Active Directoryの設計でよく見かける「サイト」という言葉。今回は「サイトとは何か」から、サイトにまつわる「なぜ」「何」を掘り下げていく。
前回はActive Directoryのドメインコントローラーは重要な役割なので、複数台のサーバーで運用すること、そしてそれぞれのサーバー(ドメインコントローラー)が同じデータベースを持つように「複製」を行うということを解説した。今回はその複製を効果的に行うために使われる「サイト」について学習しよう。
Active Directoryにおけるサイトとは、ドメインコントローラー同士で複製を行うときに“高速に通信できる範囲”を表す。組織の中で東京オフィス、大阪オフィスと分かれているとき、東京オフィスの中にドメインコントローラーが2台あれば、そのドメインコントローラー同士は高速に通信することができる。
しかし、東京オフィスと大阪オフィスにそれぞれドメインコントローラーがある場合には、高速に通信できるとは限らない。そこで、東京オフィスで1つのサイト、大阪オフィスで1つのサイトをそれぞれ作成すれば、それぞれのサイト内は高速な通信ができる範囲として定義することができる(図1)。
サイトは高速通信ができる範囲と紹介したが、なぜこの範囲をわざわざ定義する必要があるのだろうか。それは、ドメインコントローラーの複製のタイミングに理由がある。前回、複製はActive Directoryデータベースに変更が生じてから「15秒後」に開始すると解説した。
例えば、東京のドメインコントローラーと大阪のドメインコントローラーで複製を行うように構成している場合、東京のドメインコントローラーでユーザーを作成すると、15秒後に大阪のドメインコントローラーに向けて複製が開始される。再度、東京のドメインコントローラーでユーザーを作成すると、また15秒後に大阪のドメインコントローラーに向けて複製が開始される。
このように、ユーザーの作成/変更/削除など、Active Directoryデータベースに対する変更が生じる操作を行うと、その都度複製が行われる。高速通信ができるドメインコントローラー同士であれば、大きな問題ではないかもしれない。しかし、東京と大阪のように地理的に離れており、高速通信が難しい範囲では、いちいち複製しないである程度まとめてからにしてほしいと考えるのが普通だろう。
そこでActive Directoryのサイトでは、サイトが分かれているドメインコントローラー同士での複製は15秒後ではなく、「3時間おき」(既定の設定)にまとめて行うように自動的に構成される。しかも複製内容は圧縮されて送信されるため、サイト間で通信されるデータ量を少なくすることができる(図2)。これがサイトを作成してActive Directoryを運用する大きな理由である。
サイト内でのドメインコントローラーの複製では、複製相手となるドメインコントローラーは自動的に選択、設定される。しかし、サイトが他のサイトと複製を行う場合、複製相手となるサイトは自動的に選択されないため、どのサイトで複製するかを明示的に指定する必要がある。複製相手となるサイトの指定は、「サイトリンク」と呼ばれる設定で行う。
例えば、東京と大阪という二つのサイトがある場合、東京サイトと大阪サイトで複製を行うには、両方のサイトが含まれるサイトリンクを作成する。そうすると、東京サイトのドメインコントローラーでユーザーを作成すると、その変更は約3時間後に大阪サイトのドメインコントローラーに複製される(図3)。逆に、サイトを作成しても、サイトリンクを作成しなければサイト間での複製は行われない。
サイトリンクを作成すれば、サイト間で複製が行われることを説明したが、サイトの中に複数のドメインコントローラーがある場合、果たしてどのドメインコントローラーが他のサイトのドメインコントローラーに対して複製を行うのだろうか。
Active Directoryではサイトリンクを作成すると、他のサイトに対して複製を行うドメインコントローラーが自動的に設定される。このドメインコントローラーは「ブリッジヘッドサーバー」と呼ばれ、他のサイトのドメインコントローラーに対して複製を行う役割を持つ(図4)。
ブリッジヘッドサーバーは他のサイトとの複製を行う大事な役割を担うので、自動的に決定されてしまうのではなく、できれば管理者自身が決めたい、そう考えている方もいるだろう。その場合には「優先ブリッジヘッドサーバー」を設定すればよい。
優先ブリッジヘッドサーバーは、管理者が明示的にブリッジヘッドサーバーとなるドメインコントローラーを指定するものだ。指定されたドメインコントローラーは、ブリッジヘッドサーバーとして機能し、他のサイトへの複製を行うようになる。
ここまで、ドメインコントローラーの複製という観点からサイトについて解説してきた。ここで、利用者(ユーザー)にとってのメリットについても触れておきたい。
サイトは複製をコントロールする目的以外に、ユーザーがサインインするときにアクセスするドメインコントローラーを選択する役割がある。
例えば、東京サイトと大阪サイトがあり、クライアントコンピューターが東京サイトに配置されているとき、クライアントはユーザー認証を行うためにできれば東京サイトにあるドメインコントローラーにアクセスしたいと考えるはずだ。ところが、サイトを認識せず、東京サイトにいるクライアントが大阪サイトのドメインコントローラーにアクセスするようなことがあると、サインインにとても時間がかかってしまう。
そこで、Active Directoryサイトでは、クライアントコンピューターに「自分は今、どのサイトにいるのか?」ということを認識させ、そして同じサイトにある(もしくは一番近くのサイトにある)ドメインコントローラーにアクセスして認証を行うようになっている(図5)。
このような動作によって、ユーザーはどこにいても、常に近くのドメインコントローラーと通信を行い、素早くサインインができるように構成することができる。
近年、IaaS(Infrastructure as a Service)と呼ばれるサービスにより、仮想マシン自体をクラウドに配置できるようになった。その結果、ドメインコントローラーもディザスタリカバリ(災害対策)への対応の一環として、クラウドに配置する例も多くなってきている。そこで、クラウドにドメインコントローラーを置く場合の注意事項をいくつか紹介しておこう。
オンプレミスに1台、クラウドに1台と、ドメインコントローラーをそれぞれ配置するような構成の場合、オンプレミスのドメインコントローラーとクラウドのドメインコントローラーの間は一般的にVPN(Virtual Private Network)を利用して接続する。そして、VPN接続での通信は、ほとんどの場合で従量課金となっている。
サイト内でドメインコントローラーを複製する場合に比べて、サイト間での複製はデータが圧縮される分、コストを抑えることができる。オンプレミスとクラウドにまたがってドメインコントローラーを配置する場合には、サイトを分けて運用するべきである。
Microsoft AzureのIaaSで使用する仮想ネットワークは、クラウドからオンプレミスへの通信だけを課金する。そのため、Active Directoryに対する変更は全てオンプレミスだけで行い、オンプレミスからクラウドへの通信だけが行われるように(クラウドからオンプレミスへの通信が行われないように)ドメインコントローラーを運用するとコストを抑えることができる。
Active Directoryには「読み取り専用ドメインコントローラー」(Read Only Domain Controller:RODC)と呼ばれるドメインコントローラーがある。Active Directoryのインストール時、RODCの役割を選択してインストールすると、基本的にRODCから複製を行うことはなくなる。この特性を生かして、RODCをクラウドに配置すれば、クラウドからオンプレミスへの通信を削減することができるのだ(図6)。
なお、読み取り専用ドメインコントローラーについては、以下の記事を参考にしてほしい。
組織の中で日常のActive Directoryの運用管理を行っている管理者の方にとって、日常作業の中でActive Directoryのサイトを意識することはあまりないかもしれない。
しかし、現在のActive Directoryの構成がどのようになっているのか、適切な構成になっているのかなどを知っておけば、今後のActive Directory移行作業などの際、サイトの特性を踏まえたActive Directory設計を自身で(または協力してくれるパートナー企業と一緒に)考え、よりよい構成に導くことができるようになるだろう。
クラウドの登場により、Active Directoryに求められる役割も変化しつつあります。
クラウドに対応させるためのActive Directoryの設計ポイントとはどにあるのか? iOSやAndroidは、Active Directoryにどう絡むのか? Azure Active Directoryとは何者か? 生産性を高めるためのセキュリティを実現するには、どのようなインフラが必要か?
今こそ、Active Directoryの役割を再学習し、古い知識をリセットしましょう!
国井 傑(くにい すぐる)
株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(ADFS)など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。
Copyright © ITmedia, Inc. All Rights Reserved.