none
リンクダウン時のAD上の同名アカウントの登録 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    大変お世話になります。

    リンクダウン時のAD上の同名アカウントの登録について質問させて下さい。

    DCが2台あり、(DC1,DC2)、その間のリンクがダウンしている状態で、
    DC1上でファイルサーバ(Srv1)の入替のために、このサーバをリネームして、
    同じサーバ名(Srv1)を使用してDC1上に物理的に異なる、新しいサーバをセットアップした場合、ダウンしているリンクが復旧した場合、どのような不具合が考えれれますでしょうか。

    リンクダウンの為、名前変更のの更新はDC2に複製されずに、DC1上で再登録したSrv1オブジェクトは、新しいSIDと低いUSNを保持しているので、リンクが戻った時に、DC2上の古い状態のSrv1オブジェクトに上書きされることになるのでしょうか。
    その結果、SID不一致のために、クライアントPCから再取得するまでアクセスできなくなってしまうのでしょうか。

    また、リネームではなく、削除した場合はどうなるのでしょうか。削除の更新が戻ってきてしまうことがあるのでしょうか。

    リンクが上がった状態で、ちゃんと複製してから入れ替えれば良いのですが、実際の環境では、同一ドメイン内に、海外拠点の数十のサイトを含んでいるために、インターネットVPNのリンクが切れてしまうことが多々あり、必ずしもDCが常に複製出来ていない状況にあります。

    大変お手数ですが、どうぞ、よろしくお願いいたします。

    2010年4月26日 4:07
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    適切なタイミングで返信できませんでした。申し訳なく思っています。

    コンピュータオブジェクトを削除→同じ名前で再登録、の流れについてですが、私自身の見解は2010年5月11日 10:09の投稿どおりですので(間違っていたらゴメンナサイ)、必要があればMSFTの方の回答を待つか、有償サポートにきちんと確認する(こちらをお奨めします)ようにお願いします。

    > 何度か経験したことがあるのですが、DC間複製が終了していない状態で、削除したコンピュータ名を
    > 再利用して、登録した場合、しばらくすると登録したサーバ名が消えてしまうことがありました。

    状況だけを見ると確かにオブジェクトの競合が関係している可能性はありますね。ですが、なぜこのようなことが発生したのか、「あとから調べる」のは正直難しいでしょう。

    ただ、簡単にでも状況を知りたいのであれば、(長期間経過していなければ)まず、Active Directory ユーザーとコンピュータ にある [LostandFound]コンテナの中に、重複したオブジェクトが入っていることがあります。それ以外に、CN=Deleted Objects.<ドメイン DN> という隠しコンテナに削除されたオブジェクトが格納されていますので、これをチェックすれば、オブジェクトがいつ削除されたのか、程度の情報はわかると思います。

    Deleted Objects 隠しコンテナの中身を見る方法は、したのページに書いてあります(ldp.exeを使います)。

    How to search for deleted objects in Active Directory
    Active Directory から削除されたユーザーおよびユーザーのグループ メンバシップを復元する方法

    2010年5月24日 9:52
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    複製が中断されたドメインコントローラ上で、コンピュータアカウントのオブジェクトの名前(いわゆる DN)が変わった場合も、複製が復旧した時点で、以前の名前のオブジェクトが正常になる(名前が変わる)だけでしょう。これはオブジェクトがDNではなくSIDで内部管理されているためです。

    また、オブジェクトを削除した場合も、削除済みオブジェクトは一定期間 (いわゆる TombstoneLifeTimeの期間) 不可視な状態で保存されるため、その間に同期が再開すれば、残っていたオブジェクトもちゃんと削除扱いに移行します。

    2010年4月26日 8:47
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん、

    ご連絡頂きまして、まことにありがとうございます。

    確かに名前を変更しただけですと、回線が復旧した時点で、その名前変更がダウンしていた回線先の、DC上に複製されるだけなので、問題はないのですが、

    今回のケースは、ダウンしている状態で、名前を変更、そして、その変更前のサーバ名を使用して、物理的に別なサーバをADに登録しています。

    回線復旧時に順番どおりに、複製されればよいのですが、複製は、タイムスタンプではなくUSNで更新されるようですので、同じサーバ名で名前の重複が起きた場合、より高いUSNの値をもつ、リンクダウン先のDC上の古いSIDとセットのサーバ名が、戻ってきて新しいSIDとセットのオブジェクト名が上書きされるのではと考えております。

    削除の場合も同じで、削除したのにも関わらず、同じサーバ名を再度使用している為、異なるSIDをもったUSNの高い同名オブジェクトが、更新でもとに戻ってくるのではと考えております。

    ややこしくてすみません。どうぞよろしくお願いします。

    2010年4月27日 0:45
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    ドメインコントローラー(DC)間の複製が行われる前に、複数の DC 上に同じ名前のオブジェクトが作成された場合を想定されているのでしょうか?

    もしその認識でよければ、下記の情報などを参考にしていただければと思います。

    - 参考情報
    コンピュータ・アカウント名の後に数字が羅列されている
    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/71/


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年5月11日 8:37
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    返答できなくてすみません。MSFT 三沢さんから回答いただいたのですが(ありがとうございます)、ちょっとこの件に限っては「中身が違う」と思いますので、再度コメントしますね。

    この件の最初のキモは、ドメインコントローラ間で「同じ SID のオブジェクトで異なる DN になった場合」、どんな挙動になりますか?ということかと思います。

    うえの答えは、リクツのうえからも簡単に検証で試した範囲でも、「複製時に新しいDNに統合されます」ということで、書き換えられたDNで全部のドメインコントローラに反映します。

    で、その次のキモとして、「書き換え前のDNを持つオブジェクト(A)」と「Aと同じDNを持つ新しいオブジェクト(B)」が、異なるドメインコントローラ間で複製された場合ですが、検証で確認した限り、A の DN がきちんと変更され、そのうえで B が複製される、といった動作になっていますね。こういう状況下で、DN が衝突するといったことはなかったです。

    その意味では、こういうケースではちゃんと整合性を取って複製を行ってくれるはず、と認識しています。

    MSFT 三沢さんに紹介いただいた記事は、異なるドメインコントローラ間で「整合のしようがない」同一DNのオブジェクトが作られた場合の挙動なのかな、と考えています。

    ただ、これは検証結果から私がそう考えている、以上のなにかではないので、「完全に白黒つけたい」のであれば、MSの有償サポートにきちんと聞いていただく、ことが間違いないでしょう。

    2010年5月11日 10:09
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    三沢さん、チャブーンさん、

    ご返答頂きましてまことにありがとうございます。

    説明が下手なのか、話がややこしくなってしまい申し訳ございません。

    DC間のリンクがダウンしている状態で、

    1. サーバ名を変更

    2. 変更前のサーバ名を再利用して、物理的に異なる(GUIDが異なる)サーバをセットアップ

    それで、リンクが戻った時にどうなるかなのですが、

    1,2の順番で更新が複製されれば問題ないのですが、2が先に来てしまった場合はDNの重複が起こってしまうのかなと考えました。

    また、同じDNでも、リンクダウン先にあった、オブジェクトの方が、高い値のUSNを保持しているので、新規に追加した方が古い方に上書きされてしまうのかなと考えましたが、三沢さんのおっしゃるように、DN名の後に、オブジェクトGUIDが追加状態になるのですね。なるほど。

    また、更新の順番が入れ替わること自体が考えすぎで、チャブーンさんに検証頂いたように、順番どおり更新されるのかもしれませんね。

    厚かましいですが、もう一つ追加で質問をさせて下さい。。。

    もとのサーバを名前変更ではなく、削除した場合はどうなるのでしょうか。

    1. サーバ名を削除

    2. 削除したサーバ名を再利用して、物理的に異なる(GUIDが異なる)サーバをセットアップ

    何度か経験したことがあるのですが、DC間複製が終了していない状態で、削除したコンピュータ名を再利用して、登録した場合、しばらくすると登録したサーバ名が消えてしまうことがありました。

    これは、削除の更新が戻ってきてしまっているということなのでしょうか。。。

     

     

    2010年5月12日 7:23
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    適切なタイミングで返信できませんでした。申し訳なく思っています。

    コンピュータオブジェクトを削除→同じ名前で再登録、の流れについてですが、私自身の見解は2010年5月11日 10:09の投稿どおりですので(間違っていたらゴメンナサイ)、必要があればMSFTの方の回答を待つか、有償サポートにきちんと確認する(こちらをお奨めします)ようにお願いします。

    > 何度か経験したことがあるのですが、DC間複製が終了していない状態で、削除したコンピュータ名を
    > 再利用して、登録した場合、しばらくすると登録したサーバ名が消えてしまうことがありました。

    状況だけを見ると確かにオブジェクトの競合が関係している可能性はありますね。ですが、なぜこのようなことが発生したのか、「あとから調べる」のは正直難しいでしょう。

    ただ、簡単にでも状況を知りたいのであれば、(長期間経過していなければ)まず、Active Directory ユーザーとコンピュータ にある [LostandFound]コンテナの中に、重複したオブジェクトが入っていることがあります。それ以外に、CN=Deleted Objects.<ドメイン DN> という隠しコンテナに削除されたオブジェクトが格納されていますので、これをチェックすれば、オブジェクトがいつ削除されたのか、程度の情報はわかると思います。

    Deleted Objects 隠しコンテナの中身を見る方法は、したのページに書いてあります(ldp.exeを使います)。

    How to search for deleted objects in Active Directory
    Active Directory から削除されたユーザーおよびユーザーのグループ メンバシップを復元する方法

    2010年5月24日 9:52
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん、

    いつも大変お世話になっております。

    丁寧なご返答頂きまして、まことにありがとうございます。

    もう少し、検証してみまして、また機会があればMSの有償サポートに連絡いたします。

    ありがとうございました。

    2010年5月25日 4:31
    |