仮想ホスト環境で Active Directory ドメイン コントローラーをホストする場合の考慮事項

適用対象: Microsoft Windows Server 2003 Service Pack 2Windows Server 2008 StandardWindows Server 2008 Enterprise

概要


仮想ホスト環境では、1 台のコンピューター上で同時に複数のゲスト オペレーティング システムを実行できます。 ホスト ソフトウェアは、次のようなリソースを仮想化します。
  • CPU
  • メモリ
  • ディスク
  • ネットワーク
  • ローカル デバイス
物理コンピューター上のこれらのリソースを仮想化すると、ホスト ソフトウェアに使用するコンピューター数を減らし、テスト、開発、本番環境用にオペレーティング システムを展開することができます。 ただし、仮想ホスティング環境で実行される Active Directory ドメイン コントローラーの展開には、いくつかの制限が適用されます。 これらの制限は、物理コンピューターで実行されるドメイン コントローラーには適用されません。 

この資料では、Microsoft Windows 2000 Server ベースのドメイン コントローラー、Microsoft Windows Server 2003 ベースのドメイン コントローラー、または Windows Server 2008 ベースのコントローラーを仮想ホスト環境で実行する場合の考慮事項について説明します。 仮想ホスト環境の例として、次のような環境が挙げられます。  
  • Windows Server 2008 の仮想化 (Hyper-V を使用)
  • VMware ファミリの仮想化製品
  • Novell ファミリの仮想化製品

詳細情報


この資料よりも密接にシステムの堅牢性とセキュリティの現在の状態を反映している、仮想化ドメイン コントローラーに関する更新版のドキュメントがあります。
http://technet.microsoft.com/ja-jp/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx

TechNet の考慮事項の多くは、サードパーティの仮想化ホストにも適用されます。 この記事では、TechNet に十分に記載されていないその他のヒントと考慮事項について説明します。

仮想ホスト環境でドメイン コントローラーの役割をホストする場合の考慮事項

物理コンピューターに Active Directory ドメイン コントローラーを展開する場合、ドメイン コントローラーのライフ サイクル間に満たす必要がある要件がいくつかあります。 仮想ホスティング環境にドメイン コントローラーを展開する場合、要件と考慮事項がさらに増えます。 その一部を次に示します。  
  • 停電などの障害が発生した場合でも Active Directory データベースの整合性を維持できるように、Active Directory サービスでは、バッファーに格納することなく書き込みを行い、Active Directory データベースとログ ファイルをホストするボリュームのディスク書き込みキャッシュを無効にしようとします。 この Active Directory の動作は、仮想ホスト環境にインストールされている場合でも同様です。

    強制ユニット アクセス (FUA) をサポートする SCSI エミュレーション モードを、仮想ホスティング環境ソフトウェアが適切にサポートしている場合、この環境で Active Directory で実行されるバッファーなし書き込みはホスト オペレーティング システムに渡されます。 強制ユニット アクセスがサポートされていない場合は、Active Directory データベース、ログ、チェックポイント ファイルをホストするゲスト オペレーティング システムのすべてのボリュームで、書き込みキャッシュを無効にする必要があります。 

    注:
    • データベース フォーマットとして Extensible Storage Engine (ESE) を使用するすべてのコンポーネントについて書き込みキャッシュを無効にする必要があります。 たとえば、Active Directory、ファイル レプリケーション サービス (FRS)、Windows インターネット ネーム サービス (WINS)、動的ホスト構成プロトコル (DHCP) などのコンポーネントがあります。 
    • 最善の方法として、VM ホストに無停電電源装置 (UPS) を設置することを検討してしてください。

  • Active Directory ドメイン コントローラーは、インストールしてすぐに Active Directory モードを連続して実行するためのコンポーネントです。 ドメイン コントローラーの起動時には、Active Directory のエンドツーエンド レプリケーションを実行する必要があります。 サイト リンクと接続オブジェクトに定義されているスケジュール (特に、廃棄 (tombstone) の有効期間属性で指定されている日数) に従い、すべてのドメイン コントローラーで、ローカルで保持されているすべての Active Directory パーティションで入力方向のレプリケーションを実行する必要があります。

    入力方向のレプリケーションが実行されないと、ディレクトリ サービスのログに次のエラー イベントが記録されることがあります。
    このレプリケーションが実行されないと、フォレスト内のドメイン コントローラーで Active Directory データベースの内容に矛盾が生じる可能性があります。 廃棄 (tombstone) の有効期間の日数は削除の情報が残るため、この矛盾が生じます。 ドメイン コントローラーで、循環する廃棄 (tombstone) の有効期間内に、Active Directory の変更の入力方向のレプリケーションが推移的に実行されないと、残留オブジェクトが発生します。 残留オブジェクトとは、適時にレプリケーションが実行されず、対象のドメイン コントローラー (DC) に不適切に存在し、管理者、サービス、またはオペレーティング システムによって意図的に削除されるオブジェクトです。 残存オブジェクトのクリーンアップは非常に時間がかかる可能性があります。ドメイン コントローラー数が多数のマルチドメイン フォレストの場合は特に時間がかかります。
  • ドメイン コントローラーが仮想ホスティング環境で実行されている場合、オペレーティング システム イメージが再開されるまで、ドメイン コントローラーを長時間一時停止しないでください。 ドメイン コントローラーを長時間一時停止すると、レプリケーションが停止し、残存オブジェクトが発生する可能性があります。 次のエラー イベントがディレクトリ サービス ログに出力される場合があります。
  • ユーザー、ハードウェア、ソフトウェア、または環境の問題から回復するには、Active Directory ドメイン コントローラーに通常のシステム状態のバックアップが必要です。 システム状態のバックアップの既定の耐用期間は 60 日または 180 日です (インストール時に使用していたオペレーティング システム バージョンとサービス パックのリビジョンによって変わります)。 この耐用期間は、Active Directory の廃棄 (tombstone) の有効期間属性で制御します。 廃棄 (tombstone) の有効期間ごとに、フォレスト内のすべてのドメインで少なくとも 1 つのドメイン コントローラーのバックアップを作成することが推奨されます。

    運用環境では、毎日 2 つの異なるドメイン コントローラーからシステム状態のバックアップを作成する必要があります。
  • クラスター化されたホストにおける仮想化されたドメイン コントローラー 
    クラスター化されたコンピューター上のノード、ディスクおよびその他のリソースが自動的に開始するには、クラスター化されたコンピューターからの認証要求に、クラスター コンピューターのドメインのドメイン コントローラーによってサービスが提供される必要があります。 

    クラスター OS スタートアップ時にこのような DC が確実に存在するようにするには、物理ハードウェア上のクラスター化ホスト コンピューターのドメインに少なくとも 2 つのドメイン コントローラーを展開します。 物理 DC のオンライン状態を維持し、(DNS + 必要なポートとプロトコルを使用して) クラスター化ホストにネットワークでアクセスできるようにします。 クラスターのスタートアップ時に認証要求を提供できる唯一の DC が、再起動中のクラスター コンピューター上にある場合、認証要求は失敗するため、クラスターを実行するには手動の回復手順を実行する必要があります。 

    仮想化 DC は、クラスター共有ボリューム (CSV) と非クラスター共有ボリュームの両方にインストールできます。 Active Directory から認証要求が提供されない場合、CSV ディスクをオンラインにすることはできません。 認証がない場合でも、非 CSV ディスクをオンラインにすることができます。 非 CSV ディスクの方が簡単にオンラインにすることができるため、仮想化ドメイン コントローラーのファイルは非 CSV ディスクに配置することをお勧めします。

    注: フェールオーバー クラスターとその他のインフラストラクチャが起動できるように、必ず物理ハードウェア上に少なくとも 1 つの DC を配置してください。 Windows Server 2008 R2 または Hyper-V Server 2008 R2 で管理されている仮想マシン上でドメイン コントローラーをホストしている場合、クラスター共有ボリューム (CSV) ディスクとして構成されていないクラスター ディスクに仮想マシン ファイルを格納することをお勧めします。 こうしておくと、一部のエラー状況で簡単に回復できます。 クラスター全体がクラッシュし、物理ハードウェア上の DC を使用できなくなるサイト エラーや問題が発生しても、仮想マシン ファイルを非 CSV クラスター ディスクに格納しておくとクラスターを起動できます。 このような場合、仮想マシンに必要なディスクをオンラインにすることができます。 その結果、ドメイン コントローラーをホストする仮想マシンを起動できます。 また、CSV ディスクをオンラインにして他のノードを起動することもできます。 このプロセスは、クラスターの起動時に、使用できるドメイン コントローラーがない場合にのみ必要です。

仮想ホスト環境における Active Directory ドメイン コントローラのサポート

マイクロソフトおよびサードパーティの仮想ホスト環境でドメイン コントローラをホストすることがサポートされるかどうかに関する詳細情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

897615 マイクロソフト以外のハードウェア仮想化ソフトウェアでマイクロソフトのソフトウェアを実行する場合のサポート ポリシー