none
ADの緊急複製の仕様について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ADの緊急複製の仕様について教えてください。
    ※OSは全てWindows Server 2008以上を想定しております。

    サイトA
    ・DC1(PDCe
       KCC:DC1
    ・DC2
       KCC:DC1、DC3

    サイトB
    ・DC3
       KCC:DC2、DC4
    ・DC4
       KCC:DC3、DC5

    サイトC
    ・DC5
     KCC:DC4

    上記環境にて「DC3」でユーザーのパスワード変更を行った場合、「DC1」には緊急複製が入り、
    サイトA内はサイト内同期で15秒以内で同期されますが、サイトCへはサイト間複製の通常の
    複製となるのでしょうか。
    また、上記の動作を「DC4」で実施した場合は、DC5と双方のKCCがあるため、即複製が走る
    のでしょうか。
    ※緊急複製がKCCの状態によって変動があるのかご教授頂けますと幸いです。

    よろしくお願い致します。


    2014年12月19日 3:20
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    お疲れ様です。釈迦に説法 という気もしますが、記載させていただきます。

    KCC の組み合わせ複製・連携は、その設計者の意図があったりしますので、一概には言えませんが、オブジェクト数が少ないのであれば、全DCのKCCをフルメッシュで連携させるということもありかな。ということで、私は過去に、AD 2000 の14台のDCをフルメッシュKCC組んだことがあります。(全13拠点の500名規模のフォレストでしたが……)

    一般的には確か、『サイトとサービス』での設定で重み付けを着けないと、AD自体のKCC連携は15秒(OSのバージョンで変化するのですね。訂正です) 複製の対象となると思っておりますが、ご提示された、サイトA・サイトB・サイトC の「それぞれのサイトの構成・登録配分されているオブジェクト数の割合」によって、『サイト間通信の重み付け』に、重点を置かれて設計なされたほうが良いかな、と思います。

    一点、ご確認をさせてください。サイトAのDC1に『FSMO』のプライマリがあるのですよね。「FSMOの複製」としての、『グローバルカタログの複製』はレプリカとしてどちらにおかれておりますか?それによっても、『サイト間通信の重み付け』が変化すると思いますので。

    また、DC1のKCCは、DC2になりますよね。

    サイト毎の地理的条件・地域的規模(IPセグメント構成数)・オブジェクト総数・WAN回線速度・「FSMOの複製」としての『グローバルカタログの複製』のレプリカ配置DCの位置、などなど、重要となる要因を踏まえたうえでの設計となることを前提条件としたうえで、お伝えさせていただくとすれば、『KCC伝播は必ず遅延が生じる』ということを理解してください。

    『サイトの重み付け』をしなければ、ADは即、KCC連携を走らせようとしますが、WAN構成上に必ず遅延があります。要は許容できるよう、『サイトの重み付け』をしましょう。「FSMOの複製」としての、『グローバルカタログの複製』でレプリカを適切に配置しましょう。

    KCCの複製配置は、フォレスト・サブドメインDCなどの構成にもよりますが、DCをフォレスト参加させたときに自動的に構成されるKCCメッシュを当てにすることはせず、自ら、『ハブ・スポーク連携』 と 『部分メッシュ』を適切に取り入れて、KCC連携構築をされたほうが、伝播遅延の低減ができることをご理解いただければ、と思います。

    あと、老婆心ながら、ご提示されたKCCメッシュにつきまして、{個人的主観} を申し上げさせていただけましたなら、シングルフォレスト・シングルドメインでの構築が前提ですが、DC3に「FSMOの複製」としての『グローバルカタログの複製』のレプリカ配置していただければ。

    また、DC2にも、「FSMOの複製」としての『グローバルカタログの複製』のレプリカ配置していただければ、と。

    DC1のKCCは、DC2・DC4・DC5、としていただければ、耐障害性により優れるのかな。と思います。もちろんながら『サイトの重み付け』は重要です。

    以上、運用上の経験から申し上げさせていただきました。乱文にて失礼させていただきます。

    Best Regard!




    • 編集済み an-chan23 2014年12月24日 16:31
    • 回答の候補に設定 佐伯玲 2014年12月25日 1:25
    • 回答としてマーク 佐伯玲 2014年12月26日 8:25
    2014年12月24日 16:01
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    Active Directoryでパスワード変更が発生した場合、PDCエミュレータに直接通信が行われ内容が更新されます。つまり緊急複製の機能とは無関係です。そのあたりの話しは、したのページで紹介してくださっている方がいるようですね。

    http://blogs.technet.com/b/kenstcyr/archive/2008/07/05/understanding-urgent-replication.aspx

    • 回答の候補に設定 佐伯玲 2014年12月25日 1:25
    • 回答としてマーク 佐伯玲 2014年12月26日 8:26
    2014年12月24日 1:26
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    いくつか、補足をさせていただいたほうがよいと思いまして。

    一概には言えませんが、オブジェクト数が少ないのであれば、全DCのKCCをフルメッシュで連携させるということもありかな。

    想定されている作業は、したのような項目なのでしょうか?

    1. [サイトリンクをすべてブリッジ]をOFFにする
    2. (デフォルト変更も含めて)サイトリンクを適切に設定する
    3. 接続オブジェクトを手動で設定する(自動設定は原則使わない)

    もしそうであればですが、3の「接続オブジェクトを手動で設定」はあまりお奨めしません。というのは、接続オブジェクトを手動で設定した場合、したのような問題があるからです。

    1. ドメインコントローラがダウンした場合、他のドメインコントローラとの複製経路の組み換えができない
    2. 重複された情報が複製され、それの処理にオーバーヘッドが発生する(フルメッシュした場合)

    フルメッシュで組めば1の問題はないかもしれませんが、フルメッシュで組んだことで、複製に関する同一情報を別々のドメインコントローラから受け取ることになり、これの処理(すでに複製済みということで受け取り後にキャンセルはされますが)にネットワークやメモリ、CPUパワーといったリソースが無駄遣いされます。こういった処理は避けた方がいいでしょう。また、

    DC1(チャブーン注:PDCエミュレータ)のKCCは、DC2・DC4・DC5、としていただければ、耐障害性により優れるのかな。

    このような設定もあまりよくはないかもしれません。というのは、PDCエミュレーターはパスワード最終確認機能等、別の機能でほかのドメインコントローラよりリソースを消費することがありますが、他サイトへの接続オブジェクトを強制設定すると「ブリッジヘッドサーバー」という新たな役割を担うことになり、よりリソースをたくさん消費する傾向になるからです。DC2をブリッジヘッドサーバーにした場合、複製としてはほとんど同じ(DC1→DC2への複製はほぼ数秒以内に終わります)パフォーマンスなので、DC2のほうがこの役割にふさわしい立ち位置にあるといえます。

    KCCのトポロジー自動設定は、サイトリンクを適切に設定しさえすれば、それに添って適切に接続オブジェクトを自動設定してくれるので、うえのような問題を基本的に考える必要がなくなります(100サイトを超えるような大規模環境では、別の問題がでることがあるので自動設定を止める運用を行うことはあります)。その意味でサイトリンクを適切に設定することは重要というのはおっしゃる通りです。

    最後に余計なことですが、

    「FSMOの複製」としての『グローバルカタログの複製』のレプリカ配置

    FSMOの複製、という概念はないので、FSMOパートナー(FSMOが破損した場合の再割当先)だと思っていますが、グローバルカタログといっしょに、という話しはドメイン名前付けマスタがグローバルカタログとして機能している必要がある、という仕様を下敷きにしていらっしゃると認識しています。ですが、Windows Servver 2003以上ではそうでなくても問題はなくなったので、かならずしも考慮は必要ありません。むしろネットワーク的な機能(すべてのドメインコントローラと直接通信ができるか、おなじ通信速度で通信できるか等)で考慮する必要がありますので、直接的にはDC2が最適なパートナー、ということになるのでしょう(条件がおなじならDC3も含まれる)。


    2014年12月26日 3:38
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャプーン様

    回答ありがとうございます。
    こちらのURLは見ていたのですが、理解が難しく、質問させて頂きました。
    こちらでも検証させて頂き、KCCの有無は関係ないことは確認出来ました。
    パスワード変更は緊急複製の対象ではないのですね。
    勉強になりました。
    ありがとうございます。
    またよろしくおねがいいたします。

    • 回答としてマーク mmmTana 2014年12月26日 6:54
    2014年12月26日 6:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    an-chan23

    回答ありがとうございます。
    サイト設計の際は頂いた情報を参考にさせて頂きます。
    大変参考になりました。
    ありがとうございました。


    • 回答としてマーク mmmTana 2014年12月26日 6:58
    • 編集済み mmmTana 2014年12月26日 6:58
    2014年12月26日 6:57
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    Active Directoryでパスワード変更が発生した場合、PDCエミュレータに直接通信が行われ内容が更新されます。つまり緊急複製の機能とは無関係です。そのあたりの話しは、したのページで紹介してくださっている方がいるようですね。

    http://blogs.technet.com/b/kenstcyr/archive/2008/07/05/understanding-urgent-replication.aspx

    • 回答の候補に設定 佐伯玲 2014年12月25日 1:25
    • 回答としてマーク 佐伯玲 2014年12月26日 8:26
    2014年12月24日 1:26
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    お疲れ様です。釈迦に説法 という気もしますが、記載させていただきます。

    KCC の組み合わせ複製・連携は、その設計者の意図があったりしますので、一概には言えませんが、オブジェクト数が少ないのであれば、全DCのKCCをフルメッシュで連携させるということもありかな。ということで、私は過去に、AD 2000 の14台のDCをフルメッシュKCC組んだことがあります。(全13拠点の500名規模のフォレストでしたが……)

    一般的には確か、『サイトとサービス』での設定で重み付けを着けないと、AD自体のKCC連携は15秒(OSのバージョンで変化するのですね。訂正です) 複製の対象となると思っておりますが、ご提示された、サイトA・サイトB・サイトC の「それぞれのサイトの構成・登録配分されているオブジェクト数の割合」によって、『サイト間通信の重み付け』に、重点を置かれて設計なされたほうが良いかな、と思います。

    一点、ご確認をさせてください。サイトAのDC1に『FSMO』のプライマリがあるのですよね。「FSMOの複製」としての、『グローバルカタログの複製』はレプリカとしてどちらにおかれておりますか?それによっても、『サイト間通信の重み付け』が変化すると思いますので。

    また、DC1のKCCは、DC2になりますよね。

    サイト毎の地理的条件・地域的規模(IPセグメント構成数)・オブジェクト総数・WAN回線速度・「FSMOの複製」としての『グローバルカタログの複製』のレプリカ配置DCの位置、などなど、重要となる要因を踏まえたうえでの設計となることを前提条件としたうえで、お伝えさせていただくとすれば、『KCC伝播は必ず遅延が生じる』ということを理解してください。

    『サイトの重み付け』をしなければ、ADは即、KCC連携を走らせようとしますが、WAN構成上に必ず遅延があります。要は許容できるよう、『サイトの重み付け』をしましょう。「FSMOの複製」としての、『グローバルカタログの複製』でレプリカを適切に配置しましょう。

    KCCの複製配置は、フォレスト・サブドメインDCなどの構成にもよりますが、DCをフォレスト参加させたときに自動的に構成されるKCCメッシュを当てにすることはせず、自ら、『ハブ・スポーク連携』 と 『部分メッシュ』を適切に取り入れて、KCC連携構築をされたほうが、伝播遅延の低減ができることをご理解いただければ、と思います。

    あと、老婆心ながら、ご提示されたKCCメッシュにつきまして、{個人的主観} を申し上げさせていただけましたなら、シングルフォレスト・シングルドメインでの構築が前提ですが、DC3に「FSMOの複製」としての『グローバルカタログの複製』のレプリカ配置していただければ。

    また、DC2にも、「FSMOの複製」としての『グローバルカタログの複製』のレプリカ配置していただければ、と。

    DC1のKCCは、DC2・DC4・DC5、としていただければ、耐障害性により優れるのかな。と思います。もちろんながら『サイトの重み付け』は重要です。

    以上、運用上の経験から申し上げさせていただきました。乱文にて失礼させていただきます。

    Best Regard!




    • 編集済み an-chan23 2014年12月24日 16:31
    • 回答の候補に設定 佐伯玲 2014年12月25日 1:25
    • 回答としてマーク 佐伯玲 2014年12月26日 8:25
    2014年12月24日 16:01
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    いくつか、補足をさせていただいたほうがよいと思いまして。

    一概には言えませんが、オブジェクト数が少ないのであれば、全DCのKCCをフルメッシュで連携させるということもありかな。

    想定されている作業は、したのような項目なのでしょうか?

    1. [サイトリンクをすべてブリッジ]をOFFにする
    2. (デフォルト変更も含めて)サイトリンクを適切に設定する
    3. 接続オブジェクトを手動で設定する(自動設定は原則使わない)

    もしそうであればですが、3の「接続オブジェクトを手動で設定」はあまりお奨めしません。というのは、接続オブジェクトを手動で設定した場合、したのような問題があるからです。

    1. ドメインコントローラがダウンした場合、他のドメインコントローラとの複製経路の組み換えができない
    2. 重複された情報が複製され、それの処理にオーバーヘッドが発生する(フルメッシュした場合)

    フルメッシュで組めば1の問題はないかもしれませんが、フルメッシュで組んだことで、複製に関する同一情報を別々のドメインコントローラから受け取ることになり、これの処理(すでに複製済みということで受け取り後にキャンセルはされますが)にネットワークやメモリ、CPUパワーといったリソースが無駄遣いされます。こういった処理は避けた方がいいでしょう。また、

    DC1(チャブーン注:PDCエミュレータ)のKCCは、DC2・DC4・DC5、としていただければ、耐障害性により優れるのかな。

    このような設定もあまりよくはないかもしれません。というのは、PDCエミュレーターはパスワード最終確認機能等、別の機能でほかのドメインコントローラよりリソースを消費することがありますが、他サイトへの接続オブジェクトを強制設定すると「ブリッジヘッドサーバー」という新たな役割を担うことになり、よりリソースをたくさん消費する傾向になるからです。DC2をブリッジヘッドサーバーにした場合、複製としてはほとんど同じ(DC1→DC2への複製はほぼ数秒以内に終わります)パフォーマンスなので、DC2のほうがこの役割にふさわしい立ち位置にあるといえます。

    KCCのトポロジー自動設定は、サイトリンクを適切に設定しさえすれば、それに添って適切に接続オブジェクトを自動設定してくれるので、うえのような問題を基本的に考える必要がなくなります(100サイトを超えるような大規模環境では、別の問題がでることがあるので自動設定を止める運用を行うことはあります)。その意味でサイトリンクを適切に設定することは重要というのはおっしゃる通りです。

    最後に余計なことですが、

    「FSMOの複製」としての『グローバルカタログの複製』のレプリカ配置

    FSMOの複製、という概念はないので、FSMOパートナー(FSMOが破損した場合の再割当先)だと思っていますが、グローバルカタログといっしょに、という話しはドメイン名前付けマスタがグローバルカタログとして機能している必要がある、という仕様を下敷きにしていらっしゃると認識しています。ですが、Windows Servver 2003以上ではそうでなくても問題はなくなったので、かならずしも考慮は必要ありません。むしろネットワーク的な機能(すべてのドメインコントローラと直接通信ができるか、おなじ通信速度で通信できるか等)で考慮する必要がありますので、直接的にはDC2が最適なパートナー、ということになるのでしょう(条件がおなじならDC3も含まれる)。


    2014年12月26日 3:38
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャプーン様

    回答ありがとうございます。
    こちらのURLは見ていたのですが、理解が難しく、質問させて頂きました。
    こちらでも検証させて頂き、KCCの有無は関係ないことは確認出来ました。
    パスワード変更は緊急複製の対象ではないのですね。
    勉強になりました。
    ありがとうございます。
    またよろしくおねがいいたします。

    • 回答としてマーク mmmTana 2014年12月26日 6:54
    2014年12月26日 6:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    an-chan23

    回答ありがとうございます。
    サイト設計の際は頂いた情報を参考にさせて頂きます。
    大変参考になりました。
    ありがとうございました。


    • 回答としてマーク mmmTana 2014年12月26日 6:58
    • 編集済み mmmTana 2014年12月26日 6:58
    2014年12月26日 6:57
    |