none
ADサーバーの仮想化サポートに関しまして RRS feed

  • 質問

  • いつも参考にさせていただいております。大変ありがとうございます。

    もう何度も質問に上がっているかとは思われますが、ADの仮想化に関しましてご教授ください。

    (仮想環境はWinServer2012R2前提とお考えください。)

     

    ADの仮想化の制限に関しましては、「GenerationID」の導入により、大きく緩和・改善されていると認識しております。

    (「Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100)」より※リンク添付できませんでした。)

    しかし上記文書で取り上げられている「GenerationID」のテクノロジでは、ADを仮想した際、「時刻がズレが生じる」という問題に対応できていないと感じております。


    その点、マイクロソフト様は如何お考えでしょうか。(時刻のズレを許容して、ADの仮想化がサポートされているのか?という質問の意図です)

    何卒ご教授のほどよろしくお願いいたします。

    ※私、営業ですので、たの質問者の方々に比べて、理解が十分ではない可能性がございますが、

     その点ご指摘いただければ幸いです。何卒よろしくお願いいたします。

    2014年3月31日 11:27

回答

  • GenerationID は、(Hyper-V のスナップショット機能を使って以前のイメージに戻した結果発生する ) 仮想AD の USN ロールバック、さらにその結果発生するレプリケーションエラーへの対策として実装されたものです。そもそもが " 仮想化環境で発生しやすい、時刻ズレが生じる」という問題に対応" したものではないので、この質問は変です。

    また、"時刻のズレを許容して" については、これもそもそも ietf が定義した Kerberos 規格 ( RFC 1510 ) の方で大幅な時刻のズレを許容していないので、仮想化かどうかに関わらず、( ついでに言うとMSのWindows以外のKerberos 認証でも) 時刻のズレを許容するような動作を期待するのも変です。
    http://tools.ietf.org/html/rfc1510

    • 回答の候補に設定 佐伯玲 2014年4月3日 6:50
    • 回答としてマーク 佐伯玲 2014年4月8日 6:38
    2014年4月1日 5:54
  • チャブーンです。

    お断りですが、このフォーラムは「市井のエンジニア同士の情報交換」として用意されていますので、「MSさんの(正式)見解」を問いただしても、応答はありません。正式見解が知りたい、というのであれば、有償サポートをご利用いただくか、御社のMS営業担当者等に直接確認なさってください。

    技術的には仮想マシンの時刻同期は素の状態でずれやすいため、以下2つの選択肢しかありません。時刻がずれたままの運用はもちろん想定されていません。2012 R2でもしくみが変わっていない以上、この要件も変わっていないと思います。

    • 仮想マシン統合サービスの時刻同期を使う(簡便確実に時刻は合いますが、NTP同期階層等は適切に構成されません)
    • 仮想マシンから他の物理マシン(NTPサーバ専用マシン)に(通常より)短い間隔で時刻同期させる(NTP同期階層は物理同様に構成できますが、サーバ資材が余分に必要です)

    小規模の仮想マシン構成なら前者でもほぼ問題ありませんが、Hyper-V物理マシンが複数必要な環境や、時刻同期の仕様を物理同様に設定しなければならない環境であれば、後者を検討する必要があります。



    2014年4月1日 5:09
    モデレータ

すべての返信

  • チャブーンです。

    お断りですが、このフォーラムは「市井のエンジニア同士の情報交換」として用意されていますので、「MSさんの(正式)見解」を問いただしても、応答はありません。正式見解が知りたい、というのであれば、有償サポートをご利用いただくか、御社のMS営業担当者等に直接確認なさってください。

    技術的には仮想マシンの時刻同期は素の状態でずれやすいため、以下2つの選択肢しかありません。時刻がずれたままの運用はもちろん想定されていません。2012 R2でもしくみが変わっていない以上、この要件も変わっていないと思います。

    • 仮想マシン統合サービスの時刻同期を使う(簡便確実に時刻は合いますが、NTP同期階層等は適切に構成されません)
    • 仮想マシンから他の物理マシン(NTPサーバ専用マシン)に(通常より)短い間隔で時刻同期させる(NTP同期階層は物理同様に構成できますが、サーバ資材が余分に必要です)

    小規模の仮想マシン構成なら前者でもほぼ問題ありませんが、Hyper-V物理マシンが複数必要な環境や、時刻同期の仕様を物理同様に設定しなければならない環境であれば、後者を検討する必要があります。



    2014年4月1日 5:09
    モデレータ
  • GenerationID は、(Hyper-V のスナップショット機能を使って以前のイメージに戻した結果発生する ) 仮想AD の USN ロールバック、さらにその結果発生するレプリケーションエラーへの対策として実装されたものです。そもそもが " 仮想化環境で発生しやすい、時刻ズレが生じる」という問題に対応" したものではないので、この質問は変です。

    また、"時刻のズレを許容して" については、これもそもそも ietf が定義した Kerberos 規格 ( RFC 1510 ) の方で大幅な時刻のズレを許容していないので、仮想化かどうかに関わらず、( ついでに言うとMSのWindows以外のKerberos 認証でも) 時刻のズレを許容するような動作を期待するのも変です。
    http://tools.ietf.org/html/rfc1510

    • 回答の候補に設定 佐伯玲 2014年4月3日 6:50
    • 回答としてマーク 佐伯玲 2014年4月8日 6:38
    2014年4月1日 5:54
  • こんにちは、y.hirose さん
    フォーラムオペレータの佐伯 玲 です。

    その後お二方から寄せられた情報はご確認いただけましたでしょうか?
    ご参考になるのではないかと思い私の方から「回答としてマーク」とさせていただきました。

    また、チャブーンさんからの返信でも触れられているようにこのフォーラムではあくまでユーザー同士の情報交換を行う場とさせていただいております。
    オペレーターの私も既に公式に発表された情報をフォーラム内でご紹介させていただく事は可能ですが、オペレーター自身がフォーラム内に公式的な見解等を表明させていただくことは出来ないためご了承くださいませ。


    宜しくお願い致します。


    TechNet Community Support 佐伯 玲

    2014年4月8日 6:38
  • 廣瀬でございます。

    返信遅れて大変申し訳ございません。

    ご丁寧に回答いただきました大変ありがとうございます。

    やはり時刻の問題は解決されていないのですね。

    勉強になりましたありがとうございます。

    今回は安全のため別途ADサーバーを構築することいたしました。

    どうもありがとうございます。

    今後とも何卒よろしくお願いいたします。

    2014年4月10日 3:05