![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>ドメイン サービス (AD DS)]] * 目次 [#kd1172d7] #contents *概要 [#f4f737e1] *対象 [#d440807e] ドメイン コントローラ(DC)の、 -ディレクトリ情報ベース([[DIB>LDAPプロトコルでのディレクトリ・エントリ検索処理#sce846a4]]) #ref(ReplicationOfDC.png,left,nowrap,DCのレプリケーション) -グローバル・カタログ(GC)~ 信頼関係を結んでいる方向にレプリケートされる。 #ref(ReplicationOfGC.png,left,nowrap,GCのレプリケーション) -DNS(Active Directory統合ゾーンの場合)~ ゾーン転送ではなく、Active Directoryによってレプリケーションされる。 *ドメイン コントローラ(DC)のレプリケーション [#o714221d] -「ドメイン」には1つ以上のドメイン コントローラ(DC)を配置でき、 -ドメイン コントローラ(DC)間の情報のレプリケーションには「[[マルチ マスタ方式>#k7114eb4]]」が採用されている。 -このため、それぞれのドメイン コントローラ(DC)は、 --上下関係のない対等の関係にあり、 --それぞれのドメイン コントローラ(DC)に対する変更は双方向に複製される。 -これにより、複数台のドメイン コントローラ(DC)があればフォールト トレランスや負荷分散が実現できる。 **オブジェクト、属性・プロパティ [#od00813f] -ディレクトリサービスに登録できる情報を「オブジェクト」と呼び、電話番号や住所、所属しているグループなどが格納できる。 -このような「オブジェクト」が持つ情報を「属性」または「プロパティ」と呼ぶ。~ -NTドメインのPDCとBDC間の複製はオブジェクト単位で行われているのに対し、~ Active Directoryの各ドメイン コントローラ(DC)ではプロパティ単位で複製される。 --トラフィックの観点からすると、オブジェクト単位よりはプロパティ単位のほうが交信するデータ量は少なくなる。 --NTドメインの場合、ユーザ・アカウントは1024bytesであるが、Active Directoryでは3600bytesと倍以上に増えている。 --このようにサイズが増えた理由は、オブジェクトごとに住所や所属部署などのプロパティがより細かく入力できるようになったためである。 **マルチマスタ・レプリケーション [#k7114eb4] ドメイン内に複数存在するドメイン コントローラ(DC)のうちのいずれかに接続してActive Directory情報を更新することができる。 -ドメイン コントローラ(DC)はアカウントが更新されると、5分後に同じドメインのドメイン コントローラ(DC)にアナウンスメントを行う。 -マルチマスターにおける複製は複数のドメイン コントローラ(DC)同士がアカウントを情報交換するため、~ アカウントの複製が完了するまでは、まったく同じ情報をもつことはない。 -ドメイン コントローラ(DC)の複製は同一ドメイン内でだいたい15分程度で完了する。 *サイト間のレプリケーション [#z0123839] 「サイト」は「「[[ドメイン サービス (AD DS)]]」の物理的な構成を設定するオブジェクトで、 -回線の帯域が狭い遠隔地間のDC・GCのレプリケーションのネットワーク トラフィックを最適化するため、「サイト」という概念も採用されている。 -具体的には、ディレクトリ・データベースの複製トラフィックと、認証トラフィックを最適化(複製間隔を制御したり、複製データを圧縮したりできる)するために導入された。 **サイト [#d501a563] -「サイト」は、 --サイト組織内の物理的なネットワーク接続を示すためのオブジェクトである。 --「[[ドメイン サービス (AD DS)]]」のネットワークの物理設計をする上で非常に重要な概念になる。 -例えば、 --複数の拠点を持つ企業が拠点間をWANで結んでいる場合、各拠点を別々の「サイト」として設計し、 --各拠点(サイト)間のDC・GCの、レプリケーションのスケジュールを管理などする。 ***サイトの構成 [#c1a7546e] 「サイト」は、 -1つの「サイト」は、高速で信頼性の高い接続で結ばれた、1つ以上のIPサブネットから構成される。 #ref(SiteOK.png,left,nowrap,サイトとサブネットの関係(構築できるサイトの例)) -複数の「サイト」を跨る「サブネット」は構築できない。 #ref(SiteNG.png,left,nowrap,サイトとサブネットの関係(構築できないサイトの例)) -また、「サイト」は物理的な構成を意味する概念であるため、 --「ドメイン」・「フォレスト」などの論理的な構成を意味する概念には依存しない。 --従って、以下のようなパターンも構築可能である。 #ref(SiteDomainForest.png,left,nowrap,サイトとドメイン・フォレストの関係(構築できるサイトの例)) ***サイトリンク [#ue90f650] サイト同士は、「サイトリンク」と呼ぶ仮想のコネクタで接続する。 **制御対象のトラフィック [#r5d0b5c5] ***認証トラフィック [#t4899be6] ログオン認証時に、同一サイト内のドメイン・コントローラを優先して使用する。 ***複製トラフィック [#f8599619] サイト間でのディレクトリ・データベースを複製するためのトラフィックを -スケジューリング(複製を行う時間帯を限定)し、~ 他のネットワーク・トラフィックへの影響を抑える。~ また、通信料金が安くトラフィックが少ない~ 時間帯に複製を行うように設定することもできる。 -圧縮する(限られたネットワーク帯域を有効的に利用する)。 **サイト間のレプリケーション [#sa4b44e2] DC・GCのレプリケーションを考慮して、 -「サイト」毎、 -あるいは地理的に近い複数の「サイト」毎に、 >DC・GCを設置すると良い。 ***同一ドメイン内 [#h89870b2] 「サイト」間の、DC・GCのレプリケーションの例を以下に示す(同一ドメイン内)。 #ref(SiteReplicationOfDC.png,left,nowrap,サイト間のDCのレプリケーション例(同一ドメイン内)) ***ドメイン間 [#pc0bc394] 「サイト」間の、GCのレプリケーションの例を以下に示す(ドメイン間)。 #ref(SiteReplicationOfGC.png,left,nowrap,サイト間のGCのレプリケーション例(ドメイン間)) ***ドメイン コントローラ(DC)の複製の時間 [#caa34161] 下記の複製間隔をプラスするので、約3時間半程度で複製が完了する。 -サイトリンク間のデフォルト値:3時間 -ドメイン内のデフォルト値:15分 **詳細 [#x6eb4961] ユーザーが [Active Directory サイトとサービス] でサイト接続に関する情報を指定すると、 -サイト内~ KCCにより、レプリケーションパートナーが最適化により自動的に決定される。 -サイト間~ サイト接続に関する情報を元に、サイト間トポロジ ジェネレータ (ISTG) により決定される。 ***トポロジと実行時期 [#vfd89622] -サイト内 --サイト内でのレプリケーション~ http://msdn.microsoft.com/ja-jp/library/cc728010.aspx --サイト内でのレプリケーション --サイト内レプリケーション トポロジを作成する --サイト内レプリケーションの実行時期を決定する -サイト間 --サイト間のレプリケーション~ http://msdn.microsoft.com/ja-jp/library/cc759160.aspx --サイト間のレプリケーション --サイト間レプリケーション トポロジを作成する --サイト間レプリケーションの実行時期を決定する ***参考 [#ce11f08a] -Active Directory レプリケーションにおけるサイト間トポロジ ジェネレータの役割~ http://support.microsoft.com/kb/224815/ja -WindowsServer 2008R2 ADのサイトとレプリケーションの設定~ http://www.unix-power.net/windows/ad_replication_2008.html -technet --How Active Directory Replication Topology Works~ http://technet.microsoft.com/en-us/library/cc755994.aspx --How the Active Directory Replication Model Works~ http://technet.microsoft.com/en-us/library/cc772726.aspx *Active Directory統合ゾーンのDNSのレプリケーション [#pba4d006] **Active DirectoryとDNS [#ke2530d1] -Active Directoryの「ドメイン ツリー」は、DNSの階層のように連続した名前空間として構成されるが、各「ドメイン」に[[DNSサーバ]]は必須ではない。 -基本的にひとつのフォレストの中に1つ[[DNSサーバ]]があれば、サブ ドメインを作成するとき[[DNSサーバ]]を構築する必要はない。 -このため、フォレストの「ルートDC(「フォレスト」内で最初に作成されるDC)」のインストール時には、[[DNSサーバ]]も合わせてインストールすることが多い。 -ただし、DC([[DNSサーバ]])が1台だけだと障害発生時の復旧が困難になるため、通常はDC([[DNSサーバ]])共に2台以上の構成が推奨される。 **GCのレプリケーションとDNSのゾーン転送の関係 [#p20f77be] -DCと[[DNSサーバ]]を同一のコンピュータで構成することにより、DNSのゾーン データを「Active Directory統合ゾーン」に格納できる。 -「Active Directory統合ゾーン」では、通常のDNSのゾーン転送より安全かつ信頼性の高いDC(GC)のレプリケーションを利用できる。 -このため、 >「Active Directory統合ゾーン」を使用する「プライマリ ネームサーバ」(ルートDC)に対する~ 「セカンダリ ネームサーバ」(DC)は、同一「フォレスト」内の「ドメイン」であれば、何処にでも配置することができる。 #ref(ReplicationOfActiveDirectoryIntegratedDNS.png,left,nowrap,Active Directory統合ゾーンのゾーン転送(レプリケーション)) *参考 [#m5661aec] -[[Active Directory(正常性の確認)]] -[ThinkIT] 第4回:レプリケーションの比較 (1-4)~ http://thinkit.co.jp/free/article/0603/10/4/ -Active Directory レプリケーションの概念~ http://technet.microsoft.com/ja-jp/library/cc731537.aspx -基礎から分かるActive Directory再入門(4):~ ドメインコントローラーの複製とは - @IT~ http://www.atmarkit.co.jp/ait/articles/1406/10/news030.html -Active Directoryのデータベースを強制的に複製する - @IT~ http://www.atmarkit.co.jp/fwin2k/win2ktips/285adrepl/adrepl.html ---- Tags: [[:Active Directory]]
