日本-海外間でDCサーバーのレプリケーション

日本と海外拠点でそれぞれDCサーバーを用意してレプリケーションしたいと考えています。
仮に日本側DCサーバーをServer-A、海外側サーバーをServer-Bとします。
そもそも日本-海外間のDCサーバーのレプリケーションは現実的でしょうか？

目的は以下の通りです。
<1>日本から海外拠点側のADユーザーを管理すること(海外拠点にIT担当がいないため)
<2>Server-Aが落ちた時のバックアップとしてServer-Bを利用できること(逆も同様)

現在、日本側で運用しているWindowsドメインは1つです。
サーバー自体も1台のみで冗長化されていません。
OSはWindows 2008 serverです。
ADユーザー数は日本、海外拠点それぞれ約100名です。
海外側はこれからDCサーバーを立てる予定です。

目的の<2>はあきらめることを前提に、
海外拠点でのドメイン作成はServer-Aとは別ドメインとして、Sever-AとServer-B間で信頼関係を結ぶ方が現実的でしょうか？

懸念しているのは、日本と海外でのレプリケーションは負荷が大きすぎないかということです。
また、”Microsoftで推奨していない”などの情報がもしあれば教えていただきたいです。

No.5 回答者： maesen 回答日時： 2014/05/22 14:50

＞日本側と海外側にそれぞれDCを設置して、それぞれサイトを構築するが、同一ドメインとして設定するとします。

その時でも、日本側DCが落ちた時に海外側に"認証が行かない"ようにできないのでしょうか？

そうです。
基本的に前の回答に書いてある通りです。

http://itpro.nikkeibp.co.jp/article/Windows/2005 …

前の回答にも載せていますが、上記URLの初めの方に簡単な説明がありますので読んでみて下さい。

＞同一ドメインでもサイトをわけると別サイトDCへの認証は行かない

このようにはならないと思います。
サイトを構成しているADは数多く作成した経験がありますし、検証もしていますので私自身は間違いないと思っています。

もちろん、日本側DCが落ちている状態で、DNS名前解決が出来るというのは大前提です。

No.4 回答者： maesen 回答日時： 2014/05/20 09:35

＞ADの情報は同期を取るけれども、認証は同一サイト内のクライアントしか許可しない、という設定です。

この設定は無いはずです。
DCの優先や重みを変えることはできますが、DCを固定化したり一部DCを使用しないようにというのは出来ないと思います。

サイト構成でのログオンについては下記URLを参考にして下さい。
http://itpro.nikkeibp.co.jp/article/Windows/2005 …

ただ、現実問題としてServer-A側がダウンしてServer-B側で認証できるようになるためには、DNSもきちんと参照できる必要があります。
多くの場合、AD統合ゾーンを使用するためDCとDNSは共存していると思います。
そのためServer-AがダウンするとDNSサーバが日本側に無くなり、結果としてServer-Bでの認証が出来なくなります。


質問者さんの環境でDCダウンタイムがどれぐらい許容されるのかわかりませんが、
100名程度の認証ならばエントリレベルのサーバでもスペック的には十分なので、冗長化が必要ならばこれを機会に検討してはいかがでしょうか。
※費用面など難しいことがあるかもしれませんが。

DCは複数で構成するのがMicrosoftの推奨です。

この回答への補足

>この設定は無いはずです。
>DCの優先や重みを変えることはできますが、
>DCを固定化したり一部DCを使用しないようにというのは出来ないと思います。

日本側と海外側にそれぞれDCを設置して、それぞれサイトを構築するが、同一ドメインとして設定するとします。その時でも、日本側DCが落ちた時に海外側に"認証が行かない"ようにできないのでしょうか？

toshih2000様の回答では同一ドメインでもサイトをわけると別サイトDCへの認証は行かない、ような旨の回答があったため、少し混乱してきています。

補足日時：2014/05/22 12:28

No.3 回答者： toshih2000 回答日時： 2014/05/20 01:09

海外とのレプリケーションは問題無いと思います。

そんなに頻繁に情報が行き交うわけではありません。
AD内の情報が追加変更された場合ですので、
通信量としてはそれほど多くないのではないかと思います。
(ちなみに、海外にまたがるドメインの例はMCPのテスト問題として普通に出てきます。)

ドメインは一つでも、通常はサイトを分けますよね。
ADの設計上、そのように推奨しているはずです。
とするならば、必然的にサイトごとにDCが必要になります。
各クライアントは自分の所属するサイトのDCにログイン認証することになります。


<1>日本から海外拠点側のADユーザーを管理すること(海外拠点にIT担当がいないため)

これって、ドメインが同じだろうが、別ドメインだろうが、
拠点間で信頼関係があろうが無かろうが、
ネットワークさえ接続できれば、どうにでもなるんじゃないですかね。
同一ドメインにするかどうかは、管理要件では無くて、利用者の要件で決めるべき。


<2>Server-Aが落ちた時のバックアップとしてServer-Bを利用できること(逆も同様)

期待しない方が良いですね。(そもそも、サイトを分けたらできませんが・・)
最低でも 100Mbps の専用回線でもあれば可能だとおもいます。
クライアント用のPCでも良いので、DCをもう一台ずつ用意した方が無難でしょう。


別ドメインにして、信頼関係を結んだ方がよいか?

大してかわりません。レプリケーションが無いので、通信量は減るでしょう。

この回答への補足

ありがとうございます。
>期待しない方が良いですね。(そもそも、サイトを分けたらできませんが・・)
仮に日本側サイトをSite-A、海外側をSite-Bとします。
同一ドメインを使っていてもサイトをわけていたら、Site-Aが落ちた時にSite-A内のクライアントはSite-Bに認証に行かない、ということでしょうか？

補足日時：2014/05/22 12:28

No.2 回答者： maesen 回答日時： 2014/05/19 17:35

いろいろな考え方があるとおもいますので、私の私見です。

＞そもそも日本-海外間のDCサーバーのレプリケーションは現実的でしょうか？

これ自体は問題無いと思います。

ただ、日本-海外間はどのように接続するの？
平均および繁忙期にどのくらいのスループットがあるのかによって現実的か否かが判断されると思います。

接続は何らかのVPNだと思いますが、そうで無くセキュリティが確保できない通信ならば、信頼関係を含めて連携はやめるべきだと思います。
フェデレーションという選択もあるかもしれませんが。

スループットが極端に遅ければちょっと考えざるを得ませんが、ある程度の帯域があるのであればサイトを構成してレプリケーションをコントロールすれば良いと思います。

＞<2>Server-Aが落ちた時のバックアップとしてServer-Bを利用できること(逆も同様)

これは意味があるとは思えません。
このときはServer-Bに認証など全ての通信が行くので、レプリケーションの負荷どころではないです。

＞サーバー自体も1台のみで冗長化されていません。

海外拠点にDCを置くのならば、
サーバの故障を考えるのならば、
この状況をなんとかすべきだと思います。

＞懸念しているのは、日本と海外でのレプリケーションは負荷が大きすぎないかということです。

ADを使用するアプリケーションを使用しているのならば別ですが、安定運用になればそんなに大量のレプリケーションデータが出ることは無いと思います。
差分（変更があったものだけ）をレプリケーションするだけなので。

＞また、”Microsoftで推奨していない”などの情報がもしあれば教えていただきたいです。

推奨しないというのは見たことがありません。
構成例などでは国を跨いだものも良くありますね。

＞<1>日本から海外拠点側のADユーザーを管理すること(海外拠点にIT担当がいないため)

海外拠点側はRODCも検討したほうが良いかもしれませんね。

この回答へのお礼

ありがとうございます。

>これは意味があるとは思えません。
>このときはServer-Bに認証など全ての通信が行くので、
>レプリケーションの負荷どころではないです。

サイトを構成して(Server-A側をSite-A、Server-B側をSite-Bで。)、それらを同一ドメインでレプリケーション設定したとします。その場合に例えばServer-Aが落ちた時にServer-Bに認証が"行かない"ように設定することはできるのでしょうか？
ADの情報は同期を取るけれども、認証は同一サイト内のクライアントしか許可しない、という設定です。

お礼日時：2014/05/19 18:14

No.1 回答者： nerimaok 回答日時： 2014/05/19 17:25

http://ascii.jp/elem/000/000/526/526654/
http://blogs.technet.com/b/bpj/archive/2012/01/3 …
http://itpro.nikkeibp.co.jp/article/COLUMN/20080 …
http://jp.fujitsu.com/platform/server/primergy/t …

一応禁止とかいう物では無いですね。
それやると多国籍企業は困っちゃいますから。(MS自身を含む)
最後の富士通のpdfである程度のトラフィックの目安とかも出てます。
(富士通ってこの手のWindows運用系のドキュメントが豊富です)

DCサーバーよりも ADドメインかActiveDirectoryをキーワードに検索した方がいいです。

この回答へのお礼

>一応禁止とかいう物では無いですね。
>それやると多国籍企業は困っちゃいますから。
日本-海外間のDCサーバーのレプリケーションは普通のことなのですね。ありがとうございます。

追加で教えていただきたいのですが、、以下の2つのやり方での違いは何でしょうか？
-サイトを日本側と海外側で2つ作成して同一ドメインでレプリケーション(こちらが一般的？)
-海外拠点は別ドメイン作成し、日本ドメインと海外ドメインで信頼関係構築。

お礼日時：2014/05/19 18:14