none
フォレストルートドメイン について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ActiveDirectory のフォレストルートドメイン関連で質問させて頂きます。

    1フォレスト、マルチドメインの以下のような環境で動作しています。

    a.corp.local : フォレストルートドメイン (拠点A)
    b.corp.local : bドメイン (拠点A)
    c.corp.local : cドメイン (拠点B)

    拠点Aと拠点Bの通信障害等で長期間通信断になった場合や、フォレストルートドメインサーバに障害が発生して復旧に時間がかかる場合等に、cドメイン上でどのような問題が発生しますでしょうか。
    フォレストドメイン上の役割(スキーママスタ、ドメインネーミングマスタ)に関連した作業が行えなくなることは想像できますが、利用ユーザ側からの観点で影響範囲を確認させて頂きたく質問させて頂きました。

    2013年10月24日 1:06
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    シングルフォレスト=マルチドメイン環境での、他ドメインがダウンした場合の影響ですが、システムの設計に依存するため、明確なコメントはムリです。どうしても言わなければならないというなら、次の点が問題になるのかもしれません。

    1. DNSサーバの設計
      DNSサーバ(ゾーンの配置)をどのようにしたのかによって、影響が変わります。デフォルトではフォレスト内のDNS情報(_msdscゾーン)は全(ドメインコントローラの)DNSに、各ドメイン情報はドメインごとの全DNSに配置されますが、これらの情報を他のドメインに依存しているなら、そこがダウンしたら情報を見られなくなりますので、ユーザがログオンできなくなります。
    2. グローバルカタログ(GC)の設計
      GCの設計も、ユーザのログオンに依存します。ユーザログオン時(管理者は除く)にGCサーバを認識できないと、ユーザはログオンできません。たとえばフォレストルートにのみGCが配置されていた場合、GCサーバがダウンするとフォレスト内全ユーザがログオンができなくなります。全ドメインコントローラをGCにした場合、ドメインコントローラ間の複製トラフィックが増加することで、通信環境が圧迫される可能性があるため、トレードオフで設計する必要があります(サイト設定のユニバーサルグループのメンバシップキャッシュ機能で緩和できます)。
    3. ドメインリソースの設計
      業務上、他ドメイン上のファイルサーバを参照し合っているのであれば、他ドメインのドメインコントローラがダウンしたら、認証できなくなります。同一フォレスト内であっても、Cドメインのドメインコントローラが、Bドメインやフォレストルートのファイルサーバ認証を代わりに行うことはできません。

    うえは簡単なレベルでの話ですので、きちんと確認したいのであれば、コンサルティング(有償になるでしょうが)を受けられた方がいいでしょう。ご自分で確認できる範囲で、というのであれば、障害シナリオをご自身で用意したうえ、試験的に確認する、以外の方法はないように思います。



    2013年10月25日 5:19
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    シングルフォレスト=マルチドメイン環境での、他ドメインがダウンした場合の影響ですが、システムの設計に依存するため、明確なコメントはムリです。どうしても言わなければならないというなら、次の点が問題になるのかもしれません。

    1. DNSサーバの設計
      DNSサーバ(ゾーンの配置)をどのようにしたのかによって、影響が変わります。デフォルトではフォレスト内のDNS情報(_msdscゾーン)は全(ドメインコントローラの)DNSに、各ドメイン情報はドメインごとの全DNSに配置されますが、これらの情報を他のドメインに依存しているなら、そこがダウンしたら情報を見られなくなりますので、ユーザがログオンできなくなります。
    2. グローバルカタログ(GC)の設計
      GCの設計も、ユーザのログオンに依存します。ユーザログオン時(管理者は除く)にGCサーバを認識できないと、ユーザはログオンできません。たとえばフォレストルートにのみGCが配置されていた場合、GCサーバがダウンするとフォレスト内全ユーザがログオンができなくなります。全ドメインコントローラをGCにした場合、ドメインコントローラ間の複製トラフィックが増加することで、通信環境が圧迫される可能性があるため、トレードオフで設計する必要があります(サイト設定のユニバーサルグループのメンバシップキャッシュ機能で緩和できます)。
    3. ドメインリソースの設計
      業務上、他ドメイン上のファイルサーバを参照し合っているのであれば、他ドメインのドメインコントローラがダウンしたら、認証できなくなります。同一フォレスト内であっても、Cドメインのドメインコントローラが、Bドメインやフォレストルートのファイルサーバ認証を代わりに行うことはできません。

    うえは簡単なレベルでの話ですので、きちんと確認したいのであれば、コンサルティング(有償になるでしょうが)を受けられた方がいいでしょう。ご自分で確認できる範囲で、というのであれば、障害シナリオをご自身で用意したうえ、試験的に確認する、以外の方法はないように思います。



    2013年10月25日 5:19
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    回答ありがとうございました。

    現在の環境を見直し、検証環境にて影響度を確認したいと思います。

    2013年10月25日 6:59
    |