DNS切り替え時のログについて

この応答は自動的に翻訳されています。これは、文法上の誤りや奇妙な言い回しにつながる可能性があります。

こんにちは

ここに投稿していただきありがとうございます!

クライアントがドメイン コントローラーで認証する必要がある場合、通常、DNS クエリを実行してドメイン コントローラーの SRV (サービス) レコードを検索します。SRV レコードには、ドメイン コントローラーの IP アドレスと、ドメイン コントローラーが提供するサービス (LDAP や Kerberos など) に関する情報が含まれています。

古い DNS サーバーに古いドメイン コントローラの SRV レコードが残っている場合、クライアントは認証プロセス中に古い DNS サーバーにクエリを送信できます。これは、クライアントが DNS サーバーを使用してドメイン コントローラーの IP アドレスを解決しているためです。

また、DNSサーバーを切り替えるときは、すべてのデバイスとサービスが新しいDNSサーバーを使用していること、およびクエリが古いDNSサーバーに送信されていないことを確認することが重要です。ここでは、古いDNSサーバーへのクエリを排除するためのヒントをいくつか紹介します。

小切手 DNS設定:サーバー、デバイス、通信デバイスなど、すべてのデバイスのDNS設定を再確認してください。新しい DNS サーバーの IP アドレスがプライマリ DNS サーバーとして正しく構成されていることを確認し、古い DNS サーバーへの参照をすべて削除します。

DHCP設定:DHCPを使用してIPアドレスとDNS設定をデバイスに割り当てる場合は、 DHCP設定を更新して、新しいDNSサーバーのIPアドレスをプライマリDNSサーバーとして提供します。デバイスが更新されたDNS設定をすばやく取得できるように、DHCPリース期間が適切であることを確認してください。

Wi-Fi 構成: DNS設定を提供するWi-Fiアクセスポイントがある場合は、新しいDNSサーバーを使用するように構成を更新します。ネットワークに接続するときは、Wi-Fi クライアントが更新された DNS 設定を受信していることを確認します。

DNSキャッシュをクリア する:一部のデバイスには、クリアする必要があるDNSキャッシュがある場合があります。Windows デバイスでは、コマンド プロンプトで ipconfig /flushdns コマンドを実行することで、DNS キャッシュをフラッシュできます。これにより、デバイスは新しいDNSルックアップを実行できるようになり、キャッシュされた情報に依存しなくなります。

SRV レコード: DNS 構成に 、古い DNS サーバーを指す SRV レコードがあるかどうかを確認することが重要です。その場合は、これらのレコードを更新または削除して、デバイスが認証またはその他のプロセス中に古い DNS サーバーへのクエリを試みないようにします。

DNSログの監視:古いDNSサーバーと 新しいDNSサーバーの両方のDNSログを監視します。これは、古いDNSサーバーにクエリを送信しているデバイスまたはサービスを特定するのに役立ちます。ログを分析してこれらのクエリのソースを特定し、適切なアクションを実行してそれらのデバイスの DNS 設定を更新します。

すべてのデバイスとサービスが新しい DNS サーバーを使用していること、およびクエリが古い DNS サーバーに送信されなくなったことを確認したら、古い DNS サーバーの使用停止を検討できます。ただし、予期せぬ事態が発生した場合に備えて、バックアップとして古いDNSサーバーを一定期間オフラインにしておくことをお勧めします。

DNSスイッチを作成したら、ネットワークとサービスの機能を徹底的にテストして、すべてが期待どおりに機能していることを確認することを忘れないでください。

すでにお試しいただいている場合は、さらに調査させていただきますので、お知らせください。

チャブーンです。

この件ですが、

> 参照DNSを変えても、DNSを参照に行った場合SRVレコードなどを見て、旧DNSもまだ存在しますので認証時にクエリーを送ってしまっているということはありますでしょうか。

はい。その通りです。なのでSRVレコードからhost名を取り除くため、基本的には旧ドメインコントローラーは降格する必要があります。ただし次善の策として「サイトを構成する」ことで、名前解決以降のログオントラフィックを旧ドメインコントローラーに行わないようにする、ことは可能です(完全にアクセスを0にはできない場合もあります)。何が何でもアクセスを0にしたいなら「Split-Brain DNS」を構成して旧ドメインコントローラーのhost名を(クライアントからは)見せないようにする、といったことが必要です。

Active Directory でスプリット ブレイン DNS に DNS ポリシーを使用する | Microsoft Learn

> どのように旧DNSへのクエリーをなくせるか教えてください。

DNSにこだわっておられるようですが、DNSクエリーは結論として「名前解決すればよい」ので、旧DNSサーバーにアクセスできなくても新DNSサーバーから情報を得ようとするので、一般論として大きな問題は起きにくいです(ゾーン情報が同じであれば、ですが)。ただしDNSリゾルバキャッシュなどで「旧ドメインコントローラーへのDNSアクセスを優先している」状態だと、リセットするにはリゾルバキャッシュの削除か、DNSクライアントの再起動が必要です。

最初に戻るのですが、普通調査の場合、ネットワークトレース情報などで「送信元IPアドレス」の把握を行うのだと思います。通信元はそれでわかると思うので、その端末に対して調査を行う、ようなことはできないのでしょうか？もし調査を全省略して、ただただ無私に「アクセスさせたくない！」と思うのであれば、上記のSplit-Brain DNSを構成してクライアントに(旧ホスト名を)見せないようにしてください。

チャブーンさん　いつもありがとうございます。

実はこのログの精査はDCの降格のために行っております。

現環境は大規模な海外含むフォレスト環境でサイトも11に分かれており、9台のDCを降格してIPも変更しなければならないという状況でして、またDNS参照してきているものはドメイン内のものだけでなくWindows以外のLinuxや通信機器、プリンタや複合機など様々で、それぞれ固定IPを設定しているものの参照DNSを変更しなければなりません。ログがゼロになれば降格して廃止予定のDNSを廃止する、つまりDC降格をするという計画でした。

固定IPも各チームで管理はされていますが、台帳も一部更新されていないものもあり、掴み切れていないものも多数（海外拠点含む）あり、DNSログにクエリーを送ってきているIPを特定して、そこから使用している部署や担当者を探して変更依頼するということをしなければならない状況でしたので、既にDNSを変更している機器のIPからのログは消したかったわけです。

なぜならDNSのログは12時間程度で400万行ほどにもなります。テキストベースで一行おきに記載されますので、半分になりますが、200万行以上となり、そこからフィルタをかけソートをして重複を取ってといった作業した結果、既に変更しているIPがかなり残っており、その照合にも時間がかかりました。

ですので、ログをどうにか消したいと思い質問させていただいておりましたが、どうもログをゼロにするということを実現するには教えていただきましたようにいろいろ考えなくてはならないことも多いようですので、一旦それを踏まえて今後の方針を考え、その後必要なことがあればMSのプレミアサポート等を利用するなりして進めていきたいと思います。

ご教示いただきましてありがとうございました。参考にさせていただきますね。

Karlie Wengさん　ご回答ありがとうございます。

参考にさせていただきます。ヒントをいただきましてありがとうございました。

ログ解析にどのようなツールを使われているか分かりませんが、Log Parser や Power Query を使うと大容量のログの解析がはかどると思います。

お使いで無ければ参考にしてください。

Download Log Parser 2.2 日本語版 from Official Microsoft Download Center

Power Query は Excel の「取得と変換」から利用しても良いですが、データ量が大きい場合は Power BI を利用する方がお勧めです。