none
長期間、ドメコン間で通信が行えない場合のドメイン情報の整合について RRS feed

  • 質問

  • haru1banと申します。

    Windows Active Directoryの運用時の動作について質問させていただきます。
    お時間のあるときにご教授いただければ幸いです。

    ■環境
    シングルドメイン構成(windows 2003 または2008でドメコン構成)
    ドメインコントローラは各拠点(東京、大阪)に一台づつ
     グローバルカタログは、東京DC
    クライアントは、各拠点(東京、大阪)にそれぞれ接続されている。

    ■経緯
     災害で各拠点同士の通信が不可となった。
     ただし、各拠点ごとのネットワークは正常に動作しており
     ドメインに対しての更新は各拠点それぞれで発生している。
      ・アカウント追加
      ・コンピュータ追加
     など

    ■質問
     その後、拠点間の通信が復旧した場合
     ドメイン間での整合はどのように行われるのでしょうか?
     ※それとも行えないのでしょうか?

     ADのドメインコントローラはマルチマスタ構成なので、整合がどのようにとら
    れるのかが想定できませんでした。

    以上です。
    何卒宜しくお願いいたします。

    2009年7月21日 9:12

回答

  • こちらの投稿にもありますが、tombstone 期限[通常は60 日間(Windows Server 2003 SP1 以降は 180 )]を越えた再同期は基本的にできないようです。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2009年7月22日 11:31
  • チャブーンです。

    Active Directry 複製の整合性をチェックする場合、(オブジェクトや属性ごとについた)バージョン番号、タイムスタンプ、DSA GUID の 3 つを使います。内容については、下の資料によくまとまっていますね。

    http://technet.microsoft.com/en-us/library/cc772726(WS.10).aspx
    (Multimaster Conflict Resolution Policy の欄に書いてあります)

    優先順位として、最新バージョン番号→更新時のタイムスタンプ→GUID となります。MS の資料にも、そうありますね。

    http://support.microsoft.com/servicedesks/webcasts/so_projects/so13/so13.ppt
    (スライド 24 以降にあります)

    [追記]
    切断されていたドメインコントローラが再接続された場合も、複製プロセス自体に特別な要件はなかったはずです。(複製そのものの手順については、うえの PPT 資料にもあります)。ただし(ある程度の時間が経過してしまい)ドメインコントローラ情報が両方で書き替えられている可能性が高い場合、予期しない内容変更が起こることを考えると、再複製はやめておいた方がいいかもしれません。

    2009年7月30日 4:36
    モデレータ
  • こんにちは、阿部と申します

    基本的に切断されてから60日を超えていなければ特に問題なく複製されます。

    問題となるのはtombstoneマークの60日(Windows 2003の場合)という制限になります。ただしこれも、OSのバージョンや導入時のサービスパックの種類によって期間が異なりますので注意が必要になります。

    ですのでよくあるのが60日以上前のオブジェクトを複製させたい(バックアップから戻して)というのは基本的にNGとなります。

    それでも複製させたいという時は自己責任においてレジストリの変更を行えば可能です。

    強制同期(60日以上経過したBackupから同期する方法)

    HKLM\SYSTEM|CurrentControlSet\Services\NTDS\Parameters

    REG_DWORD
    Allow Replication With Divergent and Corrupt Partner
    を1にする

    同期終了後にはこのパラメーターは削除

    なるべくこの方法は使わない方がいいですね(笑)

    2009年7月31日 7:15
    モデレータ

すべての返信

  • こちらの投稿にもありますが、tombstone 期限[通常は60 日間(Windows Server 2003 SP1 以降は 180 )]を越えた再同期は基本的にできないようです。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2009年7月22日 11:31
  • チャブーンです。

    Active Directry 複製の整合性をチェックする場合、(オブジェクトや属性ごとについた)バージョン番号、タイムスタンプ、DSA GUID の 3 つを使います。内容については、下の資料によくまとまっていますね。

    http://technet.microsoft.com/en-us/library/cc772726(WS.10).aspx
    (Multimaster Conflict Resolution Policy の欄に書いてあります)

    優先順位として、最新バージョン番号→更新時のタイムスタンプ→GUID となります。MS の資料にも、そうありますね。

    http://support.microsoft.com/servicedesks/webcasts/so_projects/so13/so13.ppt
    (スライド 24 以降にあります)

    [追記]
    切断されていたドメインコントローラが再接続された場合も、複製プロセス自体に特別な要件はなかったはずです。(複製そのものの手順については、うえの PPT 資料にもあります)。ただし(ある程度の時間が経過してしまい)ドメインコントローラ情報が両方で書き替えられている可能性が高い場合、予期しない内容変更が起こることを考えると、再複製はやめておいた方がいいかもしれません。

    2009年7月30日 4:36
    モデレータ
  • こんにちは、阿部と申します

    基本的に切断されてから60日を超えていなければ特に問題なく複製されます。

    問題となるのはtombstoneマークの60日(Windows 2003の場合)という制限になります。ただしこれも、OSのバージョンや導入時のサービスパックの種類によって期間が異なりますので注意が必要になります。

    ですのでよくあるのが60日以上前のオブジェクトを複製させたい(バックアップから戻して)というのは基本的にNGとなります。

    それでも複製させたいという時は自己責任においてレジストリの変更を行えば可能です。

    強制同期(60日以上経過したBackupから同期する方法)

    HKLM\SYSTEM|CurrentControlSet\Services\NTDS\Parameters

    REG_DWORD
    Allow Replication With Divergent and Corrupt Partner
    を1にする

    同期終了後にはこのパラメーターは削除

    なるべくこの方法は使わない方がいいですね(笑)

    2009年7月31日 7:15
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    皆様、回答ありがとうございます。

    皆様からコメントがありましたように、短期間であれば、DC 間の複製が行われていなくても問題が出る事は少ないのではと思われます。

    それでは、皆様の回答は大変参考になる情報ではないかと思いましたので、勝手ながら私の方で [回答としてマーク] のチェックを付けさせていただきました。
    もし不適当であると思われた場合は、遠慮なくチェックを解除してくださいね。

    今後とも TechNet Forum をよろしくお願いします!

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年8月6日 6:17
    モデレータ