none
サイト内DCにて障害が発生した場合の認証について RRS feed

  • 質問

  •  いつも拝見させて頂いております。

    現在下記の環境があります。

    ・ADはシングルドメイン構成
    ・OSは全て Windows Server 2012

    サイトA
    ・DC1(FSMO)
    ・DC2
    サイトB
    ・DC3
    サイトC
    ・DC4

    サブネットはそれぞれのサイトに割り当てております。
    ここで、サイトB、またはサイトCに障害が発生した場合は、サイトAのDC1で認証をさせたいのですが、このような構成
    は可能でしょうか。
    今検討しているのは、DNSのSRVレコードで、サイトBの中に本来であればDC3のSRVコレードのみですが、ここにサイトAの
    DC1の情報を追加し、優先順位をつけるといった方法です。
    ※別サイトのDCのSRVレコードを追加出来るのかはまだ確認がとれておりません。
    ※要は、サイトBで障害が発生した時はサイトCとDC2では認証させたくないという方針です。サイトCも同様です。

    また、ADのレプリケーションについてもサイトB⇔サイトCはさせないようにするため、サイトA⇔サイトB、サイトA⇔サイトCの
    サイトリンクを作成する予定です。サイトリンクのブリッジはオフです。

    よろしくおねがいいたします。

    2015年5月14日 9:08

回答

  • チャブーンです。

    #内容の一部を修正しました

    おっしゃるご要望の「一部」は、グループポリシー「次に最も近いサイトを試す」を全クライアントに適用することで、実現できるでしょう。

    https://technet.microsoft.com/ja-jp/library/cc733142(v=ws.10).aspx

    この設定が有効になっているクライアントは、自身が属するサイトのドメインコントローラが見つからないと、そのサイトから最も近いサイトのドメインコントローラにログオンを試行します。「近い」かどうかはサイト間の「コスト」から算出します。各サイト間のコストが100だったとして、おっしゃる環境ではサイトB=サイトC間のコスト(200)より、サイトB=サイトA(100)およびサイトC=サイトA(100)がコストが少ないので、このような動作になります。ただしDC1だけ、といったログオン先の決め打ちはできません。

    おっしゃる機能(サイトBとサイトCにDC1を登録する)は、「DCロケーターDNS SRVレコードでカバーされるサイトを指定する」ポリシーをDC1だけに適用すれば、多分可能だと思います。

    ただし、この設定を行った場合(たとえSRVの優先順位をつけたとしても)、サイトB/Cの通常ログオンで「DC1に完全にログオンさせない」という設定はできません。単なる優先順位を決めるだけなので。DC1はFSMOということで、(パスワード変更の確認等)他のサーバより負荷が上がる傾向がありますので、質問者さん側で「できる」と判断された場合も、私個人としては、お奨めしない構成になります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    2015年5月14日 10:34
    モデレータ

すべての返信

  • チャブーンです。

    #内容の一部を修正しました

    おっしゃるご要望の「一部」は、グループポリシー「次に最も近いサイトを試す」を全クライアントに適用することで、実現できるでしょう。

    https://technet.microsoft.com/ja-jp/library/cc733142(v=ws.10).aspx

    この設定が有効になっているクライアントは、自身が属するサイトのドメインコントローラが見つからないと、そのサイトから最も近いサイトのドメインコントローラにログオンを試行します。「近い」かどうかはサイト間の「コスト」から算出します。各サイト間のコストが100だったとして、おっしゃる環境ではサイトB=サイトC間のコスト(200)より、サイトB=サイトA(100)およびサイトC=サイトA(100)がコストが少ないので、このような動作になります。ただしDC1だけ、といったログオン先の決め打ちはできません。

    おっしゃる機能(サイトBとサイトCにDC1を登録する)は、「DCロケーターDNS SRVレコードでカバーされるサイトを指定する」ポリシーをDC1だけに適用すれば、多分可能だと思います。

    ただし、この設定を行った場合(たとえSRVの優先順位をつけたとしても)、サイトB/Cの通常ログオンで「DC1に完全にログオンさせない」という設定はできません。単なる優先順位を決めるだけなので。DC1はFSMOということで、(パスワード変更の確認等)他のサーバより負荷が上がる傾向がありますので、質問者さん側で「できる」と判断された場合も、私個人としては、お奨めしない構成になります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    2015年5月14日 10:34
    モデレータ
  • チャプーン様

    回答頂きありがとうございます。
    グループポリシーの件、こちらでも設定して確認してみようと思います。
    また、FSMOのサーバーを指定することは、ご指摘頂いたとおりかと思いますので、
    こちらはちょっと見直してみます。

    大変参考になりました。ありがとうございました。
    また、何かありましたらよろしくおねがいいたします。

    2015年5月15日 7:32