Windows Server 2003のActive Directoryでは、「ドメイン・モード」が「機能レベル」となった。機能レベルには「ドメイン機能レベル」と「フォレスト機能レベル」があり、Windows 2000までのドメイン・モードと同じようにドメイン内にどのバージョンのDCが存在し、どの機能まで実行できるのかを指し示す。Windows 2000の時代にはDCとして参加できるバージョンはNTとWindows 2000の2種類しか存在しなかったが、Windows Server 2003では1種類増えたため、利用できる機能の範囲も少し複雑になる。「ドメイン機能レベル」は次の4種類がある。
●Windows 2000混在
●Windows 2000ネイティブ
●Windows Server 2003中間
●Windows Server 2003
また、ドメイン単位の機能レベルのほかに、Windows Server 2003からは、フォレスト単位で使用する機能もあるため、フォレスト機能レベルという設定も存在する。Windows Server 2003のActive Directoryがサポートするフォレスト機能レベルは次の3種類である。設定できるフォレストの機能レベルは、フォレスト内のドメインの機能レベルに依存する。
●Windows 2000
●Windows Server 2003中間
●Windows Server 2003
なお、各機能レベルで利用できる機能は、Windows Server 2003のヘルプや以下のサポート技術情報で確認できる。
Windows 2000/2003のDNSサービスでは、「標準プライマリ・ゾーン」「標準セカンダリ・ゾーン」「Active Directory統合ゾーン」という、3つのゾーン・タイプがサポートされている。
標準プライマリ・ゾーンは、マスタのゾーン・ファイルを管理する役割を持つ。標準セカンダリ・ゾーンは、マスタ・ゾーンからのゾーン・ファイルの複製を保持する。セカンダリ・ゾーンはフォールト・トレランス(耐障害性)や負荷分散を実現するために構成する。ただし、セカンダリ・ゾーンではレコードの追加や編集はできない。
そのため標準プライマリと標準セカンダリで構成されたDNSゾーンの管理は必ず標準プライマリ・ゾーンに対して行う必要がある。
3つ目のタイプであるActive Directory統合ゾーンは、DCとDNSサーバを同一のコンピュータで構成することにより提供される機能である。つまりゾーンの管理タイプの一種ではあるが、Active Directoryを構築していないと利用できない。Active Directory統合ゾーンでは、ゾーン情報をActive Directoryデータベースのオブジェクトとして保持する。Active DirectoryデータベースはすべてのDCで登録、編集が可能であるためプライマリ・ゾーンが複数存在するのと同じ構成となる。
また、ゾーン転送もActive Directoryの複製処理に任せることができる。Active Directory統合ゾーンでは、ゾーンに対する動的更新をセキュリティで保護することもできる。ただし、Active Directory統合ゾーンはドメイン・モードがネイティブ・モード時のみ設定可能である。
Active Directory統合ゾーンを構成したい場合には、DCがDNSサーバになる必要がある。また組織内にBINDやNT 4.0などのセカンダリDNSサーバが存在する場合でも、Active Directory統合ゾーンはプライマリ・ゾーンの役割を担うことができる。
Windows Server 2003のDNSサービスでは、GUIが一部変更され、Active Directory統合ゾーンというラジオ・ボタンはなくなっている。そしてプライマリ・ゾーンかスタブ・ゾーンを選択した場合には、Active Directory統合のチェック・ボックスの選択ができるようになる。
Kerberos Version 5は、Active Directoryで利用される認証プロトコルである。
KerberosはMIT(マサチューセッツ工科大学)のアテナ・プロジェクトにより開発された。現在ではRFC4120として標準化されており、仕様が公開されているため、多くの人々により安全性が検証されている。Kerberos認証プロトコルが利用されるのは、Active DirectoryドメインにWindows 2000/XP/2003クライアントからログオンするときだけである。Windows NTやWindows 95/98/Meクライアントからは、従来からのNTLM認証が利用される。またLinuxなどWindows OS以外のOSが稼働しているシステムが、Kerberos Version 5を使ってActive DirectoryドメインのDCの認証機構を利用することもできる。
Copyright© Digital Advantage Corp. All Rights Reserved.