第2回 Active Directoryによるディレクトリ管理:管理者のためのActive Directory入門(3/3 ページ)
今回はActive Directoryの導入による管理者のメリット、NTのドメインとActive Directoryとの違いなどについて見ていく。
Windows NTドメインの限界
Windows NTのディレクトリ・サービスを使用してネットワーク上のユーザー、グループ、コンピュータを管理している環境(NTドメイン)も多いと思うが、Windows NTのディレクトリ・サービスには機能的な限界があった。
1つは、管理できる情報の種類が少ないということだ。NTドメインでは、ユーザーのメール・アドレスや所属部門、上司の名前などを登録する機能はない。
もう1つは、管理できる情報の量が少ないということだ。NTドメインでは、ディレクトリ・サービスが使用するデータベースのサイズの上限は約40Mbytesである。NTドメインでは、ユーザー1人あたり1Kbytesの容量を消費するので、ディレクトリ・サービスで管理する情報がすべてユーザーだとすると、単純計算で4万人が限界ということになる。ユーザーだけでなくグループやコンピュータも管理することになると、登録可能なユーザー数はさらに少なくなってしまう。
SAMデータベースの上限
SAM(Security Account Manager)データベースには、ユーザーやグループ、コンピュータなどに関する情報が保存される。SAMデータベースは各ドメイン・コントローラごとに用意されている。SAMデータベースの上限は40Mbytesに制限されており、1ユーザーあたりの使用量は1024bytes、1コンピュータあたりの使用量は512bytes必要になる。よって、管理データがすべてユーザーの場合は、約4万ユーザーまでしか格納できない(40Mbytes÷1024bytes)。1人1台Windows NTがインストールされたコンピュータを使用しているとするなら、約2万6000ユーザーしか格納できないことになる(40Mbytes÷(1024bytes+512bytes))。
データベースの最大サイズに制限があるため、大規模環境では1つの組織でもドメインを複数に分けて運用することになる。ネットワークの規模や組織の構造などに応じて、この分け方にはいろいろな方法があるが、例えばユーザー・アカウントとコンピュータ・アカウントで分けるマスター・ドメイン・モデルなどがある。
マスター・ドメイン・モデルによるドメインの分割管理
ユーザーやグループ・アカウントはアカウント・ドメインで集中管理し、コンピュータ・アカウントなどのリソースは(複数の)リソース・ドメインに分割して管理する。アカウント・ドメインのSAMデータベースには、ユーザー・アカウントとグループ・アカウントだけを格納し、リソース・ドメインのSAMデータベースには、コンピュータ・アカウントだけを格納する。ただしこの構成で、アカウント・ドメインのユーザーがリソース・ドメインのコンピュータを利用するためには、ドメイン間で信頼関係を結ぶ必要がある。
Windows NTにおけるアカウント・データベースの複製
ユーザー名やグループ名、コンピュータ名などの重要な情報を格納しているSAMデータベースは、ドメインを管理する上で非常に重要な役割を担っている。もしこのデータベースが壊れてしまったり、何らかの障害により使用できなくなったりすると、ユーザーはドメインにログオンすることも、ドメインの資源を利用することもできなくなる。そのため、Windows NTドメインでは「シングル・マスター複製」を利用して、SAMデータベースの耐障害性を確保している。「シングル・マスター複製」とは、NTドメインで利用するSAMデータベースのマスター(元)が1つしかないということを意味している。Windows NTでは、マスターとなるデータベースの複製をほかのコンピュータに持たせることができる(複製を作ることを「同期」という)。マスターのデータベースを管理するコンピュータのことを「プライマリ・ドメイン・コントローラ(PDC)」と呼び、複製のデータベースを持つコンピュータを「バックアップ・ドメイン・コントローラ(BDC)」と呼ぶ。
シングル・マスター複製
NTドメインの複製処理は、PDCからBDCへの一方向の複製となる。マスター・データベース(書き込み可能)はPDCが保持する。ユーザーの追加や削除、グループの編集などはマスターでのみ行われる。マスター・データベースは書き込み可能だが、BDCが保持するデータベースはマスター・データベースのコピーであり、編集は不可能となっている。そのため、PDCが停止している状態では、ユーザーの追加、グループ・メンバーの変更、パスワードの変更ができなくなるし、BDCへの複製処理も行われない。
PDCが停止していても、BDCがあればユーザー情報、グループ情報、コンピュータ情報を利用することができる。つまりユーザーはドメインへログオンして、ドメインのリソースを利用することができる。
しかしBDCでは、複製されたデータベースは変更ができないという制約がある(データベースを変更することができるのはPDCだけ)。変更ができないということは、例えば新たにユーザーを追加したり、グループのメンバーを追加したり削除したりできないということである。
ユーザーの追加やグループのメンバーの変更はそれほど頻繁に発生する作業ではないため、このような場合は、PDCが復旧するのを待ってから作業をするという選択もできるだろう。しかし、例えばユーザーがパスワードを変更したいという要求は、ユーザー側の要望であるため、任意の時間に行えることが望ましい。このような管理情報のメンテナンスは、意外なときに発生するものだし、ひとたび発生すると、緊急性が高いケースが少なくない。例えばユーザーのパスワードも、ユーザー情報の一部の属性であり、ディレクトリ・データベースで管理されている。つまり、PDCが停止しているとパスワードの変更すらできない。こうした問題を回避するため、Windows NTでは、BDCをPDCに昇格するという機能が提供されていた。しかし、昇格の作業は管理者が手作業で行わなければならない。Active Directoryではこうした限界が改善されている。
Active Directoryでの改善
Active Directoryでも、ドメインの基本概念はNTドメインと同じである。
ただし、登録できる情報の種類は大幅に拡張されている。また、ディレクトリ・データベースのサイズが最大16Tbytesと大幅に拡大され、Windows NTの限界が改善されている。
管理される1ユーザーあたりのデータ・サイズは約4Kbytesと4倍に増えているが、16Tbytesというけた違いのサイズのため(40Mbytesの40万倍)、理論的には数千万を超えるユーザーやグループ、コンピュータなどのオブジェクトを管理できることになる。
また、NTドメインで管理できるオブジェクトはユーザーやグループ、コンピュータに限られていたが、Active Directoryではユーザーやグループ、コンピュータのほかに、共有フォルダやネットワーク・プリンタなど、さまざまな資源をオブジェクトとして管理できるようになった。
新規作成コマンドからオブジェクトを選択
NTドメインでは「ユーザー」、「コンピュータ」、「グループ」というオブジェクトしか作成できなかったが、Active Directoryでは新規作成できるオブジェクトの種類が増えている。
(1)作成したいオブジェクトの種類を選択すると、そのオブジェクトに必要な値の入力要求画面が表示される。
さらに、Active Directoryでは「マルチマスター複製」という複製方法を採用している。マルチマスター複製とは、編集可能なマスターのデータベースが複数あるということだ。データベースは各DCが保持するが、すべてのDCのデータベースが変更可能なため、1台のDCが停止している状態でも、ユーザー情報の更新やグループ・メンバーの変更のほか、パスワードの変更も任意のタイミングで行うことができる。
マルチマスター複製
Active Directoryでは、すべてのドメイン・コントローラでデータベース内のオブジェクトの追加や変更が可能。ドメイン・コントローラが停止しても、あらかじめドメイン・コントローラを複数台設置しておけば、管理作業は継続できる。
Windows NTでは、PDC、BDCというコンピュータの役割が分かれていたが、マルチマスター複製を採用したActive DirectoryのDCには、PDC、BDCという区別はない。
そのほかにも、Windows NTでは構成できなかった環境を、Active Directoryにすることで実現できるものは多い。具体的な内容については以後の連載で明らかにしていこう。
「運用」
Copyright© Digital Advantage Corp. All Rights Reserved.