none
AD(DC)を置かない遠隔拠点のネットワーク構築について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。
    初歩的なことかもしれませんが、質問させてください。。

    現在、シングルフォレスト/シングルドメインでActiveDirectoryを運用しています。拠点が複数あり、その拠点ごとにサブネット/サイト/ドメインコントローラ/DNSサーバ(AD統合)/DHCPサーバをそれぞれ設定&配置してきました。

    今回、新しい拠点(支店)にネットワークを構築することになりました。ネット回線は光回線を用意し、拠点間はVPNでトンネリングされます。また、プライベートIPアドレスのセグメントは既存拠点とは別のもの(たとえば、本店が192.168.1.0/24なら、新拠点は192.168.2.0/24という感じです)を割り当てる予定です。

    と、ここまでは既存拠点も同様の設定なのですが、今回予定している新拠点は人数が少なく、サーバ管理者もいないため、ドメインコントローラを設置せずに済ませたいと考えています。

    以上のような条件で必要な設定作業として、大まかに次のようなことを考えています。これ以外に必須の設定項目や間違い等ございましたら、ご教授いただけるとありがたいです:

    1)「ActiveDirectoryサイトとサービス」にて新拠点用の新たなサブネットを登録し、既存拠点のDC(とりあえず本店のDC)に関連付ける。

    2)新拠点にて、新たなネットワークセグメント(サブネット)用のDNSサーバを配置する。

    3)新拠点にてDHCPサーバを配置する。

    なお、新拠点用のサイトを作成しないのは、高速なネット回線で繋がれているため、敢えてサイトを分けなくてもよいのではないかと考えたためです。

    以上、よろしくお願いします。

    2014年3月27日 5:51
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    いくつか考えることはあるような気がします。

    1)「ActiveDirectoryサイトとサービス」にて新拠点用の新たなサブネットを登録し、既存拠点のDC(とりあえず本店のDC)に関連付ける。

    まずこれですが、通信回線は速いと想定してもルーティングの問題があります。本社=支店間や支店=支店間のルーティングコストが同程度ならあまり気にしなくていいかもしれませんが、支店=支店間のルーティングコストが高いような場合、予想外に通信時間がかかることがあります。ルーティングコストを踏まえてログオンさせるドメインコントローラを選定されたほうがいいと思います。

    2)新拠点にて、新たなネットワークセグメント(サブネット)用のDNSサーバを配置する。

    これですが、ドメインコントローラを置かない場合AD統合のDNSサーバは配置できません。ですからWindowsでいう「標準セカンダリ」DNSサーバ相当を配置することになるので、機器の選定(サーバを置くのかルータ等機器の機能を代用するのか)や、どのドメインコントローラからDNSゾーンの配布を受けるのか、といった追加の設計がいります。ちなみにDNSサーバはDNS動的更新やSRVレコードに対応したものである必要があります。

    3)新拠点にてDHCPサーバを配置する。

    こちらもDNSサーバと同様、Windows等専用サーバかあるいはネットワーク機器の機能を使うかといった考慮が必要です。

    これ以外のこととして、もし本社=支店間や支店間同士の間にファイアウォール設定がある場合、クライアントからの拠点間をまたいだ認証は難しくなる(認証に動的ポートが使われるため)ことも覚えておかれたほうがいいように思います。

    デザイン上、今までドメインコントローラを置かれていたならRODCを展開することも一考かもしれないですね。

    • 回答の候補に設定 佐伯玲 2014年3月31日 6:14
    • 回答としてマーク 佐伯玲 2014年4月3日 6:03
    2014年3月28日 4:11
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    ところで、既存拠点側のDNSサーバ(AD統合)には新拠点のサブネット用の逆引き参照ゾーンを作る必要はありますか?

    これですが、(他のセグメントは)すでに導入済みの前提で、新拠点の逆引きゾーンをどう配置するか?ということでお話ししますが、AD統合ゾーンで逆引きゾーンを作り、そのセカンダリを拠点側のDNSサーバに構成するのがよいと思います。

    デザインとしてフォレスト内全部の拠点で正引き・逆引きができるような環境にあって、特定ゾーンだけを「例外設定」することは何かとトラブルを招きますし、セキュリティ的にも安心(ドメインに参加しているコンピュータしか動的更新できない)です。

    この構成を取った場合も、毒(何らかのデメリット)は特に発生しません。




    2014年3月29日 6:28
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさま

    お世話になります。ご教授ありがとうございます。

    ルーティングについてですが、各拠点間のVPNはフルメッシュ構成のはずで、回線業者も一部の支店を除き同じなので、本店=支店、支店=支店の間のルーティングコストは同程度と思われます。

    DNSサーバは、Windows Server 2012のDNSサービスを「セカンダリゾーン」で導入するつもりです。
    DHCPにつきましても、Windows Server のDHCPサービスを導入するつもりです。

    ところで、既存拠点側のDNSサーバ(AD統合)には新拠点のサブネット用の逆引き参照ゾーンを作る必要はありますか?

    拠点間でファイアウォール設定があるかどうかは調べてみます‥。

    今回は最小の構成での拠点展開を考えているので、まずはDCを置かない構成で検討しております。ただ、拠点にDCを置かない構成は経験がなく、実際にやってみて認証時に大きな遅延が発生してしまうなど不具合があれば、おっしゃる通りRODCの展開も考慮に入れようと思います。

    ありがとうございました。

    2014年3月28日 10:19
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    いくつか考えることはあるような気がします。

    1)「ActiveDirectoryサイトとサービス」にて新拠点用の新たなサブネットを登録し、既存拠点のDC(とりあえず本店のDC)に関連付ける。

    まずこれですが、通信回線は速いと想定してもルーティングの問題があります。本社=支店間や支店=支店間のルーティングコストが同程度ならあまり気にしなくていいかもしれませんが、支店=支店間のルーティングコストが高いような場合、予想外に通信時間がかかることがあります。ルーティングコストを踏まえてログオンさせるドメインコントローラを選定されたほうがいいと思います。

    2)新拠点にて、新たなネットワークセグメント(サブネット)用のDNSサーバを配置する。

    これですが、ドメインコントローラを置かない場合AD統合のDNSサーバは配置できません。ですからWindowsでいう「標準セカンダリ」DNSサーバ相当を配置することになるので、機器の選定(サーバを置くのかルータ等機器の機能を代用するのか)や、どのドメインコントローラからDNSゾーンの配布を受けるのか、といった追加の設計がいります。ちなみにDNSサーバはDNS動的更新やSRVレコードに対応したものである必要があります。

    3)新拠点にてDHCPサーバを配置する。

    こちらもDNSサーバと同様、Windows等専用サーバかあるいはネットワーク機器の機能を使うかといった考慮が必要です。

    これ以外のこととして、もし本社=支店間や支店間同士の間にファイアウォール設定がある場合、クライアントからの拠点間をまたいだ認証は難しくなる(認証に動的ポートが使われるため)ことも覚えておかれたほうがいいように思います。

    デザイン上、今までドメインコントローラを置かれていたならRODCを展開することも一考かもしれないですね。

    • 回答の候補に設定 佐伯玲 2014年3月31日 6:14
    • 回答としてマーク 佐伯玲 2014年4月3日 6:03
    2014年3月28日 4:11
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさま

    お世話になります。ご教授ありがとうございます。

    ルーティングについてですが、各拠点間のVPNはフルメッシュ構成のはずで、回線業者も一部の支店を除き同じなので、本店=支店、支店=支店の間のルーティングコストは同程度と思われます。

    DNSサーバは、Windows Server 2012のDNSサービスを「セカンダリゾーン」で導入するつもりです。
    DHCPにつきましても、Windows Server のDHCPサービスを導入するつもりです。

    ところで、既存拠点側のDNSサーバ(AD統合)には新拠点のサブネット用の逆引き参照ゾーンを作る必要はありますか?

    拠点間でファイアウォール設定があるかどうかは調べてみます‥。

    今回は最小の構成での拠点展開を考えているので、まずはDCを置かない構成で検討しております。ただ、拠点にDCを置かない構成は経験がなく、実際にやってみて認証時に大きな遅延が発生してしまうなど不具合があれば、おっしゃる通りRODCの展開も考慮に入れようと思います。

    ありがとうございました。

    2014年3月28日 10:19
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    ところで、既存拠点側のDNSサーバ(AD統合)には新拠点のサブネット用の逆引き参照ゾーンを作る必要はありますか?

    これですが、(他のセグメントは)すでに導入済みの前提で、新拠点の逆引きゾーンをどう配置するか?ということでお話ししますが、AD統合ゾーンで逆引きゾーンを作り、そのセカンダリを拠点側のDNSサーバに構成するのがよいと思います。

    デザインとしてフォレスト内全部の拠点で正引き・逆引きができるような環境にあって、特定ゾーンだけを「例外設定」することは何かとトラブルを招きますし、セキュリティ的にも安心(ドメインに参加しているコンピュータしか動的更新できない)です。

    この構成を取った場合も、毒(何らかのデメリット)は特に発生しません。




    2014年3月29日 6:28
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさま

    お世話になります。お返事遅くなりまして申し訳ありません。

    逆引きゾーンの設定の件、了解です。ようやく、イメージがつかめてきました。

    発注した機材が届かないため、実際の設定作業はもう少し先になりますが、こちらで結果報告できればと思います。

    ありがとうございました。

    2014年4月2日 5:06
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンさま

    お世話になります。

    ずいぶん遅くなってしまいましたが、ようやく新拠点用の環境構築ができましたので、教えていただいた情報をもとに設定をしてみたところ、全く問題なく稼働させることができました。設定内容の概要は以下のとおりです:

    **********

    1)「ActiveDirectoryサイトとサービス」にて新拠点用の新たなサブネット(ネットワークセグメント)を登録し、本店DCに関連付ける。

    2)本店DCのDNSにて、新拠点用ネットワークセグメントに対応する逆向き参照ゾーンをAD統合で作成する。

    3)新拠点にてサーバマシン(Windows Server 2012 R2)を構築後、DNSサービスをインストールし、社内ネットワーク用ゾーン(AD統合)に対するセカンダリゾーンを作成する。さらに、新拠点用ネットワークセグメントに対応するセカンダリの逆向き参照ゾーンを作成する。

    4)新拠点サーバにてDHCPサービスをインストールし、稼働させる。

    *********

    今のところ認証時の大きな遅延等もなく、快適に動作しております。

    ありがとうございました。

    2014年6月10日 1:59
    |