Active Directory(AD)環境を構築する際、DNSとDHCPの扱いは非常に重要なポイントです。今回はJ:COMルーター(KCM3100)を利用したネットワーク環境において、どのようにADと連携させたかについて紹介します。
J:COMルーターによるDNSとDHCP
我が家ではJ:COM提供のルーター(KCM3100)が、初期設定のままでDHCPとDNSの両方を担当していました。この構成でも通常のインターネット利用には問題ないのですが、Active Directory環境では事情が異なります。
Active Directoryのドメイン参加や認証機能では、内部DNSによる名前解決が必須です。J:COMルーターでは内部のドメイン情報を持っていないため、ドメインコントローラー(ADサーバー)の情報を解決できません。
DNSだけADに構築、DHCPはルーターのままに
そこで、当初はADサーバーにDNSとDHCPの両方を構築しようと考えました。しかし、DHCPをADサーバーに持たせると、万が一サーバーがダウンした際にIPアドレスが配布されず、クライアントがネットワークに接続できなくなるという懸念がありました。
このリスクを回避するため、DNSだけをADサーバーに構築し、DHCPはJ:COMルーターのまま運用する構成を採用しました。
ドメイン参加時の注意点
この構成では、J:COMルーターから配布されるクライアントPCのDNSは、ADとは無関係な外部DNSになってしまいます。そのままではドメインコントローラーを見つけられず、ドメイン参加に失敗してしまいます。
そのため、ドメインに参加させる前に、PCのDNS設定をADサーバーのIPアドレスに手動変更する必要があります。
幸い、ドメイン参加が必要なPCの台数は多くないため、この対応は手作業でも十分対応可能と判断しました。
DNSをADにすると起きた問題と対処
DNSをADサーバーに移した直後、すぐに問題が発生しました。
「インターネットに接続できない」のです。
原因は、ADサーバーのDNSが内部ドメインは解決できるが、google.comなどの外部ドメインを解決できないためです。ADサーバーのDNSは、それ単体では外部の名前解決ができません。
対策:DNSサーバーにフォワーダーを設定
この問題を解決するには、DNSマネージャーで「フォワーダー」に外部DNS(Google DNSなど)を指定する必要があります。
設定例:
- フォワーダー:
8.8.8.8(Google DNS)1.1.1.1(Cloudflare DNS)
これにより、ADサーバーは内部の名前解決は自前で行い、それ以外は外部DNSに問い合わせてくれるようになります。設定後はクライアントPCからも正常にインターネットアクセスできるようになりました。
まとめ
- DNSはADサーバーに、DHCPはJ:COMルーターのまま運用
- DHCPをサーバーに移すと可用性に課題があるため見送り
- ドメイン参加時にはDNSを手動設定する必要あり
- DNSをADにするとインターネットに接続できなくなったが、フォワーダー設定で解決
今後ドメイン参加台数が増えるようであれば、DHCPの冗長構成やサーバー側DHCPの導入も検討していきたいと思います。
コメント