みんな大好きActiveDirectory(笑)
今日は ActiveDirectory (以下AD)の限界を体験したお話をしようかと思います。
限界と言ってもADという仕組みがうんぬんとか高尚な話ではありません。
ADが持っている上限値のお話です。
ADに作成することができるオブジェクト数(ユーザーアカウントやらコンピュータアカウントなど)の上限ってどのくらいですかね?
通常であれば約20億オブジェクトぐらいは作成できます。(2012R2らへんまでは)
ただしそれはFSMOさんがちゃんと仕事をしてくれている場合。
その環境にはADが2台ありました。
当然どちらかがFSMOだと思いますよね。
ある日いつものようにせっせとADにユーザーアカウントを登録していると、オフィスがザワザワしています。
「ファイルサーバーにつながらない」
「基幹システムにログインできない」
・・・などなど聞きたくない言葉が飛び交っています。
聞こえないふりをして作業をしていると、上司が近づいてきてこう言います。
「ファイルサーバーや基幹システムに繋げない人が続出している!至急原因を調査するように!」
(どうせまたどっかの島HUBの電源が抜けたんじゃないの?)
と、サンプルデータを学習したAIのように答えを予測し、HUBを確認しますが、特に問題ありません。
第一、みんなWEBは見れている。
うーんなんだろう・・・と考えていると、
「Windowsにログインできない」
と、大ヒントをくれる人が。(本人困ってるけど)
(そうか、ADか。あいつが認証してれてないんだな。わがままなやつめ。)
とりあえずめんどくさかった 一刻も早く業務を再開させたかった ので、とりまDC(ドメインコントローラー)再起動(←ダメな見本)
「ファイルサーバーつながった!」
とユーザーの歓喜の声を聞いて、(ふう、やれやれだぜ)とひと仕事終えたあとの缶コーヒーを飲みながら、
再びユーザーアカウント作成に勤しんでいると、
「またつながらなくなった!」
とまたオフィスがざわめき出しました。
確認すると確かにさっきと同じ症状。
うーーーーん・・・
さっきはDCの再起動で直った・・・
試しにもう一度DC再起動(←ダメなやつ)
「つながった!!」と再びユーザーの声が響き渡ります。
ここまではさっきと同じ流れ。
念の為何もせずしばらく様子を見ます。
・・・何も起きない。
なんだろう、ウイルスかな?(安直)
再びユーザーアカウント作成作業に戻ろうとしたその瞬間、
ピキーン☆ひらめいた(まさか・・)
ユーザーアカウント作成すると発生?!
結局その日はユーザーアカウント作成をやめてみたところ、その後も何も起きなかった。
さて翌日
わかりやすいように14:00きっかりにユーザーアカウントを作成してみました。
すると、5分も経たないうちに、「また繋がらなくなった!」とアラートが上がりました。(人が)
因果関係確定。そして調査開始。
わかったこと
・ADのオブジェクト数には(ほぼ)限界はない
・ただFSMOがいないと1000でストップ
・いまのオブジェクト数がだいたい1000ぐらい
(おいおい、でもFSMOがいないなんて普通ありえんだろ?)と思い念の為2台のADを確認。
すると、、、FSMOさんいませんでした(FSMO機能なしのドメインだった)
なして!?
今度はADと社内の記録を調査。
わかったこと
・ドメインコントローラー全部で3台いました(過去形)
・1台はクラウドサービス上にIaasで構築されていました(過去形)
・その後、担当者が退社し、クラウドサービスは解約されていました(いまここ)
そう、クラウド上に構築されたFSMOさんは、遠い遠い雲の向こうに消えていったのです。
結局、他の理由もあり、新ドメインを構築することになりました。
まあ、環境が一新できてよかったです(強がり)
みなさんもADの限界には気をつけましょう(笑)