3流プログラマのメモ書き

元開発職→社内SE→派遣で営業支援の三流プログラマのIT技術メモ書き。 このメモが忘れっぽい自分とググってきた技術者の役に立ってくれれば幸いです。(jehupc.exblog.jpから移転中)

サブ拠点にドメインコントローラを置く

現在本部拠点とサブ拠点間をVPNで接続しており、一つのWindowsドメインを使っています。(当然フォレストも一つ。)

ドメインコントローラ(WindowsServer2003 R2)は本部拠点のみに置いてます。

で、冗長化とサブ拠点でのActiveDirecotry使用時の高速化を目的に、サブ拠点にもドメインコントローラを置くこととしました。(ActiveDirecotry、DNSサーバの追加のインストールは既にしているものとします。)

ドメインは分割せず従来通り一つのドメインで運用します。

このような物理的な場所を一つのドメインで分割するために「サイト」という機能がActiveDirectoryには備わっています。

サイトの管理は管理ツールの「ActiveDirectory サイトとサービス」で行います。

サイトの作成

「サイト」というのが物理的な一つの場所という概念になるので、まずサブ拠点用のサイトを作成します。

「ActiveDirectory サイトとサービス」から、「Sites」 のコンテキストメニューから 「新しいサイト」 で新規サイトを作成します。

リンクオブジェクトはとりあえず 「DEFAULTIPSITELINK」 を選択します。

サブネットの作成

次にサブネットの定義を作成します。

ネットワークアドレスとサブネットマスクを定義するわけですが、ここでどのIPサブネットがどのサイトを使うかを設定します。

ActiveDirectoryクライアントは自身のIPを判断して接続するサイトを決めれるわけですね。

「ActiveDirectory サイトとサービス」から、「Subnets」 のコンテキストメニューから 「新しいサブネット」 で新規サブネットを作成します。

ここで、サブ拠点のサブネットならサブ拠点のサイトを、本部拠点のサブネットなら本部拠点のサイト(通常はデフォルトサイト)を選択します。

サイトリンクの作成

サイトリンクを作成することでサイト間のActiveDirecotry情報の更新の間隔や更新しない時間帯等を設定できます。

「ActiveDirectory サイトとサービス」から、「Inter-Site Transports」 → 「IP」のコンテキストメニューから 「新しいサイトリンク」 で新規サイトリンクを作成します。(SMTPも有りますが、IPの方が一般的なので。。)

作成時にどのサイトとリンクするかを選択します。今回はサブ拠点のサイトと本部拠点のサイトを指定します。

作成したサイトリンクのプロパティを表示すると「コスト」や「レプリケートの間隔」、「スケジュールの変更」が設定できます。(デフォルトのサイトリンクは削除してもいいかもしれません。もしくは、コストの値が新規で作成したサイトリンクの方が小さければそっちの設定を使うようです。)

コストの値は回線速度を意味するようで、下記のような関係になるようです。

100Mbps:コスト10

10Mbps:コスト30

1Mbps:コスト70

512kbps:コスト150

ダイヤルアップ:コスト1000

レプリケーション間隔はネットワーク負荷が気にならないなら最小の15分にしてもいいかもしれません。

ドメインコントローラの所属変更

サブ拠点用に追加したドメインコントローラはおそらくデフォルトのリンクの Servers にいるので、ドメインコントローラをオブジェクトを右クリックでサブ拠点のサイトに移動します。

また、AcriveDirectoryにはグローバルカタログ(フォレスト内の全ドメインの全オブジェクトから、頻繁に利用する属性のみを抽出したもの)というものがありますが、ドメインが一つでサイトを複数ある場合は、目安としてサイトの一つのドメインコントローラをグローバルカタログ(GC)をした方がよいようです。(ユーザログイン時にはGCにアクセスするようです。余りに多くのドメインコントローラをGCにするとドメインコントローラ間での複製の負荷が増えるようです。)

GCにするには、「ActiveDirectory サイトとサービス」内のドメインコントローラオブジェクト配下の 「NTDS Settings」 のプロパティで、「グローバルカタログ」 にチェックを入れます。

(フォレスト内に複数ドメインが存在する場合はGCレスログオンの設定の設定をしないといけないようですね。)

これでサブ拠点の各クライアントはサブ拠点用のドメインコントローラにアクセスするようになります。

参考:

ASCII.jp:遠隔地の拠点でActive Directoryを運用するには?|Windows Serverで学ぶサーバOS入門 ←今回はほとんどこちらを参考にさせてもらいました。

すぐできるWindowsサーバー強化術(第1回)既存システムに新規拠点をつなぐ - Windows読者限定:ITpro

Active Directoryの導入後の作業 - @IT

Technet:Active Directory サイトとサービスの概要 ‐ Active Directory のサイト コンテナ階層

Technet:Active Directory 複製を考慮したサイト トポロジの設計