世界のブログから - 「ドメイン コントローラーどうしよう」

  • Article

これは、"Virtual PC Guy's Blog"の以下のエントリ↓

"The Domain Controller Dilemma" (「ドメイン コントローラーどうしよう」)

の「勝手訳」です。原文の内容をなるべく正しく伝えたいとは思っていますが、私なり解釈と意見をバリバリ加えたりしますので「英語版の忠実な翻訳」ではありません。あしからずご了承ください。

では、

「ドメイン コントローラーどうしよう」

ドメイン コントローラーに関するご相談を良くいただきます。

「既存のサーバー群をすべて仮想化するとした場合に、Hyper-Vサーバー(Hyper-Vのホスト機)が参加する Active Directory ドメインのドメイン コントローラーは、どのように扱うのがよいだろうか?」

というものです。

[ksasaki] 元記事ではこの後Hyper-Vホストとドメイン コントローラーの構成についていくつかの選択肢が定義されるのですが、

    • Hyper-Vホストの参加するドメインをどうするか
      • 既存のサーバ群と同じドメインか、Hyper-Vホスト用に専用ドメインを作成するか、あるいは全く参加させないか
    • ドメインコントローラの配置形態をどうするか
      • 物理マシンか、仮想マシン(VM)か

という別々の問題が入り交じっていて多少話がややこしくなっています。そこで、ここでは問題を以下のように単純化しようと思います。

  • ポイント1: Hyper-Vホストをドメインに参加させるべきだろうか?
    • Hyper-Vホストにはなるべく余計なことせずシンプルなままにしておきたいが、「ドメイン参加」は必要だろうか。
  • ポイント2: 仮に参加させるとした場合、ドメインコントローラの配置形態は?
    • ドメインコントローラのためだけに一台物理マシンを用意する(あるいは既存のドメインコントローラを仮想化せずに残しておく)なんてもったいない。サーバーを減らしたいから仮想化してるんだ!
    • しかし、ドメインコントローラを仮想化するとしたら、、その「仮想ドメインコントローラ」の土台になっているHyper-Vはどうやってドメインに参加すればよいのだ?!

 

ポイント1: Hyper-Vホストをドメインに参加させるべきだろうか?

参加させるべきです!以上。

「ちょっとおためし」程度のスタンドアロン サーバーならともかく、2台以上のHyper-Vホストが存在するならば、ドメインに参加させるべきです。今の時代に、アカウント情報やセキュリティ設定を一元管理できない「野良サーバー」は避けたいですね。

 

ポイント2: ドメイン コントローラーの配置形態は?

ここで二つの選択肢が考えられます

  • (A) Hyper-Vホストとは別の物理マシンとしてドメイン コントローラーを配置する。
  • (B) Hyper-Vホスト上のVMとして、ドメイン コントローラーを配置する

前者(A)は、もっとも無難な方法ですね。特に気を付ける必要のあるポイントもありません。その代り、ドメイン コントローラーに関しては、

  • ハードウェアの利用効率の向上
  • マシンの移動の容易性 (VMならマシンの移動==ファイルの移動なので簡単)
  • 容易なバックアップ (VMをエクスポートするだけで、簡単なシステム イメージ バックアップになります)

といった仮想化のメリットを得ることもできません。

 

後者(B)は、ドメイン コントローラー自体も仮想化して、Hyper-Vホスト上のVMとして動かす方式です。そしてこの場合、土台となるHyper-Vホストは、「自分の上で動いているVMであるドメイン コントローラーに接続してドメインにログオン」することになります。一見奇妙な構成ですが、いくつかポイントを押さえれば、問題なく動きます。私(ksasaki)も小規模な検証環境などではこの構成を取ることが多いです。ドメイン コントローラーのためだけに物理マシンを一台割り当てられるほどリッチじゃないので。

元記事でBen Armstrongが伝えたかったのは、要するにこの構成を取るに当たっての留意点なんですね。そのわりに前振り長いので少しく削ってしまいました。

では、さっそく留意点を。

  1. ドメイン コントローラーのVMは、Hyper-Vホストが起動されたときに自動起動されるように設定しておきましょう。
    デフォルトでは自動起動になっていないので、明示的に設定する必要があります。
    image
  2. 自動起動が設定されているVMが他にもある場合、それらには自動起動の遅延時間を設定して、ドメイン コントローラーのVMが真っ先に起動するようにしましょう。
    image
  3. Hyper-Vホストがシャットダウンされた際に、ドメイン コントローラーのVMが「シャットダウン」されるように設定しておきましょう。
    デフォルトでは「シャットダウン」ではなく「状態を保存」するようになっているので、明示的に設定を変更する必要があります。
    (そして「状態を保存」はドメイン コントローラーに関してはNGです!!)
    image
  4. 仮にドメイン コントローラーのVMが起動できなくなった場合にも、Hyper-Vホストを管理できるようにしておきましょう。
    つまり、ローカルのAdministratorアカウントでHyper-Vホストにログオンできることを確認しておきましょう。私(ksasaki)も普段はドメイン アカウントをHyper-VホストのAdministratorsグループに登録して、これで管理作業を行っていることが多いですが、非常事態への備えは常に必要です。

 

なお、以上四つの留意点のうち、1.から3.の三つは「ドメイン コントローラーを仮想化する場合」に常に当てはまるものです。

1.と2.はドメイン コントローラーという「みんなに頼られる役割」のサーバーが、なるべく常に起動しているようにするためのもの。

3.が実はかなり重要で、ドメイン コントローラーのVMに関しては

  • スナップショットの取得、適用
  • 状態の保存

は御法度です。古いシステム バックアップをリストアしてしまった時のような、面倒なことが起こるかもしれませんよ。。。(元記事では"as this can be catastrophic"と言ってますね。)

4.は、「Hyper-Vホストが、自分のゲストであるドメイン コントローラーに接続する場合」の留意点です。

 

以上です。元記事をだいぶ改造してしまいましたが、、お役にたてば幸いです。

 

__END__