Active Directoryドメインコントローラー(DC)は、おそらく最も変更を嫌うタイプのサーバーです。ドメインへのユーザーとデバイスの認証に使用されるため、特にホスト名やネットワークの詳細に関しては、設定をそのままにしておくのが最適です。
ドメインコントローラーの名前変更はほとんど必要ないと断言できますが、残念ながら、ネットワーク設定を変更しなければならない状況が発生する場合があります。サブネットの再編成や廃止、企業買収に伴い新しいサブネットが導入され、ドメインコントローラーを統合する必要がある場合など、何らかの要因が影響している可能性があります。
冗長ドメインコントローラーを設定している場合(経験豊富なITプロフェッショナルなら必ずそうするはずです)、1つを別のサブネットに移動するのは簡単です。両方のドメインコントローラーを移動した後、クライアントコンピューターが以前のIPアドレスでドメインコントローラーを探し続け、それでも見つからないという状況が発生すると、問題が発生する可能性があります。これは、あらゆる種類の接続の問題やシステム停止を引き起こす可能性があるため、お勧めしませんが、どうしても行う必要がある場合は、慎重に行う必要があります。
参照: クイック用語集: ソフトウェア定義ネットワーク (Tech Pro Research)
ドメイン コントローラーのネットワーク移行を成功させるための 7 つのヒントを紹介します。
1.ファイアウォールルールを確認して確立する
ファイアウォールルールは、特に複雑な環境では、大きな頭痛の種となる可能性があります。必要なサブネット間のトラフィックが、クライアントとドメインコントローラー間、そして場合によってはドメインコントローラー同士の通信に適切であることを確認する必要があります。新しいアクセスを設定する場合でも、既存のアクセスを拡張する場合でも、これは重要な要素です。そうしないと、DCとの通信を試みるシステムで、非常に奇妙で混乱を招く動作が発生することになります。
少なくとも、次のポートを開く必要があります。
| TCP/UDP | ポート |
| TCP | 53 |
| UDP | 53 |
| TCP | 88 |
| UDP | 88 |
| UDP | 123 |
| TCP | 135 |
| UDP | 135 |
| TCP | 389 |
| UDP | 389 |
| TCP | 445 |
| TCP | 464 |
| UDP | 464 |
| UDP | 749 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
Microsoftはまた、「Windows Server(r) 2003ベースのドメインコントローラで構成されるドメインでは、デフォルトの動的ポート範囲は1025~5000です。Windows Server 2008 R2およびWindows Server 2008では、Internet Assigned Numbers Authority(IANA)の勧告に準拠し、接続用の動的ポート範囲が拡大されました。新しいデフォルトの開始ポートは49152、新しいデフォルトの終了ポートは65535です」と述べています。
これは広範囲にわたるため、必要なすべてではない可能性があります。上記の Microsoft リンクをチェックして、適切なアクセスが確保されていることを確認してください。
2.ADでサイトとサブネットを構成する
実際にドメイン コントローラーのサブネットを変更する場合は、この手順に従うことが重要です (IP アドレスのみを変更し、同じネットワーク上に維持する場合は、この手順をスキップできます)。
Active Directoryは、通信、レプリケーション、その他バックグラウンドで実行されるタスクのために、定義されたサイトとサブネットを利用します。このガイドでは、これらの設定方法について説明します。
Active Directory に適切なサブネットを設定することは、環境の健全な運用を継続的に確保するために不可欠です。必要に応じてサブネットを追加し、そうでない場合は、すべてが正しく構成されていることを再確認してください。もちろん、廃止予定のサブネット(該当する場合)は、実際に廃止されるまで削除しないでください。
3.DNSの考慮事項に焦点を当てる
DNSレコードは、クライアントがドメインコントローラーと確実に通信できるようにする上で最も重要な要素の一つです。ドメインコントローラーのIPアドレスを変更すると、動的DNSを使用している限り、DNSレコードは更新されるはずです。ただし、静的レコードはカットオーバー時に手動で調整する必要があります(いずれの場合も、適切なレコードが設定されていることを確認する必要があります)。また、これらのホストに関連するその他の静的レコードも必ず確認し、正引きDNSゾーンと逆引きDNSゾーンの両方を含めてください。
心配する必要があるのは Active Directory DNS レコードだけではないかもしれません。ドメイン コントローラーがセカンダリ サーバーに DNS 情報を提供している場合は、それらの設定も調べて、更新が必要な項目を見つける必要があります。
参照:IT プロフェッショナル向け Windows 10 Fall Creators Update ガイド(無料 PDF)(TechRepublic)
4.ホストファイルを確認する
DNSの管理と使用がはるかに容易な今、ホストファイルの更新を心配するのは馬鹿げているように思えるかもしれません。信じられないかもしれませんが、ホストファイルは依然として広く使用されており、特に本番環境(最もクリティカルな環境)ではDNSの障害が甚大な問題を引き起こす可能性があります。
影響を受ける可能性のあるシステムが数十台、数百台ある場合、各マシンのホストファイルを確認するのは面倒な作業になる可能性があります。シンプルなWindowsバッチファイルを使えば、この作業を効率化できます(ただし、対象システムに対する管理者権限が必要です。C:ドライブにはWindowsフォルダがあり、C$として共有されています)。
- c:\results というフォルダを作成します。
- 確認するすべてのターゲット ホスト名を含むテキスト ファイルを作成し、c:\results\computers.txt に保存します。
- 次の行を含むテキスト ファイルを作成します。
FOR /F “tokens=1” %%i in (computers.txt) で xcopy \\%%i\c$\windows\system32\drivers\etc\hosts c:\results\%%i.txt を実行します
- ファイルをc:\results\hostck.batとして保存します。
- c:\results\hostck.bat を実行します。
これにより、各ターゲット システムのホスト ファイルにアクセスし、それを c:\results フォルダーにコピーして、問題のコンピューターにちなんでファイルに名前を付けます。
その後、c:\results フォルダで変更が必要な IP アドレスを検索し、必要に応じて対象のシステムで変更します。もちろん、実際に変更が行われるまではこの作業は行わないでください。簡単な方法としては、c:\results ディレクトリ内のホストファイルを更新し、そこに c:\results\hostupdt.bat というバッチファイルを作成して、以下の内容を入力します。
FOR /F “tokens=1” %%i in (computers.txt) do xcopy c:\results\%%i.txt \\%%i\c$\windows\system32\drivers\etc\hosts /y
5.構成管理ソフトウェア
PuppetやChefなどの構成管理ソフトウェアは、ドメインコントローラのIPアドレスやサブネットを、ホストファイルを生成するためにどこかにハードコードしている場合があります。構成管理クライアントがホストファイルを変更しても、元に戻すだけであればあまり意味がありません。そのため、ドメインコントローラの現在のIPアドレスを必ず検索してください。
6.仮想マシンネットワーク(該当する場合)が存在し、利用可能であることを確認する
ドメイン コントローラーを別のサブネットに移動し、それが仮想マシンである場合は、サブネットが仮想環境に存在し、ハイパーバイザー システムで使用できることを確認してください。
このサブネットがドメイン コントローラと通信するクライアントをホストするだけの場合は (ステップ 1 でファイアウォール ルールが許可している必要があります)、必ずしもこのサブネットを仮想領域に追加する必要はありません。ただし、ファイアウォールを考慮せずにドメイン コントローラと直接通信するシステムを追加する場合は、検討する価値があるかもしれません。
参照: オープンソースのチャンピオン、ミュンヘンが Windows に戻る (無料 PDF) (TechRepublic)
7.計画を立案し実行する
適切なコンポーネントが揃ったので、計画を策定し、実行できます。作業内容は事前にユーザーに通知し、影響が最も少ない営業時間外に実施するようにしてください。
新しいネットワーク設定で一度に 1 台のサーバーを更新し、構成ソフトウェアの変更、ホスト ファイルの展開、DNS レコードの更新など、必要に応じてリアルタイムの調整を行ってください。
可能であれば、変換プロセス中のネットワークトラフィックを監視し、クライアントが新しい場所にあるサーバーと通信できることを確認してください。pingを実行したり、nslookupコマンドを実行したり、WindowsエクスプローラーでサーバーにアクセスしてSYSVOLおよびNETLOGON共有が表示されていることを確認したり、他のDCをシャットダウンしてドメインにログインし、Active Directoryリソースにアクセスできることを確認したりしてみてください。
すべてのドメインコントローラーの切り替えが完了したら、セカンダリDNSサーバーなど、それらと連携する他のシステムが正常に動作していることを確認してください。これらのシステムがDCからゾーンファイルをダウンロードし、正常に動作していることを確認してください。
解決できない問題が発生した場合は、DC を元のネットワーク設定に戻す必要があるかもしれません。躊躇せずに元に戻してください。ただし、一時的な状況であることを確認してください。その状況でこれらの手順を再度実行し、DC イベントログのエラーなどの症状や手がかりを調査して、プロジェクトを完了するための次の行動方針を決定します。
以下も参照:
- Google、セキュリティ強化とActive Directory統合を備えたChrome Enterpriseを発表(TechRepublic)
- グループポリシーを使用して Active Directory アカウントのロックアウトを解決する方法 (TechRepublic)
- サーバー マネージャーを使用して Windows ハードウェアのベースラインを設定する方法 (TechRepublic)
- Microsoft はオンプレミスの Active Directory ユーザー向けに Windows Hello のサポートを追加 (ZDNet)
