- PR -

アクティブディレクトリのサイト間のドメインサーバーの同期の仕組み?

1
投稿者投稿内容
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2005-11-07 07:57
現在、Window2000サーバーでいくつかドメインサーバーがおいてあり
サイト間のドメインサーバー同士で同期をとる仕組みになってます
同期はアクティブディレクトリ サイト サービス
で定義されており、同期をとるグループが設定されてます。
ここでWindowsの素人の私が疑問におもったのですが
こういう設定がされている場合
(単純に2つ以上のアクティブディレクトリサーバーがグループになっている)
同じレコードがあった場合、どちらを優先するのでしょうか?

たとえばアクティブディレクトリ1とアクティブディレクトリ2が
15分ごとに同期をとるように設定されていて
その15分の間に
アクティブディレクトリ1 でユーザAがパスワード "111"で作成され
同時に
アクティブディレクトリ2 でユーザAがパスワード "222"で作成されてしまった場合
どちらを優先して同期がとられるのでしょうか?

どうかご教授ください。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-11-07 08:00
おはようございます.

Active Directory の object は serial namber が振られていて,
それが最新のものが優先されます.
なので,万が一同時に書き込まれたら,
最新の serial number(後から更新された部分)が優先されます.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-11-07 10:07
ユーザについてはKazさんのおっしゃる通り。
では、グループの場合はどうなるんでしょうね。とネタを振ってみる。

あるドメインにGroup1というグローバルグループが存在します。
Group1のメンバはUser1とUser2です。
DC1とDC2は別サイトに存在してます。

DC1とDC2のサイト間複製が行われる間に、
・DC1にてGroup1からUser2を削除、
・DC2にてGroup1にUser3を追加
という変更処理が、上記の順番で行われました。

・DC1とDC2がそれぞれWindows2000
・DC1とDC2がそれぞれWindows2003
の場合の結果を答えなさい。

Windows2003 ADの改善点を説明する問題だったりします。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-11-07 21:59
引用:

Mattunさんの書き込み (2005-11-07 10:07) より:


・DC1とDC2がそれぞれWindows2000
・DC1とDC2がそれぞれWindows2003
の場合の結果を答えなさい。

Windows2003 ADの改善点を説明する問題だったりします。

話の筋から推測しますが,
Windows 2000 では over write されてしまい,
Windows 2003 では順番に処理されるのでしょうか?
Active Directory の仕様ってそこまで改善してるとしたらちょっと見直しました.
とすると User Group の object としての扱いが大きく変わったということ?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-11-07 23:06
引用:

話の筋から推測しますが,
Windows 2000 では over write されてしまい,
Windows 2003 では順番に処理されるのでしょうか?

たぶんあってると思うんだけど、答えを書くと、
・Windows2000: Group1にUser1/User2/User3(User2の削除が行われない)
 2000の複製では、下記のようにグループに含まれるオブジェクトの結果だけが複製されます。
  ・DC1→DC2: Group1にUser1が存在
  ・DC2→DC1: Group1にUser1/User2/User3が存在
 なので、新しい更新である、DC2→DC1の複製だけが反映されて、
 結果としてDC1→DC2の、「Group1からUser2を削除」が反映されません。

・Windows2003: Group1にUser1/User3
 2003の複製では、下記のように、グループ内オブジェクトの変化内容が複製されます。
  ・DC1→DC2: Group1からUser2を削除
  ・DC2→DC1: Group1にUser3を追加
 なので、結果として、意図した通りの変更内容に処理されます。

引用:

Active Directory の仕様ってそこまで改善してるとしたらちょっと見直しました.
とすると User Group の object としての扱いが大きく変わったということ?

素直に、「こんな不具合があった」ってのを解決する手法が、
上記のようなものなんだと思います。

まあ、色々最適化されてるので、ADを2000から2003に移行する価値は
結構高いと思ってます。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2005-11-08 05:41
KAzさん、Mattunさん

いつも回答していただきありがとうございます。
ぎもんがはれ、すっきりしました

ところでそのシリアル番号は
ADSIのツールで見えるんですか。
まあ運用するだけなら、あとで更新したほうを優先するということさえ
しっておけばいいのですが、サーバー同士が若干
時刻がずれていた場合、どうなるんだろうなんて考えてしまいました

いずれにせよご教授いただきありがとうございました
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-11-08 07:57
引用:

ところでそのシリアル番号は
ADSIのツールで見えるんですか。

即答できないのでこっちはおいといて。

引用:

サーバー同士が若干
時刻がずれていた場合、どうなるんだろうなんて考えてしまいました

ADの場合、それは起こりえないようになってます。
http://www.atmarkit.co.jp/fwin2k/operation/winntp01/winntp01_03.html

ADにおける時刻の統一は、特にKerberos認証において必須項目ですから。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
1

スキルアップ/キャリアアップ(JOB@IT)