none
ドメインコントローラのリブートについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    お世話になります。
    ドメインコントローラのリブートの順番について。

    Windows Server 2008でADサーバを2台運用しています。
    クライアントは100台ぐらいです。

    構成
    AD-1 PDC、DNS
    AD-2 BDC、DNS

    下記の流れで、定期的に、手動リブートを計画しています。

    BDCを先にリブートし、起動を確認したら、PDCをリブートさせる。

    その際に、気をつける点等がありましたら、ご教授をお願います。

    2010年11月15日 13:12
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    1台の起動が確認出来ている状態でしたら、特に気をつけることは無いと思います。

    環境の中にその他(DHCPなど)の機能が含まれていれば別になりますが。

    2010年11月15日 23:36
    |
  • Question
    サインインして投票
    1
    サインインして投票

    ごめんなさい、余計な心配させましたね。

    DHCPを含む構成であっても、DHCP自体が冗長構成になっていれば何ら問題ありません。

    再起動の順番についてはどちらからでも構わないと思います。ただし、グローバルカタログの役割を担っているDCが起動していないとユーザーがログイン出来なかったりします。

    再起動の順番というよりも、再起動の"時間"を気にした方が良いと思います。

    • 回答としてマーク recoba24 2010年12月1日 0:32
    2010年11月16日 23:16
    |
  • Question
    サインインして投票
    1
    サインインして投票
    お世話になります。

    気になるトピックでしたので、メモ程度に。。。

    PDC, BDC (Windows 2000 AD以降、PDC,BDC という名称は厳密にはなくなり、FSMOと呼ばれる役割(ロール)を使用します)の再起動順序ですが、これについてはFSMOロールやGCがどんな役割を担っており、これらが停止している間何が出来なくなるかを考慮することがポイントになろうかと思います。特にFSMOロールはその役割特性上"冗長構成"が取れないもののため、注意が必要です。

    FSMO(Flexible Single Master Operation) ロール

    ・スキーママスタ

    スキーマとは、ADの全てのオブジェクトとその属性(アトリビュート)に関する定義情報を示します。フォレストで1つのスキーマを使う必要があり、そのためそれを管理する役割(権限)を持つDCはフォレストに1台となります。スキーママスタを持つDCが停止している場合、ADのスキーマ拡張作業は実施すべきではありません。(ex. ExchangeサーバーのためにADのスキーマを拡張する、あるいはWindows 2003 からWindows 2008 へアップグレードするためにスキーマ拡張を行う、等)


    ・ドメイン名前付けマスタ

    フォレスト内におけるドメインの追加/削除を制御し、フォレスト内のドメイン名が一意になるよう管理するロールです。この機能を持つDCもフォレストに1台となります。ドメイン名前付けマスタが停止している場合、フォレスト内へ新規のドメイン/サブドメインの作成が出来なくなります。(Windows 2000 ADの場合、この機能はGCと同一のサーバーに構成することが推奨されていましたが、Windows 2003,2008ではその必要はなくなりました。)


    ・PDCエミュレータ

    Windows 2000より以前のクライアントからのパスワード変更要求を処理します。これは、Windows NTドメインにおけるPDCの役割を担うものです。また、ドメイン内で実施されたパスワード変更情報を優先的にPDCエミュレータに複製されます。(基本的に即時複製、但し、サイト間同期の制約は受けます。)これは、各ドメインに1台必要となる機能(DC)です。他にも規定で、ドメイン内の全てのドメインコントローラの時刻同期元としての機能、グループポリシーオブジェクトエディタによるGPOの編集内容を、優先的にPDCエミュレータへと複製される、という特徴を持ちます。PDCエミュレータが停止している場合、これらの機能が一時的に停止します。各DCは自身に情報をスタックしておき、PDCエミュレータが起動した後に処理を再開します。


    ・RIDマスタ

    ドメインのRID(Relative IDentifier:相対識別子)を管理します。ドメイン内のオブジェクトには、その一意性を確保するためにSID(Security IDentifier:セキュリティ識別子)が割り当てられます。このSIDはドメイン固有の”ドメインSID”と、ドメイン内で一意のIDであるRID との組み合わせで構成されています。RIDマスタロールを持つDCは、ドメインのRIDを一元管理し、各ドメインコントローラに約500個単位でRIDのブロックを割り当てます。各ドメインコントローラは新しいオブジェクトを作成するたびRIDを消費していき、RIDが100未満になると新たなRIDブロックがRIDマスタから供給されます。この機能(DC)もドメインに1台必要です。RIDマスタが停止している環境下において、各ドメインコントローラで500以上のオブジェクトを作成した場合(=RIDを使い切った場合)、そのドメインコントローラ上で新たにオブジェクトを作成することが出来なくなります。


    ・インフラストラクチャマスタ

    ドメイン内のADオブジェクトに、他ドメインのメンバーが含まれている場合、その参照情報を最新にする役割を持ちます。たとえば、自ドメイン内のグループに、他ドメインのユーザーが登録されている場合に、他ドメインユーザーのアカウント名更新情報などがこれに該当します。インフラストラクチャマスタはGCを監視・参照し、問い合わせを行うことで情報更新処理を実施、自ドメインメンバーへ展開します。このため、この機能もドメインに1台必要となり、また上記処理の理由からGC機能を持つサーバーとは分けておくことが推奨されます。このため、このロールをもつDCが停止している場合、他ドメインのオブジェクトに対する情報更新が停止します。

    GC(グローバルカタログ)

    AD内のオブジェクト情報の内、頻繁に参照される属性情報を収集/格納します。ユニバーサルグループのメンバシップ情報や、オブジェクト名/パスワード情報などがこれにあたります。グローバルカタログに格納される属性のセットはPAS(Partinal Attribute Set)と呼ばれ、スキーマの変更などで任煮の属性をPASに追加することも出来ます。GCはフォレスト内の各ドメインのADオブジェクト情報の参照、ユニバーサルグループのメンバシップの提供、ユーザー名@ドメイン名 形式(UPN : ユーザープリンシパル名)でのログイン要求に対する認証先ドメインの特定 という役割を持ちます。GCが全てダウンしている場合、これらの機能が使えなくなります。但し、GCの機能は複数台のDCで持つことができます。

     

    ・・・・ということで、書いてみましたが、、、経験則から・・・ありていに言えばどの機能も10分~30分程度の停止ならば全く問題は無いと思います。

    ADと同一のサーバーに他機能(DHCP, RMS等)があり、冗長化されていない場合は注意が必要ですが、これはADに限った話ではなく単純にシステムの冗長化の話となりますので割愛します。

    ADで注意すべきは上記"冗長化できない FSMOロール"のみとなります。

    以上、ご参考になれば幸甚です。

    2010年11月23日 2:17
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    1台の起動が確認出来ている状態でしたら、特に気をつけることは無いと思います。

    環境の中にその他(DHCPなど)の機能が含まれていれば別になりますが。

    2010年11月15日 23:36
    |
  • Question
    サインインして投票
    0
    サインインして投票

    アスノア様

    ありがとうございます。

     

    DHCPですか・・・。

    仮に、構成がDHCPを含み下記の様だったら、今回の様にBDCを先にリブートし、起動を確認したら、PDCをリブートさせる

    順序だとどのような点を気をつければよいのでしょうか?

    また、リブートの順序を変えてPDCからリブートを行った方がいいのでしょうか?

    ご教授していただけたら、助かります。

    構成
    AD-1 (PDC) DNS + DHCP
    AD-2 (BDC) DNS

    2010年11月16日 14:30
    |
  • Question
    サインインして投票
    1
    サインインして投票

    ごめんなさい、余計な心配させましたね。

    DHCPを含む構成であっても、DHCP自体が冗長構成になっていれば何ら問題ありません。

    再起動の順番についてはどちらからでも構わないと思います。ただし、グローバルカタログの役割を担っているDCが起動していないとユーザーがログイン出来なかったりします。

    再起動の順番というよりも、再起動の"時間"を気にした方が良いと思います。

    • 回答としてマーク recoba24 2010年12月1日 0:32
    2010年11月16日 23:16
    |
  • Question
    サインインして投票
    1
    サインインして投票
    お世話になります。

    気になるトピックでしたので、メモ程度に。。。

    PDC, BDC (Windows 2000 AD以降、PDC,BDC という名称は厳密にはなくなり、FSMOと呼ばれる役割(ロール)を使用します)の再起動順序ですが、これについてはFSMOロールやGCがどんな役割を担っており、これらが停止している間何が出来なくなるかを考慮することがポイントになろうかと思います。特にFSMOロールはその役割特性上"冗長構成"が取れないもののため、注意が必要です。

    FSMO(Flexible Single Master Operation) ロール

    ・スキーママスタ

    スキーマとは、ADの全てのオブジェクトとその属性(アトリビュート)に関する定義情報を示します。フォレストで1つのスキーマを使う必要があり、そのためそれを管理する役割(権限)を持つDCはフォレストに1台となります。スキーママスタを持つDCが停止している場合、ADのスキーマ拡張作業は実施すべきではありません。(ex. ExchangeサーバーのためにADのスキーマを拡張する、あるいはWindows 2003 からWindows 2008 へアップグレードするためにスキーマ拡張を行う、等)


    ・ドメイン名前付けマスタ

    フォレスト内におけるドメインの追加/削除を制御し、フォレスト内のドメイン名が一意になるよう管理するロールです。この機能を持つDCもフォレストに1台となります。ドメイン名前付けマスタが停止している場合、フォレスト内へ新規のドメイン/サブドメインの作成が出来なくなります。(Windows 2000 ADの場合、この機能はGCと同一のサーバーに構成することが推奨されていましたが、Windows 2003,2008ではその必要はなくなりました。)


    ・PDCエミュレータ

    Windows 2000より以前のクライアントからのパスワード変更要求を処理します。これは、Windows NTドメインにおけるPDCの役割を担うものです。また、ドメイン内で実施されたパスワード変更情報を優先的にPDCエミュレータに複製されます。(基本的に即時複製、但し、サイト間同期の制約は受けます。)これは、各ドメインに1台必要となる機能(DC)です。他にも規定で、ドメイン内の全てのドメインコントローラの時刻同期元としての機能、グループポリシーオブジェクトエディタによるGPOの編集内容を、優先的にPDCエミュレータへと複製される、という特徴を持ちます。PDCエミュレータが停止している場合、これらの機能が一時的に停止します。各DCは自身に情報をスタックしておき、PDCエミュレータが起動した後に処理を再開します。


    ・RIDマスタ

    ドメインのRID(Relative IDentifier:相対識別子)を管理します。ドメイン内のオブジェクトには、その一意性を確保するためにSID(Security IDentifier:セキュリティ識別子)が割り当てられます。このSIDはドメイン固有の”ドメインSID”と、ドメイン内で一意のIDであるRID との組み合わせで構成されています。RIDマスタロールを持つDCは、ドメインのRIDを一元管理し、各ドメインコントローラに約500個単位でRIDのブロックを割り当てます。各ドメインコントローラは新しいオブジェクトを作成するたびRIDを消費していき、RIDが100未満になると新たなRIDブロックがRIDマスタから供給されます。この機能(DC)もドメインに1台必要です。RIDマスタが停止している環境下において、各ドメインコントローラで500以上のオブジェクトを作成した場合(=RIDを使い切った場合)、そのドメインコントローラ上で新たにオブジェクトを作成することが出来なくなります。


    ・インフラストラクチャマスタ

    ドメイン内のADオブジェクトに、他ドメインのメンバーが含まれている場合、その参照情報を最新にする役割を持ちます。たとえば、自ドメイン内のグループに、他ドメインのユーザーが登録されている場合に、他ドメインユーザーのアカウント名更新情報などがこれに該当します。インフラストラクチャマスタはGCを監視・参照し、問い合わせを行うことで情報更新処理を実施、自ドメインメンバーへ展開します。このため、この機能もドメインに1台必要となり、また上記処理の理由からGC機能を持つサーバーとは分けておくことが推奨されます。このため、このロールをもつDCが停止している場合、他ドメインのオブジェクトに対する情報更新が停止します。

    GC(グローバルカタログ)

    AD内のオブジェクト情報の内、頻繁に参照される属性情報を収集/格納します。ユニバーサルグループのメンバシップ情報や、オブジェクト名/パスワード情報などがこれにあたります。グローバルカタログに格納される属性のセットはPAS(Partinal Attribute Set)と呼ばれ、スキーマの変更などで任煮の属性をPASに追加することも出来ます。GCはフォレスト内の各ドメインのADオブジェクト情報の参照、ユニバーサルグループのメンバシップの提供、ユーザー名@ドメイン名 形式(UPN : ユーザープリンシパル名)でのログイン要求に対する認証先ドメインの特定 という役割を持ちます。GCが全てダウンしている場合、これらの機能が使えなくなります。但し、GCの機能は複数台のDCで持つことができます。

     

    ・・・・ということで、書いてみましたが、、、経験則から・・・ありていに言えばどの機能も10分~30分程度の停止ならば全く問題は無いと思います。

    ADと同一のサーバーに他機能(DHCP, RMS等)があり、冗長化されていない場合は注意が必要ですが、これはADに限った話ではなく単純にシステムの冗長化の話となりますので割愛します。

    ADで注意すべきは上記"冗長化できない FSMOロール"のみとなります。

    以上、ご参考になれば幸甚です。

    2010年11月23日 2:17
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    アスノア さん、.Yuki さん、アドバイスありがとうございます。
    ドメインコントローラー(と DNS サーバー) の機能のみであればあまり気にする必要はないかもしれませんね。

    それでは、案内いただいた内容が参考になられたのではないかと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。


    今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年11月29日 2:15
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    .Yuki様

    返信遅くなりましたが、ご教授ありがとうございました。
    2010年12月1日 0:33
    |
  • Question
    サインインして投票
    0
    サインインして投票
    アスノア様

    返信遅くなりましたが、ご教授ありがとうございました。
    2010年12月1日 0:33
    |