備忘録として、こまごま書いているの記載してみますね。特に環境にもよりますが、サーバーのスペックや障害対応は、なかなか経験がないと分かりませんものね。
Active Directoryのハードウェアスペックについて
Table 3. ドメイン コントローラの最少数
ドメインごとのユーザー数 ドメインごとの最小のドメイン コントローラ数 1–499 One – Single Processor 500–999 One – Dual Processor 1,000–2,999 Two – Dual Processor 3,000–10,000 Two – Quad Processor サイト内に 1万人以上のユーザーがいる場合には、追加ハードウェアの必要性を決定するために、そのユーザー負荷について追加のテストを実施すべきです。 以前のガイダンスでは、5千人のユーザーに対して必要以上の Quad プロセッサ システムを規定しましたが、認証の負荷だけであれば、大半の環境において過剰となるでしょう。
@see https://technet.microsoft.com/ja-jp/library/cc268208.aspx
- 小規模:2CPU 2~4GB
- 中規模~:4CPU 4GB
- 1台のDCが認証できるのは5,000人程度
- 台数はPDC1台, BDC1~2台を基本
上記が私の結論。
障害対応について
ADの障害対応
- クライアントのTCP/IPでDNSサーバのアドレスが指定されていない。
- クライアントのIPv6が有効になっていないか確認する。
- DNSサーバのSRVレコードが正しく設定されているか。SRVレコードの作り直しはドメインコントローラのPowerShellで『Restart-Service netlogon』コマンドレットを実行する。
※また自動作成されたSRVレコードが正しいかの確認は正常時に予めDNSサーバーの「_msdcs.<ドメイン名>」の部分と<ドメイン名>ゾーン配下の「_sites,_tcp,_udp,DomainDNSZones,ForestDNSZones」を展開して、それぞれの画面をキャプチャしておく。
参考:DNSサーバーはなぜ必要なのか
@see http://www.atmarkit.co.jp/ait/articles/1408/07/news015.html
グループポリシーのトラブルを解決
gpresult /r, gpresult /Z で切り分けする。
クライアントパソコンにグループポリシーオブジェクト(GPO)が適用されているか確認する。
『GPOが適用されていないからクライアントに管理者の意図が反映されないのか』、『GPOが適用されているにも関わらず何らかの理由で反映されないのか』を区別する。
適用されていない場合
- GPOの適用に必要な時間が経過していない。
⇒ドメインコントローラ間でグループポリシーを複製、『gpupdate /force』コマンドでクラインとパソコン側でグループポリシーを最新の状態に更新する。 - GPOの設定漏れ
⇒リンクの状態、OUなど管理単位の中身をチェック。リンク忘れや、ユーザ/コンピュータの移動忘れを修正 - 『ユーザの構成』と『コンピュータの構成』の間違い
⇒『ユーザの構成』と『コンピュータの構成』の設定を見直し、間違いを修正。
↓解決しない場合は適用されている場合を試そう。
適用されている場合
- クライアントパソコン側でログオフ/再起動をしていない。
⇒ログオフや(再ログオン)や再起動を実施 - 個々のグループポリシーの設定ミス
⇒『有効』、『無効』、『未構成』などグループポリシー設定の内容を確認して修正する。 - 他のGPOのグループポリシー設定と競合している。
⇒優先順位の高い管理単位に競合するGPOがリンクされていないか、優先順位の低い管理単位にリンクされたGPOが『強制』されていないか確認して修正する。
まずクライアントPC側で再起動させてみるのが初期対応。
@see Active Directory最強の指南書P128ページあたりを参照
ドメインにログオンできない。セキュアチャネルの破損
クライアントパソコンのローカル管理者アカウントのPowerShellで下記を実行する。
|
1 |
Test-ComputerSecureChannel -credential administrator -repair |
@see http://activedirectoryzoe.hatenablog.com/entry/2015/01/28/171017
備忘録的なまとめですが、お役に立ったなら良いですね~。
