Смена IP адреса контроллера домена — это не совсем штатная процедура, которая потенциально может вызвать проблемы с доступностью доменных сервисов для клиентов. Но при надлежащем планировании и реализации, смена IP адреса контроллера домена, не вызовет проблем с инфраструктурой AD.
В нашем случае в связи со сменой IP адресации нам нужно сменить статический IP адрес контроллера домена spb-dc02 с 192.168.13.14 на 192.168.113.14.
Прежде, чем приступить к смене IP адреса в настройках сетевой карты на DC выполните ряд предварительных проверок:
- Подразумеваем, что в вашей сети развернуто несколько контроллеров домена;
- Убедитесь, что на spb-dc02 не запущены роли хозяев операций домена(если такие есть, нужно перенести FSMO роли на другой DC):
netdom query fsmo
- Если на вашем DC запущен сервер DHCP, рекомендуется заранее перенастроить его так, чтобы в качестве Secondary DNS он сразу отдавал клиентам новый адрес DC. Также нужно запланировать перенастройку DHCPRelay на сетевом оборудовании сразу после смены IP адреса;
- Проверьте состояние контроллера домена и репликации перед сменой IP.
dcdiag.exe /s:spb-dc02 /q
repadmin /replsum
repadmin /showreplКак проверить здоровье контроллера домена AD. - Проверьте что в качестве Preferred DNS сервера в настройках сетевого подключения указан адрес другого DC в этом же сайта, а в качестве Alternate DNS – loopback интерфейс 127.0.0.1 (это практика, рекомендуемая Microsoft).
- Если вы меняете IP адрес и подсеть, проверьте что новая IP подсеть добавлена в сайтах AD и ей назначен соответствующий сайт;
- Идентифицируйте все устройства, которые используют старый IP адрес контроллера домена в качестве DNS сервера. Можно включить логирование всех DNS запросов и получить список устройств, которые используют DNS на этом DC. Чаще всего проблемы при смене DNS могут возникнуть с различными сетевыми устройствами (принтеры, сканеры, сетевое или инфраструктурное оборудования) на которых настройки TCP/IP задаются руками. Вам нужно идентифицировать такие устройства, и проверить что в их настройках указано как минимум два DNS сервера;
- Если доступ между сетевыми сегментами в вашей сети ограничивается фаейрволами, заранее добавьте правила для нового IP адреса. На других DC и клиентах можно добавить правила, разрешающие доступ от/к новому IP в Windows Defender Firewall через GPO.
После того, как вы выполнили подготовительные шаги, можно перейти собственно к смене IP адреса DC:
- Запланируйте время смены IP адреса на сервисное окно с минимальным возможным простоем для пользователей;
- Подключитесь к DC. Желательно подключиться на консоль (если это виртуальная машина) или через интерфейс управления физическим сервером, такой как iLO, iDRAC, KVM-over-IP и т.д.;
- Откройте панель управления сетевыми подключениями (
ncpa.cpl), откройте свойства сетевого адаптера и смените IP адрес (и подсеть если нужно). Сохраните изменения;
4) Затем очистите локальный кэш, перерегистрируйте сервер в DNS и перезапустите службы:
ipconfig /flushdns
ipconfig /registerdns
Обновить DNS записи для контроллера домена (это в том числе обновит SRV записи в _msdcs, _sites, _tcp, _udp).nltest /server:spb-dc02 /dsregdns
net stop dns & net start dns
net stop netlogon & net start netlogon
- Выполните команду
dcdiag /fixдля обновления записей SPN - Затем еще раз выполните проверку:
dcdiag.exe /s:spb-dc02 /q - Откройте консоль DNS Manager и проверьте DNS записи контроллера домена были обновленs. Проверьте, правильно ли созданы новые записи нашего сервера в прямых и обратных зонах DNS. При необходимости откорректируйте их. Если где-то остались записи для старого IP адреса, их нужно удалить руками.
- Удалите старый IP адрес DC в параметрах зон DHCP (если используются). Укажите новый IP адрес в настройках DNS на устройствах со статической адресацией. Изменить параметры DNS на удаленных компьютерах можно с помощью PowerShell (пример в статье по ссылке).
Очень странная статья, если не сказать больше.
Указанные шаги и проверки характерны для обычного рядового сервера. Для DC самое главное это SRV записи. А в этой статье нет ни команд для их перерегистрации по новому IP, ни рекомендаций по их проверке. То есть, нет самого главного при смене IP на DC: «nltest /server: /dsregdns». А после, всё равно нужно пройтись по _msdsc и другим тех зонам и проверить что появились SRV записи с новым IP и в ручную удалить записи со старым IP.
По хорошему еще надо проверить если есть трасты и DNS форварды с других доменов. Возможно этот DNS сервер у них прописан.
Не проще поднять новый с новым IP реплецировать перенести роли и удалить старый.?
Здравствуйте.
А как после этого правильно поменять адрес на первичном DC(192.168.13.10)?
По сути сейчас нет такого понятия как первичный DC. Если у вас два DC, и нужно сменить IP на одном из них, просто переносите с него (если есть) все FSMO роли на другой и меняете IP как описано тут.
Допустим я перенес роли FSMO на другой контроллер домена и поменял адресное пространство на текущем контроллере домена. Теперь у меня один контроллер домена в новом адресном пространстве и один, с ролями FSMO, остался в старом. Как мне теперь поменять адресное пространство на втором контроллере домена с ролями FSMO? По идее надо так же с него перенести роли FSMO на контроллер домена в новом адресном пространстве, но как они увидят друг друга, если находятся теперь в разных подсетях?
Обеспечьте маршрутизацию между старой подсетью и новой, потом перенесите FSMO роли и смените IP на старом DC.