AD Active Directoryのスペックと障害対応まとめ

Windows Server Active Directory AD 障害 スペック

@see https://partner.microsoft.com/ja-jp/solutions/servers

備忘録として、こまごま書いているの記載してみますね。特に環境にもよりますが、サーバーのスペックや障害対応は、なかなか経験がないと分かりませんものね。

 

Active Directoryのハードウェアスペックについて

Table 3. ドメイン コントローラの最少数

ドメインごとのユーザー数 ドメインごとの最小のドメイン コントローラ数
1–499 One – Single Processor
500–999 One – Dual Processor
1,000–2,999 Two – Dual Processor
3,000–10,000 Two – Quad Processor

サイト内に 1万人以上のユーザーがいる場合には、追加ハードウェアの必要性を決定するために、そのユーザー負荷について追加のテストを実施すべきです。 以前のガイダンスでは、5千人のユーザーに対して必要以上の Quad プロセッサ システムを規定しましたが、認証の負荷だけであれば、大半の環境において過剰となるでしょう。

@see https://technet.microsoft.com/ja-jp/library/cc268208.aspx

  • 小規模:2CPU 2~4GB
  • 中規模~:4CPU 4GB
  • 1台のDCが認証できるのは5,000人程度
  • 台数はPDC1台, BDC1~2台を基本

上記が私の結論。

 

障害対応について

  1. クライアントのTCP/IPでDNSサーバのアドレスが指定されていない。
  2. クライアントのIPv6が有効になっていないか確認する。
  3. DNSサーバのSRVレコードが正しく設定されているか。SRVレコードの作り直しはドメインコントローラのPowerShellで『Restart-Service netlogon』コマンドレットを実行する。
    ※また自動作成されたSRVレコードが正しいかの確認は正常時に予めDNSサーバーの「_msdcs.<ドメイン名>」の部分と<ドメイン名>ゾーン配下の「_sites,_tcp,_udp,DomainDNSZones,ForestDNSZones」を展開して、それぞれの画面をキャプチャしておく。

 

参考:DNSサーバーはなぜ必要なのか
@see http://www.atmarkit.co.jp/ait/articles/1408/07/news015.html

 

グループポリシーのトラブルを解決

gpresult /r, gpresult /Z で切り分けする。

クライアントパソコンにグループポリシーオブジェクト(GPO)が適用されているか確認する。
『GPOが適用されていないからクライアントに管理者の意図が反映されないのか』、『GPOが適用されているにも関わらず何らかの理由で反映されないのか』を区別する。

 

適用されていない場合

  1.  GPOの適用に必要な時間が経過していない。
    ⇒ドメインコントローラ間でグループポリシーを複製、『gpupdate /force』コマンドでクラインとパソコン側でグループポリシーを最新の状態に更新する。
  2. GPOの設定漏れ
    ⇒リンクの状態、OUなど管理単位の中身をチェック。リンク忘れや、ユーザ/コンピュータの移動忘れを修正
  3. 『ユーザの構成』と『コンピュータの構成』の間違い
    ⇒『ユーザの構成』と『コンピュータの構成』の設定を見直し、間違いを修正。

↓解決しない場合は適用されている場合を試そう。

適用されている場合

  1. クライアントパソコン側でログオフ/再起動をしていない。
    ⇒ログオフや(再ログオン)や再起動を実施
  2. 個々のグループポリシーの設定ミス
    ⇒『有効』、『無効』、『未構成』などグループポリシー設定の内容を確認して修正する。
  3. 他のGPOのグループポリシー設定と競合している。
    ⇒優先順位の高い管理単位に競合するGPOがリンクされていないか、優先順位の低い管理単位にリンクされたGPOが『強制』されていないか確認して修正する。

まずクライアントPC側で再起動させてみるのが初期対応。

 

@see Active Directory最強の指南書P128ページあたりを参照

ドメインにログオンできない。セキュアチャネルの破損

クライアントパソコンのローカル管理者アカウントのPowerShellで下記を実行する。

@see http://activedirectoryzoe.hatenablog.com/entry/2015/01/28/171017

 

 

備忘録的なまとめですが、お役に立ったなら良いですね~。

 

 

優 ( エンジニア )

 

システムガーディアン爆弾処理班
アクセス負荷対策などNginxへの移行案件が多いこの頃。IBM SoftLayerやAWSなどクラウド案件も多くなってきました。

この記事を書いた人:


この記事に関してのお問い合わせ
御連絡・ご返信は原則2営業日以内を予定しております。
お急ぎの場合は、お手数ですが下記電話でもご対応をしております。

システムガーディアン株式会社
受付時間:平日9:00~18:00
受付担当:坪郷(つぼごう)・加藤
電話:03-6758-9166