第3回 Active Directory関連用語集(前編):管理者のためのActive Directory入門(1/2 ページ)
Active Directoryを運用する際に、ぜひ知っておきたい用語について解説。ドメイン/ツリー/フォレスト/信頼関係/スキーマ。
本稿は、Windows 2000 Serverを対象とした連載です。Windows Server 2003向けの連載は以下のリンクから参照できます。
今回と次回の2回では、Active Directoryの実際の導入に入る前に、ぜひ知っておきたい重要な用語について解説しておく。Active Directoryを構築するときに注意すべきポイントも記しておいたので、実際に導入する場合にも参考にしていただきたい。
ドメイン
Active Directoryの論理構造の基本単位を「ドメイン(domain。領域とか範囲という意味)」という。ドメインの基本概念はWindows NTの場合と大きな違いはない。つまり「同じディレクトリ・データベースを共有する範囲」である。言い換えると、同じドメインのすべてのサーバは、そのドメインのユーザーを正しく識別し、そのサーバが持つリソースへのアクセスを提供することができる。
ドメイン構造
ドメインとは、同じディレクトリ・データベースを共有する範囲であり、ドメイン全体に対して統一されたセキュリティ設定を適用することができる。ドメインに登録されたコンピュータは、ドメインに登録されたユーザーを正しく認識し、各サーバの持つリソースへのアクセスを提供できる。
ドメインには共通の「セキュリティ・ポリシー」が設定される。セキュリティ・ポリシーとは、例えばユーザーのパスワードの文字数(文字数が少ないとパスワードが破られやすいので、ある文字数以上に強制する)や変更禁止期間(変更禁止期間がないと、ユーザーがすぐに元のパスワードに戻せてしまうため、変更を強制する意味がなくなってしまう)、最大有効期間(同じパスワードを長く使い続けるのは望ましくないので、ある期間ごとにパスワードの変更を強制する)などの原則となる「ルール」のことである。これらのポリシーは、ドメイン単位でしか設定できないため、ドメインの範囲はセキュリティの境界ともいえる。
ドメイン・コントローラ
Active Directoryのディレクトリ・データベースを管理するサーバを「ドメイン・コントローラ(domain controller)」と呼ぶ。Active Directoryドメインをインストールする場合、1台以上のドメイン・コントローラが必要となる。Active Directoryのドメイン・コントローラにはWindows 2000 Server以上(もしくはWindows .NET Server以上)が動作するコンピュータが必要だ(Windows 2000 ProfessionalやWindows XP Professional/Home Editionはドメイン・コントローラにはなれない)。
ドメイン・コントローラの最大の目的は「認可(Authorize)」と「認証(Authentication)」を行うことである。認可とは、ユーザーとコンピュータをディレクトリ・データベースに登録する作業であり、認証とは、そのデータベースに基づいて正当な利用者かどうかを判定する作業である。認可されたユーザーが、認証を受けて、初めてドメイン内のリソースを利用できるようになる。これをつかさどるのがドメイン・コントローラの役目である。
Active Directoryドメインは、ただ1台のドメイン・コントローラがあれば構築できるが、複数台のドメイン・コントローラがあれば、フォールト・トレランス(耐障害性。システムの一部に障害が発生しても、処理を続けることができる機能や性能のこと)や負荷分散が実現できる。通常は、最低でも2台、できればネットワークの拠点ごとに1台以上のドメイン・コントローラを配置しておきたい。ドメイン・コントローラは、ログオン時やサーバへのアクセス時など、ひんぱんに利用されるからだ。なお複数のドメイン・コントローラがある場合、ドメイン・コントローラが持っているディレクトリ・データベースは、自動的にほかのドメイン・コントローラへ複製されるようになっている。
ドメイン・コントローラの役割
ドメイン・コントローラは、ユーザー情報をActive Directoryデータベースに格納し、ログオン認証要求があれば、ユーザー名やパスワードなどの情報がデータベース内の情報と一致しているかどうかを調べるという認証作業を行い、それにパスすればドメインへの参加を許可する。
ドメイン・ツリー
「ドメイン・ツリー」とは、連続した名前空間を共有しているActive Directoryドメインの階層構造を意味している。Active Directoryのドメイン階層はDNSの名前階層を流用するため、DNSの規則に従って階層を構成する。つまり、子ドメインは親ドメインの名前を継承する。このとき、ツリーに参加するすべてのドメイン間には双方向の推移する信頼関係が結ばれる。
なお、実際にドメイン・ツリーを作成する場合は、必ずツリーの末端にドメインを追加する必要がある。親(上位)ドメインを後から追加することはできない。
ドメインのツリー構造
ドメイン・ツリーは、DNSの名前付け規則に従って、階層的に構築される。1つの親ドメインの下に、(1つ以上の)子ドメインを置き、これを繰り返して連続的なDNS名前空間を構成する。同じツリーに参加するドメインは必ず親ドメインの名前を継承する。同じドメイン・ツリーに属するドメイン間には双方向の推移する信頼関係が結ばれるため、ほかのドメインの資源へのアクセスも提供される。
フォレスト
「フォレスト(forest。森という意味)」は1つ以上のツリーで構成された、Active Directoryにおける最も大きな管理単位である。組織内に異なる名前空間にしたいドメイン・ツリーが複数あり、それぞれのドメイン・ツリーから別ツリーのドメインの資源にアクセスするには、ドメイン間に信頼関係を結ぶ必要がある。しかしそれぞれのドメイン・ツリーのルート・ドメインが同じフォレストに参加するようにインストールすれば、双方向に推移する信頼関係が結ばれる(単一フォレスト複数ツリー)。そのため、ユーザーはフォレストに参加するすべてのドメインの資源へアクセスが提供されるようになる。
ドメイン・ツリーとフォレスト
フォレストとは、1つ以上のツリーで構成された、Active Directoryにおける最も大きな管理単位である。同じフォレストに参加するようにドメイン・ツリーをインストールすれば、双方向に推移する信頼関係が結ばれ、ユーザーはフォレストに参加するすべてのドメインの資源へアクセスできるようになる。同じドメイン名を継承したくない場合には、別の名前階層を定義できるが、フォレストに参加することにより推移する信頼関係が結ばれ、同じグローバル・カタログが利用できるため、組織全体の検索機能が提供される。
新規にActive Directoryをインストールすると、フォレストが1つ構成されたことになり、1台目のドメイン・コントローラは“フォレスト・ルート・ドメイン”を構成する。フォレスト・ルート・ドメインは、Active Directoryデータベースの初期値を生成する非常に重要なドメインであり、それ以降にインストールするドメインはすべてフォレスト・ルート・ドメインを基準に構成される。フォレストには特別な名前はない。単一ツリーなら、ツリーの最上位のドメインがフォレスト・ルート・ドメインであることは明確だが、複数のツリーがある場合、フォレスト・ルート・ドメインの判別は難しい。簡単な判別法としては、Enterprise Adminsグループが登録されたドメインを探せばよい。このグループを持つドメインがフォレスト・ルート・ドメインである。
フォレスト・ルート・ドメイン
一番最初にインストールしたドメイン・ツリーがフォレスト・ルート・ドメインとなる。2番目以降のドメイン・ツリーは、フォレスト・ルート・ドメインを指定してインストールする。するとそれぞれのドメイン・ツリー間で双方向に推移する信頼関係が結ばれる。マルチ・ツリーのフォレストでは、パッと見ただけでは、どれがフォレスト・ルート・ドメインか判断できない。フォレストに参加させたいドメインをインストールするときには、フォレスト・ルート・ドメインを指定するため、管理者はどのドメインがフォレスト・ルート・ドメインかを知っておく必要がある。フォレスト・ルート・ドメインには「Enterprise Admins」グループが存在する。このグループは、ほかのツリーのルート・ドメインには存在しない。
Active Directoryの操作範囲はフォレスト内に限られるため、可能な限り単一フォレストで運用すべきである。例えばフォレストを分けてActive Directoryを構成すると、グローバル・カタログ(GC。後編で解説)も分かれてしまい、組織全体の検索ができなくなってしまう。後からフォレストを結合することもできないため、Active Directoryフォレストの設計は非常に重要な作業となる。
関連リンク:
Copyright© Digital Advantage Corp. All Rights Reserved.