ADサーバーのネットワークのDNSクライアント設定なのですが、昔は127.0.0.1での設定を避けていました。
理由は、
- 起動時に自分自身のDNSサーバーが起動するのが遅いため
- DNSサーバーにレコード登録がうまく行かない可能性があるため
等、どうなるか分からないリスクを回避するためです。
最近のADサーバーのDNSは127.0.0.1をプライマリに設定しても問題ないのでしょうか?
レジュメ
環境・前提条件
- Windows Server 2019
で一台のADサーバーをAWS上で構築してみました。(AD一台構成)
AWSはネットワークの設定がDHCPなのですが、その時にDNSクライアントの設定がどうなるか確認してみました。
結論、一台目のADサーバーのDNS設定は127.0.0.1(自分自身)に変更される
良いのか悪いのか、推奨値かどうかは置いておいて、
一台目のADサーバーを構築すると(昇格すると)、そのADサーバーの優先DNSサーバー設定は、127.0.0.1に変更されました。
つまり、127.0.0.1でも問題が無いから、このような変更が自動でなされるのだと思います。
DNSサーバーに問題なくADレコードが登録されているか確認してみる→OK
DNSレコードの登録を確認してみたところ、ADサーバーのADレコードが127.0.0.1で登録されていないか心配でしたが、
ちゃんとIPアドレスで登録されていました。
_tcpといった_gcや_kerberosや_kpasswdや_ldapといった、ADに必要なSRVレコードも問題なく自動登録されていました。
ADサーバーのコンピュータ名を変えても問題なくDNSレコードが書き換わるか確認してみた→最終的にはOK
ADサーバーのコンピュータ名を「ad01」と変更して再起動し、DNSサーバーを確認したところ、追加で静的にad01のレコードが作成されていました。
ただし、_tcpのSRVレコードを確認したところ、「ad01」にコンピュータ名を変更したにも関わらず、SRVレコードは前のコンピュータ名のままでした、、
これはやはり問題が起きるのではないか!?
と思い、ADサーバーのDNS clientサービスを再起動してSRVレコードを再登録したら、治りました。
今回はDNSサーバーのSRVレコードを手動で再登録させたのですが、Windows Server 2019では(他のOSでは不明)、何分かに一回(一時間以内)DNSレコードを再登録しに行っているので、待っていれば自動でSRVレコードが変更されました。
ADサーバーのDNSクライアントの設定「この接続のアドレスをDNSに登録する」のチェックは非常に重要ですので、デフォルト設定のチェックありから変えないように注意しましょう。
結論として、リスクを少しでも回避したいならば、昔ながらのDNS設定が良いですが、ADサーバーの優先DNSサーバー設定を127.0.0.1にしても問題は無いようです。
富士通のマニュアルにも優先DNSサーバー設定を127.0.0.1で書かれていますしね。
Windows Server 2016 Active Directory 移行の手引き(9ページ参照)