【Windows Server 2008】Windows Server 2003 の自動サイトカバレッジ（Automatic Site Coverage）機能による RODC への影響 その１

英語になってしまいますが、TechNet の Windows Server 2008 ライブラリに以下のドキュメントが掲載されています。

Domain Controllers Running Windows Server 2003 Perform Automatic Site Coverage for Sites with RODCs
https://technet2.microsoft.com/windowsserver2008/en/library/c0ec828b-7da2-4627-91a8-2a5312a3ceaa1033.mspx?mfr=true

ドメイン内に Windows Server 2003 ドメインコントローラが存在する場合に自動サイトカバレッジ機能が及ぼす影響について書かれていますので、ちょいと解説しておきます。

＃書き始めたら 自動サイトカバレッジ機能の説明だけで長くなってしまったので、２回に分けます。

Active Directory を初めて間もない方は、自動サイトカバレッジ機能についてご存知ないかもしれませんので、簡単に説明しておきます。

Active Directory にはDNS が必須であることはご存じのとおりです。

DNS にはおなじみの A レコード以外にさまざまなレコードがあります。Active Directory がインストールされると Netlogonサービスは、DNS上に自分自身を識別するためのレコードを登録します。これは、SRV レコードと呼ばれており、ldap サービスや kerberosサービスなどを提供してくれる「適切な」ドメインコントローラを識別するために利用されます。

このDNSへの登録プロセスや、登録されるレコードの種類、発見のプロセスについての詳細は割愛しますが、このあたりをご存じだと万が一のADトラブル時の対応に大きな威力を発揮します。AD に慣れてきて次のステップを目指している方は、（英語で恐縮なのですが）是非とも以下のドキュメントをご覧になってみてください。

How DNS Support for Active Directory Works
https://technet2.microsoft.com/windowsserver/en/library/9d62e91d-75c3-4a77-ae93-a8804e9ff2a11033.mspx?mfr=true

SRV レコードはサイト内の適切なドメインコントローラを発見する際にも使用され、DNS上では、以下のSRVレコードがエントリされています。

_ldap._tcp.<sitename>._sites.dc._msdcs.<dnsDomainName>
_kerberos._tcp.<sitename>._sites.dc._msdcs.<dnsDomainName>

sitename は TOKYO とか OSAKA といったサイト名になります。
dnsDomainName は microsoft.com といったDNSドメイン名になります。

さて、ここでいったんクライアント側に目をむけましょう。

クライアントにユーザーがログオンする際には、このSRVレコードを探し、理論上自分に一番近い場所にあるドメインコントローラを探そうとします。管理ツールを使用してきちんとサイトが定義してあれば、自分が所属しているサイトを確認し、同じサイト内のドメインコントローラを探そうとします。

が、サイトには必ず物理的にドメインコントローラが存在しているわけではありません。
TOKYOサイトにドメインコントローラが10台あっても、私の出身地である TOCHIGI サイトにはクライアントしか無いなんてこともありえますし、そういう設計は Active Directory の仕様上許されています。

じゃ、そんなとき、TOCHIGIサイトのクライアントは、どのドメインコントローラでログオンしたらよいかをどのように判断するのか。

これをカバーするのが、自動サイトカバレッジ（ Automatic Site Coverage ）と呼ばれる機能です。

Active Directory がインストールされたサーバーのNetlogonサービスが自身の SRVレコードをDNSに登録しようとする際には、ドメインコントローラが無いサイトについても何らかの対策を講じようとします。

たとえば、以下のドメインを考えてみます。

ドメイン　example.com
├ サイトA　DC あり
│　　A-B 間のサイトリンク コスト 50
├ サイトB　DC 無し
│　　B-C 間のサイトリンク コスト 100
└ サイトC　DC あり

ドメイン内に3つのサイト A,B,C があり、A、Cにはドメインコントローラがありますが、Bにはありません。
また、サイトAB間にはサイトリンクが存在しており、このコストは 50と定義されています。
さらに、サイト BC間にもサイトリンクが存在しており、このコストは 100と定義されています。

＃疲れましたね...休憩しながら読んでください

サイトAとサイトBのドメインコントローラは、Netlogonサービスの起動時に、ドメインコントローラが存在しない サイトBと自分自身のサイトとのサイトリンクを確認し、他方のサイトリンクとのコストを比較します。比較の結果、サイトリンクコストが最も低い サイトA のドメインコントローラが、サイトBのドメインコントローラとして SRVレコードを サイトB 配下に登録します。

つまり、ドメインコントローラが存在しない サイトB用に、以下の SRV レコードができるわけですね。

_ldap._tcp.サイトB._sites.dc._msdcs.example.com
_kerberos._tcp.サイトB._sites.dc._msdcs.example.com

こうすることで、クライアントは、物理的にはドメインコントローラが存在しないサイトにいるにもかかわらず、一番近い場所のドメインコントローラで認証することができるようになります。

....ということで、簡単ではありますが、自動サイトカバレッジ機能についてはおわかりいただけたでしょうか。

こんなに便利な機能が、RODC ドメインコントローラとの混在環境でどのような影響を及ぼすのか....

次号に続きます。

Comments

• Anonymous
  January 01, 2003
  The comment has been removed