none
グローバルカタログサーバーについて RRS feed

  • 質問

  • よろしくお願いします。

    現在運用中の環境の入れ替えを控えております。

    今までは、機能レベル2000、Windows Server 2003 ドメインでした。次期は、Windows Server 2008 R2 を採用し、シングルドメイン、シングルフォレスト環境を構築する予定です。そして、機能レベルは引き続き2000だそうです。メリットあるのかな。設計者はリスクがはかれないからと言います。

    複数台のドメインコントローラーを立てる予定ですが、このすべてのドメインコントローラーに、グローバルカタログを構成するとの話を聞きました。

    自分の記憶違いかもしれませんが、グローバルカタログはひとつのドメインに1台あれば良いと思っていました。

    複数構成するメリットなどあるのでしょうか。


    HRD

    2012年10月11日 0:44

回答

  • シングルドメイン、シングルフォレストとのことなので、すべてのDCをGCにすることをお勧めします。

    この理由は2つあります。

    1つ目の理由はログオンプロセスに起因します。
    ドメインに対してのログオン要求のプロセスとして、クライアントはDCにログオン要求を投げますが、DCはGCに対してそのユーザーがどのユニバーサルグループに所属しているかのクエリーをします。これはたとえユニバーサルグループに所属していなくても必ず行われる動作になります。

    2つ目の理由は、GCの元ネタはDCのドメインパーティションにある情報になります。マルチドメイン環境ではDC上のFSMOのインフラストラクチャマスターと同じサーバーにGCを置いてはいけないという要件がありますが、シングルドメインの場合はインフラストラクチャマスターのお仕事がないのでこの要件はあてはまりません。そのことから、シングルドメインの場合はすべてのDCにGCを配置することができます。よって、すべてのDCにGCを配置するとGCは自身のDCから生成することとなり、GC間でのレプリケーションはおきません。更に、DCからGCへのクエリーはネットワークを経由することなく完了します。

    以上のことから、シングルドメインの場合は全てのDCにGCを配置することが推奨となります。

    また、機能レベルは最低でも Windows Serer 2003 以上にすることをお勧めします。できれば Windows Server 2008 にして AD のごみ箱を有効にするべきでしょう。

    機能レベルを Windows Server 2003 に上げることによって、LVRやKCCなどの機能追加や機能アップが行われています。

    各機能レベルで有効になる機能に関する付録
    http://technet.microsoft.com/ja-jp/library/cc771132(v=ws.10).aspx

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク ppm415 2012年10月15日 5:52
    2012年10月15日 2:36
    モデレータ
  • >そうすると、フォレストには 2000 という機能レベルはないので、あまり意味がないように思えます。フォレストを構成する恩恵は受けられないように思えます。なのに、なぜこの設計者はあえて、フォレストをシングルフォレストで構成するというのか、理解ができません。
    >しかし Windows  Server 2008 R2 はドメインを作成すると、フォレストも同時にできてしまうのでしょうか。

    まず、機能レベルでフォレストには Windows 2000 というものがあります。そして、ドメインは必ずどこかのフォレストに所属しています。なぜ、シングルドメイン、シングルフォレストにするかというと、一番設計がシンプルだからです。ですのでマイクロソフトでもこの設計方式を推奨しています。

    機能レベルは、下位互換性のために用意されているもので、追加機能を使用するためのスイッチのようなものになります。そもそも、DCを導入する時点でスキーマの拡張を行っているはずですよね。リスクというならば、そこがリスクとして私は認識しています。ですので、既に使える状態になっていてそれを使わないというのは私には理解しがたいところですね。

    しかし、企業によってはそのようなポリシーを持って運営されているところもありますので一概に何とも言えません。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク ppm415 2012年10月15日 5:52
    2012年10月15日 5:21
    モデレータ

すべての返信

  • シングルドメイン、シングルフォレストとのことなので、すべてのDCをGCにすることをお勧めします。

    この理由は2つあります。

    1つ目の理由はログオンプロセスに起因します。
    ドメインに対してのログオン要求のプロセスとして、クライアントはDCにログオン要求を投げますが、DCはGCに対してそのユーザーがどのユニバーサルグループに所属しているかのクエリーをします。これはたとえユニバーサルグループに所属していなくても必ず行われる動作になります。

    2つ目の理由は、GCの元ネタはDCのドメインパーティションにある情報になります。マルチドメイン環境ではDC上のFSMOのインフラストラクチャマスターと同じサーバーにGCを置いてはいけないという要件がありますが、シングルドメインの場合はインフラストラクチャマスターのお仕事がないのでこの要件はあてはまりません。そのことから、シングルドメインの場合はすべてのDCにGCを配置することができます。よって、すべてのDCにGCを配置するとGCは自身のDCから生成することとなり、GC間でのレプリケーションはおきません。更に、DCからGCへのクエリーはネットワークを経由することなく完了します。

    以上のことから、シングルドメインの場合は全てのDCにGCを配置することが推奨となります。

    また、機能レベルは最低でも Windows Serer 2003 以上にすることをお勧めします。できれば Windows Server 2008 にして AD のごみ箱を有効にするべきでしょう。

    機能レベルを Windows Server 2003 に上げることによって、LVRやKCCなどの機能追加や機能アップが行われています。

    各機能レベルで有効になる機能に関する付録
    http://technet.microsoft.com/ja-jp/library/cc771132(v=ws.10).aspx

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク ppm415 2012年10月15日 5:52
    2012年10月15日 2:36
    モデレータ
  • とてもわかりやすい返信をありがとうございました。

    GCをすべてのDCに配置するメリットが理解できました。

    しかし、機能レベルを 2003 以上にあげることは、しないことを方針としているようです。

    使用できるようになる機能のメリットより、機能レベルをあげて全体の環境に何か問題が発生したら、恐ろしい。ネットワークの規模が大きいため、リスクを図るための検証を実施できないから、機能レベルは 2000 のままというのが理由です。

    実際、機能レベルをあげることにより障害が発生するケースがあるのでしょうか。

    そうすると、フォレストには 2000 という機能レベルはないので、あまり意味がないように思えます。フォレストを構成する恩恵は受けられないように思えます。

    なのに、なぜこの設計者はあえて、フォレストをシングルフォレストで構成するというのか、理解ができません。

    しかし Windows  Server 2008 R2 はドメインを作成すると、フォレストも同時にできてしまうのでしょうか。

    以前 2008 環境を構築していた時は、そこまで意識していなかったので、このたび設計内容をチェックしていて疑問が噴出しています。

    そのような環境に対する疑問を解消するための検証環境もないため、疑問が山積です。


    HRD

    2012年10月15日 5:07
  • >そうすると、フォレストには 2000 という機能レベルはないので、あまり意味がないように思えます。フォレストを構成する恩恵は受けられないように思えます。なのに、なぜこの設計者はあえて、フォレストをシングルフォレストで構成するというのか、理解ができません。
    >しかし Windows  Server 2008 R2 はドメインを作成すると、フォレストも同時にできてしまうのでしょうか。

    まず、機能レベルでフォレストには Windows 2000 というものがあります。そして、ドメインは必ずどこかのフォレストに所属しています。なぜ、シングルドメイン、シングルフォレストにするかというと、一番設計がシンプルだからです。ですのでマイクロソフトでもこの設計方式を推奨しています。

    機能レベルは、下位互換性のために用意されているもので、追加機能を使用するためのスイッチのようなものになります。そもそも、DCを導入する時点でスキーマの拡張を行っているはずですよね。リスクというならば、そこがリスクとして私は認識しています。ですので、既に使える状態になっていてそれを使わないというのは私には理解しがたいところですね。

    しかし、企業によってはそのようなポリシーを持って運営されているところもありますので一概に何とも言えません。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク ppm415 2012年10月15日 5:52
    2012年10月15日 5:21
    モデレータ
  • ありがとうございました。

    おっしゃる通りだと思います。

    ポリシーというより、絶対失敗したくないというだけのことですので、頑固な文化というのが適切かと。

    自分は、たまーにしか打ち合わせできない設計者に対し、確かな根拠ある反論ができず、困っていました。

    貴重なアドバイスをいただき、ありがとうございました。

    最終的にこの設計で行くことになったとしても勉強になりました。

    ありがとうございました。


    HRD

    2012年10月15日 5:52