Active Directory
出典: フリー百科事典『ウィキペディア(Wikipedia)』
Active Directory(アクティブディレクトリ)とはマイクロソフト社によって開発されたディレクトリ・サービス・システムであり、Windows 2000 Serverから導入されたコンポーネントである。 WindowsのGUIで操作できる利便性から多くの企業で利用されている。
目次 |
[編集] 概要
Windows95発売後、Windowsはクライアント用OSとして急速に普及していき、さらに標準でネットワーク機能を有していたことから(特に企業や大学などで)ネットワーク化も併せて進んでいった。しかしながら、Windows9x系OSではユーザ管理を個々のPCで行う必要があり、ネットワークの規模が大きくなっていくと同時にそこが管理上の弱点となっていった。
それに対してWindows NTでは、Windows NTサーバを中心とするNTドメインの概念が導入され、PCのユーザアカウントをNTドメインのドメインコントローラ(DC)で集中管理が行えるようになった。NTサーバはまた、GUIを多用した操作画面により、スキルの低い人間でもそこそこ扱えることが出来たことから、中小企業の全社サーバや大企業の部門サーバなど、比較的小規模なネットワークのサーバとして次第にシェアを伸ばしていった。
その後、NTサーバが規模の大きなネットワークの基幹サーバとして利用されるようになると、NTドメインの短所が露呈してくる。すなわち:
- ドメイン間の階層構造がとれない
- PC名の名前空間が単一であるため、別ドメインであっても同名のPCが同一ネットワーク上に存在できない
- 基本的にLAN内で構築することが前提のシステムであり、WANのような狭帯域の回線が存在すると、問題を起こしやすい。
などである。
これらの問題を解決し、Windowsのドメインシステムを大企業のエンタープライズシステムでも利用できるように大幅な改良を加えたのがActive Directory(以下AD)である。
ADでは、上記の欠点を改善したほか、以下のような特徴を持つ。
- DNSやKerberos認証システム、LDAPの導入など、いわゆる「インターネット系のオープン技術」が大幅に取り入れられている。
- DNSやDCにおいて、複数のマスタサーバが存在する「マルチマスタシステム」が取り入れられている
反面、ADを構築するにはDNSサーバのセットアップが必須となるなど、構築・運用に必要なスキル水準が上昇してしまい、NTドメインほど“お手軽”ではなくなってしまった。そのためかどうかは不明だが、Windows NTのサポートが完全に終了している2006年の時点でも、中小企業をはじめとしてNTドメインは多数残っており、マイクロソフト社はこれらのNTドメインをADに移行することを一つの課題としている。
[編集] ADの構成要素と概念
[編集] ドメイン
ADを構成する中心となる概念であり、ドメインにPCやユーザのアカウント、プリンタなどのネットワーク資源を登録する事によりアカウントやその権限の集中管理を可能とする。また、「グループポリシー」機能によって所属するPCの設定をある程度制御する事も可能である。
ドメインに登録されたユーザは通常、必要に応じて「グループ」に振り分けられた上でグループ単位でのセキュリティ権限設定がなされる。「グループ」を別のグループに所属させる事も可能である。
ドメインを管理する機能を持たされたサーバをドメインコントローラ(Domain controller 以下DC)とよぶ。DCはその性格上、静的IPアドレス(固定のIPアドレス)を割り当てる必要がある。また、ADにはDNSサーバが必須であることから、フォレスト(後述)のルートDC(フォレスト内で最初に作成されるDC)インストール時には、DNSサーバも合わせてインストールする事が多い。 基本的にひとつの「フォレスト」の中に1つDNSサーバがあれば、サブドメインを作成するとき(子DCを作るとき)に作る必要はない。ただし、DCやDNSが1台だけだと障害発生時の復旧がきわめて困難な物になるため、通常はDC、DNS共に2台以上の構成にする事が強く推奨される。
なお、ADを構成するDCはマルチマスタ構成であり、特定のマスタサーバは基本的に存在しない(FSMOなど、マスタが1台でないと問題が多い機能についてはマスタサーバが1台に設定される)。そのため、ユーザアカウントの登録などはどのDCでも可能である。ちなみに、NT4.0までのNTドメインではプライマリ(マスタ)のDCが1台と、セカンダリのDCが1台以上という構成で、ユーザアカウントなどのデータ更新はプライマリのDCでしか行えなかった。
ドメインは階層構造を取る事ができ、あるドメインの下層に作成されたドメインをそのドメインの「サブドメイン」と呼ぶ。ドメインとそのサブドメインとの間には自動的に双方向の信頼関係が結ばれ、サブドメインは上位ドメインが同じである別のサブドメイン、あるいは上位ドメインのさらに上位ドメインとも自動的に信頼関係が結ばれる。つまり、「自ドメイン信頼するドメインが信頼する別のドメインは自分も信頼する」という論理で信頼関係を結ぶ。これを「信頼の推移」と呼ぶ。信頼の推移が行われるドメインは同一フォレスト内のドメインに限られる。
[編集] フォレスト
ドメインの上位概念であり、複数のドメインを含むシステム領域を示す。ADの中で、最も外側の領域の概念であり、同一フォレスト内であればグループの共有や、信頼関係の推移などが行える。
フォレストには名称はつけられないので、例えば「フォレスト間で信頼関係を結ぶ」というようなことは出来ない。「フォレストが異なるドメイン間で信頼関係を結ぶ」ことは出来るが信頼関係の推移は行えないので、従来のNTドメインでの信頼関係と似たような形になる。
[編集] 組織単位
組織単位 (OU; Organizational Unit) とは、ドメインごとにグループ分けしていると、管理が面倒になるような多数のグループが存在するときに有用な管理システムである。例えば経理課、営業課、開発課・・・・・・・といろいろある上、その上には東京支社、大阪支社などのグループ分けが必要な場合、新たにドメインを作成せずに新たなグループを作成することができるため、グループのトップとなるDCを作成する必要が無い。また、OUの下にOUを作成することができるため、かなり細かなグループ分けが可能である。
また、OUごとにグループポリシーが設定でき、「運用課のPCからはコントロールパネルの設定を変更できるようにしたいが、そのほかのPCからは変更できないようにしたい」といった状況にも対応できる。
[編集] サイト
サイトとは、AD内でネットワーク的な位置の違いを区分けするための概念であり、各サイトには1台以上のDCが設置されている必要がある。通常、WANなど狭帯域のネットワークで接続された拠点にそれぞれDCが設置されている場合に設定される。 サイトをまたがってDCのデータを同期する事を「サイトのレプリケーションを行なう」という。サイトのレプリケーションを行なうと、ディレクトリデータベースの設定を他のDCへフィードバックするので、他のDCとまったく同じ設定のDCが作成できる。フィードバックしたDCをレプリケーションパートナーとして設定すると、2つのDCの下にあるPCはDCが保有するデータベースをすべて同じ状態で閲覧できる。設定の変更は定期的にDC間でレプリケーションされる。既定値ではレプリケーション間隔はWindows server 2003の場合、15秒に一回の間隔で行なわれる。
ひとつの地域に複数のDCがあるとき、すべてのDCをサイトとして他の地域とレプリケーションすると、ネットワークに膨大な負荷がかかる。そのためその中のひとつをブリッジヘッドサーバとし、そのDCを頭としたサイトを作成し、そのほかのDCはそのブリッジヘッドサーバに含まれる。ブリッジヘッドサーバは、他の地域からレプリケーションされたものをそのサイト内のすべてのDCへレプリケーションする。そうすることで効率よく最新の状態を確保するのである。
- 例
- 東京にあるDC「wiki」と、大阪にあるDC「pedia」があるとする。二つのDCはレプリケーションパートナーとなっている。
- 東京のDCのドメインに参加しているクライアントを使っている「草薙さん」がブリッジヘッドサーバのグループポリシーを変更すると、定期的に変更が大阪のレプリケーションパートナーにもフィードバックされるため、大阪のブリッジヘッドサーバにも変更が反映されるため、「バトーさん」も同じ状態のグループポリシーで作業ができる。
- 同じように全国のDCをレプリケーションパートナーとして設定すると、東京で変更したディレクトリデータベースが自動的に自分の参加しているDCに反映されるため、東京のサーバへアクセスする必要が無い。また、レプリケーション間隔はDCで設定できる。ここで設定した間隔もすべてのパートナー間でレプリケーションする。
[編集] 関連付け
ADをプリンタや共有フォルダに関連付けた場合、同じツリーに存在するクライアントやサーバに使用させるかどうか選択することができ、多数のクライアントを含む大規模なドメインでは、個々のクライアントに設定する必要がなく、非常に手間が省けて有用といえる。マイネットワークからActive Directoryの検索を選ぶと、関連付けた様々なツールが検索でき、容易に利用できる。
- プリンタ
- プリンタをActive Directoryに公開すると、そのADドメインに参加しているクライアントは容易にそのプリンタを利用できる。
[編集] ADSI
アプリケーションレベルでActive DirectoryへアクセスするAPIがADSI(=Active Directory Service Interface)である。ADSIを用いて構築されたアプリケーションを導入すれば、管理ユーザは改めてアカウントを発行する必要はなく、エンドユーザは従来のWindowsネットワークと同じアカウントでアプリケーションを使用できる。アカウントの一元管理につながり、双方にメリットがある。