(質問)
グローバルカタログサーバーについて
よろしくお願いします。
現在運用中の環境の入れ替えを控えております。
今までは、機能レベル2000、Windows Server 2003 ドメインでした。次期は、Windows Server 2008 R2 を採用し、シングルドメイン、シングルフォレスト環境を構築する予定です。そして、機能レベルは引き続き2000だそうです。メリットあるのかな。設計者はリスクがはかれないからと言います。
複数台のドメインコントローラーを立てる予定ですが、このすべてのドメインコントローラーに、グローバルカタログを構成するとの話を聞きました。
自分の記憶違いかもしれませんが、グローバルカタログはひとつのドメインに1台あれば良いと思っていました。
複数構成するメリットなどあるのでしょうか。
(回答)
シングルドメイン、シングルフォレストとのことなので、すべてのDCをGCにすることをお勧めします。
この理由は2つあります。
1つ目の理由はログオンプロセスに起因します。
ドメインに対してのログオン要求のプロセスとして、クライアントはDCにログオン要求を投げますが、DCはGCに対してそのユーザーがどのユニバーサルグループに所属しているかのクエリーをします。これはたとえユニバーサルグループに所属していなくても必ず行われる動作になります。
2つ目の理由は、GCの元ネタはDCのドメインパーティションにある情報になります。マルチドメイン環境ではDC上のFSMOのインフラストラクチャマスターと同じサーバーにGCを置いてはいけないという要件がありますが、シングルドメインの場合はインフラストラクチャマスターのお仕事がないのでこの要件はあてはまりません。そのことから、シングルドメインの場合はすべてのDCにGCを配置することができます。よって、すべてのDCにGCを配置するとGCは自身のDCから生成することとなり、GC間でのレプリケーションはおきません。更に、DCからGCへのクエリーはネットワークを経由することなく完了します。
以上のことから、シングルドメインの場合は全てのDCにGCを配置することが推奨となります。
また、機能レベルは最低でも Windows Serer 2003 以上にすることをお勧めします。できれば Windows Server 2008 にして AD のごみ箱を有効にするべきでしょう。
機能レベルを Windows Server 2003 に上げることによって、LVRやKCCなどの機能追加や機能アップが行われています。
各機能レベルで有効になる機能に関する付録
http://technet.microsoft.com/ja-jp/library/cc771132(v=ws.10).aspx
以上、参考になれば幸いです。
(再質問)
とてもわかりやすい返信をありがとうございました。
GCをすべてのDCに配置するメリットが理解できました。
しかし、機能レベルを 2003 以上にあげることは、しないことを方針としているようです。
使用できるようになる機能のメリットより、機能レベルをあげて全体の環境に何か問題が発生したら、恐ろしい。ネットワークの規模が大きいため、リスクを図るための検証を実施できないから、機能レベルは 2000 のままというのが理由です。
実際、機能レベルをあげることにより障害が発生するケースがあるのでしょうか。
そうすると、フォレストには 2000 という機能レベルはないので、あまり意味がないように思えます。フォレストを構成する恩恵は受けられないように思えます。
なのに、なぜこの設計者はあえて、フォレストをシングルフォレストで構成するというのか、理解ができません。
しかし Windows Server 2008 R2 はドメインを作成すると、フォレストも同時にできてしまうのでしょうか。
以前 2008 環境を構築していた時は、そこまで意識していなかったので、このたび設計内容をチェックしていて疑問が噴出しています。
そのような環境に対する疑問を解消するための検証環境もないため、疑問が山積です。
(再回答)
>そうすると、フォレストには 2000 という機能レベルはないので、あまり意味がないように思えます。フォレストを構成する恩恵は受けられないように思えます。なのに、なぜこの設計者はあえて、フォレストをシングルフォレストで構成するというのか、理解ができません。
>しかし Windows Server 2008 R2 はドメインを作成すると、フォレストも同時にできてしまうのでしょうか。
まず、機能レベルでフォレストには Windows 2000 というものがあります。そして、ドメインは必ずどこかのフォレストに所属しています。なぜ、シングルドメイン、シングルフォレストにするかというと、一番設計がシンプルだからです。ですのでマイクロソフトでもこの設計方式を推奨しています。
機能レベルは、下位互換性のために用意されているもので、追加機能を使用するためのスイッチのようなものになります。そもそも、DCを導入する時点でスキーマの拡張を行っているはずですよね。リスクというならば、そこがリスクとして私は認識しています。ですので、既に使える状態になっていてそれを使わないというのは私には理解しがたいところですね。
しかし、企業によってはそのようなポリシーを持って運営されているところもありますので一概に何とも言えません。
以上、参考になれば幸いです。
(MSのページ)
http://technet.microsoft.com/ja-jp/library/cc732877(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/cc737290(WS.10).aspx
インフラストラクチャマスタの役割をもつDCにGCを配置はしてはいけないケースおよび理由。
http://support.microsoft.com/kb/223346/ja
http://technet.microsoft.com/ja-jp/library/cc754889(WS.10).aspx
(過去ログ)
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/822ab3d0-7122-4b7c-a501-1620e0b7be58
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/0922046a-32bf-4ce2-9121-ae1b293699dd/#8aa31497-4df8-44b1-a1f5-a8a62a34691b
[0回]
PR
