Смена IP адреса контроллера домена — это не совсем штатная процедура, которая потенциально может вызвать проблемы с доступностью доменных сервисов для клиентов. Но при надлежащем планировании и реализации, смена IP адреса контроллера домена, не вызовет проблем с инфраструктурой AD.
В нашем случае в связи со сменой IP адресации нам нужно сменить статический IP адрес контроллера домена spb-dc02 с 192.168.13.14 на 192.168.113.14.
Прежде, чем приступить к смене IP адреса в настройках сетевой карты на DC выполните ряд предварительных проверок:
- Подразумеваем, что в вашей сети развернуто несколько контроллеров домена ;
- Убедитесь, что на spb-dc02 не запущены роли хозяев операций домена(если такие есть, нужно перенести FSMO роли на другой DC ):
netdom query fsmo
- Если на вашем DC запущен сервер DHCP , рекомендуется заранее перенастроить его так, чтобы в качестве Secondary DNS он сразу отдавал клиентам новый адрес DC. Также нужно запланировать перенастройку DHCPRelay на сетевом оборудовании сразу после смены IP адреса;
- Проверьте состояние контроллера домена и репликации перед сменой IP.
dcdiag.exe /s:spb-dc02 /q
repadmin /replsum
repadmin /showrepl Проверьте, что все тесты выполнены без ошибок или исправьте все найденные ошибки.
- Проверьте что в качестве Preferred DNS сервера в настройках сетевого подключения указан адрес другого DC в этом же сайта, а в качестве Alternate DNS – loopback интерфейс 127.0.0.1 (это практика, рекомендуемая Microsoft).
- Если вы меняете IP адрес и подсеть, проверьте что новая IP подсеть добавлена в сайтах AD и ей назначен соответствующий сайт;
- Идентифицируйте все устройства, которые используют старый IP адрес контроллера домена в качестве DNS сервера. Можно включить логирование всех DNS запросов и получить список устройств, которые используют DNS на этом DC. Чаще всего проблемы при смене DNS могут возникнуть с различными сетевыми устройствами (принтеры, сканеры, сетевое или инфраструктурное оборудования) на которых настройки TCP/IP задаются руками. Вам нужно идентифицировать такие устройства, и проверить что в их настройках указано как минимум два DNS сервера;
- Если доступ между сетевыми сегментами в вашей сети ограничивается фаейрволами, заранее добавьте правила для нового IP адреса. На других DC и клиентах можно добавить правила, разрешающие доступ от/к новому IP в Windows Defender Firewall через GPO .
После того, как вы выполнили подготовительные шаги, можно перейти собственно к смене IP адреса DC:
- Запланируйте время смены IP адреса на сервисное окно с минимальным возможным простоем для пользователей;
- Подключитесь к DC. Желательно подключиться на консоль (если это виртуальная машина) или через интерфейс управления физическим сервером, такой как iLO, iDRAC, KVM-over-IP и т.д.;
- Откройте панель управления сетевыми подключениями (
ncpa.cpl ), откройте свойства сетевого адаптера и смените IP адрес (и подсеть если нужно). Сохраните изменения; 4) Затем очистите локальный кэш, перерегистрируйте сервер в DNS и перезапустите службы:
ipconfig /flushdns
ipconfig /registerdns
Обновить DNS записи для контроллера домена (это в том числе обновит SRV записи в _msdcs, _sites, _tcp, _udp). nltest /server:spb-dc02 /dsregdns
net stop dns & net start dns
net stop netlogon & net start netlogon
- Выполните команду
dcdiag /fix для обновления записей SPN - Затем еще раз выполните проверку:
dcdiag.exe /s:spb-dc02 /q - Откройте консоль DNS Manager и проверьте DNS записи контроллера домена были обновленs. Проверьте, правильно ли созданы новые записи нашего сервера в прямых и обратных зонах DNS. При необходимости откорректируйте их. Если где-то остались записи для старого IP адреса, их нужно удалить руками.
- Удалите старый IP адрес DC в параметрах зон DHCP (если используются). Укажите новый IP адрес в настройках DNS на устройствах со статической адресацией. Изменить параметры DNS на удаленных компьютерах можно с помощью PowerShell (пример в статье по ссылке).