• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:サブドメインのドメコンが死んだときの代理認証につい)

サブドメインのDCが障害時に他のDCで認証する方法はあるか?

このQ&Aのポイント
  • 現在、トップドメインの下に複数のサブドメインがあり、各サブドメインに1台ずつドメインコントローラ(以下DC)が配置されている。もしもサブドメインのDCに障害が発生し死んだ場合、他のDCで認証を受ける方法はあるのか?
  • ユーザIDに「ユーザ名@サブドメイン名」とすれば、他のグローバルカタログサーバーが認証してくれそうな気がする。しかし、通常のユーザIDとパスワードのみで認証を受けたい。目的を達成するためには、どのDCでどのような設定をすれば良いのか、またこのようなことは可能なのかを教えてほしい。
  • DCはWindows Server 2008 R2、クライアントはWindows XPからWindows 7まで雑多。この状況下での問題解決方法やポインタも教えてほしい。

質問者が選んだベストアンサー

  • ベストアンサー
  • maesen
  • ベストアンサー率81% (646/790)
回答No.2

>をみて、最悪「ユーザ名@サブドメイン名」とすれば行けるかと思ったのですが、それも無理でしょうか? PC1(コンピュータ)が属しているドメインは sub1.example.local user1(ユーザー)が属しているドメインは sub1.example.local PC2(コンピュータ)が属しているドメインは sub2.example.local user2(ユーザー)が属しているドメインは sub2.example.local sub1.example.localのドメインコントローラはDC1 sub1.example.localのDC1が故障 この前提で、質問者さんが想定していることは、 (1)PC1からuser1@sub1.example.localでログオンする (2)PC2からuser1@sub1.example.localでログオンする (3)PC1からuser2@sub2.example.localでログオンする どのケースでしょうか? (1)(2)はsub1.example.localのDCが無いので認証は出来ないでしょう。 (3)は検証したことはありませんがおそらくだめだと思います。 PC1が所属しているドメインがsub1.example.localなので、まずDC1が受けて自身がしらないUPNであるためGCに問い合わせることになると思いますが、DC1が故障なのでここで先に進まないと思います。 クライアント自身がGCに問い合わせてはくれないと思います。

kuma-jiji
質問者

お礼

度々のご回答ありがとうございます。 私の想定としては(1)になります。 user1がユニバーサルグループに入っている場合、GCにmember 属性としてレプリケートされており、DC1の代わりに認証してくれないかと期待したのですが、どうやら私の思い違いのようです。 やはり、DCの冗長性の確保には同じサブドメイン内にもう1台(以上)のDCを用意するしかないみたいですね。 わたりやすい説明ありがとうございました。

その他の回答 (1)

  • maesen
  • ベストアンサー率81% (646/790)
回答No.1

>さて、ここで質問なのですが、もしもサブドメインのDCに障害が発生し死んだとき、他のDCで認証を受ける方法はあるでしょうか? 無いでしょう。 >ユーザIDに「ユーザ名@サブドメイン名」とすれば、他のグローバルカタログサーバーが認証してくれそうな気がするのですが、できれば通常のユーザIDとパスワードのみで認証を受けたいと思います。 グローバルカタログを勘違いされているような気がします。 UPNで認証する場合グローバルカタログがそのUPNのドメインコントローラを探してますが認証自体はそのサブドメインのドメインコントローラが行うはずです。 >各サブドメインはサイトに分割され、クライアントPCはサブドメインに配置されたDCに登録され、ユーザはそのDCに認証されています。 ユーザーは最終的にはそのユーザーが属しているDCで認証されているはずですが。 もしかしたら、コンピュータアカウントがあるサブドメインとユーザーがログオンするサブドメインが必ずしも同じではないということでしょうか。 そうするとDCが故障のリクスは2倍になるように思います。 それともサイト1はサブドメイン1、サイト2はサブドメイン2というようにサイトとサブドメインを同一になるようにしているということでしょうか。 >どのDCでどのような設定をすれば目的を達成できるのか、そもそもこのようなことは不可能なのかさえもわかっていません。 私は不可能だと思っています。

kuma-jiji
質問者

お礼

早速のご回答ありがとうございます。 やはり、ほかのDCで認証を受ける方法はないのですね。 サイトの設計はmaesen様のご高察通りサイトとサブドメインを1対1で同一になるようにしています。 それで、各サブドメイン=各サイトとなっているため、結果的に認証されるDCが決まってくるという状態です。 http://technet.microsoft.com/ja-jp/library/cc730749.aspx をみて、最悪「ユーザ名@サブドメイン名」とすれば行けるかと思ったのですが、それも無理でしょうか? サブドメインのDCが死んだときの冗長性を確保したいと思っていたのですが、どうやらそう虫のいい話はないようですね。 貴重なご意見ありがとうございました。

関連するQ&A

専門家に質問してみよう