュされたDNSエントリを削除します。

ipconfig /registerdns

このコマンドは、新しいIPアドレスがDNSサーバーによって登録されることを保証します。

dcdiag /fix

このコマンドは、サービスプリンシパル名(SPN)レコードを更新し、すべてのテストが正常に合格したことを確認します。

  • 完了したら、Windowsターミナルを終了します。

4] 変更後のチェックリスト

ドメインコントローラのIPアドレスの変更が完了したら、以下のタスクを実行できます。

  • サービス、サーバー、クライアントマシンを更新する: DCがDNSサーバーでもある場合、DHCP設定を変更して、ドメインメンバーがDNSサーバーの新しいIPアドレスを取得できるようにする必要があります。サブネットアドレスが変更された場合は、ADサイトとサービスが更新されていることを確認してください。静的IPアドレスを使用するクライアントを更新します。必要に応じて、他のDCのNIC設定とファイアウォールルールを更新します。DNSが更新されている限り、DCのIPアドレスを変更しても、サーバー上の共有には影響しません。
  • 問題を確認し、ローカルDNSキャッシュをフラッシュする: dcdiagとdcdiag /test:dns /vコマンドを実行して、問題を確認できます。ドメインに参加しているすべてのメンバーサーバーとクライアントでipconfig /flushdnsコマンドを実行してローカルDNSキャッシュをクリアするか、再起動して新しいIPアドレスを解決してDCを見つけられるようにする必要がある場合があります。Windows 11/10クライアントマシンでDNSの問題を解決する必要がある場合があります。
  • DCへの認証をテストし、DNSが機能していることを確認する: クライアントのIP DNS設定を手動でDCのIPに設定するか、PowerShellを使用して認証サーバーを指定することで、DCへの認証をテストできます。DNSが機能していることを確認するには、無料のDNSルックアップツールやオンラインサービスを使用できます。

こちらをお読みください: Windows 11/10でNslookupは機能するがPingは失敗する問題を修正する

  • Wiresharkで古いIPを監視する: 必要に応じて適切な措置を講じることができるように、依然としてDCの古いIPを使用しているシステムを監視し続けることができます。これは、ポートミラーリング(SPANスイッチポートアナライザー)によって行うか、DCの古いIPをWiresharkがインストールされたコンピュータに割り当てることで行うことができます。

以上です!

これらの投稿に興味があるかもしれません:

  • ドメインのActive Directoryドメインコントローラーに連絡できませんでした
  • 指定されたドメインは存在しないか、連絡できませんでした

Windows 10でドメインIPアドレスを変更するにはどうすればよいですか?

Windows 11/10でドメインIPアドレスを変更するには、DCのIPアドレスを変更し、以下のコマンドを実行して変更を有効にします。ipconfig /flushdnsと入力してEnterキーを押します。Net Stop DNSと入力してEnterキーをクリックします。最後に、Net Start DNSと入力してEnterキーをクリックします。

ドメインコントローラーには静的IPが必要ですか?

ドメインコントローラーはDHCPからIPアドレスを取得するように構成できますが、静的IPアドレスを構成するのがベストプラクティスです。マシンがDNSサーバーを使用するように構成できます。新しいドメインまたはフォレストを作成する場合、システムがドメインコントローラーだけでなくDNSサーバーにもなる場合は、この手順は必要ない場合があります。

DHCPはドメインコントローラーに必要ですか?

ドメインコントローラーはDHCPサーバーサービスを操作する必要はなく、より高いセキュリティとサーバー強化のため、ドメインコントローラーにDHCPサーバーの役割をインストールせず、代わりにメンバーサーバーにDHCPサーバーの役割をインストールすることをお勧めします。

2024-01-25 22:12 サーバー

コメントする