第4回 Active Directory関連用語集（後編）：改訂 管理者のためのActive Directory入門 （Windows Server 2003対応改訂版）（3/3 ページ）

[伊藤将人，著]

Windows Server 2003の機能レベル

　Windows Server 2003のActive Directoryでは、「ドメイン・モード」が「機能レベル」となった。機能レベルには「ドメイン機能レベル」と「フォレスト機能レベル」があり、Windows 2000までのドメイン・モードと同じようにドメイン内にどのバージョンのDCが存在し、どの機能まで実行できるのかを指し示す。Windows 2000の時代にはDCとして参加できるバージョンはNTとWindows 2000の2種類しか存在しなかったが、Windows Server 2003では1種類増えたため、利用できる機能の範囲も少し複雑になる。「ドメイン機能レベル」は次の4種類がある。

●Windows 2000混在

• Windows 2000のActive Directoryで混在モードとして利用していた機能レベル。
• この機能レベルには、DCとしてWindows NT 4.0／Windows 2000 Server／Windows Server 2003が参加できる。

●Windows 2000ネイティブ

• Windows 2000のActive Directoryでネイティブ・モードとして利用していた機能レベル。
• この機能レベルには、DCとしてWindows 2000 Server／Windows Server 2003が参加できる。

●Windows Server 2003中間

• この機能レベルにはDCとしてWindows NT 4.0とWindows Server 2003が参加できる。NTドメインから、Windows Server 2003 Active Directoryにアップグレードした際に選択可能である。

●Windows Server 2003

• この機能レベルでは、すべてのDCがWindows Server 2003である必要があるが、Windows Server 2003のActive Directoryのすべての機能を利用することができる。
• ほかの機能レベルでは一部機能が制限されるため、できるだけ、この機能レベルに昇格するように計画を立てることをお勧めする。

　また、ドメイン単位の機能レベルのほかに、Windows Server 2003からは、フォレスト単位で使用する機能もあるため、フォレスト機能レベルという設定も存在する。Windows Server 2003のActive Directoryがサポートするフォレスト機能レベルは次の3種類である。設定できるフォレストの機能レベルは、フォレスト内のドメインの機能レベルに依存する。

●Windows 2000

• デフォルトの機能レベルで、Windows NT 4.0／2000／Server 2003のDCが参加できる。したがって、フォレスト内にひとつでもWindows 2000混在や、Windows 2000ネイティブの機能レベルのドメインがある場合には、フォレストの機能レベルはWindows 2000になる。

●Windows Server 2003中間

• この機能レベルでは、Windows NT 4.0とWindows Server 2003のDCが参加でき、Windows 2000 ServerのDCは参加できない。
• Windows NT 4.0のDCをWindows Server 2003にアップグレードする際の移行用に用意された特殊な機能レベル。Windows NT 4.0のPDCをWindows Server 2003にアップグレードし、Windows NTのBDCが残存する場合などに利用する。
• フォレスト内のドメインのドメイン機能レベルがWindows Server 2003中間と、 Windows Server 2003の場合に設定できる。

●Windows Server 2003

• Windows Server 2003のみが参加できる。
• このフォレスト機能レベルに移行する際には、フォレストを構成するドメインの機能レベルが「Windows 2000ネイティブ」か「Windows Server 2003」である必要がある。フォレスト機能レベルを上げると、「Windows 2000ネイティブ」機能レベルで動作するDCが、自動で「Windows Server 2003」機能レベルに上がる。つまり、フォレストの機能レベルをWindows Server 2003 にした時点で、フォレスト内のすべてのドメインのドメイン機能レベルが「Windows Server 2003」機能レベルになる。
• ドメイン名の変更／再構築、スキーマ・クラスと属性の非アクティブ化、クロス・フォレスト信頼などの機能が利用できる。

　なお、各機能レベルで利用できる機能は、Windows Server 2003のヘルプや以下のサポート技術情報で確認できる。

• Windows Server 2003 でドメインの機能レベルおよびフォレストの機能レベルを上げる方法（MSKB 322692）

DNSサーバにおけるActive Directory統合ゾーン・モード

　Windows 2000／2003のDNSサービスでは、「標準プライマリ・ゾーン」「標準セカンダリ・ゾーン」「Active Directory統合ゾーン」という、3つのゾーン・タイプがサポートされている。

　標準プライマリ・ゾーンは、マスタのゾーン・ファイルを管理する役割を持つ。標準セカンダリ・ゾーンは、マスタ・ゾーンからのゾーン・ファイルの複製を保持する。セカンダリ・ゾーンはフォールト・トレランス（耐障害性）や負荷分散を実現するために構成する。ただし、セカンダリ・ゾーンではレコードの追加や編集はできない。

　そのため標準プライマリと標準セカンダリで構成されたDNSゾーンの管理は必ず標準プライマリ・ゾーンに対して行う必要がある。

DNSサーバにおけるゾーン転送
標準プライマリ・ゾーンに格納されているゾーン・データが標準セカンダリ・ゾーンへ転送される。これを「ゾーン転送」という。標準セカンダリ・ゾーンを構成（インストール）する場合は、マスタとなる標準プライマリ・ゾーンのDNSサーバを指定する必要がある。ゾーン転送は一方向にしか行われないため、ゾーン・データの編集作業はすべて標準プライマリ・ゾーンに対して行う必要がある。

　3つ目のタイプであるActive Directory統合ゾーンは、DCとDNSサーバを同一のコンピュータで構成することにより提供される機能である。つまりゾーンの管理タイプの一種ではあるが、Active Directoryを構築していないと利用できない。Active Directory統合ゾーンでは、ゾーン情報をActive Directoryデータベースのオブジェクトとして保持する。Active DirectoryデータベースはすべてのDCで登録、編集が可能であるためプライマリ・ゾーンが複数存在するのと同じ構成となる。

Active Directory統合ゾーンの動作
ゾーン・データはActive Directory内に格納されたオブジェクトとして扱われる。すべてのDCはマスタのデータベースを保持するため、どのデータベースに対しても、権利さえあればレコードの追加や変更の編集作業が自由に行える。

　また、ゾーン転送もActive Directoryの複製処理に任せることができる。Active Directory統合ゾーンでは、ゾーンに対する動的更新をセキュリティで保護することもできる。ただし、Active Directory統合ゾーンはドメイン・モードがネイティブ・モード時のみ設定可能である。

DNSコンソールによるゾーン・タイプの変更
DNSのゾーン・タイプは、DNS管理ツールで確認、変更することができる。ただし、DNSサーバがActive Directoryデータベースを保持するDCでないと「Active Directory統合」は選択できない。
　（1）現在のゾーン・タイプ。
　（2）ゾーン・タイプを変更するにはこれをクリックする。
　（3）3種類のゾーン・タイプがある。

　Active Directory統合ゾーンを構成したい場合には、DCがDNSサーバになる必要がある。また組織内にBINDやNT 4.0などのセカンダリDNSサーバが存在する場合でも、Active Directory統合ゾーンはプライマリ・ゾーンの役割を担うことができる。

　Windows Server 2003のDNSサービスでは、GUIが一部変更され、Active Directory統合ゾーンというラジオ・ボタンはなくなっている。そしてプライマリ・ゾーンかスタブ・ゾーンを選択した場合には、Active Directory統合のチェック・ボックスの選択ができるようになる。

ゾーンの種類の変更ダイアログ（Windows Server 2003）
Windows Server 2003のDNSサービスでは、GUIが一部変更され、Active Directory統合ゾーンというラジオ・ボタンはなくなっているが、［プライマリ ゾーン］か［スタブ ゾーン］を選択した場合には、Active Directory統合のチェック・ボックスの選択ができる。

Kerberos Version 5

　Kerberos Version 5は、Active Directoryで利用される認証プロトコルである。

　KerberosはMIT（マサチューセッツ工科大学）のアテナ・プロジェクトにより開発された。現在ではRFC4120として標準化されており、仕様が公開されているため、多くの人々により安全性が検証されている。Kerberos認証プロトコルが利用されるのは、Active DirectoryドメインにWindows 2000／XP／2003クライアントからログオンするときだけである。Windows NTやWindows 95／98／Meクライアントからは、従来からのNTLM認証が利用される。またLinuxなどWindows OS以外のOSが稼働しているシステムが、Kerberos Version 5を使ってActive DirectoryドメインのDCの認証機構を利用することもできる。

次の回へ »

「改訂 管理者のためのActive Directory入門（Windows Server 2003対応改訂版）」