Active Directory – Jak zmienić adres IP kontrolera domeny (DC)? - beitadmin.pl

Zmiana adresów IP w sieci korporacyjnej może wymagać zmiany adresu IP kontrolera domeny (jednego lub kilku). Kontrolery domeny, odpowiedzialne za uwierzytelnianie, autoryzację i rozwiązywanie nazw DNS w sieciach Windows, stanowią kluczową część infrastruktury sieciowej. Dlatego zmiana adresu IP kontrolera domeny musi być odpowiednio zaplanowana, aby uniknąć problemów z siecią.

Ważne! Zmiana adresu IP kontrolera domeny nie jest standardowym zadaniem administracyjnym. Dlatego zaleca się po prostu awansowanie nowego kontrolera domeny z nowym adresem IP w podsieci docelowej. Stary kontroler domeny powinien następnie zostać zdegradowany do serwera członkowskiego. Minimalizuje to ryzyko awarii czegokolwiek w sieci.

Przeprowadź kontrole stanu AD i replikacji oraz napraw wszelkie znalezione problemy

Na początek muszę być pewny, że DC, DNS, synchronizacje wszystko działa poprawnie, bez błędów itd.

Podstawowa diagnostyka domeny

dcdiag /v

dcdiag /v

Sprawdza:

DNS
SYSVOL
replikację
role FSMO
usługi AD

Jeśli chcesz skupić się tylko na błędach:

dcdiag /e /c /q

1	dcdiag /e /c /q

/e – wszystkie DC w domenie
/c – wszystkie testy
/q – tylko błędy

Stan replikacji AD

Szybki status

repadmin /replsummary

1	repadmin /replsummary

Pokazuje:

opóźnienia replikacji
DC z błędami

Jeśli widzisz Fails > 0 → jest problem.

Szczegóły replikacji

repadmin /showrepl

1	repadmin /showrepl

Pokazuje:

błędy per partycja
konkretne DC i przyczyny (RPC, DNS, access denied)

Wymuszenie replikacji

Jeśli wykryjesz błędy:

repadmin /syncall /AdeP

1	repadmin /syncall /AdeP

Znaczenie:

/A – wszystkie partycje
/d – identyfikatory
/e – wszystkie DC
/P – push

SYSVOL i DFSR (częsty problem po migracjach!)

Sprawdzenie stanu DFSR

dfsrdiag replicationstate

1	dfsrdiag replicationstate

dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:DC1 /rmem:DC2

1	dfsrdiag backlog /rgname:"Domain System Volume" /rfname:"SYSVOL Share" /smem:DC1 /rmem:DC2

Stan globalny DFSR

wmic /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo get replicationgroupname,replicatedfoldername,state

1	wmic /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo get replicationgroupname,replicatedfoldername,state

State = 4 → OK
State ≠ 4 → problem

Sprawdzenie DNS (krytyczne!)

dcdiag /test:dns /v

1	dcdiag /test:dns /v

Dodatkowo:

ipconfig /all

1	ipconfig /all

DC MUSI wskazywać DNS tylko na siebie / inne DC, nigdy na 8.8.8.8

Sprawdzenie ról FSMO

netdom query fsmo

1	netdom query fsmo

Upewnij się, że:

DC z FSMO jest ONLINE
nie ma starych, nieistniejących DC

Sprawdzenie „śmieciowych” DC (metadata)

repadmin /showrepl *

1	repadmin /showrepl *

Jeśli widzisz DC, które już nie istnieją → konieczny metadata cleanup.

Dzienniki zdarzeń (WAŻNE)

Event Viewer →
- Directory Service
- DNS Server
- DFS Replication
- System

Event Viewer →

- Directory Service

- DNS Server

- DFS Replication

- System

Szukaj:

4012, 2213 (DFSR)
1311, 1988 (replication)
DNS errors

Automatyczne naprawy (bezpieczne)

Restart kluczowych usług

net stop netlogon && net start netlogon
net stop dfsr && net start dfsr

1 2	net stop netlogon && net start netlogon net stop dfsr && net start dfsr

Odświeżenie rejestracji DNS

ipconfig /registerdns

1	ipconfig /registerdns

Przygotowanie do zmiany adresu IP kontrolera domeny

Przed zmianą statycznego adresu IP kontrolera domeny (DC) należy wykonać kilka czynności przygotowawczych:

Upewnij się, że w sieci są co najmniej dwa kontrolery domeny Active Directory (AD).
Przeprowadź kontrole stanu AD i replikacji oraz rozwiąż wszelkie wykryte problemy (lista poleceń powyżej).
Sprawdź, czy adres IP innego kontrolera domeny (DC) jest ustawiony jako preferowany serwer DNS w ustawieniach karty sieciowej na wszystkich kontrolerach domeny. Adres pętli zwrotnej (127.0.0.1) powinien być ustawiony jako alternatywny serwer DNS.

W konsoli Active Directory Sites and Services (dssite.msc) sprawdź, czy nowy adres IP kontrolera domeny ma podsieć IP powiązaną z lokacją Active Directory. W razie potrzeby utwórz podsieć IP.

Jak zmienić adres IP kontrolera domeny?

W tym przykładzie zmienimy stary statyczny adres IP kontrolera domeny 192.168.8.150 na nowy 192.168.8.151.

Połącz się z konsolą hosta kontrolera domeny. W zależności od infrastruktury może to być konsola maszyny wirtualnej, iLO, iDRAC, zdalna konsola IPMI itp. Nie używaj protokołu RDP do uzyskiwania dostępu do kontrolera domeny, ponieważ połączenie zostanie utracone w przypadku zmiany adresu IP.
Otwórz Panel sterowania połączeniami sieciowymi, uruchamiając polecenie ncpa.cpl.
Otwórz właściwości połączenia sieciowego -> Protokół internetowy w wersji 4 (TCP/IPv4) -> Właściwości -> określ nowy adres IP kontrolera domeny. Jeśli zmienisz podsieć, zmień adres IP bramy domyślnej.

Kliknij OK, aby zapisać zmiany.

Teraz musisz zarejestrować nowy adres IP kontrolera domeny w DNS. Otwórz wiersz poleceń jako administrator i uruchom polecenia:

ipconfig /flushdns
ipconfig /registerdns

1 2	ipconfig /flushdns ipconfig /registerdns

Aby wymusić aktualizację wszystkich rekordów zasobów kontrolera domeny w DNS (_msdcs, _sites, _tcp, _udp itd.), uruchom:

nltest /dsregdns

1	nltest /dsregdns

Otwórz przystawkę DNS Manager (dnsmgmt.msc) i sprawdź, czy rekordy DNS kontrolera domeny w strefach DNS standardowej i odwrotnej zostały zaktualizowane.

Sprawdź stan kontrolera domeny i replikację po 20–30 minutach:

Dcdiag /fix | select-string -pattern '\. (.*) \b(passed|failed)\b test (.*)'

1	Dcdiag /fix \| select-string -pattern '\. (.) \b(passed\|failed)\b test (.)'

Sprawdź ponownie stan kontrolera domeny:

dcdiag /a /q

1	dcdiag /a /q

Aktualizowanie adresu IP kontrolera domeny na klientach

Po zmianie adresu IP kontrolera domeny należy go zaktualizować na wszystkich klientach, którzy go używali. Mogą to być inne kontrolery domeny, komputery, urządzenia sieciowe (drukarki, skanery, urządzenia wielofunkcyjne itp.).

Zaktualizuj preferowany adres serwera DNS na innych kontrolerach domeny, które używały starego adresu IP.

Zmiana adresu DNS na klientach – 192.168.8.151

Jeśli przypisujesz ustawienia IP urządzeniom klienckim przez DHCP, określ nowy adres DNS w ustawieniach zakresu DHCP. Aby klienci DHCP otrzymali nowe ustawienia IP, należy ponownie uruchomić komputer. Aby klienci DHCP otrzymali nowe ustawienia IP, należy ich ponownie uruchomić lub uruchomić następujące polecenia:

ipconfig /renew
ipconfig /flushdns

1 2	ipconfig /renew ipconfig /flushdns

Ręczna zmiana ustawień DNS dla urządzeń ze statycznymi ustawieniami IP.

Upewnij się, że klienci Twojej sieci mogą uwierzytelnić się na kontrolerze domeny przy użyciu nowego adresu IP.

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).