Windows Server 2003 導入実践特集（2）

　Windowsネットワークの強みの1つは、手軽にネットワークを構築できることだろう。全社的な手続きを踏まなくとも、部門や部署など小規模なレベルでPCサーバーを購入し、Windows OSをインストールしてネットワーク接続すれば、ファイル・サーバーやプリント・サーバーとして利用できるようになる。事実、このようにして企業に普及したWindows NT Server 4.0（以下NT Server 4.0）は多い。

　こうして導入されたNT Server 4.0搭載サーバーが、いくつかの理由からリプレース時期を迎えている。1つは、マイクロソフトの製品ライフサイクル・ポリシーにより、Windows NT Server 4.0のサポートが段階的に終了し、修正プログラムの提供などが終了すること、もう1つはサーバーの導入時期から考えて、ハードウェアの陳腐化やリースアップの時期を迎えていることだ。

　NT Server 4.0を利用している管理者の多くは、Windows 2000やWindows Server 2003への移行を検討しており、一部ではスムーズな移行を果たしている例もあるが、実際には、移行を阻む技術的な制約や企業環境の問題など、さまざまな障壁が管理者の前に立ちはだかっているようである。これらの現状については、Windows Server Insiderのインタビュー記事「Windows NT 4.0 Serverマイグレーションの現状と問題点」が参考になるだろう。

　この記事にあるとおり、Windows Server 2003への移行では、現状のNTドメインから、より高機能なディレクトリ・サービスであるActive Directoryへ移行することになる。Active Directoryに移行すると、より洗練されたネットワーク・リソースの集中管理が可能になり、ネットワークのセキュリティ・レベルの向上やTCO削減が期待できる。それは分かっていても、単純なファイル共有／プリンタ共有用としてNT Server 4.0を利用しており、現状で運用に困っていない場合には、Active Directoryへの移行によって得られるものよりも、移行にかかる負担ばかりが目立ってしまうという事情がある。

　しかし、Windowsプラットフォームを利用するのであれば、NT Server 4.0からWindows Server 2003へのマイグレーションは、実行するかどうかの問題ではなく、いつ実行するのかという問題だといってよいだろう。

管理者の悩み

　しかしこの「Active Directoryは面倒ばかりで得るところが少ない」という先入観は間違っている。これを実感するために、本稿では、企業ネットワークが直面している数々の深刻な問題に対し、Active Directoryがどのような解決策を与えてくれるのかを再確認しよう。

　2003年8月、Blasterワームが急速に感染を広げた（Blasterワームの詳細はWindows Server Insiderの別稿「ネットワーク管理者のためのBlasterワーム対策」を参照）。ネットワーク管理者の中には、お盆休みを返上して、Blaster対策に追われたという人もいたようだ。

　このBlasterワームは、被害が広がるおよそ1カ月前の7月17日に情報公開と修正プログラム提供がなされたWindowsのセキュリティ・ホール（MS03-026）を攻撃して感染を広げた。つまり、早期に修正プログラムを適用していれば、Blasterワームに感染することはなかったのだ。

◎セキュリティ強化の前提となるネットワークの集中管理

　このBlasterワームの事件を契機にして、ネットワーク・セキュリティへの認識を新たにした企業は少なくない。Blasterワームは、たとえ感染しても、コンピュータが強制的にシャットダウンされたり、大量のネットワーク・トラフィックによりネットワークがダウンしたりする愉快犯的なもので、システムが破壊されたり、情報が漏えいしたりするわけではなかった。しかし次は何が起こるか分からない。不正な攻撃からネットワークを守るために、あるいは攻撃を受けたとしても、状況を素早く分析して被害を最小限にとどめるために、管理者はネットワーク全体を掌握しておかなければならない。現実問題として、多数のクライアントPCを個別に管理するのは不可能である。従って、複数のクライアントPCを集中的に管理し、必要があれば、設定を一括して実施できる環境が不可欠である。Active Directoryでは、グループ・ポリシーと呼ばれる集中管理機構を利用することでこれが可能になる。

◎Software Update Servicesを利用した修正プログラムの適用

　ネットワーク上の全システムに対してもれなく修正プログラムを適用することは、管理者にとって頭の痛い問題である。個人ユーザーなら、Windows Updateを利用すればよいが、一般的な企業では各ユーザーにWindows Updateを使わせるのは難しい。Windows Updateでは、これを実行するユーザーにローカル・コンピュータの管理者権限が必要になるからだ。これに対しマイクロソフトは、企業ユーザー向けにSUS（Software Update Services）と呼ばれるソフトウェアを無償公開している。SUSは、Windows Updateの自動更新機能を社内に設置したサーバーから利用可能にする仕組みで、このサーバーを管理することで、修正プログラム管理を集中的に行うことができる（SUSの詳細は別稿「Windows Server Insider：「Microsoft Software Update Servicesの実力を探る」を参照されたい）。

SUSを利用した修正プログラムの管理

　SUSでは、見かけ上、サーバー側（図の「SUS配布サーバー」）を管理することで、クライアント側への修正プログラム適用を制御できる。しかし実際には、グループ・ポリシーの機能とWindows Updateの自動更新機能を組み合わせて、サーバー上に置かれた修正プログラムをクライアントからダウンロードしにいくようになっている（クライアント側から修正プログラムを取りにいくので、プル型と呼ばれる）。従ってSUSを利用するには、グループ・ポリシーが利用できるActive Directory環境が前提になる。

◎セキュリティ・ポリシーによる集中的なセキュリティ管理

　Active Directoryのグループ・ポリシー機能により、さまざまなセキュリティ設定（パスワードの長さや有効期間、レジストリのアクセス権限設定など）をドメイン全体に一貫して適用し管理できるようになる。この際には、コンピュータの用途別に用意されたセキュリティ・テンプレートと呼ばれる設定のセットを必要に応じてカスタマイズして利用できる。テンプレートとしては、クライアント向けやサーバー向け、ドメイン・コントローラ向けなどの種類がある。多岐にわたるセキュリティ設定をすべてマニュアルで実行するのは骨の折れる作業だが、これらのテンプレートを利用すれば、効率よく確実なセキュリティ管理が可能になる。

◎シングル・サインオンによるパスワードの集中管理

　読者の職場では、パスワードを記入した付箋（ふせん）をディスプレイに貼っている人はいないだろうか。セキュリティという意味では言語道断な所業であるが、ユーザーが覚えておかなければならないユーザー名／パスワードがいくつもあると、メモを貼り付けておきたくなる気持ちは分かる。NT 4ドメインが勝手気ままに乱立した状態で、ドメイン同士の信頼関係なども整理されておらず、1人のユーザーがいくつものドメインに個別にログオンしなければならない状態では、こうなってしまうだろう。

　このようにドメインが乱立した状態では、管理者の手間も増える。組織変更などでユーザーの追加や移動を行う場合、いくつものドメインに対して作業を繰り返し実行しなければならないからだ。

　この点Active Directoryでは、アカウントを1つに統合し、Active Directoryにさえログオンすれば、全ネットワークの資源にどこからでもアクセスできるようになる。管理者によるユーザーの追加や移動は、Active Directoryに対して1度だけ実施すればよい。このようにアカウントが統合されると、共有フォルダばかりでなく、業務アプリケーションやデータベースなどのユーザー認証にも統一的なアカウントを使えるので、管理の手間を省くと同時に、トラブル時の調査なども単純化されるという利点がある。

　管理コストの軽減は、多くの管理者にとって最大の関心事である。当然ながら、より少ない工数で多数のクライアントを管理するコツは、1つの作業で管理できるクライアントの数をできるだけ増やすことだ。つまり、多くのクライアントを一元的に管理できるかどうかということである。

　この問題に対し、Active Directoryのグループ・ポリシーを利用すれば、複数のコンピュータからなるグループに対し、さまざまな設定を一括して適用できるようになる。しかもこのグループ・ポリシーは、OU（Organizational Unit：組織単位）と呼ばれる単位で適用が可能であり、OUを階層的に構成することで、上位のOUから下位のOUにポリシーを継承させることができる。

　グループ・ポリシーで可能になるのは、クライアントの設定変更ばかりではない。これにより、例えば「マイ ドキュメント」フォルダをネットワーク・フォルダにリダイレクトし、どのコンピュータからでも同じ「マイ ドキュメント」を使えるようにしたり、コンピュータの起動時やユーザーのログオン時に特定のアプリケーションをインストールするようにしたり、ユーザーによるコンピュータの設定変更の禁止、ユーザーによるアプリケーションのインストールの禁止などを行うこともできる。これにより、ユーザーによる誤操作、不用意な操作によるトラブルを未然に防止できるようになる。

　グループ・ポリシー自体は、Windows 2000のActive Directoryでも利用できた。しかしWindows 2000のグループ・ポリシー管理では、グループ・ポリシーの設計時に複数のグループ・ポリシーの適用結果をシミュレートできないという課題があったことも事実である（実際にコンピュータにポリシーを適用してみるしかなかった）。

　これに対し、Windows Server 2003のグループ・ポリシー管理は、グループ・ポリシー設定や運用管理を支援する強力なツールを提供している。このうちの1つが、複数のグループ・ポリシーの適用結果をシミュレートし、グループ・ポリシーの運用やトラブル・シュートを可能にする「ポリシーの結果セット」（RSoP：Resultant Set of Policy）である。

ポリシーの結果セット（RSoP） （クリックすると拡大します）

　もう1つは、グループ・ポリシー管理用のグラフィカル・ユーザー・インターフェイスを提供するグループ・ポリシー管理コンソール（GPMC：Group Policy Management Console）だ。これはMMCスナップインをベースにした拡張型アプリケーションで、マウスによるドラッグ＆ドロップ操作なども可能なグループ・ポリシーのグラフィカル・ツールだ。このGPMCにより、グループ・ポリシーのバックアップ／レストア、インポート／エクスポートなどが可能になる。また、GPMCの機能をスクリプトから利用することもでき、独自の管理スクリプトを作成することもできる。前出のポリシーの結果セットと統合することも可能である。なおこのGPMCは、Windows 2000 Serverでも利用可能だが、利用にあたってはWindows Server 2003のライセンスが必要である。

グループ・ポリシー管理コンソール

　以上、Windows Server 2003のActive Directoryがもたらす数々のメリットについて説明してきた。多少のハードルはあったにせよ、NT 4ドメインからActive Directoryへの移行により、ネットワークのセキュリティ・レベルが向上するとともに、管理コストは低減する。一般に集中管理によって得られる効果は、ネットワークの規模が大きくなるほど高くなる。それでは小規模な環境ではActive Directoryのメリットがないかといえば、もちろんそんなことはない。まず、集中管理によるセキュリティ・レベルの向上は、ネットワークの規模によらず今後の企業ネットワークにとって不可欠の要素である。

　また、インターネット・テクノロジの急速な普及によって、ビジネスにおけるコンピューティングが大きく様変わりしたように、今後も次々と登場する新しいコンピューティング・テクノロジによって、コンピュータ・ネットワークはますます進化するだろう。例えばその1つとして、Webサービス・テクノロジをベースとするアプリケーション連携が挙げられる。今後のコンピューティングは、単体のコンピュータ中心ではなく、ネットワークをインフラとして、複数のコンピュータやアプリケーションが有機的に連携する時代に突入する。このときには、企業規模とは無関係に、正しく組織化、管理され、必要なら共通のインターフェイスで社外とコミュニケーション可能なネットワークが求められるようになるはずだ。

　この流れに従って、今後マイクロソフトは、ネットワークとActive Directoryを前提として、次世代のコンピューティングを支援するためのミドルウェアを続々と発表する予定だ。

Exchange Server 2003
例えば、先ごろ製品版の発売が開始されたメッセージング・システムのExchange Server 2003では、モバイル・アクセス機能やセキュリティ機能などが既存のExchange Server 2000から改善される。Exchange Server（2000および2003）は、Active Directoryとの統合を前提として、Active Directory上で管理されるユーザー情報を利用し、メッセージング・サービスを提供するミドルウェアである。

Microsoft Identity Integration Server 2003
現実の企業ネットワークは、歴史的な経緯により、さまざまなテクノロジ（Active DirectoryやLDAP、Lotus Notesなど）のディレクトリ・サービスが混在していることも珍しくない。これら複数のディレクトリ・サービスを統合して一元管理を可能にするメタディレクトリ・サービスとして、マイクロソフトはMicrosoft Identity Integration Server 2003（MIIS 2003）を開発中だ。MIIS 2003の登場により、複数のディレクトリ・サービスを含む大規模なネットワークの管理が容易になるだろう（メタディレクトリとMIIS 2003の詳細については、別稿「Windows Server Insider：「Windowsメタディレクトリ入門」」を参照されたい）。

Systems Management Server 2003
Systems Management Serverは、マイクロソフトが提供するシステム管理ソフトウェアで、多数のコンピュータからなるネットワークの管理を効率化し、その結果としてTCO削減を実現する。最新版となるSystems Management Server 2003（SMS 2003）は、まもなく発表される予定だ。SMS 2003では、ソフトウェアの展開やインベントリの監視、リモートでのトラブルシューティングなどといったSMSの基本機能が拡張されるとともに、モバイル・サポートが大幅に強化される。SMS 2003では、Active Directoryと連携し、Active Directoryが管理する対象（OUやユーザー・グループ、マシン・グループなど）を単位にソフトウェアを展開するなどが可能である。

Windows Rights Management Services
現状のコンピュータ・ネットワークにおいて企業の情報漏えいという問題は、もっぱら利用者のモラルに頼っているといっていい危険な状態である。ファイルのアクセス権管理などはできても、現状では、ファイルを開いた後の操作をユーザーによって制限するなどは不可能だ。これに対し、ユーザーの権限レベルに応じて、ファイル内容の表示や印刷、クリップボードへのコピーなどを細かく制御可能にするのがWindows Right Management Services（RMS）である。これによりあるユーザーは、ディスプレイへのファイルの表示は許可されるが、印刷はできないなどの制限を加えられる。こうしたRMSにおける制限の設定は、Active Directoryのユーザーやユーザー・グループなど連携して管理されることになる（Windows Rights Management Services の詳細は別稿「Windows Server Insider：企業の機密情報管理に新時代をもたらすWindows Server 2003のRMテクノロジ」を参照）。

　高度なアプリケーション連携が常識化する次世代ネットワークの到来は目前に迫っている。しかしこの新時代のネットワークを追い風として、ビジネスの競争力を高めるには、ネットワークを中央で正しく管理し、コンピュータ・ウイルスやワームなどの攻撃からシステムを確実に守ると同時に、少ない管理コストで最大限の価値を情報システムに付与できる体制を整えなければならない。この第一歩は、Active Directoryに移行することだ。

　幸いWindows Server 2003のActive Directoryでは、ドメイン名の変更やフォレスト信頼など、柔軟にディレクトリ構成を変更することが可能になった。だからといって無計画なディレクトリ設計は慎まなければならないが、Windows 2000のそれに比較すれば、後々の構成変更が容易になり、Active Directory導入の敷居は低くなったといってよいだろう。

［参考リンク］
●Windows Server Insider：「NTドメインからActive Directoryドメインへの移行」