Active Directoryドメインには、「ネイティブ・モード(native mode)」と「混在モード(mixed mode)」という2種類のドメインの動作モードがある。
「ネイティブ・モード」は、ドメインに参加しているドメイン・コントローラが、すべてWindows 2000のドメイン・コントローラで構成されたドメインの場合に設定できる(逆にいえば、Windows NTのドメイン・コントローラが存在する場合は、このモードにすることはできない)。ネイティブ・モードではActive Directoryのすべての機能がサポートされる。
一方「混在モード」は、機能の一部に制限がある代わりに、Windows NT 4.0のBDC(バックアップ・ドメイン・コントローラ)の混在をサポートする。これにより、NTドメインからActive Directoryドメインに移行した場合でも、いままで使っていたBDCをそのまま利用できる。ドメイン内のドメイン・コントローラに1台以上のNT BDCが存在する場合は、混在モードで運用しなければならない。混在モードの場合、Active Directoryのドメイン・コントローラは、NTのBDCにもディレクトリ・データベースの内容を複製する必要がある(Windows NTのBDCもドメインのユーザー認証処理を担うため、データベース上にユーザー情報が必要である)。そのため複製データには、Windows NTのBDCが理解できるものしか含めることができない。
Active Directoryのデフォルトのドメイン・モードは混在モードである。管理者がActive Directoryインストール後にドメイン・モードを変更しない限り、そのドメインは混在モードで運用される。前述したとおり、混在モードではWindows NT 4.0のBDCを追加することが可能だが、Windows 2000 Active Directoryのすべての機能は使えない。
モードの変更は簡単に行えるが、その意味は非常に重要であるため、慎重に行う必要がある。もしドメイン内にNTのBDCが存在するのにネイティブ・モードに変更してしまうと、その後NTのBDCにはディレクトリ・データベースの変更が複製されなくなる。しかも、モード変更時にNT BDCの有無は検査されない。ディレクトリ・データベースの複製がされないと、新規ユーザーの認証はできないし、削除されたユーザーもNTのBDC上に残ってしまう。Active DirectoryとNTドメインの違いについては、連載第2回「Active Directoryによるディレクトリ管理―3.Active Directoryによる改善」を参照してほしい。
「Active Directory統合ゾーン」は、Windows 2000のDNSサーバにおけるゾーンの管理タイプの一種である。Active Directory統合ゾーンは、ドメイン・コントローラとDNSサーバを同一のコンピュータで構成することにより提供される機能である。つまりゾーンの管理タイプの一種ではあるが、Active Directoryを構築していないと利用できない。Windows 2000のDNSサービスでは、3つのゾーン・タイプがサポートされている。1つは「標準プライマリ・ゾーン」であり、マスタのゾーン・ファイルを管理する役割になる。2つ目が「標準セカンダリ・ゾーン」である。これはプライマリ・ゾーンからのゾーン・ファイルの複製を保持する。セカンダリ・ゾーンはフォールト・トレランス(耐障害性)や負荷分散を実現するために構成する。ただし、セカンダリ・ゾーンではレコードの追加や編集はできない。
そのため標準プライマリと標準セカンダリで構成されたDNSゾーンの管理は必ず標準プライマリ・ゾーンに対して行う必要がある。
これらに対して「Active Directory統合ゾーン」では、ゾーン情報をActive Directoryデータベースのオブジェクトとして保持する。Active Directoryデータベースはすべてのドメイン・コントローラで登録、編集が可能であるためプライマリ・ゾーンが複数存在するのと同じ構成となる。
また、ゾーン転送もActive Directoryの複製処理に任せることができる。Active Directory統合ゾーンでは、ゾーンに対する動的更新をセキュリティで保護することもできる。ただし、DNSサーバがActive Directoryデータベースを保持するドメイン・コントローラでないと「Active Directory統合」は選択できない。
Active Directory統合ゾーンを構成したい場合には、ドメイン・コントローラがDNSサーバになる必要がある。また組織内にBIND(UNIXやLinux OSで広く使われているDNSサーバ・ソフトウェア。BINDについてはLinux Square内の「BINDで作るDNSサーバ」などを参照)やNT4.0のDNSサーバが存在する場合でも、Active Directory統合ゾーンはプライマリ・ゾーンの役割を担うことができる。
Kerberos Version 5 は、Active Directoryで利用している認証プロトコルである。KerberosはMIT(マサチューセッツ工科大学)のアテナプロジェクトにより開発された。現在ではRFC1510として標準化されており、アルゴリズムが公開されているため、多くの人々により安全性が検証されている。Kerberos認証プロトコルが利用されるのは、Active DirectoryドメインにWindows 2000/XPクライアントからログオンするときのみである。Windows NTやWindows 95/98クライアントからは、従来通りのNTLM認証(Windows NT LAN Manager認証)が利用される。
「運用」
Copyright© Digital Advantage Corp. All Rights Reserved.