DNS切り替え時のログについて

Anonymous
2024-01-14T16:34:03+00:00

グローバルIP対応でDNSサーバーのIPの変更が必要になり、新しいDNSサーバーを立てて入れ替えようとしていますが、参照DNSを自動で取得できるWi-FiやDHCP以外の固定IPアドレス(サーバーや端末や通信機器など)の手動設定変更しています。

旧DNSでデバッグログを設定していますが、既に参照DNSを変更したにも関わらず旧DNSにクエリーを送っているログが多数あり、旧DNSを廃止することができません。またWi-FiやDHCPもDNSを変更済ですが、旧DNSサーバーにログが結構あります。

参照DNSを変えても、DNSを参照に行った場合SRVレコードなどを見て、旧DNSもまだ存在しますので認証時にクエリーを送ってしまっているということはありますでしょうか。どのように旧DNSへのクエリーをなくせるか教えてください。またクエリーのログがなくなれば切り替えてよいという判断も正しいでしょうか。よろしくお願いいたします。

なお旧DNSはWindows Server 2012で、新DNSはWindows Server 2019のDCです。

Windows Server ネットワーク ネットワーク接続とファイル共有

ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。 プライバシーを保護するために、移行された質問のユーザー プロファイルは匿名化されます。

0 件のコメント コメントはありません
{count} 件の投票

6 件の回答

並べ替え方法: 最も役に立つ
  1. Anonymous
    2024-01-15T07:40:44+00:00

    この応答は自動的に翻訳されています。これは、文法上の誤りや奇妙な言い回しにつながる可能性があります。

    こんにちは

    ここに投稿していただきありがとうございます!

    クライアントがドメイン コントローラーで認証する必要がある場合、通常、DNS クエリを実行してドメイン コントローラーの SRV (サービス) レコードを検索します。SRV レコードには、ドメイン コントローラーの IP アドレスと、ドメイン コントローラーが提供するサービス (LDAP や Kerberos など) に関する情報が含まれています。

    古い DNS サーバーに古いドメイン コントローラの SRV レコードが残っている場合、クライアントは認証プロセス中に古い DNS サーバーにクエリを送信できます。これは、クライアントが DNS サーバーを使用してドメイン コントローラーの IP アドレスを解決しているためです。

    また、DNSサーバーを切り替えるときは、すべてのデバイスとサービスが新しいDNSサーバーを使用していること、およびクエリが古いDNSサーバーに送信されていないことを確認することが重要です。ここでは、古いDNSサーバーへのクエリを排除するためのヒントをいくつか紹介します。

    小切手 DNS設定:サーバー、デバイス、通信デバイスなど、すべてのデバイスのDNS設定を再確認してください。新しい DNS サーバーの IP アドレスがプライマリ DNS サーバーとして正しく構成されていることを確認し、古い DNS サーバーへの参照をすべて削除します。

    DHCP設定:DHCPを使用してIPアドレスとDNS設定をデバイスに割り当てる場合は、 DHCP設定を更新して、新しいDNSサーバーのIPアドレスをプライマリDNSサーバーとして提供します。デバイスが更新されたDNS設定をすばやく取得できるように、DHCPリース期間が適切であることを確認してください。

    Wi-Fi 構成: DNS設定を提供するWi-Fiアクセスポイントがある場合は、新しいDNSサーバーを使用するように構成を更新します。ネットワークに接続するときは、Wi-Fi クライアントが更新された DNS 設定を受信していることを確認します。

    DNSキャッシュをクリア する:一部のデバイスには、クリアする必要があるDNSキャッシュがある場合があります。Windows デバイスでは、コマンド プロンプトで ipconfig /flushdns コマンドを実行することで、DNS キャッシュをフラッシュできます。これにより、デバイスは新しいDNSルックアップを実行できるようになり、キャッシュされた情報に依存しなくなります。

    SRV レコード: DNS 構成に 、古い DNS サーバーを指す SRV レコードがあるかどうかを確認することが重要です。その場合は、これらのレコードを更新または削除して、デバイスが認証またはその他のプロセス中に古い DNS サーバーへのクエリを試みないようにします。

    DNSログの監視:古いDNSサーバーと 新しいDNSサーバーの両方のDNSログを監視します。これは、古いDNSサーバーにクエリを送信しているデバイスまたはサービスを特定するのに役立ちます。ログを分析してこれらのクエリのソースを特定し、適切なアクションを実行してそれらのデバイスの DNS 設定を更新します。

    すべてのデバイスとサービスが新しい DNS サーバーを使用していること、およびクエリが古い DNS サーバーに送信されなくなったことを確認したら、古い DNS サーバーの使用停止を検討できます。ただし、予期せぬ事態が発生した場合に備えて、バックアップとして古いDNSサーバーを一定期間オフラインにしておくことをお勧めします。

    DNSスイッチを作成したら、ネットワークとサービスの機能を徹底的にテストして、すべてが期待どおりに機能していることを確認することを忘れないでください。

    すでにお試しいただいている場合は、さらに調査させていただきますので、お知らせください。

    1 人がこの回答が役に立ったと思いました。
    0 件のコメント コメントはありません
  2. Anonymous
    2024-01-16T07:10:17+00:00

    チャブーンです。

    この件ですが、

    > 参照DNSを変えても、DNSを参照に行った場合SRVレコードなどを見て、旧DNSもまだ存在しますので認証時にクエリーを送ってしまっているということはありますでしょうか。

    はい。その通りです。なのでSRVレコードからhost名を取り除くため、基本的には旧ドメインコントローラーは降格する必要があります。ただし次善の策として「サイトを構成する」ことで、名前解決以降のログオントラフィックを旧ドメインコントローラーに行わないようにする、ことは可能です(完全にアクセスを0にはできない場合もあります)。何が何でもアクセスを0にしたいなら「Split-Brain DNS」を構成して旧ドメインコントローラーのhost名を(クライアントからは)見せないようにする、といったことが必要です。

    Active Directory でスプリット ブレイン DNS に DNS ポリシーを使用する | Microsoft Learn

    > どのように旧DNSへのクエリーをなくせるか教えてください。

    DNSにこだわっておられるようですが、DNSクエリーは結論として「名前解決すればよい」ので、旧DNSサーバーにアクセスできなくても新DNSサーバーから情報を得ようとするので、一般論として大きな問題は起きにくいです(ゾーン情報が同じであれば、ですが)。ただしDNSリゾルバキャッシュなどで「旧ドメインコントローラーへのDNSアクセスを優先している」状態だと、リセットするにはリゾルバキャッシュの削除か、DNSクライアントの再起動が必要です。

    最初に戻るのですが、普通調査の場合、ネットワークトレース情報などで「送信元IPアドレス」の把握を行うのだと思います。通信元はそれでわかると思うので、その端末に対して調査を行う、ようなことはできないのでしょうか?もし調査を全省略して、ただただ無私に「アクセスさせたくない!」と思うのであれば、上記のSplit-Brain DNSを構成してクライアントに(旧ホスト名を)見せないようにしてください。

    1 人がこの回答が役に立ったと思いました。
    0 件のコメント コメントはありません
  3. Anonymous
    2024-01-18T04:40:40+00:00

    チャブーンさん いつもありがとうございます。

    実はこのログの精査はDCの降格のために行っております。

    現環境は大規模な海外含むフォレスト環境でサイトも11に分かれており、9台のDCを降格してIPも変更しなければならないという状況でして、またDNS参照してきているものはドメイン内のものだけでなくWindows以外のLinuxや通信機器、プリンタや複合機など様々で、それぞれ固定IPを設定しているものの参照DNSを変更しなければなりません。ログがゼロになれば降格して廃止予定のDNSを廃止する、つまりDC降格をするという計画でした。

    固定IPも各チームで管理はされていますが、台帳も一部更新されていないものもあり、掴み切れていないものも多数(海外拠点含む)あり、DNSログにクエリーを送ってきているIPを特定して、そこから使用している部署や担当者を探して変更依頼するということをしなければならない状況でしたので、既にDNSを変更している機器のIPからのログは消したかったわけです。

    なぜならDNSのログは12時間程度で400万行ほどにもなります。テキストベースで一行おきに記載されますので、半分になりますが、200万行以上となり、そこからフィルタをかけソートをして重複を取ってといった作業した結果、既に変更しているIPがかなり残っており、その照合にも時間がかかりました。

    ですので、ログをどうにか消したいと思い質問させていただいておりましたが、どうもログをゼロにするということを実現するには教えていただきましたようにいろいろ考えなくてはならないことも多いようですので、一旦それを踏まえて今後の方針を考え、その後必要なことがあればMSのプレミアサポート等を利用するなりして進めていきたいと思います。

    ご教示いただきましてありがとうございました。参考にさせていただきますね。

    0 件のコメント コメントはありません
  4. Anonymous
    2024-01-18T04:43:23+00:00

    Karlie Wengさん ご回答ありがとうございます。

    参考にさせていただきます。ヒントをいただきましてありがとうございました。

    0 件のコメント コメントはありません
  5. Anonymous
    2024-01-19T03:09:30+00:00

    ログ解析にどのようなツールを使われているか分かりませんが、Log Parser や Power Query を使うと大容量のログの解析がはかどると思います。

    お使いで無ければ参考にしてください。

    Download Log Parser 2.2 日本語版 from Official Microsoft Download Center

    Power Query は Excel の「取得と変換」から利用しても良いですが、データ量が大きい場合は Power BI を利用する方がお勧めです。

    0 件のコメント コメントはありません