DNSフォワーダー設定がAD昇格時に自動で同期・複製される？

コメントをどうぞ

AD(WindowsのActive Directory)には、DNSが必須ですよね。
２台目のADサーバーを構築した時（一緒にDNSサーバーも構築）、もしも１台目のADサーバーのDNSにDNSフォワーダー設定がされていた場合、２台目のAD昇格時にそのDNSフォワーダー設定も自動で複製されるのでしょうか？

検証し確認してみました。

レジュメ

0.1 環境・前提条件

1 結論、今ではAD昇格時にDNSフォワーダー設定も自動で設定されるが注意が必要

環境・前提条件

１台目のADサーバーは、Windows Server 2019
２台目の追加ADサーバーも、Windows Server 2019
AWS環境で検証しました（AWS固有環境である話も以下で出てきます）

でテストしました。

参考までに、昔のWindowsサーバーバージョンで言いますと、AD昇格時にDNSフォワーダー設定は同期・複製されないのが常識でした。

「DNSフォワーダの設定の複製について」（1） Windows Server Insider －＠IT

結論、今ではAD昇格時にDNSフォワーダー設定も自動で設定されるが注意が必要

つまり、常識は変わるということですね、、、
いつまでも、昔の常識・知識の中で胡坐をかいていてはダメだということを思い知り、反省しました。

AD昇格時に自動でDNSフォワーダー設定がされていました。ただし、一部設定がされていなかったり、間違った設定がされていたりしますので、DNSフォワーダー設定はAD昇格で自動で入るが確認と必要なら再設定が必要ということですね。

「同期」と「複製」の言葉の違い（あえての表現しています）

ちなみに、ここではわかり易さから「同期」と「複製」を同じような言葉として使用していますが、厳密には「同期」と「複製」は意味が違います。

同期・・・リアルタイムに設定を同期する
複製・・・ある一時点の設定をコピーする

つまり、この記事で本来使うべき言葉は「複製」ですね。

検証結果を順を追って説明します。

まず事前の1台目ADサーバーのDNSサーバー設定・クライアント設定の状況

検証前の１台目のADサーバーの設定状況です。

DNSフォワーダー設定は以下のような状況になっています。

ポイントは、

フォワーダーが設定されている。
フォワーダーが利用出来ない場合にルートヒントを使用するのチェックボックスが外れている

DNSクライアントの設定は以下になっています。

【AWS固有環境の話】
ADドメイン名のサフィックスがAWS固有環境のデフォルト設定によって入っていませんね、、、。問題になるケースもありますので注意しましょう。

セキュリティIDを解決出来ませんでした。AWS上のAD参加サーバーで注意点

２台目ADサーバーの昇格

２台目ADサーバーの昇格作業をします。２台目ADサーバーは、ドメインに参加を一切なしに（ワンステップとしてADメンバーサーバーになることをせずに）、workgroupから一気に、AD昇格させました。

気になったポイントは、

DNS委任の更新と言うのがありますが、ほとんどのローカルなAD環境（権威ある親ゾーンが存在しないため）では上記のように設定できないでしょう。

「このコンピューターは、このDNSサーバーを優先DNSサーバーとして使用するように構成されます」
とこそっとDNSクライアントに設定変更に関するメッセージが出ていたんですね。

２台目ADサーバーのDNSサーバー設定・クライアント設定の状況

目的のDNSフォワーダー設定はAD昇格作業で自動でどのようになっているかと言いますと、

DNSフォワーダー設定は以下のような状況になっていました。

フォワーダーが設定されている。
フォワーダーが利用出来ない場合にルートヒントを使用するのチェックボックスが外がされている ※設定の同期・複製がされていない

ちなみに、説明では出てきませんでしたが、２台目ADサーバーのサブネットは10.0.2.0/24です。したがって、AWS呼吸環境の話になってしまいますが、２台目ADサーバーがデフォルトで使用しているはずのDNSは10.0.2.2になります。

DNSクライアントの設定は以下になっていました。

DNSサーバーアドレス設定に「127.0.0.1」が勝手に登録されているのが、AD昇格時の「このコンピューターは、このDNSサーバーを優先DNSサーバーとして使用するように構成されます」の説明ですね。

ADサーバの優先DNSサーバー設定を127.0.0.1にしても問題ないか？

【AWS固有環境の話】
やはり、ADドメイン名のサフィックスがAWS固有環境のデフォルト設定によって入っていませんね、、、。

最後にWindows Server 2016で確認したところ驚きの結果が【注意】

最後に、２台目のAD昇格をWindows Server 2019ではなくWindows Server 2016で実施したところ

１台目ADサーバー：Windows Server 2019
２台目ADサーバー：Windows Server 2016

AD昇格後にDNSフォワーダー設定が自動で設定されていたのですが・・・
複製設定ではありませんでした。まさかのADサーバー１台目がDNSフォワーダー設定に入っていました。
想像ですが（未確認）、AD昇格前のDNSクライアント設定がDNSフォワーダーに設定されている可能性がありそうです。

つまりどちらにしても、DNSフォワーダー設定はAD昇格で自動で入るが確認と必要なら再設定が必要ですね。

コメントを残すコメントをキャンセル