- PR -

DC移行でのDNS設定

1
投稿者投稿内容
さかさん
会議室デビュー日: 2007/08/06
投稿数: 4
投稿日時: 2007-08-06 14:07
はじめての投稿になります。
100ユーザ規模ですが、DCの移行を依頼されて試行錯誤しているところです。

2000server(AD、DC1台)から2003serverへのAD、DNS移行中です。
1、2000server(旧サーバ)上でadprepを実行
2、2003server(新サーバ)を既存ドメインの追加DCとしてセットアップ
3、DNSはAD統合プライマリとしました。
最終的には、保守期限切れのため旧サーバは廃止します。

3、のDNSの設定が良いのかわからず悩んでいます。
旧サーバのDNSは、統合ではなく標準プライマリ、動的更新不可で動作しています。
現状レプリケートでエラーが発生して困っている状態です。

以上です。宜しくお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-08-06 14:14
こんにちは.
引用:

さかさんさんの書き込み (2007-08-06 14:07) より:

3、のDNSの設定が良いのかわからず悩んでいます。
旧サーバのDNSは、統合ではなく標準プライマリ、動的更新不可で動作しています。
現状レプリケートでエラーが発生して困っている状態です。

そこを統合ゾーンに予め変更してから移行するのはダメですか?
「なぜ通常ゾーンなのか?」がわからないと,誰も答えられないでしょう.
で,「前任者が云々」という話なら諦めるしかないと思いますよ.
新しい DNS server を slave として zone 転送して,
転送された内容を元に primary にしてしまえば良いだけだと思いますが?

ちなみに domain controller 上の DNS の default の状態は
Active Directory 統合ゾーンです.

以上,ご参考までに.
さかさん
会議室デビュー日: 2007/08/06
投稿数: 4
投稿日時: 2007-08-06 20:57
kazさん、どうもありがとうございます。
仰るとおり前任者が設定しておりましたが、今はおりません。
お教え頂いた上記の方法で転送できました。
レプりケートは、追加DCとして昇格する時にDNSサーバーの指定が
間違っていたためでした。
新サーバで旧サーバのDNSを指定して再起動かけたら正常になりました。

以下ですが、参考にご教授頂ければ幸いです。
動的更新不可に設定しているためだと思いますが、
DNSに、AレコードやSRVレコードはなくても正常に動作していると言えるのでしょうか?
前方参照ゾーンにドメイン.localがありましたが、
その中にAレコードやSRVレコードはありませんでした。
唯一存在していたのはDNSサーバが動作しているマシンのAレコードです。

クライアントからその状態のDNSサーバを指定していましたが、
インターネット他不具合はありませんでした。
ちなみにインターネットはプロキシーを指定しています。

尚、今回DCを追加する時に一時的に、動的更新を可能にして追加しました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-08-06 22:17
引用:

さかさんさんの書き込み (2007-08-06 20:57) より:

動的更新不可に設定しているためだと思いますが、
DNSに、AレコードやSRVレコードはなくても正常に動作していると言えるのでしょうか?
前方参照ゾーンにドメイン.localがありましたが、
その中にAレコードやSRVレコードはありませんでした。
唯一存在していたのはDNSサーバが動作しているマシンのAレコードです。

DNS server そのものとしての動作の中には,
Active Directory のための DNS の役割もあるでしょう.
その中には「domain controller を見つける」という役割も含まれます.
なので,domain controller が名前解決ができれば良いと思います.
とすると,DNS server
※今回の場合はおそらく domain controller と同一だと認識しています.
の A record が定義されていることとと,
resource record が定義されていることが必要になると思います.
あるいは WINS で代用できていたとか,NetBIOS で補ってしまっていたとか,
今までの動作は偶然異常が表面化しなかったのかもしれません.

いずれにせよ,Active Directory に必要な DNS server の機能は
明確に Microsoft から recommand されています.
引用:

クライアントからその状態のDNSサーバを指定していましたが、
インターネット他不具合はありませんでした。
ちなみにインターネットはプロキシーを指定しています。

proxy を利用しているのであれば,その DNS server を利用していません.
あるいは proxy server そのものに接続する際に名前解決が
必要な可能性もありますが,別の問題です.

基本的には,支障がない限り Active Directory 用の DNS server は
・Microsoft DNS で運用する方が手間が掛からないであろう
・Active Directory 統合 mode で利用するのが効率的であろう
・動的更新を有効にしておくのが無難であろう
と個人的には思います.
かんきち
常連さん
会議室デビュー日: 2007/08/07
投稿数: 23
投稿日時: 2007-08-07 17:46
> 動的更新不可に設定しているためだと思いますが、
> DNSに、AレコードやSRVレコードはなくても正常に動作していると言えるのでしょうか?

その状態では、ActiveDirectoryドメインでは無く、NTドメインとしての挙動になります。
具体的には、グループポリシーを設定しても効きません。

正常かどうかというのは、ちょっと難しいですね。
NTドメインとしてはそれでも良いと言えるのかもしれませんが。

今までログオン出来ていたのは、Kerberos認証ではなく、NTLM認証でログオンしていたからです。
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-08-08 11:22
チャブーンです。

> 動的更新不可に設定しているためだと思いますが、
> DNSに、AレコードやSRVレコードはなくても正常に動作していると言えるのでしょうか?

他の方の揚げ足を取る意図はありませんが、正常とはいえないと思いますよ。この状態だと、ドメインコントローラ間の認証や Active Direcotry 複製に問題が出る可能性がとても高いです。SRV レコードがない場合、各種サービス (LDAP,GC,Kerberos等) が正しく検出できませんので。

この件ですが、ゾーンを Active Directory 統合にしてあげれば、ドメイン参加したコンピュータでなければ動的更新はできませんので、それなりにセキュアな環境は保てます。
#ただし DHCP がある環境では要注意ですが

なにかの理由で動的更新を避けたいというなら、SRV レコードを含めきちんとゾーンに反映させた状態で動的更新をとめますが、各ドメインコントローラ側でレジストリを操作して動的更新を止めなければなりません。ドメインコントローラのネットワーク設定で (GUI) では、DNS 動的更新を停止させることはできません。
さかさん
会議室デビュー日: 2007/08/06
投稿数: 4
投稿日時: 2007-08-13 10:00
返答がおそくなりすみません。
どうもありがとうございます。勉強になります。

kazさん
>とすると,DNS server
>※今回の場合はおそらく domain controller と同一だと認識しています.
>の A record が定義されていることとと,
>resource record が定義されていることが必要になると思います.

設定前は、前方参照ゾーンdomain.localにSOA、NS、
サーバのAレコードしかありませんでした。

>あるいは WINS で代用できていたとか,NetBIOS で補ってしまっていたとか,
>今までの動作は偶然異常が表面化しなかったのかもしれません.

今思えば、例えばクライアントをドメインに参加させる時に、
ドメイン名では入れなかったです。
NetBIOS名で参加していました。
私自身、未熟なものでその時点ではこの名前(NetBIOS名)は
何処で定義されているのだろうと恥かしながら思っていました。
調べてみましたがWINSは動作していませんでした。

>proxy を利用しているのであれば,その DNS server を利用していません.
>あるいは proxy server そのものに接続する際に名前解決が
>必要な可能性もありますが,別の問題です

proxyを利用していますが、DNS serverを指定しないと表示できません
のエラーになります。
これがproxy server そのものに接続する際に名前解決が必要ということでしょうか?

かんきちさん

>その状態では、ActiveDirectoryドメインでは無く、
>NTドメインとしての挙動になります。
>具体的には、グループポリシーを設定しても効きません。

該当ドメインに参加していたクライアントのログを調べて見ましたが、
グループポリシーは効いているようです。
SceCli(グループ ポリシー オブジェクト セキュリティ ポリシーは正しく適用されました。)のログが残っています。

>今までログオン出来ていたのは、Kerberos認証ではなく、NTLM認証でログオンしていたからです。

よくわからないので調べてみます。

チャブーンさん

>この件ですが、ゾーンを Active Directory 統合にしてあげれば、
>ドメイン参加したコンピュータでなければ動的更新はできませんので、
>それなりにセキュアな環境は保てます。

環境を説明しますと、ドメインに参加しているクライアントと
参加していないクライアントがあります。
参加していないクライアントはワークグループで運用していて、
DNSサーバーはドメインサーバを指定しています。
この場合、統合にして動的更新を可能にすると、
参加しているクラインアントはAレコードに登録されるでしょう。
参加していないものは登録されないでしょう。
以前は、クライアントのAレコードがなくても問題は発生していなかったので、
設定を変えても動作するとは予想しているのですが、いかがでしょうか?

宜しくお願いします。
1

スキルアップ/キャリアアップ(JOB@IT)