Open棟梁Project - マイクロソフト系技術情報 Wiki
...工事中...
目次 †
前提知識 †
- DNS
- 「単純なディレクトリ・サービス」(名前解決のみの機能を提供している)
- 「広域的なディレクトリ・サービス」(インターネットなどに階層的に分散したディレクトリ・サービス)
- ディレクトリ・サービス(+LDAP)
- 「複雑なディレクトリ・サービス」(ネットワークリソースとの関連付けを行う等)
- 最近では、この「複雑なディレクトリ・サービス」をディレクトリ・サービスと呼ぶのが一般的。
等の機能を組み合わせたものなので
其々の基礎知識を持っていた方が全体像を理解しやすい。
また、2008からは、ディレクトリ・サービスだけではなく、
様々な機能(サービス群)を包括する名称となっている。
→「Active Directory(機能一覧)」を参照。
- ドメイン サービス (AD DS)
- ライトウェイト ディレクトリ サービス (AD LDS)
- 証明書サービス (AD CS)
- フェデレーション サービス (AD FS)
- Rights Management Services (AD RMS)
NTドメインの短所 †
- PC名(NetBIOSコンピュータ名)の名前空間が単一であるため、
別NTドメインであっても同名のPCが同一ネットワーク上に存在できない。
- 基本的にLAN内で構築することが前提のシステムであり、
WANのような狭帯域の回線が存在すると、ログオン認証パケットの
不達や遅延によるアクセス不能問題を起こしやすい。
- Security Account Manager(SAM)データベース
(実体はレジストリ)の最大容量がわずか40MBと少なく、
4万件程度しか登録することが出来ない。
- このため、アカウント管理と共有資源の管理の両立が難しく、
- アカウントを管理するマスタ・ドメインと
- 共有資源を管理するリソース・ドメインを
つくり信頼関係を設定する必要があった。そのほかにも、
- 管理権限を分割したい、
- 障害復旧のダウンタイムを最小限にしたい
などの理由がある。
- PDC(Primary Domain Controller)が壊れた場合、
- BDC(Backup Domain Controller)を利用可能だがディレクトリ情報の変更ができない。
- BDCをPDCに昇格するという機能が提供されているが、
昇格の作業は管理者が手作業で行わなければならない。
Active Directoryでの強化点 †
ADでは、上記のNTドメインの欠点を改善したほか、以下のような特徴を持つ。
- DNS、LDAP、ケルベロス認証システムなど
「インターネット系のオープン技術」が取り入れられている。
- 可用性(アベイラビリティ)が高い
DNSやDCにおいて、
- PDC・BDCの
「シングルマスタ・システム(「シングルマスタ・レプリケーション)」から、
- 複数のマスタサーバが存在する
「マルチマスタ・システム(マルチマスタ・レプリケーション)」に
変更されている。
- Windows 2003 Server ではGCの内容をキャッシュすることで、
GCなしのログオン(GCレスログオン)をサポートできるようになる。
ただし、デフォルトの動作はGCが必須になる予定。
- NTドメインでは、SAMデータベースの最大登録ユーザは4万人程度だが、
Active Directoryでは数百万人を超える登録も可能(40MB→16TBに拡大)。
- 「マスタ・ドメイン」や「リソース・ドメイン」といった分割が
不要になり、シングル・ドメイン構成でも柔軟に管理できるようになった。
- WAN回線を考慮した設計(サイト、サイトリンク)
もできるので、大規模ドメインの構築も簡単にできる。
- 管理性(マネージャビリティ)が高い
- ドメイン階層やOUを利用した分散管理もできる。
- 集中管理でも分散管理でも、管理者が望む方式に対応できる。
- 反面、ADを構築するにはDNSサーバの設置、ゾーン情報の編集が必須となるなど、
設計、構築、運用、保守の全てにおいて必要なスキル水準が上昇してしまい、
NTドメインほど「お手軽」ではなくなってしまった。
- また、ユーザ・アカウントやコンピュータ・アカウント管理、
ファイルとプリンタの共有ができれば十分であり、
サポートが得られなくても現に利益を生み出しているシステムを、
リプレースするメリットはないと判断したユーザも多い。
- 2006年末でWindows NT Server 4.0のサポートは
オンラインサポートも含めて完全に終了したが、
依然として稼働中のNTドメインが残っており、
マイクロソフトはNTドメインからADへの移行を促進することを課題としている。
Active Directoryとは何か? †
Active Directoryには3つの側面がある。
- 第1が「Windows NTドメイン互換ドメイン」、
- 第2が「便利で高機能なWindows NTドメイン」、
- そして第3が「汎用ディレクトリ・サービス」である。
それぞれの機能は、Active Directoryの活用レベルと考えてもよい。
レベル1:Windows NT互換ドメイン †
ユーザーとグループ、コンピュータを「ドメイン・メンバ」として
- 管理を一元化し、
- 情報や共有リソース(共有資源)へのアクセスを限定する
機能を持つ。
レベル2:便利で高機能なWindows NTドメイン †
- 「ドメイン間の階層構造(DNSに基づく)」と「ドメイン内の階層構造(OUに基づく)」を利用できる。
- ドメイン間の階層構造(DNSに基づく)
- 異なるセキュリティ・ポリシー(パスワードの利用制限など)を実装できる。
- 必要なら特定の管理者が複数のドメインを管理するように設定することもできる。
- Active DirectoryドメインはDNSドメインと一致しなければならない。
- しかし、Active Directory用のドメインをインターネット上に公開する必要はない。
- ドメイン内の階層構造(OUに基づく)
- ドメイン内の階層構造は「組織単位(OU)」と呼ばれる。
- Active Directoryに登録された情報は、同一ドメイン内であれば簡単に移動できる。
- (パスワードリセット等の)権限をOU単位で任意のユーザーやグループに委任できる。
- クライアントに対しては、強力な検索機能が提供される。
ユーザの氏名、電子メール、電話番号、共有資源(共有フォルダ、最寄りの共有プリンタ)
レベル3:汎用ディレクトリ・サービス †
- アプリケーションの使う分散型・階層型DBを提供する。
- ディレクトリ・サービスの真の価値は、アプリケーションが対応しているかどうかで決まる。
- マイクロソフトのサーバ製品に魅力を感じるのであれば、Active Directory以外の選択肢はない。
- 現在、Active Directoryの力を十分に引き出しているアプリケーションは、ずばりExchange 2000である。
Active DirectoryなしにExchange 2000の機能は実現できなかっただろう。
またほかにも、Active Directoryを必要とするアプリケーションはいくつもある。
- Active Directory導入のメリットは、こうしたアプリケーションが使えることである。
- 逆にいうと、魅力的なアプリケーションがない限り、Active Directoryに大きなメリットはない。
- UNIX上でKerberosクライアントを動作させれば、UNIXをActive Directoryに参加させることができる。
- アプリケーションをKerberos対応にすることを「Kerberise(ケルベライズ)」という。
- 実は、UNIXアプリケーションでケルベライズされたものは決して多くない。
- そのため、残念ながらActive Directoryを導入してもUNIXサーバに対して大きなメリットはない。