none
FSMOドメインコントローラーが故障したとき、2台目のDCでネットワークを運用するには? RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

     社員100人、PC120台ぐらいのオフィスでの話です。

     社内ネットワークで、当初はWindows Server 2008 R2のドメインコントローラーが1台だけでした。もちろん、定期的なバックアップはとっています。しかし、これではDCで障害が発生したときにネットワークがマヒ状態になるのが怖いので、もう一台、DCを追加しました。セグメントを分けたりはしておらず、すべて同じネットワークになっています。

     1台目のDCFSMO)には、DHCPサーバー、DNSサーバー、ADの役割がインストールしてあります。2台目のDCには、DNSサーバーとADの役割がインストールしてあります。

     さて、ここで問題なのですが、FSMOになっている1台目のDCで致命的な障害が発生したとき、2台目のDCでネットワークを運用するには、どのようにすればいいのでしょうか?

     1台目のDCから2台目のDCFSMOの機能を移動するのは、私もやったことがありますし、インターネットを検索すると作業手順情報がいろいろみつかります。しかし、1台目のDCが完全に使えなくなってしまったときに、2台目のDCだけでネットワークを運用するのにどうすればいいのかわかりません。

    <パターン1>

    1台目のDCが修理されるまでの間、暫定的に2台目のDCを運用する場合。

     DHCPサーバーの役割をインストールし、DHCPクライアントが2台目のDCDNSサーバーを参照するようにする。

     これだけでいいでしょうか? 他に何が必要でしょうか?

    <パターン2>

    2台目のDCFSMOにして、今後、2台目のDCでネットワークを運用する場合。

     2台目のDCDHCPサーバーを立てて設定するところまでは、パターン1と同じ。その後、ntdsutilを使用して、2台目のDCを強制的にFSMOにする。

     で、よろしいでしょうか?

     すみません、中途半端な知識しかないものですから、どなたか、アドバイスをいただけましたら幸いです。

    2016年4月8日 7:37
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    パターン1

    あらかじめDHCPサーバーの役割を2台目のサーバーにインストールしておいてもいいと思います。そこで冗長構成を行うのがいいのではないでしょうか?やり方や考え方については以前まとめましたので載せておきます。

    <DHCPの冗長構成を考える>
    http://mctjp.com/2009/01/28/dhcp%E3%81%AE%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%82%92%E8%80%83%E3%81%88%E3%82%8B/

    http://mctjp.com/2009/01/29/dhcp%E3%81%AE%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%82%92%E8%80%83%E3%81%88%E3%82%8B%EF%BD%9E%E3%81%9D%E3%81%AE%EF%BC%92%EF%BD%9E/

    http://mctjp.com/2009/01/30/dhcp%E3%81%AE%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%82%92%E8%80%83%E3%81%88%E3%82%8B%EF%BD%9E%E3%81%9D%E3%81%AE%EF%BC%93%EF%BD%9E/

    http://mctjp.com/2009/02/02/dhcp%E3%81%AE%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%82%92%E8%80%83%E3%81%88%E3%82%8B%EF%BD%9E%E3%81%9D%E3%81%AE4%EF%BD%9E/

    また、クライアントの設定としては、DHCPのオプション構成で優先DNSサーバーを1台目、代替DNSサーバーを2台目としておけば、たとえ1台目のDNSサーバーが使えなくても2台目のDNSを参照してくれます。

    これにより、一時的なDC(DNSおよびDHCP)の停止でも運用は継続されるはずです。

    パターン2

    いいと思います。

    以上、参考になれば幸いです。

    MVP:Hyper-V Blog:MCTの憂鬱

    http://mctjp.com

    • 回答の候補に設定 佐伯玲 2016年4月11日 0:25
    • 回答としてマーク inf-okz 2016年4月11日 6:06
    2016年4月10日 1:12
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ユーザーがクライアントPCにログオンしようとしたとき、1台目のサーバー(FSMOになっているDC)が停止中、自動的に2台目のDCで認証が行われるのでしょうか?

    IP通信が正しくでき、DNSサーバの「SRVレコードにより」正しく名前解決ができれば、どちらか片方のドメインコントローラがダウンしていても、問題なく認証ができます。

    SRVレコードとは「サービスロケーション」というリソースレコードであり、特定のサービス(たとえばLDAPとかKerberosとか)に紐づいたIPアドレス一覧をクライアントに公開します。したがってクライアントはあるIPアドレスのサーバにアクセスできなくても、(リストにある)別のサーバにアクセスできますので、問題はありません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク inf-okz 2016年4月11日 6:06
    2016年4月11日 3:09
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    パターン1

    あらかじめDHCPサーバーの役割を2台目のサーバーにインストールしておいてもいいと思います。そこで冗長構成を行うのがいいのではないでしょうか?やり方や考え方については以前まとめましたので載せておきます。

    <DHCPの冗長構成を考える>
    http://mctjp.com/2009/01/28/dhcp%E3%81%AE%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%82%92%E8%80%83%E3%81%88%E3%82%8B/

    http://mctjp.com/2009/01/29/dhcp%E3%81%AE%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%82%92%E8%80%83%E3%81%88%E3%82%8B%EF%BD%9E%E3%81%9D%E3%81%AE%EF%BC%92%EF%BD%9E/

    http://mctjp.com/2009/01/30/dhcp%E3%81%AE%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%82%92%E8%80%83%E3%81%88%E3%82%8B%EF%BD%9E%E3%81%9D%E3%81%AE%EF%BC%93%EF%BD%9E/

    http://mctjp.com/2009/02/02/dhcp%E3%81%AE%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%82%92%E8%80%83%E3%81%88%E3%82%8B%EF%BD%9E%E3%81%9D%E3%81%AE4%EF%BD%9E/

    また、クライアントの設定としては、DHCPのオプション構成で優先DNSサーバーを1台目、代替DNSサーバーを2台目としておけば、たとえ1台目のDNSサーバーが使えなくても2台目のDNSを参照してくれます。

    これにより、一時的なDC(DNSおよびDHCP)の停止でも運用は継続されるはずです。

    パターン2

    いいと思います。

    以上、参考になれば幸いです。

    MVP:Hyper-V Blog:MCTの憂鬱

    http://mctjp.com

    • 回答の候補に設定 佐伯玲 2016年4月11日 0:25
    • 回答としてマーク inf-okz 2016年4月11日 6:06
    2016年4月10日 1:12
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。大変参考になります。

    もう1つ質問させてください。

    あらかじめDHCPサーバーを冗長設定にしておいて、1台目のDNSサーバーを1台目のサーバー(FSMO)、代替DNSサーバーを2台目のサーバー(ドメインコントローラー)にしておけば、1台目のサーバーが停止しても、DHCP、DNSの問題はないという点はわかるのですが、Active Directoryの認証も問題ないのでしょうか?

    ユーザーがクライアントPCにログオンしようとしたとき、1台目のサーバー(FSMOになっているDC)が停止中、自動的に2台目のDCで認証が行われるのでしょうか? それとも、何かDCかDNSの切り替え手続きが必要でしょうか?

    その部分が一番気になっています。

    ご教授いただけましたら幸いです。

    よろしくお願いいたします。

    2016年4月11日 2:42
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ユーザーがクライアントPCにログオンしようとしたとき、1台目のサーバー(FSMOになっているDC)が停止中、自動的に2台目のDCで認証が行われるのでしょうか?

    IP通信が正しくでき、DNSサーバの「SRVレコードにより」正しく名前解決ができれば、どちらか片方のドメインコントローラがダウンしていても、問題なく認証ができます。

    SRVレコードとは「サービスロケーション」というリソースレコードであり、特定のサービス(たとえばLDAPとかKerberosとか)に紐づいたIPアドレス一覧をクライアントに公開します。したがってクライアントはあるIPアドレスのサーバにアクセスできなくても、(リストにある)別のサーバにアクセスできますので、問題はありません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク inf-okz 2016年4月11日 6:06
    2016年4月11日 3:09
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。

    大変参考になりました。これで、ネットワークの安全性向上のため、今後のメンテナンス方針がはっきりしました。

    本当にありがとうございます。

    inf-okz

    2016年4月11日 6:07
    |