ADを導入するには、事前にドメインの構造を設計しておく必要がある。前編ではドメインとDNSの階層設計を解説する。
本稿は、Windows 2000 Serverを対象として、2002年9月より連載を開始した「管理者のためのActive Directory入門」を元に、Windows Server 2003向けの情報を追加し、改訂したものです。以前の連載は、以下のリンクから参照できます。
  ・管理者のためのActive Directory入門
Active Directoryの導入を検討している企業が増えている。新規のActive Directoryドメインの構築だけでなく、Windows NTのドメインからの移行など、検討されている方法はさまざまだが、その導入理由は似ている。Windows NTのサポートが基本的に終了したことや、Active Directoryの導入事例が出揃ってきたこと、Windows NTのコンピュータの容量が不足してきたこと、Active Directoryの利点が浸透してきたことなどが挙げられる。
今回は、Active Directoryの導入方法と注意点などについて、要点を解説する。Active Directoryドメインを新たに導入したいが、Active Directoryについて詳しく学習する時間が取れない方にはぜひ参考にしていただきたい。
Active Directoryの導入は、あらかじめ入念に検討してから実施する必要がある。なぜなら、導入後にActive Directoryの構造を変更することは簡単ではないからだ。Windows Server 2003のActive Directoryからは、導入後にドメイン名の変更やドメイン・ツリー構造の変更が可能になったが、それでも簡単ではないため、将来の拡張の可能性も含めて、組織に適したActive Directory構造を設計しておかなければならない。
特に重要なのは、Active Directory構造は必ず「フォレスト・ルート・ドメイン」と呼ばれる最上位のドメインからインストールを始めなければならない、ということである。最初に構築するドメインであるフォレスト・ルート・ドメインの変更は、Windows Server 2003では、ドメイン構造を変更できる機能が提供されているが、それでも簡単ではないので、実際にActive Directoryを導入する場合には十分に事前の検討や準備をしてから実行していただきたい。
では、どのようにすればActive Directoryの導入がスムーズに実行できるのであろうか。できるだけ失敗を少なくするために、導入までの流れの概要を紹介しくので、参考にしていただきたい。
1.導入目的の明確化と概要の決定
まず初めに、Active Directoryを導入する目的を明確化しておくべきである。何のために導入するのか、ということをはっきりさせておくということだ。また導入担当者だけで決定するのではなく、実際にコストを負担する経営者などの経営戦略も加味して決定するべきである(少々大げさかもしれないが、Active Directoryを導入してもビジネスが成功するとは限らない)。導入目的を明確にしたら、その目的を達成するためのActive Directoryの設計を行う。例えば、導入目的が管理コストの削減であれば、集中管理するためのActive Directoryを設計し、管理者が効率良く運用できるドメインの機能を利用できるようなモデルを設計していく。
2.現状のネットワーク環境の調査
次に、現在のネットワーク環境を確認しておく。拠点数やサブネット数、ホスト数(各ホストのOSのバージョンやハードウェアのスペック、コンピュータ名の一覧など)、既存のNTドメインの数、PDC/BDCの数、PDC/BDCの設置場所、DHCPサーバ(DHCPリレー・エージェントの設定やDHCPスコープの情報)、WINSサーバ、DNSサーバ、DNSソフトウェアのバージョン、拠点間を接続するWAN回線の帯域など、面倒な作業だが、きちんと調査してドキュメント化しておきたい。ドキュメントとしては、コンピュータの一覧表に加え、それぞれの設置場所や配線などが分かるネットワーク構成図があるとよいだろう。
3.Active Directoryフォレストの設計
1.と2.で確認した情報に基づいて、Active Directoryフォレストの概要設計を行う。ここでは机上で理想的なActive Directoryを設計しておこう。既存のネットワーク環境と照らし合わせたときに、問題が出てきたり矛盾が生じたりすることもあるだろうが、この段階で詳細に擦り合わせておく必要はない。また、NTドメインからの移行を検討している場合でも、NTドメイン環境はひとまず無視してActive Directoryの設計をしていただきたい。NTドメインからの移行では注意事項が幾つかあるが、これについてはNTドメインからActive Directoryドメインへの移行を参照していただきたい。
概要設計が終了したら、次に詳細設計を行う。この段階では、どの拠点にどんなサービスが必要なのかを具体的に設計していく。Active Directoryに関していえば、新たにドメイン・コントローラ(DC)をどこに設置するのかを検討する。通常は、耐障害性や負荷分散などを考慮して、2台以上のDCを設置するだろうから、どのサブネットに操作マスタとなるDCを配置するのかを検討する。操作マスタはActive Directoryドメインでも重要なDCとなるので、管理者が操作できる所に配置することが望ましい。DHCPサーバやWINSサーバはActive Directoryの導入により不要になるというわけではないので、既存のネットワークに存在するものがあるなら、それをそのまま残す形でもよいだろう。
4.展開計画
いつ、誰が、どこに、どのようにしてActive Directoryを導入・展開していくのか、あらかじめ計画を立てておく。特に拠点が複数ある場合には、どこから展開するかは重要な要素となる。初めに述べたように、最初はフォレスト・ルート・ドメインから順に導入を行う必要がある。この計画はActive Directory導入に必要なサービス(DNSサービスや、必要ならばDHCPサービス、WINSサービス、LAN/WAN間のルーティングなど)すべてに対して立案しておく必要がある。各サービスの展開の順番が前後するとトラブルが発生する場合もあるので(Active Directoryのインストール時にはあらかじめ要件を満たしたDNSサーバが利用できるか、インストール可能な状態になっていなければならない。さもないとエラーとなる)、注意深く計画しておく。特にDNSサーバはActive Directoryの導入には必須であり、Active Directory用のDNSには特別な要件が求められるため(SRVレコードのサポートやレコードの動的な更新機能が必要。詳細は後述)、DCのインストール前に構成できるように計画を立てておこう。
5.展開テスト
導入時に実際に行う作業手順やActive Directoryの動作などについて習熟するために、正式な導入の前に、まずは小規模な単位でテスト的に導入するのが望ましい。できれば既存のネットワークとは切り離し、テスト用の独立したネットワーク環境で実施することをお勧めする。特にWindows 2000やWindows Server 2003のインストール経験がない方や、Active Directoryのインストール経験がない方はぜひとも事前にテスト導入して、Active Directoryの機能を確認しておいていただきたい。Active DirectoryにはDNSサービスも重要な役割を持つため、同時に機能を確認しておくことをお勧めする。そしてテストで発生した問題については一通り確認し、問題が解決してから、次の展開に進むべきである。場合によっては、設計に戻ってActive Directory全体を見直す必要が出てくるかもしれない。
6.展開
テスト結果に問題がなければ、当初の展開計画どおりにWindows 2000 Server、Windows Server 2003を用意し、実際のインストール・展開作業を開始する。
このような手順でActive Directoryの導入作業を進めれば、展開時のトラブルを低減できるだろう。ドキュメント化やテスト導入などは不要だと思うかもしれないが、結局はこのような入念な準備がスムーズなActive Directoryの導入につながり、トラブルが起きた際の早期リカバリにも直結するので、面倒だと思わずに行っていただきたい。
関連リンク
Copyright© Digital Advantage Corp. All Rights Reserved.