ドメインコントローラで裏LANを使う

サーバー機には2枚のNICがついているのが普通です。2枚目のNICを管理ネットワークとしてUPSとの通信などに使うという使い方をすることがあります。こういうのを裏LANと言ったりします。裏LANは，一般のネットワークからは隔離されている場合が多いと思います。この記事は，そういった裏LANを運用している状態で，Windowsのドメイン コントローラを設置する際に注意すべき点について記します。

ラウンド ロビン

Windowsのドメイン コントローラは通常DNSサーバーを兼ねます。 そして同じホスト名のAレコードが複数ある場合には，ラウンドロビンでDNSクエリーを受け取るたびに，違うアドレスを返します。これがラウンド ロビンです。

裏LANを運用する場合，これが悪さをします。DNSサーバーに2枚のNICがありそれぞれにIPアドレスが割り当てられている場合，それらのアドレスは両方ともDNSに登録されます。これは上記の複数のAレコードがある場合にあてはまるので，DNSサーバーは2つのNICのアドレスを交互に返すことになります。

例えば，次のような設定の場合

ラウンド ロビンが有効になり，DNSは一般ネットワークからのクエリーに対しても192.168.1.100を返したり192.168.200.100を返したりします。ところが192.168.200.100は裏LANで，一般のネットワークからアクセスできないのでserver01として引いたIPアドレスが2回に1回は接続不能なアドレスを返すという状況になってしまいます。

ラウンド ロビンはデフォルトで有効になっています。これを無効にするには，管理ツール > DNSを起動し，サーバ名を右クリックしてポップアップ・メニューの［プロパティ］を実行すると，次のようなダイアログが表示されます。［詳細］タブにある［サーバ オプション］でラウンドロビン機能の有効／無効を設定することができます。

裏LANのアドレスを隠す

それでも，DNSでserver01を引いたときには，裏LANのIPも返ってきます。裏LANのIPをDNSが返さないようにするには，同じダイアログの「インターフェイス」タブで設定します。

デフォルトではリッスン対象が上図のように「すべてのIPアドレス」になっています。これを「指定したIPアドレス」に変更して，裏LANのIPアドレスを削除します。

上記のようにするとDNSには裏LANのNICは登録されなくなります。この処理をする場合は，前項のラウンド ロビンの無効化は設定する必要はありません。