更改域控制器上的 IP 地址

在这篇文章中，我将演示如何更改域控制器上的 IP 地址。

在更改 IP 地址之前，检查清单非常重要。对域控制器的任何更改都可能会中断服务并影响业务运营。请参阅下面的清单。

对于此演示，我进行了以下设置。

• DC1，IP地址192.168.100.10
• DC2，IP地址192.168.100.11
• DC3，IP地址192.168.100.12

我要将 DC2 上的 IP 更改为 192.168.100.15。如果您要更改为不同的子网，则需要考虑其他事项，我将在清单中介绍这些事项。

变更前清单

我建议在进行更改之前检查此清单上的每个项目。我已经将许多域控制器从小网络迁移到大型网络，这些步骤是我的救星。如果您经常这样做，您可能会想出自己的清单。

您有多个域控制器吗？

出于灾难恢复原因，最佳做法是拥有多个域控制器并备份 Active Directory。如果您只有一个域控制器，我不建议对域控制器进行重大更改。如果您有多个 DC 并且更改破坏了服务器，您仍然可以从辅助 DC 进行操作。

您可以使用以下命令获取域中所有域控制器的列表：

Get-ADDomainController -filter * | select hostname, domain, forest

检查 FSMO 角色

DC 是否担任任何 FSMO 角色？使用此命令轻松检查：

netdom query fsmo

下面您可以看到我的所有 FSMO 角色都在 DC1 上。

为了帮助避免身份验证服务中断，您可以将 FSMO 角色移动到同一站点上的另一个域控制器。请记住，您需要将手动配置的所有服务移至服务器。

我正在对 DC2 进行更改，该 DC2 上没有运行 FSMO 角色。

检查已安装的角色和功能

我建议检查服务器上正在运行哪些服务，您不想更改 IP 然后出现问题，因为您不知道它是 DHCP 服务器或 Web 服务器。

• 检查控制面板是否安装了软件
• 检查已安装的角色和功能

您可以使用以下命令快速检查已安装的角色和功能：

Get-WindowsFeature | Where-Object {$_. installstate -eq "installed"}

下面您可以看到我的 DC2 服务器上运行着一些关键服务，包括 DHCP 和 DNS。更改 IP 地址时我需要考虑这一点。

使用 Wireshark 查找指向域控制器的设备

Wireshark 可以帮助您识别哪些系统指向您的域控制器以提供 DNS、DHCP 等各种服务。这可能是最重要的变更前步骤。

有用的 Wireshark 过滤器：

• 域名系统
• DHCP
• LDAP
• DCERPC

这是一个例子：

数据包捕获显示系统 192.168.100.22 正在使用 DC2 作为 DNS。我之前曾对域控制器进行过大规模迁移，并使用 Wireshark 来帮助识别仍指向旧域控制器的系统。根据经验，您可能会对有多少系统硬编码到您的 DCS 感到惊讶。

检查域控制器运行状况

在进行更改之前，您需要检查域控制器是否正常。任何问题都可能导致复制问题、DNS 问题等。我有一份关于如何使用 dcdiag 的完整指南，它实际上非常容易使用。只需在服务器上打开命令提示符并运行命令即可。

dcdiag

检查 DNS 的运行状况

默认情况下，dcdiag 不测试 DNS。使用此命令对 DNS 运行完整的测试。

dcdiag /test:dns /v

确保服务器通过所有测试并且名称解析 SRV 记录已注册。

运行最佳实践分析器

最佳实践分析器可以根据 Microsoft 最佳实践查找配置问题。 BPA 工具并不总是准确，因此您需要仔细检查其结果。此外，任何错误或警告并不意味着您的迁移将会失败。它可以根据 Microsoft 最佳实践帮助您发现任何重大错误配置。

这是我的 DC2 的扫描结果。

我收到一条警告，指出以太网适配器设置中不包含环回地址。最佳实践是将首选 DNS 服务器指向另一个 DNS 服务器（而不是其本身）。

以下是应如何配置的示例：

我的 DC2 IP 地址是 192.168.100.11。您可以看到我将首选 DNS 设置为另一个域控制器 (DC1)，并将备用 DNS 设置为环回地址。这是微软的最佳实践。

同样，最佳实践分析器发现的任何警告或错误并不意味着您的迁移将会失败。但为了帮助避免任何潜在的迁移问题，我建议运行此工具并查看扫描结果。它甚至可能解决一些您不知道的问题。

您要更改子网吗？

如果您要更改为新子网，请考虑以下事项：

• 如果服务器也运行 DHCP，您将需要更新交换机或防火墙上的帮助程序地址。
• 将新子网添加到 Active Directory 站点和服务。

检查防火墙规则

是否有任何防火墙规则需要更新？这可能是您的网络防火墙和基于 Windows 的防火墙。我通常在网络防火墙上制定规则，限制关键服务器（例如域控制器）的网络访问。我需要更新防火墙规则以允许流量到达新的 DC IP。

规划并安排 IP 变更

我建议在维护时段进行此类更改。无论你为改变做了多少准备，总会有可能出现问题。您需要有一个维护窗口，以便有时间解决任何问题。不要忘记提前与您的团队沟通这些变化。

如何更改域控制器的 IP 地址：

以下是更改域控制器上的 IP 地址的步骤。

1. 本地登录到服务器（控制台访问，不要 RDP 或使用远程访问）。

2. 更改 NIC TCP/IP 设置

   1. 更改IP地址
3. 更改子网掩码（如果需要）
4. 更改默认网关（如果需要）
5. 首选 DNS 服务器（应指向同一站点中的另一个 DC）
6. 备用 DNS 服务器（应为环回地址 127.0.0.1）

视频教程

完毕。干得好！

变更后清单：

• 如果 DC 服务器也是 DNS 服务器，则更新 DHCP 设置
• 如果子网地址发生更改，请确保 AD 站点和服务已更新
• 更新使用静态 IP 地址的客户端
• 更新其他 DC 的网卡设置（如果需要）
• 运行命令 dcdiag 和 dcdiag /test:dns /v 来检查问题。
• 验证 DNS 是否正常工作，您可以使用 nslookup 来完成此操作。
• 测试对 DC 的身份验证。您可以通过手动将客户端 IP DNS 设置设置为 DC 的 IP 或使用 PowerShell 并指定身份验证服务器来完成此操作。
• 继续使用wireshark监控旧IP - 这可以通过span端口来完成，或者将DC的旧IP分配给安装了wireshark的计算机。这对于帮助查找仍在使用 DC 旧 IP 的系统很有用。
• 如果需要，更新防火墙规则。
• 如果客户端系统出现问题，请尝试使用 ipconfig /flushdns 命令刷新本地 dns 缓存
• 只要更新 DNS，更改 DC 上的 IP 地址就不会影响服务器上的任何共享。

我希望您觉得这篇文章有用。您可能还想查看我的有关运行 Active Directory 运行状况检查的指南。