運用で表 LAN (サービス用) / 裏 LAN (バックアップ / 運用監視用) を作る時があるかと思いますがドメインコントローラー (DC) で NIC を 2 枚差していた時の小ネタについてまとめてみたいと思います。
■ドメインコントローラーの DNS レコード
ドメインコントローラーの起動時 (正確には Netlogon サービスになると思いますが) に登録される DNS のレコードは [C:WindowsSystem32Confignetlogon.dns] で確認をすることができます。
NIC を 2 枚差している場合は各 NIC の IP アドレスがこのファイルに記載されています。
通常、裏 LAN は IP アドレスを直接指定でアクセスすることが多く、DNS 上にレコードは不要になることがあると思います。
# 同一ホストの A レコードが 2 レコードあるとちょいと面倒だったりしますよね。
裏 LAN NIC のネットワークの設定で、[この接続のアドレスを DNS に登録する] のチェックを外します。
チェックを外したら、[NetLogon] サービスを再起動して、[netlogon.dns] を確認すると、裏 LAN の NIC の IP アドレスがコメント化された状態となります。
これで、[NetLogon] サービスを再起動しても裏 LAN で使用している NIC の IP は登録されなくなります。
■DNS サーバーをインストールしている場合
ドメインコントローラーと DNS を共存させているケースはかなり多いと思います。
DNS と共存させている環境で、[この接続のアドレスを DNS に登録する] を無効にしていてもしばらくすると裏 LAN の NIC の IP アドレスが DNS に登録されています。
# DNS のサービスを再起動しても再登録されるはずです。
これですが、DNS で使用するインタフェースとして設定している IP アドレスは DNS のサービスで自動的に登録されることが起因しているようです。
DNS の管理コンソールを開いて、サーバー名を右クリックしてプロパティをクリックします。
デフォルトの状態では [すべての IP アドレス] を使用するようになっていますので、裏 LAN の IP アドレスでも DNS がりっすん状態になります。
[指定した IP アドレスのみ] を選択して、裏 LAN の IP アドレスを外すことで、DNS のサービスを起動しても裏 LAN の IP アドレスが DNS に登録されないようになります。
コンピューター名や FQDN 名前解決をした際に裏 LAN の IP アドレスで解決されてしまう場合はこの辺をちょっと気を付けておいた方が良いかもしれないですね。
そうそう。この設定をしなかったために、ドメコンの A レコードが 2 レコードになって、名前解決のトラブルが発生している、某所で。
やはり構築経験の差ですかね。。。
まえばしこうじ
30 8月 13 at 16:56