仮想ホスト環境で Active Directory ドメイン コントローラをホストする場合の考慮事項

• CPU
• メモリ
• ディスク
• ネットワーク
• ローカル デバイス

• Windows Server 2008 Virtualization with Hyper-V
• Microsoft Virtual PC
• Microsoft Virtual Server 2005
• EMC VMware 仮想化製品ファミリ
• Novel 仮想化製品ファミリ

先頭へ戻る

仮想ホスト環境でドメイン コントローラの役割をホストする場合の考慮事項

• 電源障害などの障害が発生した場合でも Active Directory データベースの整合性を維持できるように、Active Directory ディレクトリ サービスでは、バッファに格納することなく書き込みを行い、Active Directory データベースとログ ファイルをホストするボリュームのディスク書き込みキャッシュを無効にしようとします。 この Active Directory の動作は、仮想ホスト環境で実行されている場合でも同様です。
  
  仮想ホスト環境のソフトウェアで、Force Unit Access (FUA) をサポートする SCSI エミュレーション モードが正しくサポートされている場合、この環境で Active Directory が実行するバッファなし書き込みはホスト オペレーティング システムに渡されます。 FUA がサポートされていない場合は、Active Directory データベース、ログ、およびチェックポイント ファイルをホストするゲスト オペレーティング システム上のすべてのボリュームにおいて、書き込みキャッシュを無効にする必要があります。
  
  注 : データベース形式として Extensible Storage Engine (ESE) を使用するすべてのコンポーネントに対して、書き込みキャッシュを無効にする必要があります。 たとえば、Active Directory、ファイル複製サービス (FRS)、Windows インターネット ネーム サービス (WINS)、および動的ホスト構成プロトコル (DHCP) などのコンポーネントが挙げられます。
  
  注 : VM ホスト上に無停電電源装置をインストールすることを推奨します。
• Active Directory ドメイン コントローラは、インストールされるとすぐに、継続的に Active Directory モードを実行するようになっています。 ドメイン コントローラの起動時には、Active Directory の完全なレプリケーションが実行される必要があります。 すべてのドメイン コントローラにおいて、サイト リンクや接続オブジェクトに定義されたスケジュールに基づいて、ローカルに保持されているすべての Active Directory パーティション上で入力方向のレプリケーションが実行されることを確認します。このレプリケーションは、廃棄 (Tombstone) の有効期間の属性に指定されている期間中に行われる必要があることに、特に注意してください。
  
  入力方向のレプリケーションが実行されないと、ディレクトリ サービスのログに次のエラー イベントが記録されることがあります。

  イベント ID : 2042
  ソース : NTDS Replication
  種類 : エラー
  説明 : このコンピュータが以下のソース コンピュータのレプリケートを最後に行ってから時間が経ちすぎました。 このソースのレプリケーションの間隔が廃棄 (Tombstone) の有効期間を越えました。 このソースのレプリケーションは停止しました。

  
  
  このレプリケーションが実行されない場合、フォレスト内のドメイン コントローラ上にある Active Directory データベースの内容に不整合が生じることがあります。 この不整合は、廃棄 (Tombstone) の有効期間中、削除情報が維持されることによって発生します。 廃棄 (Tombstone) の有効期間の属性が日々更新される一方、ドメイン コントローラで Active Directory の変更内容について推移的な入力方向のレプリケーションが行われないと、残留オブジェクトが発生する原因になります。 "残留オブジェクト" とは、管理者、サービス、またはオペレーティング システムによって意図的に削除されたオブジェクトで、レプリケーションが適時に実行されなかったために宛先ドメイン コントローラ上に誤って存在するオブジェクトを指します。 残留オブジェクトのクリーンアップには、多大な時間を要することがあります。特に、複数のドメインを持つフォレストが複数存在し、それぞれに多数のドメイン コントローラが含まれている場合は、多大な時間がかかります。
• ドメイン コントローラを仮想ホスト環境で実行している場合、オペレーティング システム イメージを再開する前に長期間にわたってドメイン コントローラを一時停止しないようにしてください。 長期間にわたってドメイン コントローラを一時停止すると、レプリケーションが行われず、残留オブジェクトが発生する可能性があります。 ディレクトリ サービスのログに、次のエラー イベントが記録されることがあります。

  イベント ID : 2042
  ソース : NTDS Replication
  種類 : エラー
  説明 : このコンピュータが以下のソース コンピュータのレプリケートを最後に行ってから時間が経ちすぎました。 このソースのレプリケーションの間隔が廃棄 (Tombstone) の有効期間を越えました。 このソースのレプリケーションは停止しました。

• Active Directory ドメイン コントローラでは、定期的にシステム状態のバックアップを作成することが必要です。これは、ユーザー、ハードウェア、ソフトウェア、または環境上の問題が発生したときに復元処理を行うことを目的としたものです。 システム状態のバックアップの有効期間は、デフォルトで 60 日間または 180 日間です。期間は、インストール時のオペレーティング システムのバージョンと Service Pack のリビジョンによって決まります。 この有効期間は、Active Directory における廃棄 (Tombstone) の有効期間の属性によって管理されます。 フォレスト内に存在する各ドメインにおいて、廃棄 (Tombstone) の有効期間に指定されている期間内に少なくとも 1 つのドメイン コントローラのバックアップが作成される必要があります。
  
  運用環境では、各ドメイン内の 1 つ以上のドメイン コントローラについて 1 日に複数回、システム状態のバックアップを作成することをお勧めします。
• Active Directory の内容を前回の状態までロールバックするには、有効なシステム状態のバックアップを復元します。 システム状態のバックアップは、バックアップが実行されてから廃棄 (Tombstone) の有効期間に指定されている期間内であれば、復元可能です。 また、復元するオペレーティング システムと同じオペレーティング システムで作成されたイメージを使用する必要があります。
  
  Active Directory では、Active Directory の内容をロールバックする方法として上記以外の方法はサポートされていません。 特に、オペレーティング システムまたはオペレーティング システムが配置されているボリュームのスナップショットを復元する方法はサポートされていません。 この方法を使用すると、更新シーケンス番号 (USN) のロールバックが発生します。 USN のロールバックが発生すると、適切に復元されていないドメイン コントローラのレプリケーション パートナーにおいて、Active Directory データベース上のオブジェクトに不整合が生じることがあります。 このような状況に陥ると、オブジェクトの整合性を図ることはできません。
  
  また、仮想ホスト環境で実行されているドメイン コントローラのオペレーティング システム イメージ上にある Virtual PC では、"元に戻す" 機能と "差分" 機能の使用もサポートされません。
• パフォーマンスに関する考慮事項
  
  VM ゲストのコレクションにより生成されるピーク時および定常状態の負荷が、仮想ホスト コンピュータおよびネットワーク インフラストラクチャの能力を超えないようにする必要があります。 特に、一般的なホスト コンピュータにおいて、CPU、ディスク サブシステム、メモリ、およびネットワーク帯域幅の能力を VM ゲストのコレクションが超えることがないようにします。 負荷の状況によっては、単一の物理コンピュータ上の DC で提供可能な能力を超えるため、複数の物理コンピュータまたは仮想コンピュータが必要となる場合があります。
  
  負荷および重要度によっては、物理ハードウェア上に複数の役割を展開することが必要な場合があります。
  • グローバル カタログ - 展開に含まれる、Exchange に接続しているグローバル カタログを VM の物理ハードウェア上に展開できるかどうかを評価してください。
  • FSMO 役割 - FSMO 役割の負荷は比較的低いといえますが、ユーザーおよびコンピュータのパスワード更新を受信し、その後のパスワード変更を承認するプライマリ ドメイン コントローラの場合は例外です。 また、ユーザーまたはコンピュータが一致しないパスワードを使用してログオンした場合、リモート DC によって PDC が参照されます。
    
    RID およびスキーマ FSMO の可用性が使用される頻度は低いですが、必要な場合には非常に重要です。
  • DNS サーバー - DNS クライアントおよび DNS サーバーのキャッシュ クエリ。 DNS サーバーでは、DNS ゾーンのコンテンツをキャッシュする際に十分なメモリを使用できる場合に、最大のパフォーマンスが提供されます。 Active Directory で最初の入力方向のレプリケーションが実行されない限り、AD 統合ゾーンの読み込みは遅くなります。 DNS サーバー上の DNS クライアント設定では、レプリケーション パートナーの CNAME レコードを IP アドレスに解決できる複数の DNS サーバーをポイントする必要があります。
• エラーの単一ポイント化を避けます。
  
  物理ハードウェア上で実行されているドメイン コントローラに適用されるルールは、仮想マシンにも同様に適用されます。 推奨される展開では、共通ドメインまたはフォレスト内のドメインコントローラを複数の VM ホストに配置する必要があります。これらの VM ホストは、異なる VLAN および電力網を使用し、各地域のデータ センターに分散した個別のラックに設置します。
• 仮想ホスト環境で実行するドメイン コントローラへのインストールが必要な修正プログラムの一覧を作成します。
  
  Windows Server 2003 ベースのドメイン コントローラには、Windows Server 2003 Service Pack 1 または修正プログラム 875495 をインストールすることを推奨します。 Windows 2000 Server ベースのドメイン コントローラには、修正プログラム 885875 をインストールしてください。 Windows Server 2003 Service Pack 1 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
  889100? (http://support.microsoft.com/kb/889100/ ) Windows Server 2003 の最新の Service Pack を入手する方法
  修正プログラム 875495 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
  875495? (http://support.microsoft.com/kb/875495/ ) Windows Server 2003 で USN ロールバックを検出し復元する方法
  修正プログラム 885875 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
  885875? (http://support.microsoft.com/kb/885875/ ) Windows 2000 Server での USN ロールバックの検出方法と復元方法
  
  ホワイト ペーパー『Running Domain Controllers in Virtual Server 2005』を参照するには、次のマイクロソフト Web サイトを参照してください。
  http://www.microsoft.com/downloads/details.aspx?FamilyID=64db845d-f7a3-4209-8ed2-e261a117fc6b&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=64db845d-f7a3-4209-8ed2-e261a117fc6b&displaylang=en)
  この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示または黙示にかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

先頭へ戻る

仮想ホスト環境における Active Directory ドメイン コントローラのサポート

先頭へ戻る