Active Directoryを運用する際に、ぜひ知っておきたい用語について解説。ドメイン/ツリー/フォレスト/信頼関係/スキーマ。
本稿は、Windows 2000 Serverを対象とした連載です。Windows Server 2003向けの連載は以下のリンクから参照できます。
今回と次回の2回では、Active Directoryの実際の導入に入る前に、ぜひ知っておきたい重要な用語について解説しておく。Active Directoryを構築するときに注意すべきポイントも記しておいたので、実際に導入する場合にも参考にしていただきたい。
Active Directoryの論理構造の基本単位を「ドメイン(domain。領域とか範囲という意味)」という。ドメインの基本概念はWindows NTの場合と大きな違いはない。つまり「同じディレクトリ・データベースを共有する範囲」である。言い換えると、同じドメインのすべてのサーバは、そのドメインのユーザーを正しく識別し、そのサーバが持つリソースへのアクセスを提供することができる。
ドメインには共通の「セキュリティ・ポリシー」が設定される。セキュリティ・ポリシーとは、例えばユーザーのパスワードの文字数(文字数が少ないとパスワードが破られやすいので、ある文字数以上に強制する)や変更禁止期間(変更禁止期間がないと、ユーザーがすぐに元のパスワードに戻せてしまうため、変更を強制する意味がなくなってしまう)、最大有効期間(同じパスワードを長く使い続けるのは望ましくないので、ある期間ごとにパスワードの変更を強制する)などの原則となる「ルール」のことである。これらのポリシーは、ドメイン単位でしか設定できないため、ドメインの範囲はセキュリティの境界ともいえる。
Active Directoryのディレクトリ・データベースを管理するサーバを「ドメイン・コントローラ(domain controller)」と呼ぶ。Active Directoryドメインをインストールする場合、1台以上のドメイン・コントローラが必要となる。Active Directoryのドメイン・コントローラにはWindows 2000 Server以上(もしくはWindows .NET Server以上)が動作するコンピュータが必要だ(Windows 2000 ProfessionalやWindows XP Professional/Home Editionはドメイン・コントローラにはなれない)。
ドメイン・コントローラの最大の目的は「認可(Authorize)」と「認証(Authentication)」を行うことである。認可とは、ユーザーとコンピュータをディレクトリ・データベースに登録する作業であり、認証とは、そのデータベースに基づいて正当な利用者かどうかを判定する作業である。認可されたユーザーが、認証を受けて、初めてドメイン内のリソースを利用できるようになる。これをつかさどるのがドメイン・コントローラの役目である。
Active Directoryドメインは、ただ1台のドメイン・コントローラがあれば構築できるが、複数台のドメイン・コントローラがあれば、フォールト・トレランス(耐障害性。システムの一部に障害が発生しても、処理を続けることができる機能や性能のこと)や負荷分散が実現できる。通常は、最低でも2台、できればネットワークの拠点ごとに1台以上のドメイン・コントローラを配置しておきたい。ドメイン・コントローラは、ログオン時やサーバへのアクセス時など、ひんぱんに利用されるからだ。なお複数のドメイン・コントローラがある場合、ドメイン・コントローラが持っているディレクトリ・データベースは、自動的にほかのドメイン・コントローラへ複製されるようになっている。
「ドメイン・ツリー」とは、連続した名前空間を共有しているActive Directoryドメインの階層構造を意味している。Active Directoryのドメイン階層はDNSの名前階層を流用するため、DNSの規則に従って階層を構成する。つまり、子ドメインは親ドメインの名前を継承する。このとき、ツリーに参加するすべてのドメイン間には双方向の推移する信頼関係が結ばれる。
なお、実際にドメイン・ツリーを作成する場合は、必ずツリーの末端にドメインを追加する必要がある。親(上位)ドメインを後から追加することはできない。
「フォレスト(forest。森という意味)」は1つ以上のツリーで構成された、Active Directoryにおける最も大きな管理単位である。組織内に異なる名前空間にしたいドメイン・ツリーが複数あり、それぞれのドメイン・ツリーから別ツリーのドメインの資源にアクセスするには、ドメイン間に信頼関係を結ぶ必要がある。しかしそれぞれのドメイン・ツリーのルート・ドメインが同じフォレストに参加するようにインストールすれば、双方向に推移する信頼関係が結ばれる(単一フォレスト複数ツリー)。そのため、ユーザーはフォレストに参加するすべてのドメインの資源へアクセスが提供されるようになる。
新規にActive Directoryをインストールすると、フォレストが1つ構成されたことになり、1台目のドメイン・コントローラは“フォレスト・ルート・ドメイン”を構成する。フォレスト・ルート・ドメインは、Active Directoryデータベースの初期値を生成する非常に重要なドメインであり、それ以降にインストールするドメインはすべてフォレスト・ルート・ドメインを基準に構成される。フォレストには特別な名前はない。単一ツリーなら、ツリーの最上位のドメインがフォレスト・ルート・ドメインであることは明確だが、複数のツリーがある場合、フォレスト・ルート・ドメインの判別は難しい。簡単な判別法としては、Enterprise Adminsグループが登録されたドメインを探せばよい。このグループを持つドメインがフォレスト・ルート・ドメインである。
Active Directoryの操作範囲はフォレスト内に限られるため、可能な限り単一フォレストで運用すべきである。例えばフォレストを分けてActive Directoryを構成すると、グローバル・カタログ(GC。後編で解説)も分かれてしまい、組織全体の検索ができなくなってしまう。後からフォレストを結合することもできないため、Active Directoryフォレストの設計は非常に重要な作業となる。
関連リンク:
Copyright© Digital Advantage Corp. All Rights Reserved.