none
長期間起動しなかったコンピュータのドメインログオン RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    libcuore と申します。

    初めて投稿します。よろしくお願いします。

    以下の条件において、長期間(60日以上)起動していなかったメンバサーバが正常に起動出来るのか、ご教授頂きたいと思います。

    ドメインコントローラ : Windows Server 2008 R2、コンピュータ名 : dc

    メンバサーバ1 :  Windows Server 2008 R2、 コンピュータ名 : sv1、 IPアドレス : 192.168.1.10

    メンバサーバ2 :  Windows Server 2008 R2、コンピュータ名 :  sv2、 IPアドレス : 192.168.1.10 (sv1と同一)

    ドメインの機能レベルは 2003 、フォレストの機能レベルも 2003です。

    sv1は常時起動しており、サードパーティ製のProxyサーバソフトウェアを動作させます。sv2はドメインのメンバですが sv1 と同一IPで、普段はシャットダウンされています(ドメインに参加する時はsv1、sv2を片方ずつ起動して参加します)。sv2もProxyサーバとして構成してあり、sv1のコールドスタンバイ機として使用する予定です。

    この状態で、sv1が故障した際に、sv1をシャットダウン又はNWから切り離して、sv2を起動した時に、ドメインのメンバとして正常にOSを起動することが出来るのでしょうか。

    sv2はコールドスタンバイなので、60日以上電源を投入しない状況が想定されます。

    よろしくお願いします。

    2012年3月2日 2:38
    |

回答

  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    直接のお答えとしては、「ドメイン『メンバサーバ』としては正常に起動するが、Proxyソフトがきちんと動作するかは実際に確認してもらうしかない」のではないか、のではないでしょうか?サーバ名が異なる場合に、クライアントが同じProxy名を参照できるかどうか(DNSのCNAMEを登録することで大丈夫な気もしますが)、同じように動作するかどうかはちょっとわかりません。

    ちなみに「コンピュータアカウントのパスワード」に関しては、「メンバサーバ」に限っては30日間を過ぎて起動しても問題はないはずです。これはクライアント(メンバサーバ)が起動時にコンピュータアカウントのパスワード変更を要求し、クライアントが起動しない状態でパスワードが変更することはない、ためです。(起動させないコンピュータが)ドメインコントローラの場合、自分自身がドメインコントローラかつクライアント両方の立場になるため、自身のデータベース上のコンピュータアカウントのパスワードが先に変更され、他のドメインコントローラの不整合を引き起こしてセキュアチャネルの構成に失敗する、といった可能性があるので、注意が必要です。

    http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

    ちなみに60日間の問題(TombstoneLifetime)も、ドメインコントローラの複製期間の制約(2008 R2では180日間です)のため、メンバサーバには関係ないです。

    • 回答としてマーク 田中夢 2012年3月14日 1:32
    2012年3月4日 15:54
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    質問の内容的にご存知だと思いますが

    http://support.microsoft.com/kb/216393/ja

    などに書かれているとおり、コンピュータアカウントのパスワードはデフォルト30日ごとに変更されます。

    http://www.computerworld.jp/blogs/d/6345/Active%20Directory%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E7%92%B0%E5%A2%83%E3%82%92%E4%BB%AE%E6%83%B3%E5%8C%96%E3%81%99%E3%82%8B%E3%81%AA%E3%82%89

    http://technet.microsoft.com/ja-jp/library/cc781050(v=ws.10).aspx

    などに書いてあるとおり、コンピュータアカウントのパスワード変更を停止させるか、間隔を延ばすなどの対処が必要です。

    • 回答としてマーク 田中夢 2012年3月14日 1:32
    2012年3月2日 16:28
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    質問前の予測では、DC側で古いバックアップをリストアするとパスワード不一致が発生するのでログオンに失敗する。長期間起動しなかっただけなら双方のパスワードは一致したままなのでパスワードが新しく自動更新されてログオン出来る、という感じなのではないかと思っていました。

    だいたいあっていますが、ちょっと違います。メンバサーバ側でリストアした場合、最新のパスワードしか持たないDCに対して、メンバサーバ側が持っている2つのコンピュータアカウントのパスワード(最新のモノとひとつ前のモノ)が書き戻されてしまうので、おそらく30日間以内でダメになるでしょう。単にシャットダウンしていた場合は、パスワードの変更自体が起こらないので、問題はありません。

    コンピュータアカウントのパスワードの動作は、フォレスト・ドメイン機能レベルには関係ありませんし、Windows 2000 OS 以降は動作も変わっていません。セキュリティ上問題がなければ、コンピュータアカウントのパスワードの変更を無効にする、というのもありだと思います。


    2012年3月6日 13:58
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    質問の内容的にご存知だと思いますが

    http://support.microsoft.com/kb/216393/ja

    などに書かれているとおり、コンピュータアカウントのパスワードはデフォルト30日ごとに変更されます。

    http://www.computerworld.jp/blogs/d/6345/Active%20Directory%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E7%92%B0%E5%A2%83%E3%82%92%E4%BB%AE%E6%83%B3%E5%8C%96%E3%81%99%E3%82%8B%E3%81%AA%E3%82%89

    http://technet.microsoft.com/ja-jp/library/cc781050(v=ws.10).aspx

    などに書いてあるとおり、コンピュータアカウントのパスワード変更を停止させるか、間隔を延ばすなどの対処が必要です。

    • 回答としてマーク 田中夢 2012年3月14日 1:32
    2012年3月2日 16:28
    |
  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    直接のお答えとしては、「ドメイン『メンバサーバ』としては正常に起動するが、Proxyソフトがきちんと動作するかは実際に確認してもらうしかない」のではないか、のではないでしょうか?サーバ名が異なる場合に、クライアントが同じProxy名を参照できるかどうか(DNSのCNAMEを登録することで大丈夫な気もしますが)、同じように動作するかどうかはちょっとわかりません。

    ちなみに「コンピュータアカウントのパスワード」に関しては、「メンバサーバ」に限っては30日間を過ぎて起動しても問題はないはずです。これはクライアント(メンバサーバ)が起動時にコンピュータアカウントのパスワード変更を要求し、クライアントが起動しない状態でパスワードが変更することはない、ためです。(起動させないコンピュータが)ドメインコントローラの場合、自分自身がドメインコントローラかつクライアント両方の立場になるため、自身のデータベース上のコンピュータアカウントのパスワードが先に変更され、他のドメインコントローラの不整合を引き起こしてセキュアチャネルの構成に失敗する、といった可能性があるので、注意が必要です。

    http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

    ちなみに60日間の問題(TombstoneLifetime)も、ドメインコントローラの複製期間の制約(2008 R2では180日間です)のため、メンバサーバには関係ないです。

    • 回答としてマーク 田中夢 2012年3月14日 1:32
    2012年3月4日 15:54
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    皆さんご回答頂きありがとうございます。
    最初の質問で詳しく記載しなかったのが悪いのですが、主に確認したかった事項としては…

    01. DCを古いバックアップからリストアした時と長期間起動しなかった時の挙動は一緒か?

    ネットで見ていると、
    「60日以上前のバックアップを戻した時に、DCとメンバサーバ間でパスワードの不一致が出る為ログオン出来なくなる」という記事が多かったのですが、長期間起動しなかった時もその記事と同じ現象が出るのか、それとも全く違った話なのかがよく判りませんでした。

    02. ドメインの機能レベル、DCのOSの差異で現象に違いがあるか

    長期間起動しなかった時にログオン出来なくなると仮定して、その症状はDCのOSが2003の時と2008R2の時で違うのか、機能レベルが2000と2003の時で違うのかが判りませんでした。

    Proxyが正常に動作するかどうかは当然そのソフトウェアに依存した話なので、ここで話題に挙げる事ではないと思っていますが、丁寧にご回答頂いてありがとうございました。最初に一言書き添えるべきでした。

    質問前の予測では、DC側で古いバックアップをリストアするとパスワード不一致が発生するのでログオンに失敗する。長期間起動しなかっただけなら双方のパスワードは一致したままなのでパスワードが新しく自動更新されてログオン出来る、という感じなのではないかと思っていました。
    チャブーンさんのお話ですと、結果的にはそのような動きになる、ということなのでしょうか?

    最悪挙動がしっかり判らなかった場合は、メンバサーバのレジストリを変更してコンピュータ・アカウントのパスワード自動更新を無効にしようかとも思っています。

    http://www.atmarkit.co.jp/fwin2k/win2ktips/1327discap/discap.html

    2012年3月6日 1:50
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    質問前の予測では、DC側で古いバックアップをリストアするとパスワード不一致が発生するのでログオンに失敗する。長期間起動しなかっただけなら双方のパスワードは一致したままなのでパスワードが新しく自動更新されてログオン出来る、という感じなのではないかと思っていました。

    だいたいあっていますが、ちょっと違います。メンバサーバ側でリストアした場合、最新のパスワードしか持たないDCに対して、メンバサーバ側が持っている2つのコンピュータアカウントのパスワード(最新のモノとひとつ前のモノ)が書き戻されてしまうので、おそらく30日間以内でダメになるでしょう。単にシャットダウンしていた場合は、パスワードの変更自体が起こらないので、問題はありません。

    コンピュータアカウントのパスワードの動作は、フォレスト・ドメイン機能レベルには関係ありませんし、Windows 2000 OS 以降は動作も変わっていません。セキュリティ上問題がなければ、コンピュータアカウントのパスワードの変更を無効にする、というのもありだと思います。


    2012年3月6日 13:58
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    よく理解出来ました。理屈も判りましたし、やりたい事も実現出来そうです。

    丁寧に回答して頂きありがとうございました。

    2012年3月7日 1:46
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。
    フォーラム オペレーターの田中夢です。
     
    たかはしもとのぶ さん、チャブーン さん
    参考になるアドバイスをありがとうございます。
     
    libcuore さん
    疑問が解消された旨をご連絡いただきありがとうございます。

    今回のご質問につきましては、たかはしもとのぶ さんと チャブーン さん からの投稿を参考にしていただけたようですので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。


    また何かありましたら TechNet フォーラムをご利用くださいね。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢

    2012年3月14日 1:32
    |