次期ADはドメインコントローラの仮想化に対応。ADのごみ箱ツールがGUI化され、PowerShell対応も強化されたAD管理センターにも注目。
本連載では、2012年中にリリースが予定されているWindows 8(開発コード名)およびWindows Server 2012について、その機能の概要を紹介します。本稿では2012年6月第1週に配布が開始されたRelease Preview版(ビルド8400)に基づいて執筆しているため、最終的な製品版とは内容が異なることがあることをあらかじめご了承ください。
【2012/08/23】Windows 8およびWindows Server 2012は2012年8月にRTM版(製品版)が完成し、すでに正式リリースされています。製品版をベースにした記事は新連載「Windows 8レボリューション」「Windows Server 2012クラウドジェネレーション」をご覧ください。Windows Server 2012のActive Directoryについてはこちらで解説しています。
前回は、2012年6月1日(日本時間)にリリースされた次期Server OSであるWindows Server 2012のRelease Candidate版の概要について解説した。今回はServer 2012の機能のうち、Active Directory関連の機能概要について解説する。
Active Directoryの解説に入る前に、Windows 8のRTM版(最終的な製品版)のリリース時期について触れておく。2012年8月1日に公開されたWindows関連のブログ・サイトで、RTM版の完成と今後のリリース・スケジュールなどの情報が発表された。
これらによると、Windows 8(単体のOSおよびWindows 8を搭載したPC)の一般発売は2012年10月26日から、ボリューム・ライセンスでの提供は2012年9月1日からとなっている。MSDN/TechNetサブスクリプション、ソフトウェア・アシュアランスなどでの提供は2012年8月中旬から、開発者向けの情報(開発ツールやWindowsストア向けMetroアプリに関する情報)などは2012年8月15日以降に公開するとしている。
さらに以下のサイトによるとWindows Server 2012も同時にRTM版となり、2012年9月4日以降に一般向けにリリースが始まるとしている。
それではWindows Server 2012のActive Directoryについて見てみよう。Windows Server 2012におけるActive Directory関連の主な新機能や機能強化点をまとめると次のようになる。細かい機能追加や改良が多いが、大きなものとしてはドメイン・コントローラ(以下DC)の仮想環境対応とPowerShellによる管理機能の強化、そしてActive Directory管理センターの強化がメインだろうか。特に仮想マシン上でもDCが問題なく動作するようになったことは、大きな改善といえる。
機能 | 概要 | |
---|---|---|
Active Directoryの導入作業関連 | ||
簡素化されたドメイン導入ウィザード | Active Directory ドメイン・サービス(AD DS)の導入処理が簡素化され、事前に個別のツールやdcpromo.exeコマンドを手動で実行する必要はない。Active Directoryドメインを導入するには、サーバ・マネージャからウィザードを起動する | |
AD DS のインストール処理に統合された事前準備処理 | Active Directoryを導入する前には、adprepコマンドで既存ドメインに対して事前チェックを行ったりする必要があるが(新規ドメインなら不要)、Windows Server 2012のActive Directoryではこれらの処理がドメインの導入ウィザードに統合され、個別に実行する必要がない | |
Active Directory導入ウィザードのリトライ処理 | ネットワークの構成によってはDCへの昇格が失敗することがあったが、Windows Server 2012ではリトライ回数を増やすなどして、失敗しにくくしている | |
AD FS 2.1 | ダイナミック・アクセス制御と統合されたActive Directory Federation Service(AD FS)2.1もサーバの役割で導入可能 | |
PowerShellサポートの強化 | ADDSDeploymentモジュールが追加されるなど、PowerShellのActive Directory関連の機能が強化された。これにより、Active Directoryドメイン・サービス役割の導入や削除からドメイン/フォレストの作成、展開、管理など、ほとんどすべてのActive Directory関連の処理をGUIのツールを使わずにPowerShellでスクリプト化して処理できるようになった。特に大量展開の場合などに有用。Active Directory関連のコマンドレット数は、Windows Server 2008 R2では76個だったのに対して、Windows Server 2012では145個に増えている(Active Directoryモジュールのコマンドレットが135個、ADDSDeploymentモジュールのコマンドレットが10個) | |
ドメイン導入ウィザードでのPowerShellスクリプトの出力 | ドメイン導入ウィザードの最後でPowerShell用スクリプトが出力されるので、これを参考にほかのドメインの導入や再セットアップなどが可能 | |
Active Directoryドメイン管理機能 | ||
Active Directory管理センターの強化 | Active Directory管理センターの機能が強化され、Active Directoryごみ箱やパスワード・ポリシー、PowerShellスクリプトなどが使えるようになった | |
Active Directoryごみ箱のGUIサポート | Windows Server 2008 R2ではActive Directoryのごみ箱機能が導入されたが、PowerShellで操作するなどの処理が必要だった。Windows Server 2012のActive Directory管理センターではごみ箱機能がサポートされ、GUIで操作できるようになった | |
PowerShell履歴 | Active Directory管理センターでユーザーが行った操作はPowerShellによって実行されているが、実行したPowerShellのコマンドレットの履歴を確認できるようになった。管理者が自分でPowerShellを利用する場合の参考にできる | |
細かい設定が可能なパスワード・ポリシーのGUI | Windows Server 2008で導入された「細かい設定が可能なパスワード・ポリシー」を使うと、ドメイン内で複数のパスワード・ポリシーを設定できるが、これを設定するためのGUI画面がActive Directory管理センターに用意された | |
Group Managed Service Accounts(gMSA) | Windows 7/Windows Server 2008 R2で導入されたManaged Service Account(MSA。管理されたサービス・アカウント)をドメイン全体で利用できるようにしたもの | |
PowerShellによるActive Directoryの複製やトポロジー管理 | Active Directoryの複製やサイト・トポロジーの管理などがすべてPowerShell上で実行可能。今までのように多数のコマンド(repadmin、ntdsutil、Active Directoryサイトとサービスなど)を使わなくてもよい | |
Active Directoryベースのアクティベーション(Active Directory-based Activation:AD BA) | 従来のKMS(Key Management Service)サーバではなく、Active Directoryを使ったボリューム・ライセンス製品のアクティベーションが可能になった(KMSとも共存可能)。特別なサーバなどを用意せずともActive Directoryでアクティベーションできる。ただし現在サポートされているアクティベーション可能な製品はWindows 8とWindows Server 2012のみ | |
ダイナミック・アクセス制御 | 動的なアクセス権機能。従来の静的なアクセス権(アクセス制御リスト)では実現が困難なアクセス制御を行える。例えば、同じユーザーであっても特定の属性(社員かどうかなど)を持つユーザーなら許可し、そうでなければ拒否するといった規則(式)を定義できる。従来は複数のセキュリティ・グループを組み合わせないと実現できなかったような複雑な規則が簡単に実現できる。リソースへのアクセス制御だけでなく、監査などでも利用できる | |
オフライン・ドメイン参加機能の強化 | インターネットのDirect Access経由でのドメイン参加などが可能 | |
RID管理機能の改善 | SID(オブジェクトの内部的な識別用ID。TIPS「オブジェクトを識別するSIDとは?」参照)を作成する際に利用するRID(Relative ID)関連の機能が強化された。元々RIDは2の30乗個しか利用できないが、未使用のRIDを返却するメカニズムなどはないし(ポリシーに合致せず、作成されなかったオブジェクトにもRIDを割り当てて、それを回収していなかった)、非効率なブロックの割り当てなどにより、大規模なドメインでは不足することがあった。Windows Server 2012では最大2の31乗個(2倍)まで増加させたほか、RIDの供給数に制限を設けたり、利用状況のログ出力などの機能改善を行った | |
新しい機能レベル | Active Directoryのフォレストやドメインには「機能レベル」と呼ばれる、利用できる機能を限定するレベル設定がある。Windows Server 2012では新しく「Windows Server 2012」という機能レベルが定義されている。ドメインがWindows Server 2012レベルだと、ダイナミック・アクセス制御やKerberos armoring(Kerberos防御)などが有効になる。フォレストがWindows Server 2012レベルだと、新規作成したドメインの機能レベルがWindows Server 2012になる | |
仮想化対応機能 | ||
DC VMスナップショットの復元対応 | DCをインストールした仮想マシンをスナップショットで以前の状態に戻すと、DCが保持している内部シーケンス番号(USN)が戻り、Active Directoryデータベースに矛盾が生じるといった、USNロールバック問題が発生する。Windows Server 2012のDCをHyper-V 3.0上で動作させると、USNのロールバックが起こってもActive Directoryのデータベースや複製に問題が起こらないように適切な対応が行われる | |
DC VMの複製による展開対応 | Windows Server 2012ではないActive DirectoryのDCを複製(VHDファイルのコピーか、仮想マシンのエクスポート/インポート)で展開すると、内部データベースに矛盾が生じる。これに対してWindows Server 2012では、2台目以降のDCを仮想マシンの複製機能で展開してもよい | |
仮想環境対応――sysprepの仮想マシン化対応 | 特にActive Directoryとは関係ないが、OSイメージ複製時の準備用コマンドであるsysprep.exeに「/mode:vm」というオプションが追加されている。これを指定すると、起動時のハードウェア・チェックなどが一部省略され、高速に起動する | |
Windows Server 2012のActive Directory関連の新機能/機能強化点 |
Copyright© Digital Advantage Corp. All Rights Reserved.