【AD】そのままだと危険です!ADサーバーの冗長性を意識する。

SHARE

WATARU

こんにちは、フリーランスエンジニアのWATARUです。

今回も引き続きADについてのアウトプットをしていこうと思います。

今回参考にさせていただいたのこちらのサイトさんです。

参考 ドメインコントローラーの複製とは@IT

確かに、何かあった時の為に複製しておかないと心配!

ADを実際に業務レベルで運用するとなると、冗長性を意識したいですよね

冗長性とは:システムの一部に何らかの障害が発生した場合に備えて、障害発生後でもシステム全体の機能を維持し続けられるように、予備装置を平常時からバックアップして配置し運用しておくこと

この冗長性を意識することで、なにかあった場合にすぐにバックアップに移行でき、通常通りに運用することが可能です。

ですがそのためには、障害発生時にすぐに移行できる様に移行先のADサーバーを構築している必要があります。

 

ADサーバーの複製を構築する

何かあった際に、移行する先のADサーバーの構築としてあげられる方法が

ADサーバーの「複製」(レプリケーション)との事、この複製はとても便利でメインのADサーバーの情報を更新すると基本的には15秒以内に複製を行ってくれるというものです。

複製方法

複製方法は基本的に簡単な手順で行えます。

以下の参考になるサイトを発見しましたのでこちらに乗せておきます。

参考 Active Directory (AD) 複製サーバーの構築方法ITtrip

この記事を見る限り

①ADサーバーの冗長化をするためのサーバーに同じOSをインストールしておく

※OSのバージョンが違っても大丈夫とは書いてあるもののセキュリティ面を気にすると同じOSを使うほうがいいと思います。

②サーバーマネージャーから「役割と機能の追加」を選択

③各種設定を行う。

④ドメインへの参加

⑤メインのADが自動的に複製を開始

といった流れのようですね。

これなら僕にもできそうです(*´з`)

レプリケーションタイミング

記事を参考にしてみると、レプリケーションタイミングにも明確な定義があるようです。

・オブジェクトの作成や変更、削除が行われてから「15秒後」に開始

・複製パートナー(3台目)については、複製サーバーの3秒遅れで開始される。

となっているようです。

ですが、パスワード変更やアカウントにとって重要な変更の場合は、即時で複製が開始されます これを「緊急レプリケーション」と呼ぶようです。

その緊急レプリケーションとは以下の様な内容のことを指すようです。

・アカウントロックアウト(パスワードを一定回数間違えると使えなくなる仕組み)が発生した場合、複製にも即時で反映される。

・パスワードの変更時

上記が緊急レプリケーションとして、15秒を待たすに即時で反映されるものになります。

 

複製の完了を確認使用

ADサーバーの複製はパーテーションによって分けられており。

主に次の4つで構成されている。

◆ドメインパーテーション

ドメイン内に作成するオブジェクトを格納する目的の領域

これらは「Active Directoryユーザーとコンピューター」管理ツールで確認できる。

◆構成パーティション

フォレスト内の構成情報を格納するための領域。

「Active Directoryサイトとサービス」管理ツールや「Active Directoryドメインと信頼関係」管理ツールで確認可能

◆スキーマパーティション

Active Directoryデータベースに格納可能なオブジェクトの種類とプロパティの種類などに関するデータを格納するための領域。

「Active Directoryスキーマ」管理ツールで確認可能

◆アプリケーションパーティション

アプリケーションで扱うデータをActive Directoryデータベースに格納できるようにするために用意された領域。DNSサーバーのデータベースが格納される。

これらのパーティションが正しく複製されているかは

メインとなるADの「コマンドプロンプト」から確認することができる。

①メインADサーバーへログインを実施する。

②コマンドプロンプトを起動

③「repadmin /showreps」コマンドを実行

こちらの「repadmin /showreps」コマンドを実行すると出力として

以下各種で複製ができているかの確認を実施することが可能です。

>repadmin /showreps

 

複製元AD:Default-First-Site-Name¥複製元のサーバー名

 

=====入力方向の近隣サーバー=======

 

複製先AD:Default-First-Site-Name¥複製先のサーバー名

ドメインパーティション:DC=●●●,

構成パーティション:configurationの項目

スキーマパーティション:schemaの項目

アプリパーティション:DomainDnsZonesの項目

※これらの画像などは検索ワードで「repadmin /showreps」と検索するとたくさんでてきますので参考にしてみてください

 

上記の記載があれば正常に複製がされていると認識していいでしょう。

◎まとめ

 

以上が今回勉強したADサーバーについての情報でした!

確かに冗長性が整っていない状態でリリースするのは本当に危険なので最低でも2台のADサーバーは用意したいですよね。

こんな感じで今回も色々なサイトを参考に、インプットを実施した結果をアウトプットしましたら。

またADについて勉強した先にはこういった記事も書いていきたいと思います。

ではでは

 

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事

Norton自動適応されちゃった?ノートンセーフサーチ機能をO…

次の記事

理想と現実世界のギャップがひどすぎる!?実際エンジニアってどう…