「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- Windows NTドメインでは、クライアント・サーバコンピュータ、ユーザ アカウント、グループ、アクセス権などの情報しか格納できかなった。
- しかし、Active Directory では情報スキーマを定義し情報を格納することで、ドメインや共有資源情報に階層構造を設けて管理することができるようになった。
- また、データオブジェクトの格納件数や、検索機能の強化、LDAPへの対応など、ディレクトリ サービスとして十分な機能を持つようになった。
- Active Directoryのドメインは、機能的に見て、DNSのドメインとは完全に一致しない。
- それより以前には、NTドメインによりドメインが構築されていた。
- NTドメインはPDC・BDCにより管理された論理的なネットワーク資源のグループ化の仕組みであり、
Active Directoryと同様に物理的な距離には左右されない、共通のユーザ アカウントやセキュリティ ポリシーを持つ。
- ただし、DNSの機能はなく、DIBの機能もActive Directoryと比べると劣っていた。
- Active Directoryでは、インターネットの標準技術を採用しており、インターネットとの相互運用性を強化している。具体的には、以下の標準技術を採用している。
- Active Directoryは、以下の情報を中央で集中制御できるようになり、管理者の負担が軽減される。
- ネットワーク上に存在するクライアント・サーバ コンピュータ、共有フォルダ・プリンタなどのネットワーク資源情報。
- それらを使用するユーザの組織単位、ユーザ アカウント、グループ、アクセス権、PCの構成など。
基礎 †
ドメイン コントローラ(DC) †
- DCはドメインを制御するための中心的なシステムであり、
- Active Directoryのドメインを管理する。
- Active Directoryのディレクトリ・データベースを管理する。
- 非常に重要な役割を持っている。主な役割としては、以下がある。
参考 †
Active Directoryのドメイン †
- ADの「ドメイン」の範囲は、物理的なネットワーク構造に依存しない同じDIBを共有する範囲であり、管理したいものだけを「ドメイン」に登録できる。
- 1つ以上のドメイン・コントローラによって管理された領域であり、オブジェクトを複製したりセキュリティポリシーを設定したりするときの論理的な境界となる。
「ワークグループ」の環境では、 †
- 同じ「ワークグループ」に参加するコンピュータは、同じネットワークに所属している必要があった。
- ワークグループの環境では、ブラウジング機能の範囲がローカル ネットワークまでとなるため。
- しかし、ネットワークの範囲はルータ等で区切られている物理的な接続に依存するため、結果として「ワークグループ」の自由度は低い。
Active Directoryの「ドメイン」の環境では、 †
- ネットワークを超えて管理したいものだけを登録し、ネットワーク資源をグループ化できる。
- ドメインの環境では、ブラウジング機能の範囲が論理的なドメインの範囲までとなるため。
Active Directoryの「ドメイン」の環境では、ドメイン コントローラ(DC)が各ローカル ネットワークのブラウザ リストの情報を集約することで、これを実現している。
- このため、「ワークグループ」よりも自由度が高い。
※ 「ドメイン」を図示する場合は、三角形で描く習慣がある。
Active Directoryの「スキーマ」 †
- ディレクトリ情報ベース(DIB)のスキーマのことで、Active Directoryのデータベース構造を定義したものである。
- 「スキーマ」には、Active Directoryに格納されている下記オブジェクトすべての定義(テンプレート)が含まれる。
スキーマ・マスタ †
- Active Directoryでは、同一「フォレスト」に1つのスキーマ・セットしか維持できない。
グローバル カタログ(GC) †
- 以下のような情報を格納し、検索・認証などの処理を担当する特別なシステムである。
- 当該「ドメイン」のDIB上にあるADオブジェクトの完全なコピー
- 「フォレスト」内の、その他の「ドメイン」にある頻繁に利用する以下の属性を抽出したADオブジェクトの部分的なコピー。
頻繁に利用する以下の属性は、DIBのスキーマにGCに含められるようにマークされている。
- ネットワーク資源情報
- ユーザの組織単位
- ユーザ アカウント
- グループ
- アクセス権
- PCの構成
- グローバル カタログ(GC)を格納するドメイン コントローラ(DC)を各サイト?に配置することで、ユーザは効率的にADオブジェクトを検索できるようになり、ネットワーク トラフィックも軽減できる。
- 性能などを考慮して、ドメインの管理・DIBの更新処理などからGCへの問い合わせ処理を切り離す場合、「DC」を2台以上用意し、「DC」と「GCを格納するDC」を構築する。
- [Active Directory スキーマ] スナップインを使用すると、DIBのスキーマを変更できる。詳細については、以下を参照のこと。
ドメイン ツリー、フォレスト †
ドメイン ツリー †
連続したDNSの規則に従った名前階層を共有しているActive Directoryドメインの階層構造。
- ユーザやコンピュータの数が多い場合や、拠点が複数ある場合などは、1つの組織で「ドメイン」を複数に分け階層構造を構築できる。
- この階層構造のことを「ドメイン ツリー」と呼び、1つ以上の連続するDNS名を備えた「ドメイン」の集合として定義される。
- 「ドメイン ツリー」に存在する「ドメイン」は、必ず親の「ドメイン」名を継承し「ドメイン」名を定義する。
- 「ドメイン・ツリー」内で最上位に位置する「ドメイン」のことを、「ドメイン・ツリーのルート・ドメイン」と呼ぶ。
フォレスト †
1つ以上の「ドメイン・ツリー」構成された、Active Directoryにおける最も大きな管理単位。
- 同じ組織で名前の階層を分けたい場合は、別の「ドメイン・ツリー」を構成できる。
- この場合、「ドメイン・ツリー」同士で「信頼関係」を結び「フォレスト」を形成する。
- Active Directory構造におけるグループ化の最大の単位は、「フォレスト」になる。
- Active Directoryの操作範囲は「フォレスト」内に限られる。
信頼関係 †
信頼関係とは †
- 「ドメイン」で管理している資源に対して、アクセス権を割り当てられる対象は、「ドメイン」のユーザやグループである。
- 通常、「ドメイン」以外のユーザやグループ、別「ドメイン」のユーザやグループに対しては、アクセス権の割り当てなどはできない。
- しかし、同じ組織の中に複数の「ドメイン」が存在する場合、異なる「ドメイン」のユーザやグループにもアクセスの許可や拒否などを設定したい場合がある。
- その場合には、「ドメイン」間で「信頼関係」という関係を結ぶ必要がある。
- NTドメインでも「ドメイン」間の「信頼関係」という機能が用意されていた。
- NTドメインでは、「信頼関係」を管理者が手動で設定しなければならなかったが、Active Directoryドメインでは同じ「フォレスト」に参加する「ドメイン」であれば自動で「信頼関係」が結ばれる。
- だがActive Directoryでは同一「フォレスト」に参加すれば、それだけで双方向の推移する「信頼関係」が自動的に結ばれるため、管理作業が軽減される。
信頼関係による資源アクセス提供範囲 †
信頼関係の推移 †
- 同一「フォレスト」内の「ドメイン」であれば「信頼関係」の推移が可能になる。
- 「信頼関係」の推移では、
- 「ドメイン」A・Bが双方向の「信頼関係」を結び、
- 「ドメイン」B・Cが双方向の「信頼関係」を結んでいると、
自動的に「ドメイン」A・C間にも双方向の「信頼関係」が成立する。
信頼関係とフォレスト構成 †
1つの組織では1つの「フォレスト」にとどめておくことが推奨されている。
- 「フォレスト」間で「信頼関係」を結ぶこともできるが、
- 「信頼関係」の推移は行えない。
- 一方向のみの「信頼関係」となる。
- また、後で複数の「フォレスト」を1つの「フォレスト」にまとめるということは簡単ではない。
背景 †
NTドメインの短所 †
- PC名(NetBIOSコンピュータ名)の名前空間が単一であるため、
別NTドメインであっても同名のPCが同一ネットワーク上に存在できない。
- 基本的にLAN内で構築することが前提のシステムであり、
WANのような狭帯域の回線が存在すると、ログオン認証パケットの
不達や遅延によるアクセス不能問題を起こしやすい。
- Security Account Manager(SAM)データベース
(実体はレジストリ)の最大容量がわずか40MBと少なく、
4万件程度しか登録することが出来ない。
- このため、アカウント管理と共有資源の管理の両立が難しく、
- アカウントを管理するマスタ・ドメインと
- 共有資源を管理するリソース・ドメインを
つくり信頼関係を設定する必要があった。そのほかにも、
- 管理権限を分割したい、
- 障害復旧のダウンタイムを最小限にしたい
などの理由がある。
- PDC(Primary Domain Controller)が壊れた場合、
- BDC(Backup Domain Controller)を利用可能だがディレクトリ情報の変更ができない。
- BDCをPDCに昇格するという機能が提供されているが、
昇格の作業は管理者が手作業で行わなければならない。
Active Directoryでの強化点 †
ADでは、上記のNTドメインの欠点を改善したほか、以下のような特徴を持つ。
- 可用性(アベイラビリティ)が高い
DNSやドメイン コントローラ(DC)において、
- PDC・BDCの
「シングルマスタ・システム(「シングルマスタ・レプリケーション)」から、
- 複数のマスタサーバが存在する
「マルチマスタ・システム(マルチマスタ・レプリケーション)」に
変更されている。
- Windows 2003 Server ではGCの内容をキャッシュすることで、
GCなしのログオン(GCレスログオン)をサポートできるようになる。
ただし、デフォルトの動作はGCが必須になる予定。
- NTドメインでは、SAMデータベースの最大登録ユーザは4万人程度だが、
Active Directoryでは数百万人を超える登録も可能(40MB→16TBに拡大)。
- 「マスタ・ドメイン」や「リソース・ドメイン」といった分割が
不要になり、シングル・ドメイン構成でも柔軟に管理できるようになった。
- WAN回線を考慮した設計(サイト、サイトリンク)
もできるので、大規模ドメインの構築も簡単にできる。
- 管理性(マネージャビリティ)が高い
- ドメイン階層やOUを利用した分散管理もできる。
- 集中管理でも分散管理でも、管理者が望む方式に対応できる。
- 反面、ADを構築するにはDNSサーバの設置、ゾーン情報の編集が必須となるなど、
設計、構築、運用、保守の全てにおいて必要なスキル水準が上昇してしまい、
NTドメインほど「お手軽」ではなくなってしまった。
- また、ユーザ・アカウントやコンピュータ・アカウント管理、
ファイルとプリンタの共有ができれば十分であり、
サポートが得られなくても現に利益を生み出しているシステムを、
リプレースするメリットはないと判断したユーザも多い。
- 2006年末でWindows NT Server 4.0のサポートは
オンラインサポートも含めて完全に終了したが、
依然として稼働中のNTドメインが残っており、
マイクロソフトはNTドメインからADへの移行を促進することを課題としている。
Active Directoryとは何か? †
Active Directoryには3つの側面がある。
- 第1が「Windows NTドメイン互換ドメイン」、
- 第2が「便利で高機能なWindows NTドメイン」、
- そして第3が「汎用ディレクトリ・サービス」である。
それぞれの機能は、Active Directoryの活用レベルと考えてもよい。
レベル1:Windows NT互換ドメイン †
ユーザーとグループ、コンピュータを「ドメイン・メンバ」として
- 管理を一元化し、
- 情報や共有リソース(共有資源)へのアクセスを限定する
機能を持つ。
レベル2:便利で高機能なWindows NTドメイン †
- 「ドメイン間の階層構造(DNSに基づく)」と「ドメイン内の階層構造(OUに基づく)」を利用できる。
- ドメイン間の階層構造(DNSに基づく)
- 異なるセキュリティ・ポリシー(パスワードの利用制限など)を実装できる。
- 必要なら特定の管理者が複数のドメインを管理するように設定することもできる。
- Active DirectoryドメインはDNSドメインと一致しなければならない。
- しかし、Active Directory用のドメインをインターネット上に公開する必要はない。
- ドメイン内の階層構造(OUに基づく)
- ドメイン内の階層構造は「組織単位(OU)」と呼ばれる。
- Active Directoryに登録された情報は、同一ドメイン内であれば簡単に移動できる。
- (パスワードリセット等の)権限をOU単位で任意のユーザーやグループに委任できる。
- クライアントに対しては、強力な検索機能が提供される。
ユーザの氏名、電子メール、電話番号、共有資源(共有フォルダ、最寄りの共有プリンタ)
レベル3:汎用ディレクトリ・サービス †
- アプリケーションの使う分散型・階層型DBを提供する。
- ディレクトリ・サービスの真の価値は、アプリケーションが対応しているかどうかで決まる。
- マイクロソフトのサーバ製品に魅力を感じるのであれば、Active Directory以外の選択肢はない。
- 現在、Active Directoryの力を十分に引き出しているアプリケーションは、ずばりExchange 2000である。
Active DirectoryなしにExchange 2000の機能は実現できなかっただろう。
またほかにも、Active Directoryを必要とするアプリケーションはいくつもある。
- Active Directory導入のメリットは、こうしたアプリケーションが使えることである。
- 逆にいうと、魅力的なアプリケーションがない限り、Active Directoryに大きなメリットはない。
- UNIX上でKerberosクライアントを動作させれば、UNIXをActive Directoryに参加させることができる。
- アプリケーションをKerberos対応にすることを「Kerberise(ケルベライズ)」という。
- 実は、UNIXアプリケーションでケルベライズされたものは決して多くない。
- そのため、Active Directoryを導入してもUNIXサーバに対して大きなメリットはない。
Tags: :Active Directory, :認証基盤