none
DC追加時の認証を受け付けるタイミングについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    はじめまして。

    この度、以下の環境にDC-3を追加しました。

    --- 
    フォレスト機能レベル: Windows Server 2008 R2
    ドメイン機能レベル: Windows Server 2008 R2
    DC-1(FSMO) Windows Server 2008 R2 Standard
    DC-2 Windows Server 2008 R2 Standard
    DC-3 Windows Server 2008 R2 Standard ←今回新規で追加
    --- 

    DC-3のOS初期設定を終え、dcpromo を実行し、ウィザードを最後まで進め、【完了時に再起動する】にチェックを入れずにその日は帰宅をしました。
    # この状態ではDCとしては稼働していないため、認証を受け付けることは無いはず、という認識でした。


    ところが、翌朝社内の複数のPCにてGPOの適用が出来ない、との報告を受けたため、急遽 DC-3 をシャットダウンして復旧させました。
    # 状況的に以下の事象が発生していると推測しております。

    - FRS ジャーナル ラップ エラー トラブルシューティング 第一回 (SYSVOL と NETLOGON フォルダーが共有されない?) – Ask the Network & AD Support Team 
    https://blogs.technet.microsoft.com/jpntsblog/2015/06/25/frs/


    そこで、お聞きしたいのですが、dcpromo を実施し、その後再起動を実施していないにもかかわらず、認証を受け付ける状態になるのか、という点です。
    恐らく、私の認識不足だと思いますが、公式のドキュメントで解説されているものがありましたら、有識者の方よりご紹介頂きたいです。


    以上
    2018年9月6日 10:03
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、まず、私自身では「dcpromo を実施し、その後再起動を実施していないにもかかわらず、認証を受け付ける状態になるのか」などとは考えたことがありません。というのは、ドメインコントローラーやドメインに参加したマシンは「可及的速やかに再起動」することが必要であり、再起動しないまま放っておく、というシチュエーション自体想定されていないためです。

    そんなことが書かれたドキュメントはないのだから何をやってもいい、ということはなく、「何もしなければ自動的に『即』再起動が発生する」オペレーションがデフォルトで構成されている以上、必要があってその動作になっていると理解するべきです。「再起動しない」オプションがあるのは、ドメインコントローラー上で「インストール記録を取りながら作業」などといった並行オペレーションを阻害しないためのもので、セキュリティ更新プログラム適用時の再起動タイミング、などとはまったく異なるものです。

    ちなみに

    dcpromo を実施し、その後再起動を実施していないにもかかわらず、認証を受け付ける状態になるのか

    については、そうなる可能性があります。というのはドメインコントローラー昇格時には、セキュアチャネルの構成上NetLogonサービスが有効になること、他のドメインコントローラーからの情報取得(複製)の必要上AD DSサービスが構成される必要があるはずだからです。これらが構成されると、「DNSサーバー上にドメインコントローラーが公開される」ことや、「Kerberos認証を外部から受け付ける」といった動作が行われるようになるためです。

    ドメインコントローラーはその性質上(正しく情報が登録されていなければならない)一定時間に自らの情報の再登録や修正を行うため、仮に構築直後に未構成の情報があっても、時間がたつと構成されている可能性もあります。

    (私は興味がないので確かめていませんが)もしご興味があるのであれば、ご自身で検証環境を作られて確かめられるか、根拠情報を含めMS有償サポートに問い合わせることをお奨めします。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク DM0505 2018年9月7日 1:22
    2018年9月6日 23:13
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、まず、私自身では「dcpromo を実施し、その後再起動を実施していないにもかかわらず、認証を受け付ける状態になるのか」などとは考えたことがありません。というのは、ドメインコントローラーやドメインに参加したマシンは「可及的速やかに再起動」することが必要であり、再起動しないまま放っておく、というシチュエーション自体想定されていないためです。

    そんなことが書かれたドキュメントはないのだから何をやってもいい、ということはなく、「何もしなければ自動的に『即』再起動が発生する」オペレーションがデフォルトで構成されている以上、必要があってその動作になっていると理解するべきです。「再起動しない」オプションがあるのは、ドメインコントローラー上で「インストール記録を取りながら作業」などといった並行オペレーションを阻害しないためのもので、セキュリティ更新プログラム適用時の再起動タイミング、などとはまったく異なるものです。

    ちなみに

    dcpromo を実施し、その後再起動を実施していないにもかかわらず、認証を受け付ける状態になるのか

    については、そうなる可能性があります。というのはドメインコントローラー昇格時には、セキュアチャネルの構成上NetLogonサービスが有効になること、他のドメインコントローラーからの情報取得(複製)の必要上AD DSサービスが構成される必要があるはずだからです。これらが構成されると、「DNSサーバー上にドメインコントローラーが公開される」ことや、「Kerberos認証を外部から受け付ける」といった動作が行われるようになるためです。

    ドメインコントローラーはその性質上(正しく情報が登録されていなければならない)一定時間に自らの情報の再登録や修正を行うため、仮に構築直後に未構成の情報があっても、時間がたつと構成されている可能性もあります。

    (私は興味がないので確かめていませんが)もしご興味があるのであれば、ご自身で検証環境を作られて確かめられるか、根拠情報を含めMS有償サポートに問い合わせることをお奨めします。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク DM0505 2018年9月7日 1:22
    2018年9月6日 23:13
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーン様

    ご回答ありがとうございます。

    > そんなことが書かれたドキュメントはないのだから何をやってもいい、ということはなく、「何もしなければ自動的に『即』再起動が発生する」オペレーションがデフォルトで構成されている以上、必要があってその動作になっていると理解するべきです。
    > 「再起動しない」オプションがあるのは、ドメインコントローラー上で「インストール記録を取りながら作業」などといった並行オペレーションを阻害しないためのもので、セキュリティ更新プログラム適用時の再起動タイミング、などとはまったく異なるものです。

    なるほど。そのように考えた方が確かに妥当ですね。


    >> dcpromo を実施し、その後再起動を実施していないにもかかわらず、認証を受け付ける状態になるのか
    > 
    > については、そうなる可能性があります。
    > というのはドメインコントローラー昇格時には、セキュアチャネルの構成上NetLogonサービスが有効になること、他のドメインコントローラーからの情報取得(複製)の必要上AD DSサービスが構成される必要があるはずだからです。
    > これらが構成されると、「DNSサーバー上にドメインコントローラーが公開される」ことや、「Kerberos認証を外部から受け付ける」といった動作が行われるようになるためです。

    まさにお聞きしたかったのが、この回答です。


    > (私は興味がないので確かめていませんが)もしご興味があるのであれば、ご自身で検証環境を作られて確かめられるか、根拠情報を含めMS有償サポートに問い合わせることをお奨めします。

    はい。時間がある時に検証して確かめてみようと思います。


    以上


    • 回答としてマーク DM0505 2018年9月7日 1:22
    • 回答としてマークされていない DM0505 2018年9月7日 1:22
    2018年9月7日 1:22
    |