none
サイトの廃止手順について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    現在下記のような構成があります。
    サイトを廃止する際の手順を下記のように考えております。

    ※IPはループバックアドレスを仮として記載してますが、
      すべて別NWと考えてください。
    【構成】

    [Site-A]※default-site
    127.0.0.0/24
    [DC(FSMO)]2008R2
    [DC]2008R2

    [Site-B]
    127.0.1.0/24
    [DC]2008R2

    [Site-C]
    127.0.2.0/24
    [DC]2008R2

    【手順】
    1、Site-B,Site-CのサブネットをSite-Aへ移動
    2、Site-Bを削除
    3、Site-Cを削除
    4、Site-BサーバのADサーバ離脱(dcpromo.exe)
    5、Site-CサーバのADサーバ離脱(dcpromo.exe)

    質問
    1、Site-B、Site-Cに接続されていたクライアントは、
      Site-Aにサブネットを移動した時点でログイン認証するサーバをSite-Aに移動するのでしょうか?
      また、現在どのクライアントからログイン認証を許可しているか、確認方法はありますでしょうか。

    2、各Siteに登録されていたサーバを離脱する前に気を付ける点などありますでしょうか?

    以上、失礼します。



    • 編集済み yasTnsc 2015年6月26日 6:59
    2015年6月26日 6:25
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、「サイトの削除」については、いわゆる「金科玉条的ルール」はそもそもありません。今回の内容のように「サイトに展開していたドメインコントローラも一緒に削除」したいのであれば、ドメインコントローラから削除したほうが手順そのものが簡便ですし、ドメインコントローラは残したいのであれば、残すサイトにドメインコントローラを移動(Active Directoryサイトとサービスで操作します)して、その設定内容を全ドメインコントローラに反映できたら、サイトを削除します。

    うえの作業はすべてActive Directoryデータベースで行うことですので、物理作業(サーバのIPアドレスの付け替え含む)はIP通信が可能である限り、作業そのものができなくなることはありません。

    話しの経緯から、「さきにサイトを削除し、あとにドメインコントローラを削除する」を墨守されたいとお見受けしますが、これは何か理由があるのでしょうか?(ふつうは業務中のドメインコントローラの追加削除は行わないと思いますが)、仮にクライアントが接続中にドメインコントローラが降格されていなくなった場合、次回認証時には「サイト構成上もっともコストの低い隣のサイト」上のドメインコントローラに認証を要求しますので、ログオンに支障が発生することは通常ありません。

    なお、別のご質問である「クライアントがどのドメインコントローラにログオンしているか」は、したのページにあるようなスクリプトを「クライアント上」で実行するとわかります。

    https://gallery.technet.microsoft.com/scriptcenter/7aac1746-f57f-4650-8849-09705d78c2c0

    うえのスクリプトはVBScriptという古い形式ですので、今風にPowerShellで同じことをすると、以下のようになると思います。

    $Domain = New-Object System.DirectoryServices.DirectoryEntry("LDAP://rootDSE") 
$DC = $Domain.dnsHostName 
Write-Host "Authenticating domain controller: " $DC

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク yasTnsc 2015年7月6日 5:46
    2015年7月2日 11:50
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    oooohです。

    「Active Directory サイトとサービス」の話で同一ドメイン上の話って事であってますか?

    明示的にサイトを削除する意図はなんでしょうか。

    通常、ドメインコントローラを降格処理する際にサイトも自動削除すると思うのですが。

    というか、サイトを先に壊すとAD自体がおかしくなりそうな気がします。

    また、クライアントがログオン認証しに行くサーバについてですが、

    AのIPアドレスがクライアント側にプライマリDNSとして登録されていればそちらに認証に行きます。

    ※当たり前ですが、論理的に接続できること、名前解決できることが前提です。

    >現在どのクライアントからログイン認証を許可しているか

    ドメイン参加しているコンピュータからの認証要求のことでしたら、認証行為自体は常に全許可です。

    ※実際にログオンできるかどうかはGPOの状態や名前解決の可不可等によります。

    2015年6月26日 8:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この質問の真意が少しわかりかねますが、ひとまずお答えしますね。

    1. ログオン認証は、クライアント側からの要求で発生します。したがってドメインコントローラ側のサイト構成が変わった場合も、「その場ですぐに」認証が変わることはありません。クライアント側からの(再)要求時に変更が検出され、その時に認証が変わります。なお、どのクライアントがどのドメインコントローラから認証を得ているか、はサーバ側で一括確認する、といったことはできません。クライアント側でスクリプトを実行して、各クライアントから情報を得る必要があります。
    2. 事前に「ドメインコントローラ本体」を別サイトに動かしておけば、サイトを削除すること自体は問題ありません。ですが、ドメインコントローラを動かした段階で複製関係の修正(自動的に行われます)が行われるので、それを待ってから作業を行った方がいいでしょう。気を付ける点、は「どのようなことを心配されておられるのか」によって違いますので、一概には言えませんが、たとえば複製を完全に行ってから降格作業を行った方がいい、といったことはあるでしょう。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年7月2日 2:22
    2015年6月29日 4:27
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    >oooohさん

    返信有難うございます。
    以下インラインにて失礼します。

    >「Active Directory サイトとサービス」の話で同一ドメイン上の話って事であってますか?
    同一ドメイン上の話になります。

    >明示的にサイトを削除する意図はなんでしょうか。

     最初に明示的にサイトを作成し登録したので、手動で削除する必要があると考えておりました。
     自動的に削除されるのであれば、
     サイトB、サイトCのADサーバを削除すると自動的にサイトA(Default-site)に戻るという事なのでしょうか。

    >AのIPアドレスがクライアント側にプライマリDNSとして登録されていればそちらに認証に行きます。

     Bを削除する際、Bに所属していた端末のDNSをAに修正するだけで、
     基本的にはAに認証に行こうとする。という認識で正しいでしょうか。

    >※実際にログオンできるかどうかはGPOの状態や名前解決の可不可等によります。
     GPOの状態というのは、グループポリシーの適用元の事でしょうか?。

     もう一度情報を整理したいと思います。

    2015年6月29日 6:12
    |
  • Question
    サインインして投票
    0
    サインインして投票

    oooohです。

    >最初に明示的にサイトを作成し登録したので、手動で削除する必要があると考えておりました。

    ああ・・・、すみません、サイトとサイト配下のサーバアカウントを勘違いしていましたorz

    検証環境で試してみましたが手動作成したサイトは消えないので手動で消す必要がありますね。

    >Bを削除する際、Bに所属していた端末のDNSをAに修正するだけで、
    >基本的にはAに認証に行こうとする。という認識で正しいでしょうか。

    そのはずですが、サイト分けする程論理的に離れているということは認証が遅いかも・・・

    >GPOの状態というのは、グループポリシーの適用元の事でしょうか?。

    具体的にはこれです。(この例だとDCですが、クライアントPCにかけてる場合もありますので)


    • 編集済み ooooh 2015年6月29日 12:30 追記
    • 回答の候補に設定 佐伯玲 2015年7月2日 2:22
    2015年6月29日 12:29
    |
  • Question
    サインインして投票
    0
    サインインして投票

    >チャブーンさん

    返信有難うございます。
    ご連絡が遅くなりました。

    以下インラインにて失礼します。

    >この質問の真意が少しわかりかねますが、ひとまずお答えしますね。

    ネットで情報を探していても「サイトの作成方法」「サイトを追加するには」
    といった情報はよく見かけるのですが、
    「サイトを削除する」といった類の情報が少なかった為、どういう動きなのかを確認したく投稿した次第です。
    私が見つけられていないだけかもしれませんので、参考になるサイトが有りましたらご教授願います。

    >クライアント側でスクリプトを実行して、各クライアントから情報を得る必要があります。
    そのスクリプトを紹介しているサイト、
    もしくはコマンドなどが分かれば教えていただけますでしょうか?
    一度、検証してみたいと思います。

    >2.事前に「ドメインコントローラ本体」を別サイトに動かしておけば、サイトを削除すること自体は問題ありません。
    これは論理的にではなく、物理的に別サイトへ移動してから削除するという事でしょうか。

    【手順(修正)】
    1、BsiteDC → ASiteDC2
    2、複製の完了待ち
    3、ASiteDC2削除
    4、複製の完了待ち
    5、BSite削除
    6、複製の完了待ち

    …といった具合になるのでしょうか?

    >フォーラムは有償サポートとは異なる「コミュニティ」です
    改めて一読して参りました。

    基本的なサイト削除時のフローが確認したいだけなので、
    特に問題はないかと思っておりますが、
    不適切なようでしたら、質問をクローズしたいと思います。

    2015年7月2日 5:58
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、「サイトの削除」については、いわゆる「金科玉条的ルール」はそもそもありません。今回の内容のように「サイトに展開していたドメインコントローラも一緒に削除」したいのであれば、ドメインコントローラから削除したほうが手順そのものが簡便ですし、ドメインコントローラは残したいのであれば、残すサイトにドメインコントローラを移動(Active Directoryサイトとサービスで操作します)して、その設定内容を全ドメインコントローラに反映できたら、サイトを削除します。

    うえの作業はすべてActive Directoryデータベースで行うことですので、物理作業(サーバのIPアドレスの付け替え含む)はIP通信が可能である限り、作業そのものができなくなることはありません。

    話しの経緯から、「さきにサイトを削除し、あとにドメインコントローラを削除する」を墨守されたいとお見受けしますが、これは何か理由があるのでしょうか?(ふつうは業務中のドメインコントローラの追加削除は行わないと思いますが)、仮にクライアントが接続中にドメインコントローラが降格されていなくなった場合、次回認証時には「サイト構成上もっともコストの低い隣のサイト」上のドメインコントローラに認証を要求しますので、ログオンに支障が発生することは通常ありません。

    なお、別のご質問である「クライアントがどのドメインコントローラにログオンしているか」は、したのページにあるようなスクリプトを「クライアント上」で実行するとわかります。

    https://gallery.technet.microsoft.com/scriptcenter/7aac1746-f57f-4650-8849-09705d78c2c0

    うえのスクリプトはVBScriptという古い形式ですので、今風にPowerShellで同じことをすると、以下のようになると思います。

    $Domain = New-Object System.DirectoryServices.DirectoryEntry("LDAP://rootDSE") 
$DC = $Domain.dnsHostName 
Write-Host "Authenticating domain controller: " $DC

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク yasTnsc 2015年7月6日 5:46
    2015年7月2日 11:50
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    >oooohさん

    返信有難うございます。
    ご連絡遅くなりました。
    以下インラインにて失礼します。

    >検証環境で試してみましたが手動作成したサイトは消えないので手動で消す必要がありますね。
    認識通りで良かったです。

    >そのはずですが、サイト分けする程論理的に離れているということは認証が遅いかも・・・
    認証については別途検証が必要かと思っております。

    >具体的にはこれです。(この例だとDCですが、クライアントPCにかけてる場合もありますので)
    内容確認致しました。確かにこの設定が入っていると接続が出来なくなりそうですね。
    参考にさせていただきます。

    2015年7月6日 5:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    >チャブーンさん
    返信有難うございます。

    以下インラインにて失礼します。

    >まず、「サイトの削除」については、いわゆる「金科玉条的ルール」はそもそもありません。
    あまりネット上、本等で調べても情報に行き当たらなかったのはそのためかと思います。

    >話しの経緯から、「さきにサイトを削除し、あとにドメインコントローラを削除する」を墨守されたいとお見受けしますが
    >これは何か理由があるのでしょうか?

    少し誤解を与えているようですので、
    お詫びいたします。

    特に順番には拘っておりません。
    これは私の質問の仕方に問題があったのだと思います。

    サイトは後から追加した認識だったため、
    先にサイトを削除するべきかと思っておりました。

    …ですが回答などを見ているうちに、
    サイトに参加させたドメインコントローラが一番最後になる事に気づきました。

    そのため、ドメインコントローラから削除するのが簡便という事由にも納得できました。
    今回の返信を回答としてマークさせていただきます。

    >なお、別のご質問である「クライアントがどのドメインコントローラにログオンしているか」は、
    >したのページにあるようなスクリプトを「クライアント上」で実行するとわかります。
    有難うございます。こちらについては別途検証させていただきます。

    2015年7月6日 5:46
    |