Active Directory:Windows Q&A(3/3 ページ)
Windows標準のディレクトリサービス「Active Directory」。でも、そもそも「ディレクトリサービス」って何? メリット/デメリットは? NTドメインとの関係は? 基礎から注意点までQ&A形式で整理して解説する。
Q:Windows NTドメインをActive Directoryに移行する必要はあるか?
A:移行したくないなら、移行する必要はない。ただし、Windows 2000ではWindows NTドメインは構築できない。つまり「Active Directoryへ移行しない」というのは「Windows NTを使い続ける」という意味と等価である。現在でもWindows NTのサポートはかなり縮小されているが、そのうちセキュリティ・パッチすら提供されなくなるだろう。もちろん、Windows NTへの機能強化も行われない。つまり、以下のような条件に全て当てはまる場合に限りActive Directoryに移行する必要はない。
■OSのセキュリティ機能が不要な場合
全社員が十分に信頼でき、外部からウイルスが混入する心配がなく、全てのアプリケーションにセキュリティ上の問題が一切ない場合はWindows NTを使い続けてもよい。
■Active Directoryの新機能が不要な場合
可用性や拡張性を向上させる必要がなく、管理者の負担を減らす必要もない場合は、Windows NTドメインで運用を継続してもよい。
■マイクロソフト社の新しいサーバ製品を使わない場合
マイクロソフトから今後発売されるサーバ製品の多くはActive Directoryが前提となる。しかし、Exchange 2000を始め、新しいサーバ製品を使う必要がなければWindows 2000へ移行する必要はない。
■ハードウェアへの投資を行わない場合
今後、Windows NT用のデバイスドライバは徐々に入手が困難になる。安定してWindows NTを動作させるためには新しいハードウェアを使わない方がよい。
全ての質問のYESと答えた方はいらっしゃるだろうか。もしいらっしゃったら、あなたの会社ではサーバ製品にWindowsを使う必然性はないだろう。Windows 2000の(そして、PCの)利点は、常に進化し続けることである。その必要がないのであれば、Windowsにこだわる理由はないかもしれない。ただし、進化の激しいIT業界で、進化の遅いOSを使うことが何を意味するのかは検討すべきだろう。
●移行時期の選定
Windowsをサーバとして使う場合、Active Directoryへの移行は必然であり、避けることはできない。しかし、移行時期については検討の余地がある。
Windows NT Workstation 4.0はサポートが終了しているが、Windows NT Server 4.0は(契約形態にもよるが)サポート期間が若干残っている。この間に十分な準備を行いたい。
Active DirectoryはDNSドメインを前提としている上、ドメイン名やドメインコントローラーのコンピュータ名の変更は非常に困難である。全社的に使用するドメイン名が決まらない段階でActive Directoryを導入すると、将来、ドメイン名を変更するときにかなりのコストが掛かる。場合によっては新規導入以上の手間が掛かるので注意したい。
Q:ファイルサーバとしてはWindows 2000 Serverを使うが、電子メールやWeb Proxy、Webサーバなどは実績あるUNIXシステムを使いたい。このような場合でもActive Directoryを導入するメリットはあるのか?
A:前項の通り、Windowsを使って今後も安定したドメインを構築したいのであれば、Active Directoryへの移行は不可欠である。特に、クライアントPCがWindowsなら、Active Directoryを導入する価値は大きい。
では、サーバに絞って考えてみるとどうだろうか。Active Directoryは、ディレクトリデータベースであり、それだけで何かを生み出すわけではない。UNIXに対するActive Directoryのメリットの有無は、UNIX上のアプリケーションで、Active Directoryの情報が使えるか、ということにかかってくる。
UNIX上でKerberosクライアントを動作させれば、UNIXをActive Directoryに参加させることができる。この場合、WindowsとUNIXで同一のユーザー名とパスワードを使える。設定は少々面倒だが実際に可能だ。しかし、これだけだとユーザーアカウントを共通化できるのみである。その他のアプリケーションはどうなっているのだろう。アプリケーションをKerberos対応にすることを「Kerberise(ケルベライズ)」という。実は、UNIXアプリケーションでケルベライズされたものは決して多くない。そのため、残念ながらActive Directoryを導入してもUNIXサーバに対して大きなメリットはない。
Q:将来、Windows .NET Serverが発売されたときには、Windows NTで構築されたドメインはサポートされなくなるのか? 使い続けてもよいのか? いずれは移行しなくてはならないのか?
A:Windows .NET Serverでも、Active Directoryの基本的な機能についてはそれほど大きな変更は加えられない。そのため、Active Directoryの導入をWindows .NET Serverまで待つ必要はない。また、マイクロソフト社はActive Directoryが同社の思惑ほど普及していないことを理解している。そのため、Windows NTドメインも、Windows 2000でのサポートと同じレベルで継続される。またWindows .NET Serverでは、Windows NTドメインからActive Directoryへの移行を支援する機能も追加される予定だ。
ただし、Windows NTドメインのサポートは、Windows 2000と同様、Active Directoryドメインコントローラーの付加機能であり、Active Directoryをインストールしない限り、Windows NTドメインコントローラー互換機能は使えない。Windows NTドメインのクライアントになることはできるが、Active Directoryなしにドメインコントローラーになることはできない。
マイクロソフト社がWindows NTドメインの廃止を決めた以上、最終的にはActive Directoryに移行しなければならないことは間違いないが、その時期についてはケースバイケースである。Windows .NET Serverでは、Windows NTドメインからの移行をサポートする機能も強化されるので、Windows 2000 Serverを使わずに、Windows .NET Serverに移行する方がコストを節約できるケースもあるだろう。
Q:Windows .NET ServerでActive Directoryはどう変わるのか?
A:Windows .NET Serverでは、以下の観点からActive Directoryの改善が行われる。
■管理性(マネージャビリティ)の強化
ドメイン名の変更やドメインコントローラーのコンピュータ名変更がサポートされる。ただし、それほど簡単な方法ではなく、ひんぱんに使うことは想定していない。また、コマンドラインによる管理ツールが強化される。さらに、ADMTも強化され、ユーザーのパスワードも移行できるようになる。
■拡張性(スケーラビリティ)の強化
サポート可能なサイト数が大幅に増加し、大規模なネットワーク環境もサポートできるようになる。また、複数のフォレストを統合して運用する機能が加わる。ただし、データベースが統合されるわけではないので、複数フォレストを完全に統合できるわけではない。
■信頼性(アベイラビリティ)の強化
Windows 2000のActive Directoryはログオン時に必ずGC(グローバルカタログ)と呼ばれる特別なドメインコントローラーを必要としたが、Windows .NET ServerではGCの内容をキャッシュすることで、GCなしのログオン(GCレスログオン)をサポートできるようになる。ただし、デフォルトの動作はGCが必須になる予定だ。
■性能(パフォーマンス)の強化
ドメインコントローラーの初期複製時間を減少するため、ドメインコントローラーのバックアップファイルからの複製が可能となる。また、ディレクトリデータベース複製の効率化が図られる。
こうした拡張機能の多くは「機能レベル」と呼ばれる属性を変更することで初めて有効になる。機能レベルには「ドメインレベル」と「フォレストレベル」があり、それぞれにWindows NT 4.0 BDCとの混在を許可する「混在」、Windows 2000 Serverと同等レベルの「Windows 2000」、新機能が全て利用可能な「Windows .NET」がある。いったん上げた機能レベルを下げることはできないので、慎重に計画してから設定する必要がある。逆に、機能レベルを上げなければ拡張機能が使えない代わりに高い互換性を保てる。
Q:現状のWindows NTドメインをそのままActive Directoryのルートドメインにして、いままで通り複数のドメインをそのまま使うのはまずいのか?
A:複数ドメインの管理を面倒だと思っていないのであれば、特に問題はない。そのまま複数ドメインを継続して使えばよい。複数ドメインの管理が面倒だと思うのであれば、Active Directoryでドメインを統合できる。Active Directoryには、ドメイン内で管理権限を分散する機能があるので、ドメインを統合しても部分的な分散管理は可能だ。
Q:ボトムアップ的にActive Directoryドメインを構築することはできないのか?
A:建前としてはできない。しかし、以下のように設定すれば草の根的にActive Directoryドメインを構築できる(「草の根的なActive Directory」とは、ネットワーク管理者の正式な許可を得ずに、ある部署内だけで独自に立ち上げているActive Directoryドメインのこと)。
- DNSサーバを独自にインストールする(草の根DNSサーバ)
- 草の根DNSサーバに適当なドメインを作る(草の根ドメイン)
- DNSサーバのプロパティにあるフォワーダフィールドに、社内ドメインのDNSサーバを指定する
- 草の根ドメインにActive Directoryをインストールする
- 草の根ドメインのクライアントは、草の根DNSサーバへ照会する
草の根Active Directoryドメイン
基本的にActive Directoryはトップダウンで導入するものだが、ボトムアップ的に導入できないわけではない。このようにボトップアップ的に導入されたものは草の根Active Directoryドメインと呼ばれる。この場合、草の根ドメインからはあらゆるDNS情報を参照可能だが、正規のDNSは草の根ドメインの存在を知らないため、草の根ドメイン以外のコンピュータから、草の根ドメイン内のコンピュータを参照することはできない。
正規のDNSサーバは草の根ドメインの存在を知らないため、草の根DNSを使わないクライアントからは、草の根ドメインのコンピュータ名を照会できない。しかし、草の根ドメインのコンピュータからは、DNSのフォワード機能により、正規のコンピュータ名を照会できる。
勝手に作成されたドメイン(草の根ドメイン)は、Windows 2000では統合できないが、この点はWindows .NET Serverで改善される予定だ。複数の草の根ドメインを完全に統合するのはWindows .NET Serverをしても困難なことには違いないが、Windows 2000の場合よりは改善される。
■更新履歴
【2006/06/15】「Q:Active Directoryの導入に必要なコストは?」の「2.パラレルインストール」の解説中の図「Active Directoryへの移行:パラレルインストール」において、新規構築する右側のActive Directoryドメインのコンピュータの説明が間違っておりました。一部のコンピュータを「BDC」として記述しておりましたが、正しくは、全て「Windows 2000 DC」となります。おわびして訂正させていただきます。
【2002/09/10】初版公開。
Copyright© Digital Advantage Corp. All Rights Reserved.