第7回 Active Directoryの導入:管理者のためのActive Directory入門(2/2 ページ)
データベースの格納場所の指定
次は、Active Directoryデータベースとログファイル(ディレクトリ・サービスに対するトランザクション・ログ)の格納領域を指定する。デフォルトではシステムがインストールされているフォルダ(%SystemRoot%)の中に「NTDS」というフォルダが作成され、これが利用される。データベース・ファイルとログファイルのドライブを別の物理ディスクに指定することにより、システムのパフォーマンスを上げることができる。
Active Directoryデータベースの格納領域の指定Active Directoryのデータベースやディレクトリ操作に対するトランザクション・ログを記録する場所を指定する。
(1)Active Directoryのオブジェクトを格納するESE(Extensible Storage Engine。JETの後継のデータベース・エンジン。WINSやFRS、Exchangeなど、さまざまな場所で使われている)データベース・ファイルの場所の指定。
(2)Active Directoryデータベースに対するトランザクション・ログファイルの場所の指定。このログには、データベースの追加や削除、変更などのトランザクションが記録される。データベースの場所とは異なるディスク・ドライブにすると、システムのパフォーマンスが向上する。
SYSVOL共有フォルダの場所の指定
次は、ドメイン・コントローラ間で共有されるファイルを格納するSYSVOL共有フォルダの場所を指定する。システムがインストールされているフォルダ(%SystemRoot%)の中に「SYSVOL」というフォルダが作成され、利用される。特別な理由がなければ、混乱を避ける意味でも変更する必要はないだろう。ここで指定した共有フォルダは、FRS(File Replication Service。ファイル複製サービス)によって、ドメイン内のほかのドメイン・コントローラが保持するシステム共有(ほかのドメイン・コントローラのSYSVOLフォルダ)と双方向の複製が自動的に行われる。
この共有フォルダには、グループ・ポリシー・ファイルなどが配置され、ほかのドメイン・コントローラにも複製されるようになっている。またNTドメインで共有フォルダとして利用されていたNETLOGON共有(ログオン時のスクリプトなどが置かれているフォルダ)もこのSYSVOLフォルダ内で共有されるため、下位互換のログオン・スクリプトやシステム・ポリシー・ファイルも自動的にほかのドメイン・コントローラに複製される。Windows NTのBDC(Backup Domain Controller)には複製されないので、混在モードの場合には別途BDCに複製される仕組みを実装しなければならない。
共有フォルダの指定SYSVOL共有フォルダには、ドメインのグループ・ポリシー・ファイルやログオン・スクリプトなどが置かれる。このフォルダは、ドメイン・コントローラ間でFRS(ファイル複製サービス)を使って、複製/共有されている。
互換性のためのアクセス許可の設定
次はユーザーやグループ・オブジェクトに対するアクセス権の設定(互換性のために、Windows NT向けにActive Directoryセキュリティを緩和するかどうか)を設定する。
ドメインのメンバーにWindows NTシステムが存在し、そのサーバでドメインの認証機能を利用する場合には、「Windows 2000以前のサーバと互換性があるアクセス許可」を選択する。例えばWindows NTのRASサーバなどで、Active Directoryに登録されているドメイン・ユーザーを認証するような場合には、この設定が必要である。これを選択すると、ビルトイン・ローカルグループの「Pre-Windows 2000 Compatible Access」グループに「Everyone」グループが追加される。
アクセス許可の設定Windows NTのRASサービスが、Active Directoryオブジェクトにアクセスできるように(Kerberos認証ではなく、Windows NTが使用しているNTLMセキュリティでもアクセスできるように)、Active Directoryセキュリティを緩和するかどうかを決める。詳細はWindows 2000 Server付属のヘルプ・ファイルにある「Windows 2000 ドメインの Windows NT 4.0 リモート アクセス サーバー」の項を参照のこと。
(1)ドメイン内にWindows NTが存在し、その上で動作するプログラムがActive Directory内のオブジェクトにアクセスできるようにするためにはこちらを選択する。
(2)サーバ・プログラムがすべてWindows 2000以降で動作しているなら、(それらのサーバはActive Directoryで使われているKerberos認証でアクセスできるので)こちらを選択する。
復元モード用のAdministratorパスワードの設定
インストール後にディレクトリ・サービスが破損してしまったような場合、ドメイン・コントローラとなっているコンピュータを「ディレクトリ サービス復元モード」で起動する。その際ログオンするAdministrator用のパスワードを設定するのがこの画面である。「ディレクトリ サービス復元モード」では、Active Directoryサービスを停止させた状態でシステムを起動するため、ここで指定するAdministratorはActive DirectoryのAdministratorとは別のユーザー・アカウントとなる。指定したパスワードは忘れないように十分な注意が必要である。
ディレクトリ・サービス復元モードのAdministratorのパスワード設定「ディレクトリ サービス復元モード」でシステムを起動する場合に使用するパスワードの指定。ディレクトリ・サービスのデータが破損してしまったような場合には、システムをこのモードで起動して、重要なシステム・データを復元することができる。
設定内容の確認とインストールの開始
以上でユーザーが設定する項目はすべて終わりである。ウィザードの最後でこれまでに設定したパラメータがまとめて表示されるので、誤りがないかを確認する。ここで誤りを見付けた場合には、「戻る」ボタンをクリックし、設定画面まで戻り再設定を行う。「次へ」ボタンをクリックすると、実際にActive Directoryの構築作業が開始される。
概要の確認ウィザード画面で[次へ]をクリックすると実際のActive Directoryの構成が開始される。追加のドメイン・コントローラとしてインストールした場合には、既存のドメイン・コントローラからのオブジェクトの複製が行われるため、数分〜十数分(場合によってはさらに長く)の時間がかかることになる。
Active Directoryの構成開始最初の1台ならばそう長くはかからないが、2台目以降のドメイン・コントローラの場合は、ほかのドメイン・コントローラからオブジェクトを複製するために、より長い時間がかかる。
Active Directoryのインストールが完了すると、次のようなダイアログが表示される。途中でエラーが発生した場合には、エラーメッセージが表示されるので原因を調べ、対処する。エラーがない場合には、システムを再起動すると、Active Directoryサービスがすでに動作しているはずである。
Active Directoryインストールの完了以上でActive Directoryインストールはすべて完了である。[完了]をクリックしてシステムを再起動すると、Active Directoryが稼働しているはずである。また、デフォルトのサイトとして「Default-First-Site-Name」が作成されている。
以上で、Active Directoryのインストール作業は一通り終了である。だが、このあとにActive Directoryオブジェクトの追加作業をしなければ、せっかくインストールしたActive Directoryの能力を十分に発揮させることはできない。ユーザー・アカウントやグループ・アカウントを作成する必要があるし、拠点が複数ある場合などは、さらにサイトを構成する必要もある。また、これらのオブジェクトを管理するために組織単位(OU)構造の設計も必要になるだろう。導入後のOUの構成上の注意事項などについては次回で解説する。
「運用」
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。