none
ドメインコントローラとメンバーサーバ間の通信について RRS feed

  • 質問

  • 以下のようなロケーションでWindows Server Failover Cluster環境を構築する場合のアドバイスをお願いします。

    ・本社にドメインコントローラとDNSサーバが稼働中。(Windows Server 2008 R2)

    ・遠隔地のB工場にWFSC環境をWindows Server 2012で構築の予定。

     

    この時のドメインコントローラの配置にアドバイスをお願いします。(なお、B工場には初めてサーバを設置する前提でお願いします)

    ①B工場に設置するWFSCを構築するサーバは、全て本社ドメインに参加させるのみ

    ②B工場に本社ドメインコントローラの「読み取り専用ドメインコントローラ」を新設する

     

    ①の場合、B工場に設置したメンバーサーバと本社のドメインコントローラの間で発生する通信の種類、容量、頻度を教えてもらえますか。

    ②の場合:

    ②-1:B工場に設置した読み取り専用ドメインコントローラと本社のドメインコントローラの間で発生する通信の種類、容量、頻度を教えてもらえますか。

    ②-2:B工場に設置した読み取り専用ドメインコントローラと本社のドメインコントローラの間で発生する通信の頻度を、例えば夜間に1回など制御できますか?

    ②-3:B工場内のメンバーサーバの認証は「読み取り専用ドメインコントローラ」を通して、本社ドメインコントローラへの問合せ等は発生しない認識で良いでしょうか?

     

    できるだけ、本社-B工場間で不要な通信を発生させたくないのですが、WSFCはドメインコントローラが必須とのことなので、お知恵をお貸しください。

     

     

    以上、よろしくお願いします。

    2014年1月21日 4:04

回答

  • OS 単体でのお話であれば基本的に不要な通信はありませんので、不要な通信をブロックさせると言う観点での考慮は必要ないのではと思います。ただし、Active Directory サイトを分割し、工場側にドメイン コントローラーを設置すれば認証トラフィックがサイト内で完結できることが多くなるので、WAN トラフィックを減らしたい場合は考慮した方が良いと思います。

    http://technet.microsoft.com/ja-jp/library/cc731907.aspx

    RODC はセキュリティ区画にサーバーを設置できない場合のソリューションなので、サーバー ルームなどに設置できる場合は RWDC の方が良いと思います。

    また、読み取り専用のドメイン コントローラーは特定の環境ではサポートしないアプリケーションもあるので注意が必要です。
    (例 Exchange Server などは RWDC のサイトに配置させる必要があります。)

    以下に質問にご回答いたします。

    ① メンバー サーバーからドメイン コントローラーへの向きの通信で以下のものがあります。

    頻度はアプリケーションにもよりますが、LDAP や NTLM 認証を使用している場合、多くなるかもしれません。

    http://blogs.technet.com/b/jpntsblog/archive/2009/03/04/3208978.aspx

    1. ドメイン参加やログオンに使用されるポート

    ② ドメイン コントローラー間はこれです。

    http://blogs.technet.com/b/jpntsblog/archive/2009/03/04/3208978.aspx

    2. DC 間の通信に使用されるポート

    また、本社ドメイン コントローラーに問い合わせはしないと言う事はありません。基本的にはパスワード キャッシュを持たせれば少なくなりますが、パスワードの打ち間違い時には必ず FSMO に問い合わせに行きます。

    参考になれば幸いです。

    2014年1月22日 1:52
  • チャブーンです。

    QSEさんの回答に補足といいますか...

    まず、本要件ですが、本社=工場間での通信をできるだけ少なくさせたい、ということであれば、本社=工場それぞれでサイトを構成し、工場側にRODCを置くというのが、たぶん適切です。Windows Server 2012ではWSFCの展開のためDMZ等でRODCを使うことができます。したの記事からMSもどちらかというとこれを奨めていると理解しています。ちなみにしたの資料では、「ネットワーク切断」が発生した際の認証もできるよう、パスワードレプリケーションもRODC上で有効になるよう、設定が指示されています。

    http://blogs.msdn.com/b/clustering/archive/2012/12/13/10377294.aspx

    本社=工場間のトラフィックについて言えることとしては、

    • クラスタ上で動かすアプリケーション環境に依存するので、この考慮なしでトラフィック決め打ちはできない
    • WSFCメンバーのみで構成した場合、「必要に応じて認証等随時通信が発生する」というところで、トラフィックの制御にはあまり向かない
    • RODC/RWDCの場合、サイト間複製は圧縮データがやり取りされ、複製スケジューリングもできるので、トラフィックの制御に向いている
    • RODC/RWDCをサイト配置した場合は、(適切にRODCのレプリケーション属性を設定すれば)、サイト内のWSFCサーバやクライアントはサイト内通信でおおむねまかなえる(QSEさんのコメント通り例外トラフィックもあります)

    かなと思います。設計としてトラフィック制御された前提であればですが、メンバサーバの通信よりDC間の通信のほうがトラフィック負荷としては少なくなるはずです。ただこれは設計上の想定なので、厳密に担保がとりたい場合、実際に計測を行うことになります。

    それと、RODCを構成する場合、最初の構成時にドメイン情報全体のレプリケーションで、それなりの通信が発生します。これ自体も避けたい、という場合IFM(RWDCからドメイン情報を抽出したメディア)を使ってインストールすれば、トラフィックを軽減することができたはずです。必要があれば、インターネット検索等で確認していただければと思います。

    • 回答としてマーク 佐伯玲 2014年1月29日 5:10
    2014年1月22日 5:02
    モデレータ

すべての返信

  • OS 単体でのお話であれば基本的に不要な通信はありませんので、不要な通信をブロックさせると言う観点での考慮は必要ないのではと思います。ただし、Active Directory サイトを分割し、工場側にドメイン コントローラーを設置すれば認証トラフィックがサイト内で完結できることが多くなるので、WAN トラフィックを減らしたい場合は考慮した方が良いと思います。

    http://technet.microsoft.com/ja-jp/library/cc731907.aspx

    RODC はセキュリティ区画にサーバーを設置できない場合のソリューションなので、サーバー ルームなどに設置できる場合は RWDC の方が良いと思います。

    また、読み取り専用のドメイン コントローラーは特定の環境ではサポートしないアプリケーションもあるので注意が必要です。
    (例 Exchange Server などは RWDC のサイトに配置させる必要があります。)

    以下に質問にご回答いたします。

    ① メンバー サーバーからドメイン コントローラーへの向きの通信で以下のものがあります。

    頻度はアプリケーションにもよりますが、LDAP や NTLM 認証を使用している場合、多くなるかもしれません。

    http://blogs.technet.com/b/jpntsblog/archive/2009/03/04/3208978.aspx

    1. ドメイン参加やログオンに使用されるポート

    ② ドメイン コントローラー間はこれです。

    http://blogs.technet.com/b/jpntsblog/archive/2009/03/04/3208978.aspx

    2. DC 間の通信に使用されるポート

    また、本社ドメイン コントローラーに問い合わせはしないと言う事はありません。基本的にはパスワード キャッシュを持たせれば少なくなりますが、パスワードの打ち間違い時には必ず FSMO に問い合わせに行きます。

    参考になれば幸いです。

    2014年1月22日 1:52
  • チャブーンです。

    QSEさんの回答に補足といいますか...

    まず、本要件ですが、本社=工場間での通信をできるだけ少なくさせたい、ということであれば、本社=工場それぞれでサイトを構成し、工場側にRODCを置くというのが、たぶん適切です。Windows Server 2012ではWSFCの展開のためDMZ等でRODCを使うことができます。したの記事からMSもどちらかというとこれを奨めていると理解しています。ちなみにしたの資料では、「ネットワーク切断」が発生した際の認証もできるよう、パスワードレプリケーションもRODC上で有効になるよう、設定が指示されています。

    http://blogs.msdn.com/b/clustering/archive/2012/12/13/10377294.aspx

    本社=工場間のトラフィックについて言えることとしては、

    • クラスタ上で動かすアプリケーション環境に依存するので、この考慮なしでトラフィック決め打ちはできない
    • WSFCメンバーのみで構成した場合、「必要に応じて認証等随時通信が発生する」というところで、トラフィックの制御にはあまり向かない
    • RODC/RWDCの場合、サイト間複製は圧縮データがやり取りされ、複製スケジューリングもできるので、トラフィックの制御に向いている
    • RODC/RWDCをサイト配置した場合は、(適切にRODCのレプリケーション属性を設定すれば)、サイト内のWSFCサーバやクライアントはサイト内通信でおおむねまかなえる(QSEさんのコメント通り例外トラフィックもあります)

    かなと思います。設計としてトラフィック制御された前提であればですが、メンバサーバの通信よりDC間の通信のほうがトラフィック負荷としては少なくなるはずです。ただこれは設計上の想定なので、厳密に担保がとりたい場合、実際に計測を行うことになります。

    それと、RODCを構成する場合、最初の構成時にドメイン情報全体のレプリケーションで、それなりの通信が発生します。これ自体も避けたい、という場合IFM(RWDCからドメイン情報を抽出したメディア)を使ってインストールすれば、トラフィックを軽減することができたはずです。必要があれば、インターネット検索等で確認していただければと思います。

    • 回答としてマーク 佐伯玲 2014年1月29日 5:10
    2014年1月22日 5:02
    モデレータ
  • こんにちは、mori.yoshikazuさん
    フォーラムオペレータの佐伯 玲 です。

    その後の状況はいかがでしょうか?
    QSEさんとチャブーンさんからの返信がご参考になるかと思い「回答としてマーク」を私の方からさせていただきました。

    ご確認いただけた際にはその後の状況等をこちらのスレッドへご返信いただけましたらと思います。


    宜しくお願い致します。


    TechNet Community Support 佐伯 玲

    2014年1月29日 5:10