none
違うIPサブネットにドメインコントローラを移すにはどうしたらよいでしょうか RRS feed

  • 質問

  • いつもお世話になっております。

    現在あるネットワーク構成が複雑すぎるため、シンプルにすべく整理しています。


    現在ドメインコントローラがあるIPネットワークは「192.168.201.0/24」で、1台のみと勝手に思っています。このネットワークにさらに部署単位でプロキシサーバを置く構成をとっており、それらがWindowsServerなので、それらもドメインコントローラになっているのではないかと推測しています。プロキシサーバになっているものはNICが2枚刺さっており、それぞれの部署の端末はインターネットへアクセスする場合、「192.168.201.0/24」のネットワークを通過するようになっています。

    なお、プロキシサーバがドメインコントローラになっているのではという推測なのですが、これは、すでに構築した担当者がおらず、これまで問題なく動いていたので、そのまま触らずに来たという経緯からです。

    これを、各部署のプロキシサーバを廃止し、L3スイッチに直接収容する方式に変更しようとしています。また、「192.168.201.0/24」には本来あるべき機器のみの接続とし、ドメインコントローラを置くネットワークを新たに「192.168.200.0/24」として移設することを考えています。

    ここでお聞きしたいのは、現在あるドメインコントローラを違うIPサブネットに移設するにはどのようにしたらよろしいのでしょうか。特に各部署にあるプロキシサーバがドメインコントローラとなっていた場合、単純にIPアドレスの変更だけではうまくいかないと思っていますので、作業する上で気を付けるべき点・確認すべき点も含め教えてください。

    以上、よろしくお願いいたします。


    • 編集済み SCC_ST 2018年3月1日 2:27
    2018年3月1日 2:26

回答

  • チャブーンです。

    この件ですが、「ドメインコントローラーの移設」と「プロキシサーバーの移設」は分けて考えるべきです。プロキシサーバーのソフトウェアが何なのかも知らずに、その影響範囲を「触らずしてわかる」など不可能です。この前提がないと、移設はムリかと思います。

    ドメインコントローラーとしては、以下の点がわかっていれば、移設にたぶん問題はありません。

    • ドメインコントローラー同士の通信に支障がないこと(DNSレコードの変更とDNSゾーン複製が正しくできること)
    • Active Directoryの「サイトとサブネット」構成の確認(サイトに紐づいた旧サブネットがあれば修正する)
    • ドメインコントローラーとWindowsクライアントの参照先DNS設定の変更

    うえを含み置いたうえで「プロキシサーバーのソフトウェア名とその仕様・設定確認」に注力してください。

    なお老婆心ながら「推測」はご自身が取得可能な事実関係を把握したうえ、「やむを得ず考慮」する程度にご利用いただくとよいと思います。確固たる情報もなく、いたずらに思いも巡らせても、正しい結論が得られず関係者が当惑するだけです。

    追記:この件ですが、プロキシサーバは移行ではなく、全廃ということでしょうか?プロキシサーバを削除する前提であれば、いわゆるインターネット側(192.168.201.0/24)NICを取り除き、1枚構成に変更してください。1枚構成にすれば各種サービスのバインドNICは最適化され、上記以外のドメインコントローラー側の追加考慮は必要ありません。2枚構成のままにする、ことはよほど特殊な事情がなければ必要ないと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2018年3月1日 4:46
    モデレータ
  • 本題のドメインコントローラーの話はチャブーンさんのコメントで十分と思います。ただ安易に部門プロキシを廃止すると、クライアントの(インターネット側への)ネットワーク パフォーマンス上問題が起きる可能性が考えられます。

    各部署単位のプロキシサーバーを廃止されるということですが、その部署プロキシの上流側はどのような構成になっているのでしょう。全社プロキシとの多段構成になっているような場合は全社プロキシの負荷が上がることを考慮に入れなければなりませんし、直接ルーターなどのゲートウェイに流れている場合でも NAPT のセッション数増加などを考慮しなければならないでしょう。


    hebikuzure

    2018年3月1日 6:12

すべての返信

  • チャブーンです。

    この件ですが、「ドメインコントローラーの移設」と「プロキシサーバーの移設」は分けて考えるべきです。プロキシサーバーのソフトウェアが何なのかも知らずに、その影響範囲を「触らずしてわかる」など不可能です。この前提がないと、移設はムリかと思います。

    ドメインコントローラーとしては、以下の点がわかっていれば、移設にたぶん問題はありません。

    • ドメインコントローラー同士の通信に支障がないこと(DNSレコードの変更とDNSゾーン複製が正しくできること)
    • Active Directoryの「サイトとサブネット」構成の確認(サイトに紐づいた旧サブネットがあれば修正する)
    • ドメインコントローラーとWindowsクライアントの参照先DNS設定の変更

    うえを含み置いたうえで「プロキシサーバーのソフトウェア名とその仕様・設定確認」に注力してください。

    なお老婆心ながら「推測」はご自身が取得可能な事実関係を把握したうえ、「やむを得ず考慮」する程度にご利用いただくとよいと思います。確固たる情報もなく、いたずらに思いも巡らせても、正しい結論が得られず関係者が当惑するだけです。

    追記:この件ですが、プロキシサーバは移行ではなく、全廃ということでしょうか?プロキシサーバを削除する前提であれば、いわゆるインターネット側(192.168.201.0/24)NICを取り除き、1枚構成に変更してください。1枚構成にすれば各種サービスのバインドNICは最適化され、上記以外のドメインコントローラー側の追加考慮は必要ありません。2枚構成のままにする、ことはよほど特殊な事情がなければ必要ないと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2018年3月1日 4:46
    モデレータ
  • 本題のドメインコントローラーの話はチャブーンさんのコメントで十分と思います。ただ安易に部門プロキシを廃止すると、クライアントの(インターネット側への)ネットワーク パフォーマンス上問題が起きる可能性が考えられます。

    各部署単位のプロキシサーバーを廃止されるということですが、その部署プロキシの上流側はどのような構成になっているのでしょう。全社プロキシとの多段構成になっているような場合は全社プロキシの負荷が上がることを考慮に入れなければなりませんし、直接ルーターなどのゲートウェイに流れている場合でも NAPT のセッション数増加などを考慮しなければならないでしょう。


    hebikuzure

    2018年3月1日 6:12