ActiveDirectory

【図解】ADのサイト間レプリケーション間隔変更とrepadmin(状態確認,強制実行)コマンドのオプション

Active Directory のサイトとは

AD には管理対象を示す「ドメイン」とは別に、『サイト』という概念があります。

サイトとは、物理的な拠点を示します。拠点内は一般に高速の LAN で構成され、拠点間は低速のWANで接続されます。Active Directory では、低速 NW のひっ迫を避けるために「ドメイン (管理対象範囲)」を複数の「サイト」に分割します。

例えば 2 台のドメインコントローラが低速回線の WAN を跨ぐ場合、サイトを分割するとメリットがあります。

初期設定では 1 つのドメインに対し『Default-First-Site-Name』という 1 つのサイトがあらかじめ存在しており、全ての DC (ドメインコントローラ) およびドメイン参加コンピュータはこのサイトに所属することになります。(シングルサイト構成)

例えばドメインコントローラ 2 台構成で、ドメイン参加 PC がログオンする際のシーケンスを考えます。

PC はまず DNS サーバに対して、自身のドメイン [ example.com ] の SRV レコードのクエリを投げ、DNS サーバからは両方のドメインコントローラの IP アドレスが返ってきます。受け取った PC はラウンドロビンでどちらか一方の IP に接続し、認証要求します。つまり、DNS ラウンドロビンにより負荷分散されます。

一方、例えば 192.168.0.0/16 を『Second-Site-Name』として新たなサイトとして定義し、マルチサイト構成にすると、192.168.0.0/16 内のコンピュータは 192.168.0.0/16 内のドメインコントローラを優先して接続しに行くようになります。

サイト間レプリケーション

一方、サイトはレプリケーションの間隔にも影響します。

同一サイト内のドメインコントローラは片方でユーザアカウントや DNS レコードの変更が有った場合、15 秒間隔で反映されますが、サイト間のドメインコントローラはレプリケーション (設定変更の反映) に時間が掛かります。

具体的に言うと、サイト間のレプリケーション間隔はデフォルトで 3 時間です。

設定変更により最短で 15 分まで短縮可能です。

なお、Active Directory で複製されるデータは大きくは以下の2つです。

  1. NTDS・・・ドメインのユーザアカウントやコンピュータアカウント、AD 統合ゾーン等の情報を格納。デフォルトの格納先は C:\Windows\NTDS フォルダ。
  2. SYSVOL・・・グループポリシーやログオンスクリプト等の情報を格納。デフォルトの格納先は C:\Windows\SYSVOL フォルダ。

ドメインコントローラ間のレプリケーションは DFS という Windows 標準のファイル複製サービスにより行われます。

サイト間レプリケーション間隔の変更

サイト間のレプリケーション間隔の変更は管理ツールの「Active Directory サイトとサービス」から行います。

以下はサイト間のレプリケーション間隔を 15 分に変更する例です。

「スタート」⇒「Windows管理ツール」⇒「Active Directory サイトとサービス」をクリック。表示された画面の左ペインの「IP」をクリックし、中央ペインの「DEFAULTIPSITELINK」を右クリックし、「プロパティ」をクリック。

「レプリケートの間隔(P)」を 15 に変更し「OK」をクリック。

レプリケーションの状態確認と強制実行

レプリケーションが行われたかどうかを確認するコマンドは repadmin /showrepl です。最後の実行時刻が表示されます。

C:\Users\Administrator> repadmin /showrepl

Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています
Default-First-Site-Name\FILE1
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: e67a2397-97db-4a8a-9b13-eda1f74d3e91
DSA 起動 ID: e67a2397-97db-4a8a-9b13-eda1f74d3e91

==== 入力方向の近隣サーバー======================================

DC=example,DC=com
    Default-First-Site-Name\AD2 (RPC 経由)
        DSA オブジェクト GUID: 9e8eeb71-d114-4473-85c6-19428b34b376
       2020-08-02 20:05:50 の最後の試行は成功しました。

CN=Configuration,DC=example,DC=com
    Default-First-Site-Name\AD2 (RPC 経由)
        DSA オブジェクト GUID: 9e8eeb71-d114-4473-85c6-19428b34b376
       2020-08-02 20:13:47 の最後の試行は成功しました。

CN=Schema,CN=Configuration,DC=example,DC=com
    Default-First-Site-Name\AD2 (RPC 経由)
        DSA オブジェクト GUID: 9e8eeb71-d114-4473-85c6-19428b34b376
       2020-08-02 20:01:00 の最後の試行は成功しました。

DC=DomainDnsZones,DC=example,DC=com
    Default-First-Site-Name\AD2 (RPC 経由)
        DSA オブジェクト GUID: 9e8eeb71-d114-4473-85c6-19428b34b376
       2020-08-02 20:10:44 の最後の試行は成功しました。

DC=ForestDnsZones,DC=example,DC=com
    Default-First-Site-Name\AD2 (RPC 経由)
        DSA オブジェクト GUID: 9e8eeb71-d114-4473-85c6-19428b34b376
       2020-08-02 20:10:47 の最後の試行は成功しました。

C:\Users\Administrator>

また、複製(同期)を強制実行するコマンドは repadmin /syncall です。

C:\Users\Administrator> repadmin /syncall
コールバック メッセージ: 次のレプリケーションが進行中です:
    レプリケーション元: 9e8eeb71-d114-4473-85c6-19428b34b376._msdcs.example.com
    レプリケーション先: e67a2397-97db-4a8a-9b13-eda1f74d3e91._msdcs.example.com
コールバック メッセージ: 次のレプリケーションが完了しました:
    レプリケーション元: 9e8eeb71-d114-4473-85c6-19428b34b376._msdcs.example.com
    レプリケーション先: e67a2397-97db-4a8a-9b13-eda1f74d3e91._msdcs.example.com
コールバック メッセージ: SyncAll が完了しました。
SyncAll はエラーなしで終了しました。

C:\Users\Administrator>

サイト設計の注意点

冒頭で説明した通り、また、今までの例に見た通り、『サイト』は WAN 帯域の節約に寄与します。

ですが例えばデータセンタと拠点に 1 台ずつドメインコントローラを置いたとして、パスワード変更はデータセンタ内の Web サーバ経由でデータセンタのドメインコントローラを変更し、PC の認証は拠点内のドメインコントローラで実施する、というパターンだと、パスワード変更の反映まで時間が掛かってしまい、その間は認証エラーとなってしまいます。

最近は NW 高速化も一段と進んでおりますので、WAN 回線が 100 Mbps 等の十分な帯域が取れるときはシングルサイトでも十分でしょう。

コメント

タイトルとURLをコピーしました