同一フォレストにADサーバが複数存在する場合の運用

既存ドメインのフォレスト内に新規ドメインを構築する形で、両ドメイン間での信頼関係を結んでいます。
両ドメインのADサーバでは、DNSのforwardersの設定で互いのADサーバのIPアドレスを登録しており、
不明な問い合わせがあった場合は相手のADサーバに問い合わせて名前解決をしています。

上記の環境での運用について、２点教えて下さい。

【質問１】
この状況で新規に追加したADサーバを停止した場合、既存ドメインから新規ドメインの名前解決が
できなくなると思いますが、それ以外には影響が出ないと考えて良いでしょうか？気にしているのは、
もともと既存ドメインで完結していた機能が使えなくなるような事態が発生しないか、という点です。

【質問２】
一般的に、上記のように同一フォレスト内に複数のADサーバがある場合、
それぞれのADサーバを単独で停止させても良いものなのでしょうか？
それとも、単独で停止させるためには別フォレストにする必要があるのでしょうか？

No.5 ベストアンサー 回答者： maesen 回答日時： 2012/11/05 14:46

まず、標準ゾーン (プライマリまたはセカンダリ) とActive Directory統合ゾーンのゾーン情報の持ち方とゾーン情報の同期について理解しないと混乱すると思います。

標準ゾーンは、BINDなどの一般的なDNSサーバと同様に、各DNSサーバの <ゾーン名>.dns
というファイルにゾーン情報を持ちます。
もちろんこのファイルはローカルファイルなので共有されません。
同期はDNSのゾーン転送要求（AXFR,IXFR）でゾーン転送をすることで同期します。

プライマリとセカンダリの違いは、ゾーン情報を変更できる側と読み取り専用のコピーを持つ側という認識で良いかと思います。

Active Directory統合ゾーンは、Active Directoryデータベースにゾーン情報を持ちこれはDCで共有の情報です。
同期はもちろんActive Directoryで行います。
Active Directory統合ゾーンでは、全てのDNSサーバがゾーン情報を変更する（できる）ので全てがプライマリになります。

＞１．AD統合ゾーンによるレプリケーションを行う場合、ゾーン転送は許可しなくても良いのでしょうか？

この許可はゾーン転送要求（AXFR,IXFR）を許可するしないに影響するため、不要ということになります。
（AD統合ゾーンはレプリケーションスコープによるところになります）

＞２．AD統合ゾーンによるレプリケーションを行う場合、既存DNSに登録する新規ドメインの種類は

先に書いたように、ADでは1台のプライマリに更新を全部やらせるのではなく、それぞれのDNSサーバが情報を更新して同期されるようになっています。
だから、全てプライマリです。
BINDなどで複数のプライマリで構成することも出来ますが、ADのように同期させることは出来ないです。（最近はどうかわかりません）


セカンダリを使用しない場合の問題点を一つ追加すると
例えばプライマリ1台、セカンダリ複数台の場合、プライマリの1台が故障するとゾーンの変更が出来ず単一障害点になるということもあると思います。
もちろん全てのDNSサーバがAD統合ゾーンを使用出来る前提です。

この回答へのお礼

お礼が遅くなり申し訳ありませんでした。
新規ドメイン側のゾーン情報を既存ドメインに持たせ、新規ドメインのDNSが停止している状態でも
既存ドメインから新規ドメインの名前解決ができる状態にする方法を試してみる予定ですが、
運用との調整もあり、実施時期がもう少し先になってしまいそうなので、
一旦今回の質問は完了とさせて頂きたいと思います。
何度もご回答頂きありがとうございました。

お礼日時：2012/11/16 11:58

No.4 回答者： maesen 回答日時： 2012/11/02 17:17

＞作業としては、新規ドメインのゾーンレプリケーションスコープを「このフォレストの～」に変更し、

＞既存DNSの前方参照ゾーンに新規ドメインを登録する（種類はActive Directory 統合プライマリ）
＞という認識で問題ないでしょうか？

書き方が良くなくて申し訳ありません。
認識は正しいと思います。

新規ドメインのゾーンを登録したら、レプリケーションにてゾーンのレコード情報がコピーされるのを待ちます。
強制的にレプリケーションを掛けなければ多少時間が掛かると思います。
何時間経ってもレプリケーションされなければ設定に間違いがある可能性が高いです。

この回答への補足

失礼しました。
> ２．AD統合ゾーンによるレプリケーションを行う場合、既存DNSに登録する新規ドメインの種類は
>　　「Active Directory 統合ゾーンプライマリ」にする必要があるのでしょうか？
>　　登録する新規ドメインのプライマリDNSはもともと新規ドメインに存在するため、
>　　意味合いから考えると「Active Directory 統合ゾーンセカンダリ」にするべきではないかと思い、
>　　調べてみたのですが明確な答えを見つけられませんでした。
⇒Windows Server 2003で試してみたところ、セカンダリゾーンを選択した時点で
　「Active Directoryにゾーンを格納する」のチェックボックスがグレーアウトされるため、
　そもそもセカンダリではAD統合ゾーンは使用できないようです。

補足日時：2012/11/05 10:58

この回答へのお礼

ご回答ありがとうございます。
ご回答頂いた方法で試してみようと考えているのですが、今回のようにActive Directory環境で
信頼先ドメインのサーバが停止した場合に、継続して名前解決を行う方法について、
少し自分で調べていて混乱してしまったため、以下の認識が正しいか確認させて頂けますでしょうか？

信頼先ドメインのサーバが停止した際に継続して名前解決を行うには２つの方法がある。
１つ目はご回答頂いているAD統合ゾーンを用いたレプリケーションを行う方法
２つ目は信頼先ドメインにセカンダリゾーンを作成し、ゾーン転送する方法
レプリケーションのメリットは、(1)ゾーン転送に比べて帯域の使用量が少ない点、
(2)他のDNSサーバにゾーン情報が複製される際、情報が暗号化される点があげられる。
以上の理由から、ゾーン転送よりAD統合ゾーンによるレプリケーションのほうが推奨される。

上記の認識が正しい場合、以下の点について教えて下さい。
１．AD統合ゾーンによるレプリケーションを行う場合、ゾーン転送は許可しなくても良いのでしょうか？
　　※現在、新規ドメインのDNSではゾーン転送を許可するサーバは設定していません。
２．AD統合ゾーンによるレプリケーションを行う場合、既存DNSに登録する新規ドメインの種類は
　　「Active Directory 統合ゾーンプライマリ」にする必要があるのでしょうか？
　　登録する新規ドメインのプライマリDNSはもともと新規ドメインに存在するため、
　　意味合いから考えると「Active Directory 統合ゾーンセカンダリ」にするべきではないかと思い、
　　調べてみたのですが明確な答えを見つけられませんでした。

お礼日時：2012/11/05 10:39

No.3 回答者： maesen 回答日時： 2012/11/01 14:46

＞既存ドメインで完結していたExchangeのアドレス帳機能が使用できなくなってしまいました。

申し訳ありませんが、シングルフォレスト・マルチドメインでのExchange Serverに触れたことがありませんのでちょっと原因はわからないです。

＞仮に、相手側のドメインの名前解決も自DNSで応答できるようにする場合、どのような設定を

ここだけは答えられるかな。

フォワーダでもスタブゾーンでも新規ドメインのゾーンを管理しているDNSサーバが停止してた場合、名前解決できないのは同じですね。

今回の環境ではスタブゾーンの方がより良い設定と言えるとは思います。（フォワーダがだめでは無いですよ）

DNSはActive Directory統合ゾーンを使用していると思いますので、（違ったら以下は意味を持ちません）
回答としては、新規ドメインのDNSゾーンのレプリケーションスコープを「このフォレストのすべてのDNSサーバー」に広げて、既存ドメイン側のDNSサーバに統合ゾーンを使用するプライマリゾーンを作成すればいいのではないかと思います。

ただ、名前解決ができるだけでExchangeのアドレス帳機能の問題が解決するされるかはちょっとわかりません。

この回答へのお礼

毎回ご回答頂き、本当にありがとうございます。
現在、対処方法について検討しておりますので、対処完了後に質問をクローズさせて頂く予定です。
近いうちに、既存ドメイン側のDNSで新規ドメインの名前解決もできる設定にした上で、
新規ADを停止したらどうなるのかを試してみる予定です。
※既存ドメイン側のDNSは管理者が異なるため、設定変更の許可が出ればの話ですが…。


> 回答としては、新規ドメインのDNSゾーンのレプリケーションスコープを「このフォレストのすべての
> DNSサーバー」に広げて、既存ドメイン側のDNSサーバに統合ゾーンを使用するプライマリゾーンを
> 作成すればいいのではないかと思います。

取り急ぎ、新規ドメイン側のDNSの設定を確認してみたところ、以下のようになっていました。
・前方参照ゾーンに既存ドメインと新規ドメインの２つが登録されており、
　種類は両方とも「Active Directory 統合プライマリ」となっています。
・ゾーンレプリケーションスコープは、
　既存ドメインは「このフォレストのドメインコントローラ上で実行しているすべてのDNSサーバ」、
　新規ドメインは「このドメインのドメインコントローラ上で実行しているすべてのDNSサーバ」

作業としては、新規ドメインのゾーンレプリケーションスコープを「このフォレストの～」に変更し、
既存DNSの前方参照ゾーンに新規ドメインを登録する（種類はActive Directory 統合プライマリ）
という認識で問題ないでしょうか？
ご回答頂いている「既存ドメイン側のDNSサーバに統合ゾーンを使用するプライマリゾーンを作成」
という一文がよく理解できていないため、自分でももう少し調べてみる予定ですが、
もし認識が間違っているようでしたらアドバイス頂けると助かります。

お礼日時：2012/11/02 15:04

No.2 回答者： maesen 回答日時： 2012/10/31 14:32

お礼ありがとうございます。

頂いた情報を元に改めて回答したいと思います。

＞【質問１】

既存ドメイン側では、前の回答で書いたようにグローバルカタログに注意すれば問題無いと思います。

＞【質問２】

DCは基本的に長期間停止すると問題が発生します。

参考
http://social.technet.microsoft.com/Forums/ja-JP …
http://social.technet.microsoft.com/Forums/ja-JP …

今回のケースではDCがドメインに1台なのではっきりと問題が出るとは言えませんが、長期間の停止は避けるべきでしょう。
起動したが使い物にならないのでは困りますので。

30日に一度ぐらいは起動したいところです。

短期間ならば停止して良いとは言えませんが、停止しても稼働している側のDCのイベントログにエラーが出るぐらいで実質的な影響はないでしょう。

この回答へのお礼

度々、ご回答頂きありがとうございます。
> DCは基本的に長期間停止すると問題が発生します。
⇒これは知りませんでしたが、想定としては停止するのは長くても2～3日なので影響はなさそうです。

昨日、新規で追加したDCのサーバを停止して動作確認を行ったところ、
既存ドメインで完結していたExchangeのアドレス帳機能が使用できなくなってしまいました。
この機能は開発元が異なるため詳細は不明ですが、既存ドメインだけで運用していた時は正常に
動作していたため、同一フォレストに新規DCを追加したことで影響が出てしまったと考えています。
※現在は新規DCのサーバをしなおしたため、アドレス帳機能も使用できる状態に戻っています。
　問題が解決するまでは、新規DCのサーバを常時起動させておく予定です。

今回の件について、現在はforwardersで両ドメイン間の名前解決を行っているため、
新規DCの停止中は既存ドメインから新規ドメインの名前解決ができなくなるのですが、
このことが影響している可能性は考えられるでしょうか？
forwardersの場合、相手側のドメインの名前解決は相手側のDNSに問い合わせると思いますが、
仮に、相手側のドメインの名前解決も自DNSで応答できるようにする場合、どのような設定を
するのが良いでしょうか？ゾーン転送、スタブゾーンなどの知識がないため、
もしご存知でしたらアドバイスを頂けると大変助かります。

お礼日時：2012/11/01 13:45

No.1 回答者： maesen 回答日時： 2012/10/30 09:50

ちょっと遅い回答で用をなさないかもしれませんが回答させて頂きます。

＞既存ドメインのフォレスト内に新規ドメインを構築する形で、両ドメイン間での信頼関係を結んでいます。

ドメインコントローラ（以下、DC）のOSは何でしょうか？
また、フォレスト及びドメインの機能レベルはどうなっていますか？
シングルフォレストのマルチドメインと考えてよろしいでしょうか？
信頼関係と言っているのは、シングルフォレストではドメイン同士は自動的に信頼関係が結ばれますがこのことでしょうか？

環境によって答えが変わる場合があります。

＞【質問１】

DCの操作マスタの役割、グローバルカタログの設定に依存すると思います。

停止するDCが、フォレストの操作マスタ（スキーマ・マスタ、ドメインネーミング・マスタ）である場合と、フォレストで唯一のグルーバルカタログの場合は注意が必要だと思います。

前者の影響は質問者さんの使い方では問題となることは極めて低いでしょう。
後者は問題が出る場合があると思います。

＞【質問２】

まず、前提条件としてActive Directoryを運用環境として構築する場合はドメインにつき複数のDCを配置するのが鉄則です。
（ADに関する書籍や参考となるWebサイトには必ずこのように書かれていると思います）
つまり、今回はフォレストルートドメインと１つの追加ドメインで構成されるシングルフォレストのマルチドメインですから、DCは 2＋2 = 4台以上必要になります。

この前提でなら、DCの停止は特に問題ありません。
名前解決もフォワーダを使うのか、スタブゾーンを使うのかはありますが、いずれにしても複数台のDCで冗長化するように構成するばずですので名前解決が出来ないということも発生しません。

計画的に停止するのであれば操作マスタとグローバルカタログに注意して（必要ならば操作マスタを移動して）停止すればいいことになります。

＞それとも、単独で停止させるためには別フォレストにする必要があるのでしょうか？

ちなみに、フォレストを分けても必要なDCの台数は変わりません。

余計なことかもしれませんが、きちんと構築されている環境ではこの質問は出てこないように思います。
技術的な知識としてならいいのですが。
コストの問題などはありますが、Active Directoryがクリティカルミッションになる場合はDCの構成をしっかり考えたほうがいいかもしれません。
サーバ故障などの障害に対応出来ないように思います。

この回答へのお礼

ご回答頂きありがとうございました。
また、質問内容にいろいろと不備があり申し訳ありませんでした。

>ドメインコントローラ（以下、DC）のOSは何でしょうか？
⇒既存ドメインではWindows Server 2003、新規ドメインはWindows Server 2008 R2です。

>フォレスト及びドメインの機能レベルはどうなっていますか？
⇒機能レベルはフォレストはWindows Server 2008 R2、ドメインはWindows Server 2003です。
　同一フォレストへの新規ドメインの追加のため、既存ドメインでスキーマ拡張を行い、
　機能レベルをWindows Server 2008 R2（スキーマバージョン47）にしています。

>シングルフォレストのマルチドメインと考えてよろしいでしょうか？
⇒ご認識の通りです。

>信頼関係と言っているのは、シングルフォレストではドメイン同士は自動的に信頼関係が結ばれますが
>このことでしょうか？
⇒ご認識の通りです。

ご回答頂いている通り、通常であれば各ドメインで２台以上のDCを用意するべきなのですが、
今回は検証環境ということもあり、新規ドメインはクラウド上のサーバを使用しています。
クラウドではサーバ起動中は従量課金になるという事情があり、費用を抑えるために新規のDCを
全て停止した場合、フォレストルートとなる既存ドメインに影響が出ないかという点を懸念しております。
質問の通り、forwardersによる名前解決を行っているため、停止中は既存ドメインから新規ドメインの
名前解決はできなくなると思いますが、もともと既存ドメイン内で完結していた機能であれば
特に影響が出ないのではないかと考えております。
とはいえ、正確には実機で確認してみないとわからないため、近々試してみる予定です。

お礼日時：2012/10/31 09:11