こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。
前回、前々回BLOGで、オンプレミス Microsoft Active Directory サーバー (以下ADサーバー) から、AWS Managed Microsoft AD (以下 Managed MSAD) へ、ユーザーアカウント、コンピュータ、グループポリシーの移行することを検証しました。
blog.serverworks.co.jp blog.serverworks.co.jp
今回BLOGでは、AWS Managed Microsoft AD への移行にともない オンプレミス ADサーバー を廃止する際に課題となる、DNSサーバーのIPアドレス変更について対策を検討しました。一案であり、すべてのお客様で適用できるものでは無いということをご了承ください。
DNSサーバーのIPアドレス変更
一般的なADドメインのネットワークでは、下記図のようにメンバーサーバーやクライアント等は移行元ADサーバーのIPアドレスをDNSサーバーとして指定しています。
AD同士の信頼関係と条件付きフォワードにより、オンプレミスADサーバー、Managed MSAD どちらのIPアドレスをDNSサーバー指定しても、両方ドメインの名前解決ができます。しかし、移行元ADサーバーを廃止する場合はこのIPアドレスがつかえなくなります。サーバー廃止前までに、メンバーサーバーやクライアントのDNSサーバーの指定を、移行先 Managed MSAD のIPアドレスへ変更する必要があります。
課題点と対策
クライアントのDNSサーバー指定を変更する場合、方法としては下記の2パターンかと思われます。
- DHCPサーバーのスコープオプションで DNSサーバーとして Managed MSAD のIPアドレス を指定
- クライアント個別に DNSサーバー指定を手動変更
パターン1. ではDHCPサーバー側の設定を変えれば、自動的にクライアント側で変更がかかります。 課題となるのは パターン2. の場合で、クライアント台数が多いと時間と労力がかかります。グループポリシーや資産管理ツールで一括変更できる場合は、利用を検討すると良いでしょう。
実際のお客様環境では、パターン1. と パターン2. が組み合わされるケースが多いと予想します。プリンターや複合機などもDNSサーバーを指定している場合があり、これらは専門業者に変更してもらう必要があったりと、やはり手間と時間が掛かることが予想されます。「サーバーやパソコンの次回交換のときに設定変更する方針」として、数年間かけて対応することもあります。
時間をかける場合、「移行元ADサーバーをいつまで残しておけるか」が課題となります。ハードウェアが老朽化していたり、サーバーがリース物件のため返却期限がある場合もあります。
この対策として、暫定的に「中継DNSサーバー」へ入替する方法が考えられます。
中継DNSサーバーを、移行元ADサーバーと同じIPアドレスとして構築します。中継DNSサーバーはインターネットの名前解決はサービスプロバイダーへフォワードし、ドメインの名前解決は Managed MSAD に条件付きフォワードします。
中継DNSサーバーは比較的簡単に構築できるので、下記にてご紹介いたします。
中継DNSサーバーの構築手順
Windows Server 2016 で構築した場合をご紹介します。 サーバーマネージャーより「役割と機能の追加」を選択します。
「サーバーの役割の選択」で「DNSサーバー」にチェックを入れます。「DNSサーバーに必要な機能を追加しますか?」は「機能の追加」とします。
他はデフォルトとして画面を進めて、インストールを完了します。
続けてDNSサーバーの設定を行います。「管理ツール」-「DNS」を選択します。
「DNSマネージャー」が開始されます。左ツリーよりDNSサーバーを右クリックし、「プロパティ」を選択します。
「プロパティ」が開きます。「フォワーダー」タブより、インターネットの名前解決として利用するDNSサーバーをフォワーダーとして設定します。下記例では Google DNSサーバー 8.8.8.8 としています。
「インターフェイス」タブを開きます。「リッスン対象:すべての IP アドレス」が選択されていることを確認します。
続けて「条件付きフォワダー」を設定します。
「新規条件付きフォワーダー」の画面が開きます。「DNSドメイン」に Managed MSAD ドメインの「ディレクトリのDNS名」を、「マスターサーバーのIPアドレス」に Managed MSAD ドメインの「DNSアドレス」を入力し「OK」を選択します。
移行元ADサーバーを廃止するタイミングで、中継DNSサーバーのIPアドレスを移行元ADサーバーと同じアドレスへ変更して、サーバーを入替します。
メンバーサーバーやクライアント側でインターネットの名前解決や、ドメイン接続が正常に行えることをテストします。
ping www.google.com nltest /sc_query:(移行先 Managed MSAD ドメイン名)
これで移行元ADサーバーが無くなっても、名前解決は利用できるようになりました。中継DNSサーバーが存在している間に、クライアントのDNSサーバー指定を変更しましょう。
中継DNSサーバーを廃止するタイミング
中継DNSサーバーを廃止するタイミングについては判断が難しいと思われます。そんな時は中継DNSサーバーのデバッグを有効にして、DNSパケット着信が存在しないか調べる方法があります。
DNSサーバーのプロパティで「デバッグのログ」タブを開きます。「デバッグのためにパケットのログを記録する」を有効にし、ログファイルの「ファイルへのパスと名前」でログファイル名を指定します。 着信パケットのみ調査なので「発信」はオフでも大丈夫です。
ログにプライベートIPアドレスが出てくるようであれば、中継DNSサーバーを指定しているクライアントが残っていますので調査して対応します。
まとめ
今回は AWS Managed Microsoft AD を利用するとしましたが、EC2 で従来型 ADサーバー を構築する場合でも、DNSサーバーのIPアドレス変更は発生します。この場合も、ご紹介の中継DNSサーバーを利用した対策は適用可能です。
本BLOGが、ADサーバーをAWSクラウドへの移行検討される方のご参考になれば幸いです。
