ADを理解するために、知っておきたい基礎用語集。後編となる今回は、ドメイン機能レベル、DNSなどを解説。
本稿は、Windows 2000 Serverを対象として、2002年9月より連載を開始した「管理者のためのActive Directory入門」を元に、Windows Server 2003向けの情報を追加し、改訂したものです。以前の連載は、以下のリンクから参照できます。
  ・管理者のためのActive Directory入門
今回も前回に引き続き、Active Directory関連の重要な用語について解説する。
「LDAP(Lightweight Directory Access Protocol)」は、RFC2251(およびその更新版であるRFC3377、RFC3771)で定義されている、X.500準拠のディレクトリ・サービスにアクセスするためのプロトコルである。Active Directoryでは、ディレクトリ情報の検索や更新の際にLDAPが使われている。X.500ディレクトリ・サービスで定義されるDAP(Directory Access Protocol)は複雑であったため、DAPをベースにして軽量化したLDAPがディレクトリ・サービス・プロトコルの標準となっている(「軽量」とは、仕組みが簡単で、プロトコルを利用したり実装したりする手間が少なくて済むという意味)。LDAPはプラットフォーム依存ではないので、LDAPを使ってLinuxクライアントがActive Directoryを参照することも可能である。
「グローバル・カタログ(Global Catalog:GC)」とは、フォレスト内の全ドメインの全オブジェクトから、利用頻度の高い属性のみを抽出したものである。デフォルトではユーザー名やログオン名など、検索で利用される頻度が高い属性がグローバル・カタログに複製され、保存されている。グローバル・カタログを使うと、異なるドメインのオブジェクトでもフォレストが同じであれば、一括して検索できるという利点がある。
複数ドメインを含むフォレストに1つのグローバル・カタログ・サーバを設定した場合、オブジェクトは次のような状態で保持される。
グローバル・カタログは、フォレスト内のグローバル・カタログ・サーバが保持する。グローバル・カタログ・サーバはドメイン・コントローラ(以下DC)の役割の1つであり、デフォルトではフォレストに最初にインストールされたDCがこの役割を担当することになっている。2台目以降のDCは自動的にはグローバル・カタログ・サーバにはならないため、複数のグローバル・カタログ・サーバを用意したい場合には、管理者が手動で設定を行う必要がある(ただしグローバル・カタログ・サーバにするコンピュータは、必ずDCでなければならない)。実際の設定作業は、管理ツール「Active Directoryサイトとサービス」を使って行う。
グローバル・カタログ・サーバは、ログオン時の所属グループの確認や、オブジェクト検索に利用される。Active Directoryは、一部の例外を除き、グローバル・カタログが利用できないとログオンできないという仕様なので、フォールト・トレランス(耐障害性)を確保するためにも、2台以上のグローバル・カタログ・サーバを設置するべきである。もっとも、あまりグローバル・カタログ・サーバの台数を増やしすぎると、グローバル・カタログ・サーバ間での複製のためのネットワーク・トラフィックが大きくなるので、サイトごとに1台程度を目安にしておけばよいだろう。(フォレストがシングル・ドメインの場合には、すべてのDCは全データを持っているので、全DCをグローバル・カタログ・サーバに設定してもネットワーク・トラフィックへの影響は無い)
同一ドメイン内のDCは、同じデータベースを共有・保持し、基本的にはDCの役割は対等である。しかし、複数のコンピュータで処理すると不整合が発生する可能性がある処理や、効率の悪い処理については1台のDCが専任で処理する。そのような特別な役割(担当)を持っているDCのことを「操作マスタ(FSMO:Flexible Single Master Operation)」と呼ぶ。なお、操作マスタは役割であり、保持するデータベースの内容が異なるわけではない。
操作マスタが担う機能は全部で5種類ある。
関連リンク
Copyright© Digital Advantage Corp. All Rights Reserved.