サブドメインのDCが障害時に他のDCで認証する方法はあるか?
- 現在、トップドメインの下に複数のサブドメインがあり、各サブドメインに1台ずつドメインコントローラ(以下DC)が配置されている。もしもサブドメインのDCに障害が発生し死んだ場合、他のDCで認証を受ける方法はあるのか?
- ユーザIDに「ユーザ名@サブドメイン名」とすれば、他のグローバルカタログサーバーが認証してくれそうな気がする。しかし、通常のユーザIDとパスワードのみで認証を受けたい。目的を達成するためには、どのDCでどのような設定をすれば良いのか、またこのようなことは可能なのかを教えてほしい。
- DCはWindows Server 2008 R2、クライアントはWindows XPからWindows 7まで雑多。この状況下での問題解決方法やポインタも教えてほしい。
- ベストアンサー
サブドメインのドメコンが死んだときの代理認証につい
現在、トップドメインの下に複数のサブドメインがあり、各サブドメインにドメインコントローラ(以下DC)が1台ずつ配置してあります。(諸事情で1台しか配置できません。) 各サブドメインはサイトに分割され、クライアントPCはサブドメインに配置されたDCに登録され、ユーザはそのDCに認証されています。 さて、ここで質問なのですが、もしもサブドメインのDCに障害が発生し死んだとき、他のDCで認証を受ける方法はあるでしょうか? ユーザIDに「ユーザ名@サブドメイン名」とすれば、他のグローバルカタログサーバーが認証してくれそうな気がするのですが、できれば通常のユーザIDとパスワードのみで認証を受けたいと思います。 どのDCでどのような設定をすれば目的を達成できるのか、そもそもこのようなことは不可能なのかさえもわかっていません。 ここを見ればわかるよといったポインタでもかまいませんので、ぜひご教示ください。 ちなみにOSはDCはWindows Server 2008 R2、クライアントはWindows XPからWindows 7まで雑多です。 よろしくお願いいたします。
- kuma-jiji
- お礼率100% (18/18)
- Windows系OS
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>をみて、最悪「ユーザ名@サブドメイン名」とすれば行けるかと思ったのですが、それも無理でしょうか? PC1(コンピュータ)が属しているドメインは sub1.example.local user1(ユーザー)が属しているドメインは sub1.example.local PC2(コンピュータ)が属しているドメインは sub2.example.local user2(ユーザー)が属しているドメインは sub2.example.local sub1.example.localのドメインコントローラはDC1 sub1.example.localのDC1が故障 この前提で、質問者さんが想定していることは、 (1)PC1からuser1@sub1.example.localでログオンする (2)PC2からuser1@sub1.example.localでログオンする (3)PC1からuser2@sub2.example.localでログオンする どのケースでしょうか? (1)(2)はsub1.example.localのDCが無いので認証は出来ないでしょう。 (3)は検証したことはありませんがおそらくだめだと思います。 PC1が所属しているドメインがsub1.example.localなので、まずDC1が受けて自身がしらないUPNであるためGCに問い合わせることになると思いますが、DC1が故障なのでここで先に進まないと思います。 クライアント自身がGCに問い合わせてはくれないと思います。
その他の回答 (1)
- maesen
- ベストアンサー率81% (646/790)
>さて、ここで質問なのですが、もしもサブドメインのDCに障害が発生し死んだとき、他のDCで認証を受ける方法はあるでしょうか? 無いでしょう。 >ユーザIDに「ユーザ名@サブドメイン名」とすれば、他のグローバルカタログサーバーが認証してくれそうな気がするのですが、できれば通常のユーザIDとパスワードのみで認証を受けたいと思います。 グローバルカタログを勘違いされているような気がします。 UPNで認証する場合グローバルカタログがそのUPNのドメインコントローラを探してますが認証自体はそのサブドメインのドメインコントローラが行うはずです。 >各サブドメインはサイトに分割され、クライアントPCはサブドメインに配置されたDCに登録され、ユーザはそのDCに認証されています。 ユーザーは最終的にはそのユーザーが属しているDCで認証されているはずですが。 もしかしたら、コンピュータアカウントがあるサブドメインとユーザーがログオンするサブドメインが必ずしも同じではないということでしょうか。 そうするとDCが故障のリクスは2倍になるように思います。 それともサイト1はサブドメイン1、サイト2はサブドメイン2というようにサイトとサブドメインを同一になるようにしているということでしょうか。 >どのDCでどのような設定をすれば目的を達成できるのか、そもそもこのようなことは不可能なのかさえもわかっていません。 私は不可能だと思っています。
お礼
早速のご回答ありがとうございます。 やはり、ほかのDCで認証を受ける方法はないのですね。 サイトの設計はmaesen様のご高察通りサイトとサブドメインを1対1で同一になるようにしています。 それで、各サブドメイン=各サイトとなっているため、結果的に認証されるDCが決まってくるという状態です。 http://technet.microsoft.com/ja-jp/library/cc730749.aspx をみて、最悪「ユーザ名@サブドメイン名」とすれば行けるかと思ったのですが、それも無理でしょうか? サブドメインのDCが死んだときの冗長性を確保したいと思っていたのですが、どうやらそう虫のいい話はないようですね。 貴重なご意見ありがとうございました。
関連するQ&A
- クライアントから認証を行っているサーバの確認と変更
Win server 2003 R2 SP2 のドメイン環境です。 ADサーバは6台、サイトを3つに分け、各サイト2台づつのDCを配置しています。 クライアントはXPです。 そこで質問です。 クライアントはログオン時に同サイト内のDCに認証に行きますが、 どちらのDCに認証されているか確認する術を教えて頂ければと。 また、ログオン後に認証先のDCを変更できる術を教えていただきだく。 コマンドプロンプトで可能でしょうか? よろしくお願いします。
- ベストアンサー
- Windows系OS
- サブドメインについて
教科書で勉強しているとどうしてもわからない点があったので ご質問させていただきたく思います。 ■質問1、サブドメインへのアクセスについて 例えばレンタルサーバーで以下のように無数のサブドメインがあるとします。 USER_A.rental_space.com USER_B.rental_space.com USER_C.rental_space.com etc........ このサブドメインについて、それぞれ1台ずつのサーバーが割り当てられていたら問題はないと思います。 しかし、実際は複数のユーザーで一つのサーバーをシェアしていると思います。 そうすると上記の三つのサブドメインがすべて同じサーバー(IP)へ接続する可能性もあります。 その場合、どうやってサーバーはそれぞれのドメインを判断しているのでしょうか? 私の想像では、HTTPヘッダーのドメイン名で見分けていると思うのですが そうするとサブドメインはHTTPやHTTPSのようなヘッダーにドメインが記述されていないプロコトルでは使用出来ないということになります。 また、HTTPヘッダーをあえて記述しない場合も、適切なサブドメインへアクセスできないと思います。 以上の点について教えていただけたらと思います。 ■質問2、広域イーサネットとIP-VPNとインターネットVPNについて 広域イーサネットとIP-VPNとインターネットVPNについてなのですが、 以上の三種類のサービスについて、それぞれ物理的な別のネットワークが存在しているんでしょうか? 特に広域イーサネットとIP-VPNは物理的に別のネットワークなのか?それとも サービスが違うだけで物理層では同じネットワークなのかが知りたいです。
- ベストアンサー
- ネットワーク
- ドメコンの入れ替えで、前と同じドメイン名、IPなら、クライアントはそのままで使えますか?
事務所LAN(5ユーザ程度)で使っているドメコンサーバを買い換えることになりました。 古いやつは Windows 2000 Server で、 新しいのは Windows Server 2003 を使う予定です。 ここで、古いので使っていたドメイン名、IPアドレスをそのまま新しいサーバに設定すれば、クライアントのユーザ設定は変えずに新しいドメインに参加できるのでしょうか? つまり、各クライアント側で、あまり変更などぜず、簡単にドメイン移行できる方法はないものかと思いまして。 詳しい方などいましたら、教えていただけると幸いです。
- ベストアンサー
- Windows系OS
- SQLサーバ2008R2でのWin認証不具合
SQLサーバ2008R2でのWindows認証 ドメイン内のサーバにネットワークログインにて ユーザID Administrator パスワード**** 保存する チェック付与 上記でログイン後・・・ 同一サーバのSQLサーバ2008R2にWindows認証でログインしようとすると ログインエラーが発生します。 「ドメイン名\Administratorはログインできません。」 Windows認証なのでWindowsログインIDを見てると思ってましたが 他のクライアントマシンでも同様に行ってみたところ ネットワークログインの直後に同様の事象が発生しました。 詳細等をご存知の方がいれば、教えてください。 よろしくお願いします。
- 締切済み
- SQL Server
- サーバーにドメイン参加できません
Windows 2000 Server Familyをサーバーに使っています。クライアントはWinXPProです。質問ですがサーバーにクライアントからActive Directoyのドメインに入ることが出来ません。一度サーバーのユーザとコンピュータを削除して再度同じユーザ・コンピュータを作成し、クライアントPCの[コンパネ]-[システム]-[コンピュータ名のネットワークID]より同じユーザとパスワードを入力し、「ドメインへようこそ」と表示され再起動するのですがドメインに参加できません。クライアントPCにはDriveShelterというPC管理ソフトがinstallされており、これの保護を外せばいけるのではないかと推測していますが・・。保護を外しても駄目なのではないかと思い質問します。他の方法等でドメイン参加できるのでしたらぜひ教えてください。
- 締切済み
- Windows系OS
- ActiveDirectory移行について
お世話になります。 ActiveDirectoryの移行を考えております。 現在の構成は windows2000Server DC x 2台 windows2000 x 20台 windows2000Serverをwindows2003ServerのActiveDirectoryへ移行したいのです。 当初、2003Serverを2000Serverのドメインへ参加させてDCとしてから移行を考えておりました。しかし、2000ServerのActiveDirectoryのドメインのDCになれないとの事で、フォレストとして2003ServerのActiveDirectoryを構築しADMTを使用してUser等を移行しました。 しかし、それでやってしまうと、クライアント側のドメイン名を変えなくては新ドメインへ参加できません。クライアント側の設定も変わってしまいます。 なにか良い方法がございますでしょうか。
- 締切済み
- Windows系OS
- ドメインとサブドメインについて
80code.com http://www.80code.com/ というサイトで先程サーバーを借りたのですがドメインとサブドメインについて 勘違いをしてて80code.comだけじゃなくて他の所で借りないと ドメインやサブドメインが使えないみたいなんです。 結局の所サーバーを借りていくつかのHPを作りたいというのが目的なんですが どういうふうに借りればいいんでしょうか? うまく説明できてるか分からないんですけど詳しく分かりやすく教えていただけると嬉しいです。 すいませんがよろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- ドメインに参加出来ません(>_<)
会社のパソコンですが、本社と営業所をVPN回線でつないでおり、本社側に2003Serverを置いています。営業所側はすべてクライアントで使用しています(言っても2台だけですが)。その営業所にもう一台追加することになりました。LANをつないでpingのテストをするときちんと本社側のServerにつながることを確認しました(192.168.のIPアドレスでもつながりますし、Serverのコンピュータ名でもつながりました。Windowsの中のSystem32の中にあるhostファイルにサーバー名を追加しています)。 しかし、その後Serverのドメインに参加させようとしたのですが、「ドメインコントローラと通信出来ません」とエラーが出てしまってドメインに参加させることが出来ません。何故でしょうか??? ちなみに、クライアントは今回のも合わせてすべてWin XP Proです。Serverには一つのユーザーネームしか登録していません。しかし、今まで営業所にあるクライアントPCは同時にServerを見にいくことも出来ていました。 そのとき設定した者がいないので、分かる方教えてください。何故ドメインに参加出来ないのでしょうか?ちなみにそのパソコンのユーザー名は二つ登録してあり、一つはサーバーに登録してあるユーザー名にしています。そのユーザー名で入ってドメインに参加させようとしたのですがダメでした。 お願いします。
- ベストアンサー
- Windows XP
- サブドメインについて
教えてください。 たとえば現在 mike@abc.co.jpというメールアドレスとbob@mlist.abc.co.jpというメールアドレスが存在しているのですが、mlistというのはサブドメインと呼ばれるものでしょうか? もしくはホスト名なのでしょうか? DNS(Linux)のゾーンファイルの記述を見ると mlistという記述を見ると、wwwと同じ列の場所にあります。 wwwの部分はホスト名とされていると、他の人から聞いて認識しているのですが。 メールの場合、基本@マーク以降の記述はドメイン名になるのでしょうか? どのサーバがメールサーバかというホスト名が無いと思われるのですが。 もう一点教えてください。もしサブドメインということであるとすると、この部分はabcというドメインを所有している会社が自由に作ることができるのでしょうか? もしかしたら間違って理解しているかもしれません。 すみません。よろしくお願いします。
- ベストアンサー
- Windows系OS
- 社内ドメインとHPドメインが同じ
Windows2000serverとクライアント10台ほどのドメイン環境で使用しているのですが、自社のホームページのみが閲覧できません。 他のホームページは普通に見れますしメールも問題ありません。 自分なりに調べてみたところ、社内のドメイン名と自社のホームページのドメインが同じなので、 社内のDNSサーバーが外部のDNSに名前解決をリクエストしないのが問題のように思うのですが。 社内ドメイン名を変更すれば直りそうですが、一から設定し直すのが大変なので、出来れば社内DNSサーバーの設定などで問題を解決したいのですが可能でしょうか? よろしくお願いいたします。 ・Windows2000server(DC,DNS) ・社内ドメイン名:example.co.jp ・WebページのURL:www.example.co.jp ・各クライアントのDNS設定は社内DNSサーバーのIPです。 ・社内DNSサーバーはISPのDNSサーバーにフォワーダしてます。
- ベストアンサー
- ネットワーク
お礼
度々のご回答ありがとうございます。 私の想定としては(1)になります。 user1がユニバーサルグループに入っている場合、GCにmember 属性としてレプリケートされており、DC1の代わりに認証してくれないかと期待したのですが、どうやら私の思い違いのようです。 やはり、DCの冗長性の確保には同じサブドメイン内にもう1台(以上)のDCを用意するしかないみたいですね。 わたりやすい説明ありがとうございました。