Active Directory レプリケーションの概念

サイト トポロジを設計する前に、Active Directory レプリケーションの概念を理解してください。

接続オブジェクト

接続オブジェクトとは、ソース ドメイン コントローラーから転送先ドメイン コントローラーへのレプリケーション接続を示す Active Directory オブジェクトです。 ドメイン コントローラーは単一のサイトのメンバーであり、サイト内のサーバー オブジェクト (Active Directory Domain Services ( AD DS)) によって表されます。 各サーバー オブジェクトには、サイト内の複製ドメイン コントローラーを表す子 NTDS 設定オブジェクトがあります。

接続オブジェクトは、転送先サーバー上設定 NTDS オブジェクトの子です。 2 つのドメイン コントローラー間でレプリケーションを実行するには、一方のサーバー オブジェクトに、もう一方のドメイン コントローラーからの受信レプリケーションを表す接続オブジェクトが必要です。 ドメイン コントローラのすべてのレプリケーション接続は、接続オブジェクトとして NTDS 設定オブジェクトの下に保存されます。 接続オブジェクトは、レプリケーション ソース サーバーを識別し、レプリケーション スケジュールを含み、レプリケーション トランスポートを指定します。

ナレッジ整合性チェッカー (KCC) は接続オブジェクトを自動的に作成します。ただし、手動で作成することもできます。 KCC によって作成された接続オブジェクトは、Active Directory サイトとサービス スナップインに <自動的に生成された> として表示され、通常の操作条件で適切であると見なされます。 管理者によって作成された接続オブジェクトは、手動で作成された接続オブジェクトとなります。 手動で作成された接続オブジェクトは、作成時に管理者によって割り当てられた名前で識別されます。 <自動的に生成された > 接続オブジェクトを変更する場合、管理上変更された接続オブジェクトに変換すると、オブジェクトは GUID 形式で表示されます。 KCC では、手動または変更された接続オブジェクトは変更されません。

KCC

KCC は、すべてのドメイン コントローラーで実行される、Active Directory フォレストのレプリケーション トポロジを生成する組み込みのプロセスです。 KCCは、レプリケーションがサイト内 (intrasite) で行われているか、サイト間 (intersite) で行われているかに応じて、個別のレプリケーション トポロジを作成します。 KCC は、トポロジを動的に調整して、新しいドメイン コントローラの追加、既存のドメイン コントローラの削除、サイトとの間のドメイン コントローラの移動、コストとスケジュールの変更、一時的に使用できないかエラー状態にあるドメイン コントローラへの対応も行います。

サイト内では、書き込み可能なドメイン コントローラー間の接続は常に双方向リングに配置され、ショートカット接続が追加されて、大規模サイトでの待機時間が短縮されます。 一方、サイト間トポロジは、スパニング ツリーのレイヤーです。つまり、ディレクトリ パーティションごとに任意の 2 つのサイト間に 1 つのサイト間接続が存在し、通常はショートカット接続が含まれます。 スパニング ツリーと Active Directory レプリケーション トポロジの詳細については、「Active Directory レプリケーション トポロジテクニカル リファレンス (https://go.microsoft.com/fwlink/?LinkID=93578)」を参照してください。

各ドメイン コントローラーでは、KCC は、他のドメイン コントローラーからの接続を定義する一方向の受信接続オブジェクトを作成することで、レプリケーション ルートを作成します。 同じサイト内のドメイン コントローラーの場合、KCC は管理の介入なしに接続オブジェクトを自動的に作成します。 複数のサイトがある場合は、サイト間のサイト リンクを構成し、各サイトの単一の KCC によってサイト間の接続も自動的に作成されます。

Windows Server 2008 RODC の KCC の機能強化

Windows Server 2008 では、新しく使用可能な読み取り専用ドメイン コントローラー (RODC) に対応するために、KCC にいくつかの改善が行われています。 RODC の一般的な展開シナリオは、ブランチ オフィスです。 このシナリオで最も一般的に展開される Active Directory レプリケーション トポロジは、ハブ アンド スポーク設計に基づいており、複数のサイトのブランチ ドメイン コントローラーがハブ サイトの少数のブリッジヘッド サーバーでレプリケートされます。

このシナリオで RODC をデプロイするメリットには、一方向レプリケーションがあります。 ブリッジヘッド サーバーは RODC からレプリケートする必要がないため、管理労力およびネットワークの使用量が削減されます。

ただし、以前のバージョンの Windows Server オペレーティング システムでハブスポーク トポロジで強調されている管理上の課題には、ハブに新しいブリッジヘッド ドメイン コントローラーを追加した後、ブランチ ドメイン コントローラーとハブ ドメイン コントローラー間のレプリケーション接続を再配布して新しいハブ ドメイン コントローラーを利用するための自動メカニズムが用意されていないという点があります。

Windows Server 2008 RODC では、KCC の通常の機能により、いくつかの再調整が提供されます。 新しい機能は既定で有効化されています。 RODC に次のレジストリ キー セットを追加することで無効にできます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

"Random BH Loadbalancing Allowed"1 = Enabled (default), 0 = Disabled

これらの KC Cの改善がどのように機能するかについての詳細は、「ブランチオフィス向け Active Directory ドメイン サービスの計画と展開」(https://go.microsoft.com/fwlink/?LinkId=107114) を参照してください。

フェイルオーバー機能

サイトは、レプリケーションがネットワーク障害とオフライン ドメイン コントローラーを介してルーティングされることを保証します。 KCC は指定された間隔で実行され、新しいドメイン コントローラーが追加されたり、新しいサイトが作成されたりした場合など、ADDS で発生する変更に応じてレプリケーション トポロジを調整します。 KCC は、既存の接続のレプリケーション状態を確認して、接続が機能しているかどうかを判断します。 障害が発生したドメイン コントローラーが原因で接続が機能していない場合、KCC は、レプリケーションが実行されるのを確認するために、自動的にその他のレプリケーション パートナー (使用可能な場合) への一時的な接続を構築します。 サイト内のすべてのドメイン コントローラーが使用できない場合、KCC は自動的に別のサイトのドメイン コントローラー間のレプリケーション接続を作成します。

Subnet

サブネットとは、論理 IP アドレスのセットが割り当てられる TCP/IP ネットワークのセグメントです。 サブネットは、ネットワーク上の物理的な近接性を識別する方法でコンピューターをグループ化します。 AD DS のサブネッ オブジェクトは、コンピューターをサイトにマップするために使用されるネットワーク アドレスを識別します。

サイト

サイトとは、信頼性が高く高速なネットワーク接続を持つ 1 つ以上の TCP/IP サブネットを表す Active Directory オブジェクトです。 サイト情報を使用すると、管理者は、物理ネットワークの使用を最適化するために Active Directory アクセスとレプリケーションを構成して最適化できます。 サイト オブジェクトは一連のサブネットに関連付けられており、フォレスト内の各ドメイン コントローラーは、その IP アドレスに従って Active Directory サイトに関連付けられています。 サイトは複数のドメインのドメイン コントローラーをホストできます。また、ドメインを複数のサイトで表す場合もあります。

サイト リンク

サイト リンクとは、KCC が Active Directory レプリケーションの接続を確立するために使用する論理パスを表す Active Directory オブジェクトです。 サイト リンク オブジェクトとは、指定されたサイト間トランスポートを介して均一なコストで通信できるサイトのセットを表します。

サイト リンクに含まれるすべてのサイトは、同じネットワークの種類で接続されていると見なされます。 サイト内のドメイン コントローラーが別のサイトのドメイン コントローラーからディレクトリの変更をレプリケートできるように、サイトをサイト リンクを使用してその他のサイトに手動でリンクする必要があります。 サイト リンクは、レプリケーション中に物理ネットワーク上のネットワーク パケットによって実行される実際のパスに対応していないため、Active Directory レプリケーションの効率を向上させるために冗長サイト リンクを作成する必要はありません。

2 つのサイトがサイト リンクによって接続されている場合、レプリケーション システムはブリッジヘッド サーバーと呼ばれる各サイトの特定のドメイン コントローラー間の接続を自動的に作成します。 Windows Server 2008 では、同じディレクトリ パーティションをホストするサイト内のすべてのドメイン コントローラーが、ブリッジヘッド サーバーとして選択可能です。 KCC によって作成されたレプリケーション接続は、レプリケーション ワークロードを共有するために、サイト内のすべての候補ブリッジヘッド サーバーにランダムに分散されます。 既定では、ランダム化された選択プロセスは、接続オブジェクトが初めてサイトに追加される場合に 1 回だけ実行されます。

サイト リンク ブリッジ

サイト リンク ブリッジとは、サイト リンクのセットを表す Active Directory オブジェクトです。サイトはすべて、共通のトランスポートを使用して通信できます。 サイト リンク ブリッジを使用すると、通信リンクによって直接接続されていないドメイン コントローラーを相互にレプリケートできます。 通常、サイト リンク ブリッジは、IP ネットワーク上のルーター (またはルーターのセット) に対応します。

既定では、一部のサイトが共通しているすべてのサイト リンクを介して KCC は推移的なルートを形成できます。 この動作が無効化されている場合、各サイト リンクは独自の個別の分離したネットワークとなります。 単一ルートとして扱うことができるサイト リンクのセットは、サイト リンク ブリッジを介して表現されます。 各ブリッジは、ネットワーク トラフィックの分離された通信環境を表します。

サイト リンク ブリッジは、サイト間の推移的な物理的な接続を論理的に表すメカニズムです。 サイト リンク ブリッジを使用すると、KCC は、含まれているサイト リンクの任意の組み合わせを使用して、それらのサイトに保持されているディレクトリ パーティションを相互接続する最もコストの低いルートを決定できます。 サイト リンク ブリッジでは、ドメイン コントローラーへの実際の接続は提供されません。 サイト リンク ブリッジが削除された場合、結合されたサイト リンクに対するレプリケーションは、KCC がリンクを削除するまで続行されます。

隣接するサイトのドメイン コントローラーでもホストされていないディレクトリ パーティションをホストするドメイン コントローラーがサイトに含まれているが、そのディレクトリ パーティションをホストするドメイン コントローラーがフォレスト内の 1 つ以上の他のサイトにある場合にのみ、サイト リンク ブリッジが必要となります。 隣接サイトは、単一のサイト リンクに含まれる任意の複数サイトとして定義されます。

サイト リンク ブリッジは、2 つのサイト リンク間に論理接続を作成し、暫定サイトを使用して、2 つの切断されたサイト間の推移的なパスを提供します。 サイト間トポロジ ジェネレーター (ISTG) の目的上、このブリッジは暫定サイトを使用した物理的な接続を意味します。 このブリッジは、暫定サイトのドメイン コントローラーがレプリケーション パスを提供するという意味ではありません。 ただし、これは、暫定サイトに、レプリケートされるディレクトリ パーティションをホストするドメイン コントローラーが含まれている場合のケースです。この場合、サイト リンク ブリッジは必要ありません。

各サイト リンクのコストが追加され、結果のパスの合計コストが作成されます。 暫定サイトにディレクトリ パーティションをホストするドメイン コントローラーが含まれておらず、低コストのリンクが存在しない場合に、サイト リンク ブリッジが使用されます。 暫定サイトにディレクトリ パーティションをホストするドメイン コントローラーが含まれている場合、2 つの切断されたサイトによって暫定ドメイン コントローラーへのレプリケーション接続が設定され、ブリッジは使用されません。

サイト リンクの推移性

既定では、すべてのサイト リンクは推移的であるか「ブリッジ」されています。サイト リンクがブリッジされ、スケジュールが重複している場合、KCC は、サイト間のドメイン コントローラー レプリケーション パートナーを決定するレプリケーション接続を作成します。サイトはサイト リンクによって直接接続されるのではなく、一連の共通サイトを介して推移的に接続されます。 これは、サイトリンクを組み合わせることによって、任意のサイトを他のサイトに接続できることを意味します。

一般に、完全にルーティングされたネットワークでは、レプリケーションの変更のフローを制御する必要がある場合を除き、サイト リンク ブリッジを作成する必要はありません。 ネットワークが完全にルーティングされていない場合、レプリケーションの試行ができなくなることを避けるため、サイト リンク ブリッジを作成する必要があります。 特定のトランスポートのすべてのサイト リンクは、暗黙的にそのトランスポートの単一サイト リンク ブリッジに属します。 サイト リンクの既定のブリッジは自動的に実行され、そのブリッジを表す Active Directory オブジェクトは存在しません。 IP および簡易メール転送プロトコル (SMTP) のサイト間トランスポート コンテナーのプロパティにある [すべてのサイト リンクをブリッジする] 設定により、サイト リンクの自動ブリッジ機能が実行されます。

注意

SMTP レプリケーションは、今後のバージョンの Active Directory Domain Services (AD DS) ではサポートされません。そのため、SMTP コンテナーにサイト リンク オブジェクトを作成することはお勧めしません。

グローバル カタログ サーバー

グローバル カタログ サーバーは、フォレスト内のすべてのオブジェクトに関する情報を格納するドメイン コントローラーであり、アプリケーションは要求されたデータを格納している特定のドメイン コントローラーを参照せずに AD DS を検索できます。 すべてのドメインコントローラーと同様に、グローバル カタログ サーバーには、スキーマおよび構成ディレクトリ パーティションの完全な書き込み可能なレプリカ、およびホストしているドメインのドメイン ディレクトリ パーティションの完全な書き込み可能なレプリカが格納されます。 さらに、グローバル カタログ サーバーには、フォレスト内の他のすべてのドメインの読み取り専用のレプリカの一部が格納されます。 読み取り専用ドメインの部分的なレプリカには、ドメイン内のすべてのオブジェクトが含まれますが、属性のサブセット (オブジェクトの検索に最もよく使用される属性) のみが含まれます。

ユニバーサル グループ メンバーシップのキャッシュ

ユニバーサル グループ メンバーシップのキャッシュを使用すると、ドメイ コントローラーはユーザーのユニバーサル グループ メンバーシップ情報をキャッシュできます。 Active Directory サイトとサービス スナップ インを使用して、ユニバーサル グループ メンバーシップをキャッシュする Windows Server 2008 を実行しているドメイン コントローラーを有効にすることができます。

ユニバーサル グループ メンバーシップのキャッシュを有効にすると、ドメイン内のすべてのサイトでグローバル カタログ サーバーを使用する必要がなくなります。これにより、ドメイン コントローラーはフォレストにあるすべてのオブジェクトをレプリケートする必要がなくなるため、ネットワーク帯域幅の使用を最小限に抑えられます。 認証を行うドメイン コントローラーは、ユニバーサル グループ メンバーシップ情報を取得するために常にグローバル カタログにアクセスする必要がないため、ログオン時間も短縮されます。 ユニバーサル グループ メンバーシップのキャッシュを使用する場合の詳細については、「 グローバル カタログ サーバー配置の計画」を参照してください。