※ 本記事は弊社の Technet から移行した記事です。
いつも弊社製品をご利用いただきまして誠にありがとうございます。日本マイクロソフトの Windows サポートチームです。
日々のサポート業務の中で、よくお問い合わせを頂く内容についてご紹介します。
メンテナンス等で DC (Domain Controller) を停止する場合、クラスターはどうなるの? というお問い合わせを頂くことがあります。
Windows Server 2008 以降のクラスターではクラスターのコンピュータ オブジェクト (CNO = Cluster Name Objectと呼ばれます) が作成されるなど、その認証は AD 環境に依存しています。そのため、DC が不在となる場合、(当然のことながら) ドメイン認証が失敗することとなります。
フェールオーバー クラスター ステップ バイ ステップ ガイド: Active Directory のアカウントの構成
クラスター上における認証発生のタイミングはクラスター サービスの起動既存のクラスターに参加する場合や、ノード間の同期処理などがあります。
また DC への認証はクラスター自身の動作だけでは無く、クライアントからの仮想サーバーへのアクセスや、クラスター上で動作するサービス、アプリケーションによって行われることもあるため一概にどのタイミングで、とは言えません。
弊社に頂くお問い合わせでは、クラスター上の操作、動作が無い場合として「(数時間の停止では)問題が無かった」、「DC を再起動したところ、フェールオーバーが発生した」などの事象が報告されており、実際には環境やタイミングによってその影響の有無があるようです。具体的なところではドメイン コントローラー停止中のフェールオーバー動作にてイベント 1207 が記録され、ネットワーク名リソースのオンラインに失敗するとの報告もありました。
Event ID 1207 – Active Directory Permissions for Cluster Accounts
いくつかの例を挙げましたが、結論としては動作要件を満たさない状況での正常動作については保証されないことになります。もしメンテナンス等で AD 内の DC が不在となるような場合には、安全策として事前にクラスターを停止することについてご検討をお願いします。
いかがでしたでしょうか。本投稿が少しでも皆様のお役に立てば幸いです。
(※ 2012 年 05 月 27 日に Ask Core Microsoft Japan Windows Technology Support に公開した情報のアーカイブです。)