ログオン時に使用したDCが停止した際のクライアントへの影響
質問
2011年10月7日金曜日 7:36
はじめまして、お世話になります。
Active Directoryの動作について質問させて下さい。
【目的】
クライアントログオン先DC停止時のユーザー影響についての調査
【既存環境】
・DC1(FSMO)
・DC2
・クライアント(XP_SP2以降)(2003)
【背景】
既存環境は単独ドメインでDCが2台あり、FSMOは一台のDCで受け持っています。
現在、移行作業中のユーザー影響を調べております。
移行中にDC1(FSMO)を停止する際に、DC1で既にドメインへログオンしているユーザー(PCクライアント)
はどのような動きになるか調べているのですが、有効な情報ソースが見つかりません。
(set lコマンドや、以下スクリプトをクライアントで実行した場合の接続先を想定)
http://gallery.technet.microsoft.com/scriptcenter/7aac1746-f57f-4650-8849-09705d78c2c0/
【想定する動き】
以下のどちらか2つの動きではないかと推測しており、
どちらにしてもユーザーへの影響はないと思うのですが、認識として正しいでしょうか。
1.DC2が;働中のため、自動的に;働中のDC2へ接続され、ログオンを継続できるため影響はない。
2.一度ドメインにログオンした後は、DCからのグループポリシーの配布等以外、
DCとクライアントとは接続は発生しないため、ログイン中のユーザーに影響はない。
上記、ご存知の方がいらっしゃればご教示頂ければと思います。
よろしくお願い致します。
すべての返信 (8)
2011年10月7日金曜日 15:49 ✅回答済み
DC2 が GC の機能を持っていれば、基本的には 1 に近いでしょう。
ちなみに、Active Directory は Kerberos 認;ですので、DC1 停止前に既にアクセスするためのサービスチケット(ST)をもらっているリソースにアクセスし続ける限り、チケットの有効期限内は特に DC (KDC)に対する追加の認;は発生しません。
新たなサーバにアクセスする、もしくはサービスチケットの有効期限が切れて再取得する場合に DC2 にアクセスすることになります。
ただし、FSMO の一つ、PDC エミュレータがしばらく存在しない状態になりますので、ブラウジング機能、時刻同期機能やパスワード変更の優先同期など、PDC エミュレータに依存した一部の機能に影響はあります。
ですので、影響は「少ない」と考えるのがよいと思います。
2011年10月10日月曜日 14:26
たかはし様
お返事が遅くなり申し訳ございません。
早くに情報を頂きましてありがとうございました。
下記についてですが、仰る通りGCの機能を持っております。
>DC2 が GC の機能を持っていれば、基本的には 1 に近いでしょう。
特にPDCエミュレータの役割について留意が必要とのことで、
頂いた点についてよく留意致します。
ADが止まるというよりは、ADが持っている役割のGC、FSMOの役割が停止するという観点、大変参考になりました。
(その他も調べてみましたが、RIDマスタ、インフラストラクチャマスタの2点については、
移行中のユーザーアカウントの追加・変更等を抑止するようアナウンスをすれば問題なさそうです)
今後共、どうぞよろしくお願いいたします。
2011年10月10日月曜日 14:56
特にPDCエミュレータの役割について留意が必要とのことで、
頂いた点についてよく留意致します。ADが止まるというよりは、ADが持っている役割のGC、FSMOの役割が停止するという観点、大変参考になりました。
(その他も調べてみましたが、RIDマスタ、インフラストラクチャマスタの2点については、
移行中のユーザーアカウントの追加・変更等を抑止するようアナウンスをすれば問題なさそうです)
おっしゃるように、RIDマスタについては、移行中に RID の払い出しがなるべく発生しないように留意する必要があります。なるべく、というのは、RID マスタから各 DC に対しては、RID が一定数単位で払い出され、RIDプールに;納されるので、これを使い切るまでは、特段問題なく払い出しはできるからです。
それ以外の FSMO については、確認されていればわかると思いますが、短期間の停止であれば問題が発生することは通常ありません。そもそもそうでなければ、マイクロソフト社も気安くインプレースアップグレードを推奨できないですし。
2011年10月19日水曜日 11:15
たかはし様
確認が遅くなってしまい申し訳ありません。
追加での情報ありがとうございます。
FSMOサーバの移行自体は関連作業含めて最長4時間程度を想定しておりますので、長期間のFSMO不在にはならない予定ですが、
もし、ご教示頂いたRIDマスタの払い出し数に関してMSで公表しているソースがありましたらご教示頂けますでしょうか。
頂きました情報をもとに下記ソースにはたどり着いたのですが、どの程度の停止になら耐えられるかの指標が見つかりませんでした。
もしご存知でしたら教えて頂けますとありがたいです。
http://msdn.microsoft.com/en-us/library/cc223751(v=prot.10).aspx
度々申し訳ございませんが、よろしくお願い致します。
2011年10月22日土曜日 5:46
チャブーンです。
オブジェクトの作成に必要なRIDは一回に500ずつ払い出され、なくなるとRIDマスタに要求が走ります(受け取れなかった場合、オブジェクトの新規作成ができなくなります)。オブジェクトがどのくらいの頻度で作られるのか、はユーザーの利用状況(どのくらいアカウントを作成するのか)に依るので、はっきりとした数字は出せません。4時間ということであれば、普通はRIDがつきるということは起こらないでしょう。RIDについてのMSの情報は、したからどうぞ。
http://technet.microsoft.com/en-us/library/cc733186(WS.10).aspx
2011年10月26日水曜日 9:21
チャブーン様
RIDについての情報ありがとうございました。
こちらでも下記のページなどを探してみましたが、
ご教示頂いたとおり新規作成がRIDマスタの役割に関連あるものと思いました。
http://support.microsoft.com/kb/255504/ja
一点、ご教示頂きました「オブジェクトの新規作成」に関してご質問なのですが
RIDマスタの払い出しに該当する操作は「オブジェクトの新規作成」に限った話で、
「ユーザによるアカウントのパスワード変更」「プロパティ編集」「アカウントの所属グループ移動」等は
特に制限はないという認識でよろしいでしょうか?
2011年10月26日水曜日 12:22
チャブーンです。
RIDはオブジェクト本体のSIDに関係があり、属性には関係がありません。ですからその理解で結構です。
ただ、オブジェクトはシステムが自動で作ったり削除したりする(サイトとサービスの接続オブジェクトなど)もあるので、手動で作成しなければひとつも消費しない、というものでもありません。どのくらい消費するかは環境によるので、確かな数字はいえません。
2011年10月27日木曜日 9:47
チャブーン様
ご回答ありがとうございます。
私の認識自体は間違っていないようで安心しました。
サイトとサービスの接続オブジェクトについては、意識していなかったところですので、こちらでも調べてみます。
いろいろ頂きました情報をもとに、余程長期間の停止でもない限りは
FSMOが停止したとしても問題ない作業である旨をうまく伝えることが大きなポイントみたいですね。
※移行自体はあっという間に終わるのに、周辺調査に時間が偉いかかる作業と痛感しております。
それでは、今後共よろしくお願い致します。
たかはし様、チャブーン様、ありがとうございました。