none
物理サーバー2台で構成したHyper-Vクラスタ環境上に、AD仮想サーバーを構成する手順 RRS feed

  • 質問

  • お世話になっております。
    今回新規のHyper-Vクラスタ環境(OSはWindowsServer2012R2)の構築を計画しております。
    計画の中で手順上懸念事項が浮上しており、経験されている方や技術情報をお持ちの方がいらっしゃるならば
    お聞きできないかと思い、投稿いたしました。
    ※同様の投稿を一度WindowsServer2012R2側にしていましたが、
     こちらの方が適切と思い、こちらで改めて質問させて頂いています。

    ■前提
     ・物理サーバー2台でHyper-Vクラスタを構成
     ・ADはHyper-Vクラスタ上に仮想サーバーとして作成 (各ノード上に1つずつ、計2台)
     ・OSはWindowsServer2012Rを利用

    ■手順上の懸念点
     Hyper-Vクラスタの構成要件として、「ノードとなるHyper-VマシンがAD参加していること」があります。
     今回構築するADは各Hyper-V上に仮想サーバーとして保持するため、
     各ノードがドメインに参加できるのは、Hyper-V上に仮想サーバー(AD)が構築完了してからになります。
     現時点では以下の流れで構築できると考えています。
      ①各物理サーバーをHyper-Vマシンとして構成する。
      ②それぞれのHyper-V上に仮想サーバー(AD)を構築する。
      ③物理サーバーをそれぞれドメイン参加させる。
      ④Hyper-Vクラスタを構成する。

    ■確認したい内容
     上記の手順で構築された経験のある方、または同じ構成を構築した経験のある方などに
     ご意見頂ければ幸いです。
     また、「フェールオーバークラスタリングの新機能」という記事に、
     「AD DS の依存関係がない状態でクラスターを起動する機能」という機能が追加されたことが記載されていました。
     http://technet.microsoft.com/ja-jp/library/187d6191-4f92-4f98-9cae-c5e6d5b74e76#BKMK_AD
     今回のような構成を想定した内容のように感じられるのですが、これ以上の情報がありませんでした。
     もしこの新機能について詳しい方がおいででしたら合わてご教示ください。

    以上
    よろしくお願いいたします。

    2014年2月7日 10:20

回答

  • 尾藤さん、最初に記載されている構成で、仮想 DC + Hyper-V クラスターの構成可能です。

    Windows Server 2008 R2 と Windows Server 2012 / 2012 R2 では、いろいろと動作が異なりますので、2008 R2 の情報なのか、Server 2012 以降の情報なのか、よく見極める必要があります。


    .以下 blog について

    DC 停止時の WSFC への影響について
    http://blogs.technet.com/b/askcorejp/archive/2012/05/28/dc-wsfc.aspx

    これは 2008 R2 の情報ですが、Server 2012 以降の動作は少し異なります。

    2008 R2 の場合は、クラスターリソースをオンラインにする場合も、DC への接続が必要です。
    従って、Cluster 上の仮想 DC しか存在しない場合、以下の問題が発生します。( 仮想 DC もクラスターリソースも起動しない )


    1.DC に接続できないために、仮想マシンリソースのオンラインに失敗する
    2.仮想マシンリソースを起動できないので、仮想 DC も起動できない。
    3. 1 に戻る

    2008 R2 の場合、この対策としてクラスターリソース以外の DC を別に稼働させておく必要がありました。


    Server 2012 以降の場合、"AD-less Cluster bootstrapping" の機能が追加され、DC に接続できなくてもクラスターリソースをオンラインにする事ができます。Server 2012 の場合はこうなります。


    1.DC に接続できないので、2 に進む。
    2.クラスターノードに自動作成される、CLIUSR アカウントがクラスターリソースをオンラインにします。
    3.仮想 DC も起動します。


    "AD-less Cluster bootstrapping" は、まさに今回のようなシナリオを念頭に追加された機能です。
    詳しくは、以下の " AD-less Cluster Bootstrapping " の解説を参照してください。

    Windows Server 2012 Failover Cluster – Enhanced Integration with Active Directory (AD)
    http://blogs.technet.com/b/wincat/archive/2012/08/29/windows-server-2012-failover-cluster-enhanced-integration-with-active-directory-ad.aspx


    Failover Cluster は、基本的には DC への接続を必要としますが、Server 2012 以降、特定のシナリオでは DC へ接続しなくていい場合があります。これが、"AD-less Cluster bootstrapping" や " Active Directory-Detached Cluster "の機能です。( 前者はリソースオンライン時の、後者はリソース構築時の機能で、別物です )


    .クラスター + DC の同居について
    (仮想 DC ではなく) 物理サーバー上に、Failover Cluster と DC の機能両方を動作させることは、2003/2008/2008 FR2 では "非推奨" でした。

    KB281662 に明記されています。


    http://support.microsoft.com/kb/281662/en-us
    •It is not recommend to combine the Active Directory Domain Services role and the Failover Cluster feature on Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2


    Server 2012 以降、物理サーバー上に、Failover Cluster と DC の機能両方を動作させることは " Not support " です。同じくKB281662 に明記されています。
    •It is not supported to combine the Active Directory Domain Services role and the Failover Cluster feature on Windows Server 2012

    KB2795523 としても公開されています。

    You cannot add a domain controller as a node in a Windows Server 2012 failover cluster environment
    http://support.microsoft.com/kb/2795523/en-us


    2014年2月14日 2:07

すべての返信

  • そもそもクラスタ上にDCを構築すること自体が非推奨だったと思いますが。

    FSMOとなっているノードに障害が発生した場合とか考えてみましたか?

    2014年2月10日 8:10
  • 「AD DS の依存関係がない状態でクラスターを起動する機能」(Active Directory-detached cluster) は、クラスター上でクラスター化する (高可用性を構成する) 役割で、Active Directory に依存しない (= Active Directory に登録されたネットワーク名が不要) 構成が可能ということであり、Active Directory を不要とするものではありません。つまり、ご質問の構成を想定した機能ではありません。こちらの英語のサイト Deploy an Active Directory-Detached Cluster (http://technet.microsoft.com/en-us/library/dn265970.aspx) のほうで確認したほうがいいと思います。

    クラスターを構成するには、すべてのサーバーが Active Directory ドメインに参加していなければならないというのは必須要件だったと思います。ですから、クラスターを作成する前に、Active Directory ドメインは構築済みで、利用可能になっている必要があります。物理サーバーで 1 台、ドメイン コントローラーを立てて、Hyper-V クラスターを作成し、その上で 2 台目以降のドメイン コントローラーを実行するのがよいと思います。


    2014年2月12日 8:57
  • Yamauchi Kazuo様

    返信ありがとうございます。
    記載頂いたURLを確認し、「AD DSの依存関係がない状態でクラスターを起動する機能」が
    今回のような構成を想定した機能でない旨を理解しました。
    明確な情報をありがとうございます。

    クラスター構成のためには、全ノードがActive Directoryドメインに参加していることは
    必須要件であると、私も認識しております。
    ドメイン参加自体は2台のHyper-V上にそれぞれ1つ以上のADを仮想マシンとして構築すれば、
    例えばHyper-V#1がドメイン参加するときは、Hyper-V#2上のADを参照してドメイン参加すれば問題なくできますので
    たすき掛け状にドメイン参加できます。(この構成までは実装した経験があります。)
    最初に投稿させて頂きました、④のところで何か問題が発生しないか、という点が一番の懸念点と考えています。

    2014年2月12日 10:38
  • チキン様

    返信ありがとうございます。
    「そもそもクラスタ上にDCを構築すること自体が非推奨」という情報を確認できていないのですが、
    TechNet上で確認できますでしょうか。もしくは過去のセミナー等で共有されている事項でしょうか。

    Hyper-V上の仮想サーバーとしてActive Directoryを構築すること自体はWindows Server 2012でサポート対象になり、
    特に「非推奨」といった強い言葉で止められている情報もなかったため、
    今回のようなActive Directory on Hyper-Vクラスタの構成を検討しておりました。
    非推奨情報について参考資料などがあるようでしたらご教示頂けないでしょうか。

    2014年2月12日 10:43
  • 下の中ねんやっちゅうねんさんの情報が正しいですね。この回答は取り消します。

    想定されている構成ですと、クラスターのサービスが起動する際に、ドメイン コントローラー (DC) が不在の状態になるため、いろいろと問題があると思います。少なくとも 1 台のサーバー (最初に起動するサーバー) のクラスター サービスは、仮想化された DC より前に起動すると思います。クラスターのコンピューター オブジェクトの AD 認証ができないので、DC 不在状態は問題になると思います。それでも無理するなら、クラスター サービスを自動開始しないように構成して、仮想化された DC が起動したあとに、クラスター サービスを開始するといった面倒な運用が必要になるかもしれません。

    クラスターの構成要件は、ドメイン参加していて、同じ役割 (メンバーまたはDCどうし)であればよいので、DC を同じサーバー上に仮想化するよりも、クラスターを構成する物理サーバー両方を DC として構成すればよいのではないでしょうか?推奨構成はメンバーどうしですが、DC どうしもサポートされているようです。ただし、推奨はされないようです(↓)。

    http://technet.microsoft.com/ja-jp/library/cc771404.aspx

    • ドメインの役割 : クラスター内のサーバーはすべて、同一の Active Directory ドメインに参加している必要があります。すべてのクラスター サーバーに対し、ドメインの同一の役割 (メンバー サーバーまたはドメイン コントローラー) を指定することをお勧めします。推奨される役割はメンバー サーバーです。
    • ドメイン コントローラー : クラスター サーバーをメンバー サーバーにすることをお勧めします。クラスター サーバーがメンバー サーバーの場合、他のサーバーが、フェールオーバー クラスターを含むドメインのドメイン コントローラーとなります。

    こちらも参考になるかと。

    DC 停止時の WSFC への影響について
    http://blogs.technet.com/b/askcorejp/archive/2012/05/28/dc-wsfc.aspx


    2014年2月12日 22:30
  • 明らかに非推奨とは記載されていません。すいません。

    えらくわかりにくい日本語ですが・・・

    「フォールト トレランス用のドメイン コント ローラーをクラスターできません。コンピューターがドメイン コント ローラーに昇格させることができ、それらのコンピューターにクラスター サービスをインストールできますが、Active Directory をクラスターの管理されたドライブのいずれかに格納する方法はありません。Active Directory の「フェイル オーバー」はありません。」

    「1 つ以上のドメイン コント ローラー仮想マシンに Windows Server 2008 と Windows Server 2008 R2 内のドメイン コント ローラーを展開する際のベア ・ メタルのままにお勧め」

    参照URL:http://support.microsoft.com/kb/281662/ja

    自分が構成を勘違いしているようでしたらすいません・・・


    • 編集済み チキン 2014年2月13日 10:18
    2014年2月13日 10:16
  • 尾藤さん、最初に記載されている構成で、仮想 DC + Hyper-V クラスターの構成可能です。

    Windows Server 2008 R2 と Windows Server 2012 / 2012 R2 では、いろいろと動作が異なりますので、2008 R2 の情報なのか、Server 2012 以降の情報なのか、よく見極める必要があります。


    .以下 blog について

    DC 停止時の WSFC への影響について
    http://blogs.technet.com/b/askcorejp/archive/2012/05/28/dc-wsfc.aspx

    これは 2008 R2 の情報ですが、Server 2012 以降の動作は少し異なります。

    2008 R2 の場合は、クラスターリソースをオンラインにする場合も、DC への接続が必要です。
    従って、Cluster 上の仮想 DC しか存在しない場合、以下の問題が発生します。( 仮想 DC もクラスターリソースも起動しない )


    1.DC に接続できないために、仮想マシンリソースのオンラインに失敗する
    2.仮想マシンリソースを起動できないので、仮想 DC も起動できない。
    3. 1 に戻る

    2008 R2 の場合、この対策としてクラスターリソース以外の DC を別に稼働させておく必要がありました。


    Server 2012 以降の場合、"AD-less Cluster bootstrapping" の機能が追加され、DC に接続できなくてもクラスターリソースをオンラインにする事ができます。Server 2012 の場合はこうなります。


    1.DC に接続できないので、2 に進む。
    2.クラスターノードに自動作成される、CLIUSR アカウントがクラスターリソースをオンラインにします。
    3.仮想 DC も起動します。


    "AD-less Cluster bootstrapping" は、まさに今回のようなシナリオを念頭に追加された機能です。
    詳しくは、以下の " AD-less Cluster Bootstrapping " の解説を参照してください。

    Windows Server 2012 Failover Cluster – Enhanced Integration with Active Directory (AD)
    http://blogs.technet.com/b/wincat/archive/2012/08/29/windows-server-2012-failover-cluster-enhanced-integration-with-active-directory-ad.aspx


    Failover Cluster は、基本的には DC への接続を必要としますが、Server 2012 以降、特定のシナリオでは DC へ接続しなくていい場合があります。これが、"AD-less Cluster bootstrapping" や " Active Directory-Detached Cluster "の機能です。( 前者はリソースオンライン時の、後者はリソース構築時の機能で、別物です )


    .クラスター + DC の同居について
    (仮想 DC ではなく) 物理サーバー上に、Failover Cluster と DC の機能両方を動作させることは、2003/2008/2008 FR2 では "非推奨" でした。

    KB281662 に明記されています。


    http://support.microsoft.com/kb/281662/en-us
    •It is not recommend to combine the Active Directory Domain Services role and the Failover Cluster feature on Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2


    Server 2012 以降、物理サーバー上に、Failover Cluster と DC の機能両方を動作させることは " Not support " です。同じくKB281662 に明記されています。
    •It is not supported to combine the Active Directory Domain Services role and the Failover Cluster feature on Windows Server 2012

    KB2795523 としても公開されています。

    You cannot add a domain controller as a node in a Windows Server 2012 failover cluster environment
    http://support.microsoft.com/kb/2795523/en-us


    2014年2月14日 2:07
  • 中年やっちゅうねん様

    返信ありがとうございます。
    詳細な情報を頂きありがとうございます。大変ためになりました。

    Hyper-VクラスタとDCを同居させる情報については
    チキン様にもご提示頂いていたKB281662にてすべて述べられていたのですね。
    2008R2以前が「not recommend」、2012以降が「not supported」という扱いであること、理解しました。

    そして2012以降で追加された「AD-less Cluster Bootstrapping」機能の情報、ありがとうございました。
    提示頂いたBlogの情報を確認する限り、中年やっちゅうねん様のおっしゃる通りまさに今回のシナリオへの対応だとわかりました。
    もちろん実装・動作検証などが必要ですが、technet情報を頂くことができ一安心することができました。
    回答としてマークし、本件についてCloseさせて頂こうと思います。

    返信頂いた皆様、ありがとうございました。
    今後ともよろしくお願いいたします。

    2014年2月14日 6:59