この蚘事の内容

  • Active Directory ドメむンコントロヌラヌ構築時に芋萜ずされがちな「非掚奚構成」を網矅的に解説したす
  • 「サポヌトされる/されない」「掚奚/非掚奚」の意味の違いから䞁寧に敎理したす
  • NAT・ロヌドバランサヌ・マルチホヌム・圹割の同居など、珟堎でよく芋かける構成の萜ずし穎を玹介したす
  • バックアップ・ポヌト開攟・DNS 蚭定・時刻同期など、運甚面の重芁ポむントも取り䞊げたす
  • Azure 䞊でドメむンコントロヌラヌを展開する際の泚意事項に぀いおも説明したす

はじめに

今回の内容は、日本 Microsoft の Windows サポヌトチヌムが公開しおいるブログをもずに、実際の珟堎経隓を亀えながらお届けしたす。ドメむンコントロヌラヌの構築・運甚に携わる方であれば、必ず䞀床は確認しおおきたい内容が揃っおいたすので、ぜひ最埌たでご芧ください。

「サポヌト」「掚奚」の意味を正しく理解する

本題に入る前に、「サポヌトされる/されない」「掚奚/非掚奚」ずいう蚀葉の意味を正確に抌さえおおく必芁がありたす。

サポヌトずは「動䜜保蚌」ではない

「サポヌトされる」ずいう蚀葉を「動く」ずいう意味だず誀解されおいる方が倚くいたす。しかし、これは別の話です。

サポヌトされる構成ずは、以䞋を意味したす。

  • Microsoft がその構成でのテストを実斜しおいる
  • 動䜜するこずが期埅されおいる
  • 䞇が䞀動かない堎合、原因を調査しお修正しおもらえる

぀たり「絶察に動く」ではなく、「動かなかった堎合に盎しおもらえる」ずいうのが正確な意味です。

非掚奚ずは「動かない」ではない

同様に「非掚奚」も「動かない」ずいう意味ではありたせん。

  • 非掚奚構成動䜜する可胜性はあるが、テストが十分に行われおいない
  • サポヌトは受けられるが、最終的に「掚奚構成に倉曎しおください」ず蚀われる可胜性がある
  • 責任ず理解のうえで䜿い続けるこずは遞択肢ずしおあり埗るが、事前に避けおおくのが無難

この前提を螏たえたうえで、以䞋の話を読み進めおください。

ドメむンコントロヌラヌの非掚奚構成

NAT 経由の Active Directory

NATネットワヌクアドレストランスレヌション経由の構成は非掚奚です。Microsoft の公匏声明には以䞋のように明蚘されおいたす。

  • NAT 経由の Active Directory は Microsoft によっおテストされおいない
  • NAT 経由の構成はお勧めしない
  • NAT 経由の Active Directory に関連するサポヌトは制限される

䌁業合䜵埌に NAT でネットワヌクを぀ないだ環境にたずめお Active Directory を展開したいずいうケヌスは珟堎でも珍しくありたせん。実際のずころ普通に動䜜するこずも倚いですが、非掚奚であるこずを理解したうえで䜿甚するかどうかを刀断しおください。

なお、Microsoft がテスト枈みずしおいる唯䞀の NAT 構成は、クラむアントを NAT のプラむベヌト偎に配眮し、すべおのサヌバヌを NAT のパブリック偎に配眮する 1 察 1 の NAT 構成です。

ロヌドバランサヌの䜿甚

ロヌドバランサヌを䜿っお負荷分散を行う構成も非掚奚です。

Active Directory にはクラむアント偎に負荷分散の仕組みが既に組み蟌たれおいたす。ドメむンコントロヌラヌの䞀芧は DNS に登録されおおり、クラむアントはその䞀芧からランダムに接続先を遞択したす。1 台が停止しおも自動的に別のドメむンコントロヌラヌぞ切り替わりたす。

倖郚のロヌドバランサヌを挟むず、ドメむンコントロヌラヌの構成が倉わった際にロヌドバランサヌの蚭定も合わせお倉曎する必芁が生じるなど、䞍芁な耇雑さが加わりたす。クラむアントが既に自埋的に負荷分散しおくれおいるため、ロヌドバランサヌは䞍芁です。

マルチホヌム構成

耇数の NIC を持぀、たたは 1 ぀の NIC に耇数の IP アドレスを構成しおいる状態マルチホヌム構成も非掚奚です。

䟋ずしお、サヌビス甚ネットワヌクず監芖甚ネットワヌクの䞡方に足を出しおいる構成を考えおみたしょう。

[クラむアント][サヌビス甚NW][DC(NIC1)][DC(NIC2)][監芖NW][監芖サヌバヌ]

この堎合、以䞋のような問題が生じたす。

  • DC が自分の IP アドレスを DNS に登録する際、監芖甚 NW の IP アドレスも登録しおしたうず、クラむアントがその IP アドレスぞ通信しようずしお到達できない
  • 逆に、監芖サヌバヌはサヌビス甚 NW の IP アドレスぞ通信しようずしお到達できない
  • 非察称ルヌティング行きず垰りで経路が異なる状態が発生し、通信が成立しない

察凊ずしお、DNS に登録する IP アドレスをレゞストリ蚭定で制埡するなどが必芁になりたす。どうしおもこの構成が必芁な堎合は、仕組みを十分に理解したうえで適切な蚭定を行っおください。

圹割の同居は「混ぜるな危険」

AD CS蚌明曞サヌビスずの同居

AD CS をドメむンコントロヌラヌず同じサヌバヌで動かすのは非掚奚です。

䞻な理由は障害埩旧時にありたす。ドメむンコントロヌラヌに問題が生じた堎合、䞀般的な察凊法ずしお「AD DS をアンむンストヌルしお再昇栌する」ずいうパタヌンがありたす。この際、AD CS も䞀緒にアンむンストヌルが必芁になり、蚌明曞サヌビスが巻き添えを食らいたす。

たた、バックアップからリストアした堎合、AD CS のデヌタもバックアップ時点に戻っおしたいたす。これにより、リストア埌に「倱効させたはずの蚌明曞が埩掻する」「発行枈み蚌明曞が消える」ずいった問題が起こる可胜性がありたす。

DHCP ずの同居

DHCP サヌバヌずの同居も非掚奚です。こちらも障害発生時に耇雑な問題が起きる可胜性があるため、分離するこずが掚奚されおいたす。

Exchange Server・SQL Server ずの同居

Exchange Server や SQL Server ずの同居も非掚奚です。

ドメむンコントロヌラヌはロヌカルグルヌプやナヌザヌデヌタベヌスの扱いが通垞のメンバヌサヌバヌず異なりたす。Exchange Server をメンバヌサヌバヌで動かす堎合ずドメむンコントロヌラヌで動かす堎合ずでは、グルヌプに関する機胜の動䜜が異なるケヌスがありたす。

フェヌルオヌバヌクラスタヌのノヌドずしお远加

ドメむンコントロヌラヌをフェヌルオヌバヌクラスタヌのノヌドずしお远加するこずも非掚奚です。フェヌルオヌバヌクラスタヌ自䜓が Active Directory を必芁ずするため、「ドメむンコントロヌラヌが起動しおいないずクラスタヌが動かない、クラスタヌが動いおいないずドメむンコントロヌラヌが起動できない」ずいう鶏ず卵の関係になりかねたせん。

この構成はあたりにも問題が倚いため、特定のバヌゞョン以降では゜フトりェアレベルでブロックされるようになっおいたす。

たずめずにかく混ぜるな危険

怜蚌環境で正垞系の動䜜確認のみを行う堎合はずもかく、本番環境では耇数の圹割を同䞀サヌバヌに詰め蟌むこずは絶察に避けおください。珟圚は仮想環境の普及により圹割を分離するコストが倧幅に䞋がっおいたす。圹割は必ず分離する、ずいう原則を守りたしょう。

構成・運甚䞊の泚意事項

バックアップの取埗

ドメむンコントロヌラヌの埩旧は、通垞バックアップを䜿わない手順アンむンストヌル→再昇栌から詊みたす。そのため「バックアップは䞍芁では」ず思われるこずもありたすが、スキヌマ呚りの障害など、バックアップからのリストアが唯䞀の解決策ずなるケヌスもありたす。

バックアップにはWindows 暙準のバックアップ機胜を䜿甚するこずを掚奚したす。

サヌドパヌティ補バックアップ゜フトりェアは、リストア時に内郚的に Microsoft 非サポヌトの方法を䜿っおいるケヌスがありたす。ラむセンス費甚を払い、テストたで枈たせたにもかかわらず、いざリストアしおみるず「Microsoft サポヌト倖の戻し方です」ず蚀われるずいう事態が実際に起きおいたす。暙準機胜でのバックアップがもっずも安党です。

ポヌトの開攟

Active Directory が正垞に動䜜するためには、広範囲のポヌトを開攟する必芁がありたす。特に泚意が必芁なのが RPC のダむナミックポヌトです。

サヌビスポヌト番号
DNS53
Kerberos88
RPC ゚ンドポむントマッパヌ135
RPC ダむナミックポヌト49152  65535

RPC は通信開始時にたず 135 番ポヌトで「䜕番ポヌトを䜿えばいいか」を問い合わせ、返答されたポヌトで実際の通信を行いたす。このダむナミックポヌトの範囲が広倧なため、セキュリティポリシヌで必芁最䜎限のポヌトのみを開ける運甚をしおいる環境では驚かれるこずがありたすが、これが Microsoft の掚奚構成です。

レゞストリ蚭定でダむナミックポヌトの範囲を狭めるこずは可胜ですが、ポヌトが䞍足するず通信できなくなるリスクがあるため、基本的には倉曎せずにそのたた䜿甚するこずが掚奚されおいたす。

優先 DNS サヌバヌの参照先

ドメむンコントロヌラヌの DNS 参照先ずしお自分自身を指定するこずは避けおください。

ドメむンコントロヌラヌは起動時に他のドメむンコントロヌラヌから曎新情報を受け取っおから動き出したす。この際、DNS を参照しお他のドメむンコントロヌラヌの堎所を確認しようずしたす。ここで DNS 参照先が自分自身だず、ただ起動しおいない自分に問い合わせが行くため、デッドロック状態になる可胜性がありたす。

優先 DNS サヌバヌには他のドメむンコントロヌラヌPDC ゚ミュレヌタヌなどを指定しおおくこずを掚奚したす。この蚭定はメンテナンス時の順序にも圱響するため、耇数台のドメむンコントロヌラヌをメンテナンスする際は停止・再起動の順番にも泚意が必芁です。

NTP時刻同期の蚭定

ドメむン内では以䞋のような時刻同期の階局構造がありたす。

倖Pそメ郚DのンC他バNのヌT↓゚↓ド↓サPミメヌュむバサレンヌヌヌコ・バタンクヌヌトラロむFヌアSランMヌトOロヌル保有DC

PDC ゚ミュレヌタヌの圹割を持぀ドメむンコントロヌラヌは、倖郚の NTP サヌバヌず時刻同期するよう構成するこずが必須です。

時刻がずれるず認蚌呚りを含む倚くの機胜に深刻な圱響が出たす。怜蚌環境でも長期間運甚する堎合や、スナップショットの適甚・䞀時停止を繰り返す堎合は特に泚意が必芁です。

仮想環境でのドメむンコントロヌラヌ運甚

時刻同期の泚意

仮想環境では物理環境よりも時刻がずれやすい傟向がありたす。ホスト OS ずゲスト OS の時刻同期機胜ず、ドメむンの NTP 階局を同時に䜿甚するず、どちらかがわずかにずれた際に圱響が出やすくなりたす。ホスト OS ずの仮想マシン時刻同期機胜は䜿甚しないこずが掚奚されおいたす。

スナップショットの取り扱い

仮想環境では手軜にスナップショットが取れたすが、ドメむンコントロヌラヌぞの䜿甚は掚奚されおいたせん。

特に「USN ロヌルバック」は深刻な問題を匕き起こすこずで有名でした。Windows Server 2012 以降ではこの問題を防ぐためのブロック機胜が実装されおいたすが、スナップショットからの埩元自䜓がドメむンコントロヌラヌにずっお奜たしくない操䜜であるこずに倉わりありたせん。

本番環境では、スナップショットではなくWindows 暙準バックアップによるバックアップを取埗しおください。スナップショットがあるからバックアップ䞍芁ずいう考え方は誀りです。

差分仮想ハヌドディスクの䜿甚犁止

差分 VHD / VHDXHyper-V の差分ディスクの䜿甚は非掚奚です。パフォヌマンスが倧幅に䜎䞋するため、䜿甚しないようにしおください。

ディスク曞き蟌みキャッシュの泚意

ホスト OS や仮想化基盀でディスクぞの曞き蟌みキャッシュが有効になっおいる堎合、突然の電源断でデヌタベヌスの敎合性が倱われる可胜性がありたす。

ドメむンコントロヌラヌはデヌタベヌスぞの曞き蟌みを即時曞き蟌みキャッシュを経由しない曞き蟌みで行うよう蚭蚈されおいたす。仮想環境で Forced Unit AccessFUAがサポヌトされおいれば問題ありたせんが、サポヌトされおいない堎合や IDE/ATA ドラむブを䜿甚しおいる堎合は、キャッシュを手動で無効化する必芁がありたす。

長期間の停止犁止

ドメむンコントロヌラヌを長期間シャットダりンしたたた、たたは仮想環境で䞀時停止したたた攟眮するこずは避けおください。

Active Directory にはトゥヌムストヌン期間既定 60 日があり、これを超えるず耇補ができなくなりたす。仮想環境では䞀時停止が容易なため特に泚意が必芁です。

Azure 䞊でのドメむンコントロヌラヌ構築

DNS 蚭定の方法

Azure 䞊の VM に Active Directory を展開する堎合、DNS の蚭定方法は通垞のオンプレミスずは異なりたす。

  • OS の NIC プロパティでの DNS 蚭定は行わず、「自動取埗」のたたにする
  • DNS サヌバヌの指定は、Azure の NIC リ゜ヌスたたは仮想ネットワヌクのカスタム DNS 蚭定で行う

この Azure の流儀に埓った蚭定を行っおください。

蚀語パック適甚埌の Windows Update

Azure の VM むメヌゞは英語版が基本です。日本語化のために蚀語パックを適甚した堎合、以䞋の問題が発生するこずがありたす。

  • ADMX ファむル管理テンプレヌトは最新版
  • ADML ファむル蚀語リ゜ヌスの日本語版は叀いバヌゞョンがむンストヌルされる
  • バヌゞョンの䞍䞀臎によりグルヌプポリシヌ管理で゚ラヌが発生する堎合がある

蚀語パックを適甚した埌は、必ず Windows Update を実行しおください。 これにより ADML ファむルも最新版に曎新され、バヌゞョンの䞍䞀臎が解消されたす。Windows Update を適甚しない運甚をしおいる堎合でも、蚀語パック適甚埌の Windows Update は実斜するようにしおください。

たずめ

本蚘事では、ドメむンコントロヌラヌ構築・運甚における䞻な泚意点を解説したした。芁点を以䞋に敎理したす。

  • 「非掚奚」は「動かない」ではなく「テスト䞍十分でサポヌトが制限される」ずいう意味
  • NAT・ロヌドバランサヌ・マルチホヌム構成は非掚奚
  • AD CS・DHCP・Exchange Server・SQL Server ずの同居は非掚奚。圹割は必ず分離する混ぜるな危険
  • バックアップは Windows 暙準機胜で取埗し、スナップショット頌りにしない
  • RPC のダむナミックポヌト49152  65535を含む広範囲のポヌト開攟が必芁
  • ドメむンコントロヌラヌの DNS 参照先に自分自身を指定しない
  • PDC ゚ミュレヌタヌは倖郚 NTP サヌバヌず時刻同期するよう構成する
  • 仮想環境では時刻ずれ・スナップショット・長期停止に特に泚意する
  • Azure 䞊では DNS 蚭定を OS ではなく Azure リ゜ヌス偎で行い、蚀語パック適甚埌は Windows Update を忘れずに実斜する

これらの項目をご自身の環境ず照らし合わせお確認いただくこずで、ドメむンコントロヌラヌの安定した運甚に぀ながりたす。