- - PR -
ActiveDirectoryの複製について
| 投稿者 | 投稿内容 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-06-29 16:28
ドメインコントローラを複製する場合、
dcpromo.exeにて[既存のドメインの追加コンローラ]を選択することにより、 既存DCから複製DCが作成されます。 既存DC IP:192.168.0.1/24 DNS:192.168.0.1 複製DC IP:192.168.0.2/24 DNS:192.168.0.1 この状態で、クライアントがAD認証を行なう場合、 既存DC・複製DCの2台に対して不可分散が行なわれるという認識でおりますが、 認識に間違いはないでしょうか? また、既存DC・複製DCの2台の間では複製が行なわれますが、 DNS情報も複製されるという認識でよろしいでしょうか? もしそうである場合、現在の設定では DNSサーバのアドレスが既存DC・複製DC共に192.168.0.1となっておりますため、 192.168.0.11のみ参照される形となりますが、 これを既存DCは192.168.0.1、追加DCを192.168.0.2にした方が 負荷分散効率がよいように思えますが認識に間違いはありますでしょうか? 最後に、D:\profilesの下にユーザプロファイル情報を保存していた場合、 D:\profiles配下も既存DC・複製DC間にて複製が行なわれるという認識でよろしいでしょうか? | ||||||||||||||||
|
投稿日時: 2007-06-29 19:52
私がドメインコントローラやDNSの構築にたづさわっていたわけではないのですが、弊社は2台のプライマリマシンとセカンダリマシンにドメインコントローラとDNS、WINSのの役割をさせ、複製をとってます。ごく普通の設定なので、マシンごとに固有のIPアドレスを持ってます。ですからDNSのIPアドレスがプライマリ、セカンダリのマシンで同じになるというのは、まず、不可解です。あくまでのIPアドレスはマシン固有のものですから・・・
不可分散というよりも、プライマリが重くなってきたら、あるいはプライマリがダウンしてたら、セカンダリにクライアントからアクセスが行くという感じではないでしょうか? DNSは複製されてますが、デフォルトで複製されるようになっているのか、レプリケーションを設定しなければならないのかは不明です。でもDNSのレプリケーションの設定は確認したほうがいいです。 | ||||||||||||||||
|
投稿日時: 2007-06-29 21:14
こんばんわ.
間違っています. 負荷分散するのではなく,冗長化されるだけです.
その zone が「Active Directory 統合 zone」であれば, Active Directory の情報複製時に同時に DNS の zone 情報も複製されます. 通常 zone であれば,一般的な DNS の zone 転送により複製することが可能です. ちなみに Active Directory 統合 zone が default だったと思います.
いずれの domain controller にも DNS が動いているのですか? であれば, 優先 DNS:自分の IP address 代替 DNS:対岸の IP address が良いと思います. で,これも負荷分散ではなく,あくまでも冗長化です.
意味が良くわかりませんが,推察する限りそれは その server/client の local に格納されているものでしょうから複製されません. もう少し Active Directory について学ばれた方が良いと思います. 以上,ご参考までに. | ||||||||||||||||
|
投稿日時: 2007-06-30 23:23
チャブーンです。
いくつか、余計なコメントを。質問者さんがどういう意図で質問しているのかわからないので、クライアントがドメインコントローラに認証にいくときの動作、という前提で話します。 > > この状態で、クライアントがAD認証を行なう場合、 > > 既存DC・複製DCの2台に対して不可分散が行なわれるという認識でおりますが、 > > 認識に間違いはないでしょうか? > > 間違っています. > 負荷分散するのではなく,冗長化されるだけです. NLB の意味での負荷分散 (クライアントからは 1 つのインターフェイスに見える) という意味では確かにそうなっていません。ですから、1 つのクライアントからの認証を 2 つのドメインコントローラで負荷分散する、という機能はありません。 ただし、複数のクライアントからの認証についてどちらのドメインコントローラが受け取るか、という意味での負荷分散はちゃんとしますよ。ドメインコントローラの (サイト等の) 条件が同じであれば、50:50 での負荷分散を行います。SRV の priority や weight フィールド内容を変更すれば、優先順位や割合を変えることもできます。 > > また、既存DC・複製DCの2台の間では複製が行なわれますが、 > > DNS情報も複製されるという認識でよろしいでしょうか? 細かいことは省略しますが、Windows Server 2003 であれば、"DNS サーバがインストールされたドメインコントローラ" 間だけで DNS 情報は複製されます。DNS サーバがインストールされていない場合、複製はされません。 > > 現在の設定ではDNSサーバのアドレスが既存DC・複製DC共に192.168.0.1となって > > おりますため、192.168.0.1のみ参照される形となりますが、これを既存DCは > > 192.168.0.1、追加DCを192.168.0.2にした方が負荷分散効率がよいように思えま > > すが認識に間違いはありますでしょうか? クライアントはまず、DNS サーバにアクセスしてから、必要なドメインコントローラにアクセスするかたちで認証します。クライアントが DNS サーバにアクセスする段階から負荷分散を検討したい、というなら、もう一台のドメインコントローラにも DNS サーバを入れ、クライアント側のネットワーク設定で (参照先 DNS サーバ) 、優先 DNS と代替 DNS を適切に入れ替えてください。 ドメインコントローラ側の設定は、他の方の指示どおりでいいでしょう。 > > 最後に、D:profilesの下にユーザプロファイル情報を保存していた場合、 > > D:profiles配下も既存DC・複製DC間にて複製が行なわれるという認識で > > よろしいでしょうか? よくわからないですが、移動プロファイルの話をしているのでしょうか?であれば、Active Directory 複製とは直接の関連はないので、複製はされません。もし、ドメインコントローラでローカルログオンしたユーザ (Administratorなど) のプロファイルのことをいっているなら、コンピュータ別のプロファイルとなり、これも複製はされません。 オマケのコメントですが、たとえば DFS レプリケーションを使って移動プロファイルを使えるのでは?と考える方もいるでしょうが、MS では事実上できないソリューションとなりますね。 http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/dfsfaq.mspx | ||||||||||||||||
|
投稿日時: 2007-07-26 19:27
初めて質問しますtakashiと申します。
便乗して申し訳ありませんが、お聞かせ下さい。 私もDC2台でAD環境+移動プロファイルを構築しようと考えています。 環境は2003 R2とXP SP2です。 フォルトトレランスと負荷分散を考え、2台のDCでDFSを構築し、そこに移動プロファイルを置こうと考えております。
私もこのページを見てダメかなと思いましたが、2003がR2になりDFSが強化されFRSも整合性が取れるようになったようです。 http://www.atmarkit.co.jp/fwin2k/special/2003r2_03/2003r2_03_01.html そこで2003 R2 + DFSの環境で移動プロファイルを試した場合、うまく行くのではないかと考えている次第です。いかがでしょうか? それと質問の2点目ですが、上記構成にプラスしてネットワーク負荷分散(NLB)の機能も持たせようと考えております。 実はこのDCは2つのネットワークをつなぐGWとしての役割も持たせようと考えたいるためです。ルータでいうところのVRRPをイメージしております。しかし、テスト構築をして見たところ、DC2台でNLBを有効にするとAD情報のレプリケーションに失敗してしまい、ついには互いに通信出来なくなってしまいます。この状況でもIP層レベル(PING等)の通信は問題ないようです。 そこで、そもそもDC+NLBはダメなのか、それともなにか設定が必要なのでしょうか? ご意見を頂ければと思います。よろしくお願いします。 | ||||||||||||||||
|
投稿日時: 2007-08-04 10:12
チャブーンです。
最初にお断りしておきますが、MS が機能を認めて「サポートしてくれる」かどうか、という念頭で話をします (とりあえずいじってみて動くか動かないか、というところでなく) 。 移動プロファイルの保存先共有フォルダは、「一意の正しいデータが保存されている」ことが保証されている必要があります。 DFS-R も含め、DFS レプリケーションでのしくみでは、正しいデータが保存されている保証はできない (改善されたとはいえ) というところで、現状はやはり難しいのではないでしょうか。 MS のサイトで DFS-R と移動プロファイルのからみについて、情報を探してみましたが、私が探した限り、ありませんでした。白黒つけるなら、MS に「お金を払って」きちんと聞くしかないでしょうね。 ドメインコントローラと NLB のからみですが、Active Directory 複製を NLB はサポートしていないはずですので、その方面では問題が出ても不思議はありません。ただし、トラブルシュートの常として、問題が起こった場合ちゃんと調べないかぎり、確かなことはわかりません。 [追記] なお、Windows の標準機能で、デフォルトゲートウェイのフェールオーバ機能の話をしましたが、Windows Vista にあるゲートウェイのフェールバック機能をそれ以前の OS に実装する方法はありません (Scalable Networking Pack をインストールしてもムリです)。この点はお詫びしておきます。 [ メッセージ編集済み 編集者: チャブーン 編集日時 2007-08-04 12:01 ] | ||||||||||||||||
|
投稿日時: 2007-08-06 14:11
こんにちは.
まず,何の負荷を分散したいのかを明確にしてください. Active Directory としての認証の負荷を分散するなら, 個人的にはその必要性は無いと考えます. 分散しなければならないほどの負荷は無いと思うので. 移動プロファイル云々はたしかに Active Directory の機能の一部ですが, domain controller そのものの機能ではありませんよね? おそらくそこは file server としての機能だと思います. で,負荷分散するなら,格納した profile を複製するのか? shared disk に格納して共有するのか?などの処理も検討しないとならないのでは? domain controller を gateway に使われているようですが, NLB の仕組みと domain controller の働きを考え合わせると, 整合性が失われるのは当然のように思われます. domain controller は「情報の複製」を必要としているので, NLB のように「単一の IP address で複数の node が存在する」のは domain controller の動きを阻害するように思われます. 以上,ご参考までに. | ||||||||||||||||
|
投稿日時: 2007-08-10 09:11
takashiです。
チャブーンさん情報ありがとうございます。移動プロファイルは今回のサーバ構築の必須条件ですし、業務上重要なサーバですのでチャブーンさんのおっしゃられるように、きちっとMSに確認したいと思います。
やはりDC機能とNLBの同居はダメなんですね。こちらはあきらめます。 色々と情報ありがとうございました。 | ||||||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。