「サイト(site)」は組織内の物理的なネットワーク接続を示すためのオブジェクトである。具体的には、ディレクトリ・データベースの複製トラフィックと、認証トラフィックを最適化(複製間隔を制御したり、複製データを圧縮したり)するために導入された。WAN回線で結ばれた複数の拠点に分かれているようなネットワークの場合には、それぞれの拠点ごとに別のサイトになるように定義するとよい。複数の拠点を1つのサイトにしてしまうと、認証などに必要な拠点間でのネットワーク・トラフィックが非常に多くなってしまうが、複数のサイトに分けておくと、サイト間のトラフィックは自動的に最適化され、ネットワーク・トラフィックを抑えることができる。
各サイトは、高速で安定した通信が可能な、1つの物理的/論理的なネットワークの範囲として構成する。一般的にはLAN環境(高速なLAN回線で相互に接続されているひとまとまりのネットワーク環境)を1サイトとすることが多い。サイトには、1つ以上のIPサブネットを割り当てる。つまり、同一サブネット内であれば、高速で安定した通信が可能だという前提で考えられている(VPN技術などを使えば拠点をまたぐような同一サブネットを構築することも可能だが、そのようなことはせずに、拠点ごとに異なるサブネットにする方がよい)。LANの内部で複数のサブネットを利用している場合は、1つのサイトに複数のIPサブネットを割り当てることもできる(複数のサブネットをすべてまとめて1つのサイトにすることもできる)。
サイトを構成すると、以下の2種類のネットワーク・トラフィックを制御できる。
サイトを構成していない場合には、クライアントからのログオン認証が(ネットワーク的に)近くにあるDCで行われるという保証がないし、DC間の複製データも圧縮されないため、WANトラフィックを抑制することができない。そのため、ほかの通信でWAN回線を利用するサービスの応答が遅くなるなどの影響が出ることがある。
サイト間の複製をどのDCと行うかはISTG(Inter-Site Topology Generator)というコンポーネントが決定する。Windows 2000 ServerまでのISTGは複製相手を生成するアルゴリズムに問題があり、サイト数が約200を超える場合、必要な時間内に複製相手の生成ができなくなるという問題がある。200以上のサイトを構成する必要がある環境は大企業でも少ないため、あまり影響はないかもしれないが、Windows Server 2003のActive DirectoryではISTGアルゴリズムが改善され、サイト数が200を超えた場合でも処理が短時間で終了するように改善されている。
Windows 2000のActive Directoryドメインには、「ネイティブ・モード(native mode)」と「混在モード(mixed mode)」という2種類のドメインの動作モードがある。
ネイティブ・モードは、ドメインに参加しているDCが、すべてWindows 2000のDCで構成されたドメインの場合に設定できる(逆に言えば、Windows NTのDCが存在する場合は、このモードにはできない)。ネイティブ・モードでは、Active Directoryのすべての機能がサポートされる。
一方「混在モード」は、機能の一部に制限がある代わりに、Windows NTのBDCの混在をサポートする。これにより、NTドメインからActive Directoryドメインに移行した場合でも、いままで使っていたBDCをそのまま利用できる。ドメイン内のDCに1台以上のWindows NT BDCが存在する場合は、混在モードで運用しなければならない。混在モードの場合、Active DirectoryのDCは、Windows NTのBDCにもディレクトリ・データベースの内容を複製する必要がある(Windows NTのBDCもドメインのユーザー認証処理を担うため、データベース上にユーザー情報が必要である)。そのため複製データには、Windows NTのBDCが理解できるものしか含めることができない。
Active Directoryのデフォルトのドメイン・モードは混在モードである。管理者がActive Directoryインストール後にドメイン・モードを変更しない限り、そのドメインは混在モードで運用される。前述したとおり、混在モードではWindows NTのBDCを追加することが可能だが、Windows 2000 Active Directoryのすべての機能は使えない。
モードの変更は簡単に行えるが、その意味は非常に重要であるため、慎重に行う必要がある。もしドメイン内にNTのBDCが存在するのにネイティブ・モードに変更してしまうと、その後NTのBDCにはディレクトリ・データベースの変更が複製されなくなる。しかも、モード変更時にNT BDCの有無は検査されない。ディレクトリ・データベースの複製がされないと、新規ユーザーの認証はできないし、削除されたユーザーもNTのBDC上に残ってしまう。Active DirectoryとNTドメインの違いについては、連載第2回「Active Directoryによるディレクトリ管理―2. Active Directoryの改善」を参照してほしい。
Copyright© Digital Advantage Corp. All Rights Reserved.