none
全ADサーバ故障時のパソコンのログイン RRS feed

  • 質問

  • こんにちは。ご質問したいことがあります。

    単一フォレスト・ドメイン運用でADサーバを2台立てて

    ADサーバの障害に備えています。

    ADサーバは共にWin2008R2SP1です。DNSもADサーバ2台に構築してあります。

    この状態でADサーバ2台が一度に故障した場合

    パソコンへのドメイン環境へのログインはキャッシュで可能でしょうか?

    それともローカルログインのみ可能でしょうか?

    また、キャッシュでのドメイン環境へのログイン時はhostsファイルに

    SRVレコードなどを切っておくことが必要でしょうか?

    2015年5月21日 1:59

回答

  • チャブーンです。

    当方の環境はファイルサーバは使っておりませんでして
    ADサーバ以外のサーバはローカルログインしており
    かつ各サーバのシステムもAD認証に依存しない
    システムを使用しています。
    <中略>
    もう少し限定的に言えば
    この今現在使用しているドメイン参加・ログイン中の私のパソコンが
    突然の全AD故障時にリブートしたらどうなるか・・・
    と言いかえれるのかもしれません。

    ドメインコントローラがダウンしている場合のクライアントがログオンするタイミングは、以下のようになります。

    • ログオン時にダウンしている場合、資格情報のキャッシュでログオンしますが、ネットワークがつながっていれば、ドメインコントローラを探して「タイムアウト」するまで待ちが発生するので、ログオンには多少時間がかかります
    • ログオン中にダウンした場合、Kerberosチケットを持っている状態なので、とくに操作に影響はないはずですが、再認証が必要な場合も必要時に動的に実施されるので、エラー等はおこりません(サーバがリブートしている場合)

    DNSサーバ上に他のサーバのAレコードを登録している場合ですが、(起動後に)一度アクセスしたものであればクライアント側にDNSキャッシュが登録されますので、一定時間そのまま使えます。アクセスし邸内物の場合、名前解決はできませんので、IPアドレスを直接指定する必要があります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2015年5月25日 1:44
    モデレータ

すべての返信

  • こんにちは。
    シンプルに考えるとPCからLANを抜いてオフラインで起動したときと同じ状況を想定しておけばよいと思います。
    hostsなど設定は不要で、ドメインユーザーでキャッシュでログオンできるはずです。
    当然ですが、PC側にキャッシュを持たない(そのPCにログオンしたことが無い)ユーザーは、ログオンはできません。

    実際ADが故障すると、ユーザーログオンができたりできなかったり、同じユーザーでも不安定になったりするので、
    起きる現象はそんなにシンプルではないようです。

    2015年5月22日 4:02
  • チャブーンです。

    おっしゃるご質問については、過去ログがありますので、まずはそちらをご覧になってみてください。

    https://social.technet.microsoft.com/Forums/ja-JP/dafb92d9-0910-4a0d-bf5f-c105c3b3c9d8?forum=activedirectoryja


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2015年5月22日 5:05
    モデレータ
  • 社員番号042様

    ご回答ありがとうございます。

    そうですね。LANを抜いた状態に近いと思います。

    LANを抜けばADとアクセスできずキャッシュでログオンできることは

    確認しています。

    気になっているのは

    LANが抜けている状態=ネットワークが完全に使えない

    AD2台「だけ」が障害=ネットワークは一部使える

    という状態だとどうなるのか、という事です。

    ドメイン名を引くためにDNSを参照しますがそこでタイムアウトを食らっても

    キャッシュログインができるのか・・・という点がわからないです。

    60日以上ドメインにログインしていないPC上からログインしようとすると

    セキュアチャネルの破損(期限切れ)等によりドメインにログインできない可能性が

    あると思うのですが・・・どうなんでしょうか。

    2015年5月22日 7:38
  • チャブーン様

    ご回答ありがとうございます。

    当方の環境はファイルサーバは使っておりませんでして

    ADサーバ以外のサーバはローカルログインしており

    かつ各サーバのシステムもAD認証に依存しない

    システムを使用しています。

    このシステムへの名前解決はIPアドレス直指するなりで

    対応できると思うのですが

    そもそも全ADサーバ障害時にキャッシュログインできるかが

    ご質問させて頂いた件の発端です。

    DNSを出したのはログイン時ドメインを検索する際に

    SRVレコード等をみるからでして・・・

    もう少し限定的に言えば

    この今現在使用しているドメイン参加・ログイン中の私のパソコンが

    突然の全AD故障時にリブートしたらどうなるか・・・

    と言いかえれるのかもしれません。

    もしよろしければ引き続きご教授いただければと思います。

    2015年5月22日 7:49
  • 横からすみません。DNS でタイムアウトしてドメイン コントローラが見つからない場合でも、キャッシュログオンは可能です。

    >60日以上ドメインにログインしていないPC上からログインしようとすると
    >セキュアチャネルの破損(期限切れ)等によりドメインにログインできない可能性が
    >あると思うのですが・・・どうなんでしょうか。

    これは関係ないです。
    セキュアチャネル破損の場合は、Active Directory 上のパスワードとコンピュータで持っているパスワードの不一致が判明してログオンに失敗します。
    当然ドメイン コントローラと通信できない状態であれば、ここの処理までいきません。

    あと、仮に 60 日以上 PC をシャットダウンしても、セキュアチャネルが破損する事はありません。

    2015年5月22日 11:41
  • 回答でなくて申し訳ありません。

    1点思うこととしては、そういった障害を起こさないように対策されている方々は多いと思いますが、実際に障害を起こしてしまった方は相対的に少なくなるのではないでしょうか。
    そうだとすると、その実体験に基づいた回答は得づらいことだと思いますし、その中でもあなたが「〇〇で、△△で、□□のとき」と言ったように絞り込みをかけているので、回答を得られる可能性が0に近づいているのではないかと見えています。

    TechNet フォーラムはあくまでユーザー同士の情報交換です。
    そこに集うユーザーの経験のないこと、Microsoft が公開していないことについて、回答がもらえることはありません。
    どうしても、特定ケースの場合と言った個別の事例について知りたい場合は、ご自身で検証されるか、有償サポートを頼るか、あなた方の環境についてコンサルティングをしてもらえる業者に頼むことになります。

    2015年5月23日 0:46
  • チャブーンです。

    当方の環境はファイルサーバは使っておりませんでして
    ADサーバ以外のサーバはローカルログインしており
    かつ各サーバのシステムもAD認証に依存しない
    システムを使用しています。
    <中略>
    もう少し限定的に言えば
    この今現在使用しているドメイン参加・ログイン中の私のパソコンが
    突然の全AD故障時にリブートしたらどうなるか・・・
    と言いかえれるのかもしれません。

    ドメインコントローラがダウンしている場合のクライアントがログオンするタイミングは、以下のようになります。

    • ログオン時にダウンしている場合、資格情報のキャッシュでログオンしますが、ネットワークがつながっていれば、ドメインコントローラを探して「タイムアウト」するまで待ちが発生するので、ログオンには多少時間がかかります
    • ログオン中にダウンした場合、Kerberosチケットを持っている状態なので、とくに操作に影響はないはずですが、再認証が必要な場合も必要時に動的に実施されるので、エラー等はおこりません(サーバがリブートしている場合)

    DNSサーバ上に他のサーバのAレコードを登録している場合ですが、(起動後に)一度アクセスしたものであればクライアント側にDNSキャッシュが登録されますので、一定時間そのまま使えます。アクセスし邸内物の場合、名前解決はできませんので、IPアドレスを直接指定する必要があります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2015年5月25日 1:44
    モデレータ
  • mu100様

    ご回答ありがとうございます。

    セキュアチャネルの破損については

    問題なさそうですね。

    ドメインコントローラー障害時はそもそも

    ADとクライアントとがコンピュータパスワード不一致かどうかの

    確認をする術がない・・・ということですね。

    助かりました。

    2015年5月26日 2:45
  • Azulean様

    ご回答ありがとうございます。

    確かに仰る通りですね。このフォーラムでの

    趣旨にずれていることかもしれません。

    ご指摘ありがとうございました。

    これ以降気を付けます。

    ただ、できれば今回だけはこの問題がクローズしてからと

    思っております。

    それでもお気になさるようでしたらこのスレッド自体

    閉鎖いたしますのでご指摘ください。

    2015年5月26日 2:50
  • チャブーン様

    ご回答ありがとうございます。

    今回の私の質問のような

    限定的かつ特殊な環境での回答を頂き大変助かりました。

    本来この特殊環境にならないようにはどうしたらいいのかを議論するのが

    このフォーラムの意義だと認識いたしました。

    以降、このようなご質問は控えます。

    今回はご回答いただき誠にありがとうございました。

    2015年5月26日 2:54