|
1.Active Directoryとは?
参考)Windowsドメイン
(1)Active Directoryとは
Windows2000/2003 Serverで提供される、Microsoftのディレクトリ・サービス機能。同社製NOSであるMicrosoft LAN Manager2.0が装備した
ドメイン機能を根源とする。
・ワークグループ・ネットワーク(workgroup network) :Windows非サーバー系OS
管理用のサーバーを持たず、各マシンがそれぞれ自身が属するワークグループ名・コンピュータ名を申告する。アカウントの管理も
各マシンの扱いに委ねられる
↓
・NTドメイン(Domain) :LAN Manager2.0、WindowsNT Server
ユーザー情報を管理・保管するドメイン・コントローラーと呼ばれるコンピュータを LAN上に最低1台用意し、そのLANを利用しようとする
ユーザーは、自身のアカウントとパスワードの情報を、ドメインコントローラーに送信して認証・もしくは共有資源へのアクセス許可を受ける。
↓
・アクティブ・ディレクトリ(Active Directory) :Windows2000 Server、Windows2003 Server
NTドメインの欠点を解決
・ドメインの階層化を可能に
(従来まではドメイン同士で「信頼関係」を定義することで、自ドメイン以外のドメインに所属するユーザのアクセス許可を設定していた)
・インターネットとの親和性
・ドメインの名前付け規則をインターネットの名前付け規則に対応
・DNSベースの名前解決を標準とし、NetBIOSを不要とする
・各種TCP/IP用標準プロトコルの取り込み
(従来までは、NetBIOSを使用していたため、いわゆるインターネット上の名前付け規則として用いられるドメイン[microsoft.com等]
と異なり、名前付けの上でもドメインの階層化ができなかった)
・その他
・ユーザー情報以外に、共有資源情報など、ネットワーク上のさまざまな情報の管理が可能に
・ユーザーアカウントに設定できるプロパティ情報の拡張
・NTドメインで使用されていた各種セキュリティー・ポリシー設定の統合
・LDAP、ADSIによるActive Directory情報へのアクセス
・NTドメインとの互換性維持
(2)Active Directory導入のメリット
・ユーザー・アカウント情報の集中管理
Active Directoryに対応したサーバー・アプリケーションを使用すれば、メール・データベースなどのユーザーをドメインのユーザー
アカウントに一元化できる。
・ユーザー属性情報の集中管理
氏名・住所・電話番号・所属部署などさまざまな情報を保持可能
・資源情報の集中管理
Active Directory検索機能による、共有フォルダ・共有プリンタの所在検索
・アプリケーションへの資源提供
真のユーザー情報一元管理とシングル・サインオンを実現するユーザ・アプリケーションの開発が可能
・情報へのアクセスに対する管理
・クライアントPCの設定一元管理(Windows2000/XPクライアントへのみ)
グループポリシー活用による、クライアントPC設定(ディスクトップ環境等)の一元化
(3)Active Directoryの要素
・フォレスト forest
Activeディレクトリを構成する様々な要素の中で、もっとも上位の階層に属するもの。フォレスト内には複数のドメインが存在でき、
サブドメインは、それらドメインの「子」として扱う。
|
フォレスト |
|
itanium.microsoft.co.jp <-- ドメイン
| |
tokyo.itanium.microsoft.co.jp osaka.itanium.microsoft.co.jp
サブドメイン
|
xeon.microsoft.co.jp <-- ドメイン
| |
sendai.xeon.microsoft.co.jp kobe.xeon.microsoft.co.jp
サブドメイン |
厳密には、フォレスト内に最初に作成されたドメインである「フォレスト・ドメイン」に対して、その他のドメインが双方向の信頼関係を
結ぶかたちになるので、名前付けの上では並列でも、すべてのドメインがフォレスト内で完全に対等と言い切れないところもある。
・ドメイン domain
Active Directoryの根幹をなす単位。インターネットにおけるドメイン名と同様、Activeディレクトリドメインもピリオドで区切られた複数の
単語で構成されるドメイン名を持つ(microsoft.com
など)。
インターネットで独自のドメイン名を取得している個人や組織がActive
Directoryドメインを構築する場合は、インターネットで使用している
ものと同じドメイン名を用いるのが一般的である。インターネットでドメインを取得していない場合は、ドメインの末尾を「.local」とすることが
推奨されている。
・サブドメイン subdomain
提供する機能はドメインと同じだが、「親」になるドメインが先にあり、その「子」として付け足される。そのため、サブドメインを作成した
場合、Active Directoryドメイン名はピリオドで区切って階層をひとつ増やし、「<サブドメイン名>.<ドメイン名>」となる。
(tokyo.microsoft.tech.net など)
サブドメイン配下にさらに別のサブドメインを作成する場合は、順次左側にピリオド区切りで列挙する。
(tyohu-shi.tokyo.microsoft.tech.net)
・OU Organization UNit:組織単位
それぞれのドメイン・サブドメイン内に作成される、単にオブジェクトを分類するための器。グループと異なり、共有資源のアクセス権
設定対象には使えない。
OUの使用方法:
・グループポリシーの適用単位区分
OU内のオブジェクトは、明示的に指定しない限りOUに対するポリシー設定を継承する。OU間でオブジェクトを移動すれば、
適用ポリシーも移動先のOUにあわせて変動する。
・管理権限の委任
OUを単位にして、ドメイン管理者以外のユーザーに、ユーザー/グループの管理権限を委譲できる。
・アクセス権設定の単位
Active Directoryドメイン上のオブジェクトに対する、アクセス権の設定が可能。 |
参考)コンテナ Container
ActiveDirectoryドメインを構築した時点で、自動的に[DomainControllers]等のOUが作成される。これらは「コンテナ」と呼ぶもので、
実際にはOUではない。そのため、OUが持つ上記のような機能を備えておらず、単にオブジェクトの分類・格納にしか使用できない。
-> 参考)Windows Server2003ドメインのUsers及びComputersコンテナのリダイレクト
コンテナ:
・Builtin
・Computers
・ForeignSecurityPrincipals
・Users
・LostAndFound([ActiveDirectoryユーザーとコンピュータ]管理ツールで[表示]-[拡張機能]を選択することで可視)
・System([ActiveDirectoryユーザーとコンピュータ]管理ツールで[表示]-[拡張機能]を選択することで可視) |
・オブジェクト Object
「OU」「ユーザーやコンピューター名のカウント、グループ」など、Active
Directoryドメイン内に作成・管理される各種情報の総称
Active Directoryドメイン上のオブジェクトは、それぞれ「<ドメイン名><オブジェクト名>」という型式で、重複しない完全修飾ドメイン
名を持っている。(「Active Directoryユーザーとコンピュータ」
- 「表示」 - 「拡張機能」)
(4)Active Directoryに保存できる情報
ドメイン・サブドメインやOUの中に設定・配置できる情報
・ユーザー・アカウント(ログオンに使用するもの)
・コンピュータ・アカウント
・連絡先(ユーザー・アカウントと似ているが、ログオンに使用することができないもの)
・グループ
・OU(組織単位)
・共有フォルダ
・共有プリンタ
・InetOrgPerson(Windows Server
2003以降)
・MSMQキューエイリアス(Windows
Server
2003以降)
その他
・DNSサーバーの管理情報
2.Active Directoryドメインの構築
(1)コンピュータとユーザーの命名規則
普遍:
・インターネット上で使用されるFQDNとの親和性を考え、2バイト文字(漢字)や記号(-、_はOK)の使用は避ける
・Windows9x/Me/NTとの互換性を考え、文字列の長さを、NetBIOS上の仕様制約である最大15文字以内に抑える。
・コンピューターの機種名・メーカー名など、H/Wに従属する名前を使わない(H/W更改時に困る)
・重複名は指定できない。
ドメインの命名ルール:
・会社の場合は、会社名・所在地などを使用する。部門名は、組織変更時にも変更が発生しないレベルで指定する。
・インターネットで独自ドメインを持っていない場合は、「*.local」とする。 (tokyo.microsoft.local など)
サーバー・コンピュータの命名ルール:
・会社の場合は、端末管理番号など (h002487)
・一般的には、ユーザー名+番号 など (s_mitsuru01)
ユーザー名のルール:
・名前の頭文字+ハイフン+姓など (m-sato)
重複する場合は、後で登録発生したほうを数字で分ける。(佐藤充:m_sato、佐藤みゆき:m1_sato)
(2)ドメイン構成の計画
ドメイン構築の原則:
・人が配置・移動する単位で設置し、その中の部署単位にまで細分化しない
・ドメインに登録したユーザ・アカウントは、通常の管理ツールで移動できないので、人事異動に柔軟に対応できない
・多数のドメインを構築するには、その数分のドメイン・コントローラが必要となり、H/W、S/Wの費用がかさむ
・ドメイン・コントローラの負荷増大には、ドメイン増設でなく、ドメイン・コントローラの増設で対応
・ひとつのドメインに複数のドメイン・コントローラを設置できる
・サブ・ドメインには、ドメイン間相互で移動する可能性が少ないと考えられる情報を配置する。
・会社の場合、支社間で移動する可能性が高いユーザー・アカウントは親ドメインで一括管理する。
・ドメイン・コントローラ同士の同期トラフィック対策として、サブドメイン分割とサイト分割がある。
・サイト分割の場合、単に同期の頻度を下げたり、同期のピークとトラフィックをずらすだけなので、根本的なトラフィック
低減にはならない。
・サブドメイン分割の場合、拠点ごとにドメインを分ける。個々のドメイン・コントローラ同士の同期トラフィックは低減するが、
ドメイン・コントローラの数が増大することに伴う、全体のトラフィック量が飛躍的に増大する。
・組織ごとに異なるインターネット・ドメインを取得しているのであれば、それに合わせてドメインを分け、同一フォレストに収納する
と分かりやすい。
・もともと別の組織になっていて、お互いの往来も少ない場合は、ドメインを分けたほうがわかりやすい。ただしフォレストは単一にする
・ひとつのフォレストに複数のドメインを構築する際には、ドメインDNS名から自動生成される、ドメインNetBIOS名の重複に注意する。
・ cf)Active Directoryで使用するドメイン名
:
ドメインDNS名:microsoft.tech.net ->
ダウンレベルドメイン名(ドメインNetBIOS名):MICROSOFT
(3)サーバー構成の計画
Active Directoryドメイン運用に必要なサーバー:
・ドメイン・コントローラ
・DNSサーバ
・WINSサーバ(Windows9x/Me/NTクライアントに対する名前解決用。WINSによる名前解決ができないと、NetBIOSではその度に
名前解決試みのためのブロード・キャスト・パケットが発信され、ネットワークに負荷がかかる。)
・DHCPサーバ(クライアントPCの設定簡素化の場合)
構成台数:
・ドメイン・コントローラ兼DNSサーバーを、2台用意する。ドメイン・コントローラを3台以上用意する場合は、3代目以降は、ドメイン・
コントローラとしてのみ機能させる(TCPプロパティとして指定できるDNSサーバーの数は通常手順だと2台までなため)
・DHCPサーバーは同一LAN上に1台用意する。基本的には上記のドメイン・コントローラ兼DNSサーバーの1台目に導入し、
その他代替サーバーを設ける場合は、DHCPサーバーのインストールのみしておき、機能は無効にしておく。
なお、ブロードバンドルーター等が装備しているDHCPサーバー機能は停止させておくこと。
・ファイルサーバ、プリンタサーバー、Webサーバー、メールサーバーなど、ユーザーに対し実際にサービスを提供するサーバー
は、ドメイン・コントローラと兼用せず、一般サーバとして分離するのが望ましい。(負荷、障害時の影響範囲、全損時復帰に
かかる手間・時間の問題)
(4)ネットワーク構成の計画
ネットワーク構成上のポイント:
・サーバーは全て固定IPを割り当てる
・クライアントは設定を容易にする場合は、DHCPで自動構成する。
・Windows9x/Me/NTが存在する場合は、NetBIOSの名前解決のためにWINSサーバーも必要になる。
・DNSやWINSサーバとの連携を考慮すると、DHCPサーバ、DNSサーバ、WINSサーバーは全てWindows2000Server/
WindowsServer2003 OSで運用するのが簡易。
・Windows2000Server/WindowsServer2003でDHCPやDNSを運用する場合、既存のDHCPやDNSと機能が重複しないよう配慮要
・ドメイン・コントローラ同士はデータ同期のために多くのトラフィックが発生する。同じドメインのドメイン・コントローラ同士では
間にWANのような低速回線を介さないようにするか、サイト分割する。
新規構築:
・必要なサーバー台数を割り出し、それに余裕を持たせてたPアドレスの割り当てを行う。
192.168.0.1 ルーター
192.168.0.2〜192.168.0.9 サーバー用固定IPアドレス領域(サーバー台数+余裕も考慮)
192.168.0.10〜 クライアント用 DHCPによる割り当て領域
・DHCPサーバーは、ブロードバンドルーターなどの機能で行わず、より強力でDNS,WINSと連携しやすいWindows
2000 Server/
Windows Server 2003で運用する(よって、ブロードバンドルーターのDHCP機能は停止しておく)。
・ドメイン・コントローラとなるコンピュータにあわせてDNSサーバーの機能を追加しておく。
・ドメイン構築完了後、必要に応じてDHCPサーバーと、WINSサーバーを追加し、DHCPサーバーについてはスコープの設定を
行って、クライアントに対する自動割り当てが可能な状態にする。
・DNSサーバーについては、インターネット上のホストに対する名前解決が行えるようにフォワーダを設定して、ISPから割り当てられる
DNSサーバーをクエリー転送先に指定しておく。
なお、市販のブロードバンドルーターを使用する場合、ブロードバンドルーターがDNSのクエリー中継機能を持っていることがほとんどの
ため、フォワーダの転送先をルーターのLAN側IPアドレスにすれば解決する場合が多い。
既存ネットワークへの追加構築:
<A>
既存のTCP/IPネットワークとは別に、Active
Directoryドメイン専用のTCP/IPネットワークを独立した形で構築し、それを既存の
ネットワークとルーターを介して接続する場合、作業内容は、新規構築と同じになる。
相違するのは、「ルーターを介して接続される先がインターネットではなく、既存のLANになること」「ネットワーク・アドレスを選択する
際に既存のネットワークと異なるものを使用する」点となる。 |
|
|
サーバ
ルータ
(既存のネットワーク その1)
サブネット:192.168.0.0/24 |
|
ルータ
サーバ
(既存のネットワーク その2)
サブネット:192.168.10.0.24 |
|
ルータ
サーバ
(新規のActive Directory用のネットワーク)
サブネット:192.168.20.0.24 |
<B>
既存のネットワークにActive Directoryドメインを割り込ませて、IPアドレスの範囲をまわしてもらう場合は、既にDNSサーバーや
DHCPサーバ、インターネットとの境界に設定されるルーターは稼動しているため、それらの機能は既存のものを使用することになる。
ただし、既存のDNSサーバーに依存して、新規Active
Directoryドメインを運用する場合、DNSサーバーがWindows
2000 Server/
Windows Server 2003のものか、BIND Ver8.1.2以降でなければならないという制約がある。
上記条件が満たされていない場合は、新規Active
Directoryのドメイン・コントローラにDNSサーバーを併せてセットアップし、
フォワーダを設定して、Active Directoryドメイン管理外のホストに対するDNSクエリーを既存DNSサーバーに転送する設定が
必要になる。
<B>の場合、ドメイン・コントローラとなるコンピュータは、Windows
2000 Server/Windows Server 2003をセットアップする際に
TCP/IP設定で[カスタム設定]を選択し、あらかじめ既存のTCP/IPネットワークにあわせた空き固定IPアドレスとサブネットマスク、
ゲートウェイを指定し、さらにDNSサーバのIPアドレスとして、既存DNSサーバーのIPアドレスを指定しておく。後は通常の手順で
Active Directoryを構築する。 |
次へ
|
