- PR -

信頼関係の連携について

1
投稿者投稿内容
GENI
会議室デビュー日: 2008/04/07
投稿数: 2
投稿日時: 2008-04-07 17:10
複数台のDC(Windows2003Server)でシングルドメインがあります。
別途、別ドメインのDC(Windows2000Server)がありまして、上記のシングルドメインと、信頼関係をむすんでいます。

別ドメインでたてているDCサーバは、DBサーバとしても利用しています。
障害対策用として、ハード構成からソフト環境まで、まったく同じ構成で、もう一台、スタンバイ機として、ネットワークから完全に切り離した状態のDCサーバ(DBサーバとしても)があります。
通常、稼働している本番機に障害があったら、即、ネットワークをスタンバイ機に、切り替えて使うという仕組みです。

このような、環境で実際に長期間、孤立しているスタンバイ機が突然、ネットワークを
切り替えて、シングルドメイン環境と、うまく信頼関係などの連携が保たれて本番機と同等に機能するのでしょうか?


どなたかアドバイスがいただければ幸いです。

よろしくお願いいたします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-04-07 22:23
こんばんは.
引用:

GENIさんの書き込み (2008-04-07 17:10) より:

通常、稼働している本番機に障害があったら、即、ネットワークをスタンバイ機に、切り替えて使うという仕組みです。

そもそもそういった運用の仕方が「あるべき姿」ではないと思います.
ですから「やってみなければわからないし,誰も保証してくれない」
ことになると思います.
tachi
会議室デビュー日: 2006/01/22
投稿数: 18
お住まい・勤務地: 横浜・東京
投稿日時: 2008-04-08 00:26
障害が発生し、DC間の同期がとれない状態ということですね。

最大の問題はサービスアカウントや信頼関係締結に使用していたアカウントのパスワードがコールドスタンバイを作成した時の時点に戻るということです。他も全部。
サービスアカウントは大体、一定期間でシステム的に変更するものが多いです。
それらをきっちり再同期する必要があります。

ちなみに、信頼関係に使用しているアカウントのパスワードの同期は、いったん切り離して再度信頼関係を結びなおしたり、netdomを利用して同期したりします。

ただ、これをやる前に、PDCエミュレータの機能を強制転送する必要があります。他のFSMOも同様に転送せざるを得ないでしょう。強制転送すると、現用機のDCはOSの再インストールをし再度DCPROMOで再構築しなければなりません。

kazさんの言うように、GENIさんの運用は本来の使い方ではありません。どうしても別の機械をコールドスタンバイさせたいのであれば、現用機でADのバックアップを実施し、障害時にスタンバイ機へリストアして立ち上げるといったほうが、まだ現実的です。

ご参考にしてみてください。
GENI
会議室デビュー日: 2008/04/07
投稿数: 2
投稿日時: 2008-04-08 09:25
早速のご回答ありがとうございます。

確かに、障害が発生し、DC間の同期がとれないことが不安要素としてありました。

再同期をとるためには、かなり大変な作業が発生するということですね。
言われるように、本来の運用の仕方ではないということはわかりました。

tachiさんの言われる、現用機でADのバックアップを実施し、障害時にスタンバイ機へリストアという方法で、ADのバックアップデータは、取得から60日間の期限があるということを聞きましたが、それは確かなことなんでしょうか?

あと、ドメインのADではなくて、メンバーサーバのバックアップデータも取得から有効期限みたいなものがあるのでしょうか?

アドバイスのほど、よろしくお願いします。

tachi
会議室デビュー日: 2006/01/22
投稿数: 18
お住まい・勤務地: 横浜・東京
投稿日時: 2008-04-08 23:26
バックアップデータが60日しか使えないのは AD のガーベジコレクションのためです。
(DCが1台しかいない場合は、同期の問題なので問題は無いと思います…)

AD のオブジェクトを削除すると、60日間は削除済みオブジェクトとしてマークされ AD に保持されます。これを超えると、いよいよADから完全に削除されます。
(12時間ごとに実行されるオンラインデフラグの処理の一環で実施されます。)

60日以上経過したバックアップデータを復元したり、60日以上同期をとっていないDCをオンラインにして他の正常なDCと複製すると、すでにADから完全に削除されたデータが伝搬し不整合を起こします。そのため、60日という制約が生じます。
ちなみにこの60日という日数は変更が可能です。。

現用機のバックアップを利用と話をさせて頂いたのは、毎日バックアップを取得し最新のものを使うことが前提です。複数のDCがいる環境で決して数か月前のデータなど戻さないでください。

メンバサーバのバックアップデータについては、OSそのものに対しては期限はありません。しかし、載せているサーバーアプリケーションによっては制限がある可能性があります。これは、要チェックです。
1

スキルアップ/キャリアアップ(JOB@IT)