Active Directoryの「サイト」に関して今勉強中なのだけれども、これの動作を確認してみたので記事にしてみる。

こんなサイトを構成してみる。このサイトの中にあるWindowsドメインのクライアントは、DNSに定義されたこのサイト構成に従って可能な限りサイト内のドメインコントローラに対して認証を行おうと試みる。居なければサイト外のドメインコントローラにも問い合わせをかける。

こうすることによって、低回線のWANを介在するブランチオフィスにおける認証トラフィックの制御が可能になる・・・というのがサイト機能の核と言えるわけだが。さて、こいつの可用性とはどんなもんか。それを今回は検証してみた。

まず、デフォルト設定では2台以上のドメインコントローラが存在するサイトでは、自動的にBridge Headと呼ばれるいわゆる「サイト代表」が選出される。サイトとサイトの間のレプリケーションチャネルは、原則これらを基準に構成され、サイト内ではリング状にレプリケーションチャネルが構成されるのだが、サイト間ではスパンツリー状に構成される。

もし、このBridge Headに障害が発生した場合、残ったもう片方のドメインコントローラがBridge Headを代替する。この機能を担保しているのが知識整合性チェッカーであり、およそ1時間に1回程度でポーリングを仕掛けるようだ。試行回数2回以上の失敗で「相手がダウンした」と判断し、Bridge Headの引き継ぎと、一時的なレプリケーションチャネルの生成を行ってくれるわけだ。

もし、障害の起きたドメインコントローラが復帰したら、これまた知識整合性チェッカーがチェックを行い、生存していることを確認したら可能な限り少ないチャネルでレプリケーション可能な構成とするように最適化処理が開始され、不要なチャネルは削除されることとなる。

優先ブリッジヘッドというものがある。これは、言葉のまま受け取ると誤解を招きやすい。優先してBridge Headの候補にするのではなく、Bridge Headにすることが可能なドメインコントローラを特定する設定なのだ。

つまり、以下の通りBridge Headを「優先ブリッジヘッドサーバ」として構成したとする。

これで、AWAに障害が起きたとする。

すると、デフォルトではHIEにフェイルオーバできたBridge Headがフェイルオーバできない状況となった。ちなみに昨夜この構成を組んで眠って翌朝構成を確認したのだが、レプリケーションチャネルに変化はなく、どこもかしこも以下のようなKCCによるエラーログが記録されていた。

ディレクトリサービスログ/警告/イベントID:1308/イベントソース：NTDS KCC

次のドメイン コントローラとレプリケートする試みが連続して行われましたが継続的に失敗していることが、知識整合性チェッカー (KCC) により検出されました。

試行回数:
2
ドメイン コントローラ:
CN=NTDS Settings,CN=AWA,CN=Servers,CN=Production-site,CN=Sites,CN=Configuration,DC=BLUECORE,DC=NET
期間 (分):
126

このドメイン コントローラの接続オブジェクトは無視され、レプリケーションが継続されるように新しい一時的な接続が確立されます。このドメイン コントローラとのレプリケーションが再開されると、一時的な接続は削除されます。

追加のデータ
エラー値:
1256 リモート システムは利用できません。ネットワークのトラブルシューティングについては、Windows ヘルプを参照してください。

ディレクトリサービスログ/エラー/イベントID:1311/イベントソース：NTDS KCC

知識整合性チェッカー (KCC) により、次のディレクトリのパーティションで問題が検出されました。

ディレクトリ パーティション:
DC=BLUECORE,DC=NET

Active Directory サイトとサービスに、KCC がスパン ツリー レプリケーション トポロジを作成するのに必要なサイトの接続情報が不足しているか、またはこのディレクトリ パーティションを持つ 1 つ以上のドメイン コントローラで、ディレクトリ パーティション情報をレプリケートできません。アクセス不可能なドメイン コントローラが原因である可能性があります。

ユーザー操作
Active Directory サイトとサービスを使用して次の操作の 1 つを実行してください:
– 必要なサイトの接続情報を公開してください。情報を公開することにより、KCC でこのディレクトリ パーティションがこのサイトに到達できる経路を判断できます。このオプションを推奨します。
– 同じディレクトリ パーティションを含む別のサイトのドメイン コントローラから、ディレクトリ パーティションを含むこのサイトのドメイン コントローラに、接続オブジェクトを追加してください。

Active Directory サイトとサービスのタスクがこの状況を訂正しない場合は、アクセス不可能なドメイン コントローラを識別する KCC による以前のイベント ログを参照してください。

これら2つのログが1セットで15分おきぐらいで並んでた。笑えるほどにエラーが出まくっていたということで（苦笑）

なので、優先というよりは限定に近い。この設定項目は。理想としては、ドメインコントローラの中から、「こいつはブリッジヘッドにさせてもよい」と考えられるものをすべて選定するとよい。今回のケースでは優先Bridge Headサーバを2サーバ指定してみている。

こうすることで、Bridge Headがダウンすると、「優先ブリッジヘッドサーバ」の中から代わりとなるBridge Headを選出してくれるわけで。

こうしたWindows上の微妙なキーワードは、本当に気をつけておかないと設計をミスしたりするので、注意しておいたほうがよい。

ちなみに一時的なレプリケーションチャネルが構成されると、以下のようなログが出力されることがある。

ディレクトリサービスログ/警告/イベントID：2054/イベントソース：NTDS KCC

既存のサイト接続で使われている次のブリッジヘッドが、応答またはレプリケートしていなかったため、 知識整合性チェッカー (KCC) が新しいブリッジヘッド フェールオーバー接続を作成しました。

サーバー:
CN=NTDS Settings,CN=AWA,CN=Servers,CN=Production-site,CN=Sites,CN=Configuration,DC=BLUECORE,DC=NET

ディレクトリサービスログ/警告/イベントID:2052/イベントソース：NTDS KCC

ローカル ブリッジヘッドの接続問題に対処するために新しい接続が作成されました。

ブリッジヘッドが応答していないために、次の 2 つのサイト間に 1 つ以上の接続がある場合でも不適当だとみなされます。 ブリッジヘッドがダウンしているか、またはこれらのブリッジヘッドとのレプリケーションに失敗している可能性が あります。

トポロジに接続を再確立しようと、新しいブリッジヘッド フェールオーバー接続が作成されています。 これらの一時的な接続は、ブリッジヘッドが再び機能し始めると削除されます。 トポロジを修正するには、通常この処置がとられます。

次のソース ドメイン コントローラからローカル ドメイン コントローラにレプリケーション接続が作成されました。

ソース ドメイン コントローラ:
CN=NTDS Settings,CN=KATSUO,CN=Servers,CN=PreProduction-site,CN=Sites,CN=Configuration,DC=BLUECORE,DC=NET
ローカル ドメイン コントローラ:
CN=NTDS Settings,CN=HIE,CN=Servers,CN=Production-site,CN=Sites,CN=Configuration,DC=BLUECORE,DC=NET

追加のデータ:
理由コード:
0xc0
作成ポイント内部 ID:
f0c07f8

ユーザーの操作:
以前のブリッジヘッド エラーを確認してください。 ブリッジヘッドが応答していることを検証してください。repadmin.exe または dcdiag.exeCheck などのモニタ ツールを使って ブリッジヘッドのレプリケーション エラーを確認して修正してください。このフェール オーバーを希望しない場合は、 フェール オーバー ポリシーを制御しているレジストリ キーを調整してください。頻繁なフェール オーバーはブリッジヘッド 接続の中断またはブリッジヘッドが不安定になるサインである可能性があります。

これをもって代替経路が構成されたと、監視系で検知させてもいいのかもしれない。