第4回 Active Directory関連用語集(後編):管理者のためのActive Directory入門(2/2 ページ)
Active Directoryを運用する際に、ぜひ知っておきたい用語について解説。グローバル・カタログ/操作マスタ/サイト。
ドメイン・モード
Active Directoryドメインには、「ネイティブ・モード(native mode)」と「混在モード(mixed mode)」という2種類のドメインの動作モードがある。
「ネイティブ・モード」は、ドメインに参加しているドメイン・コントローラが、すべてWindows 2000のドメイン・コントローラで構成されたドメインの場合に設定できる(逆にいえば、Windows NTのドメイン・コントローラが存在する場合は、このモードにすることはできない)。ネイティブ・モードではActive Directoryのすべての機能がサポートされる。
一方「混在モード」は、機能の一部に制限がある代わりに、Windows NT 4.0のBDC(バックアップ・ドメイン・コントローラ)の混在をサポートする。これにより、NTドメインからActive Directoryドメインに移行した場合でも、いままで使っていたBDCをそのまま利用できる。ドメイン内のドメイン・コントローラに1台以上のNT BDCが存在する場合は、混在モードで運用しなければならない。混在モードの場合、Active Directoryのドメイン・コントローラは、NTのBDCにもディレクトリ・データベースの内容を複製する必要がある(Windows NTのBDCもドメインのユーザー認証処理を担うため、データベース上にユーザー情報が必要である)。そのため複製データには、Windows NTのBDCが理解できるものしか含めることができない。
Active Directoryのデフォルトのドメイン・モードは混在モードである。管理者がActive Directoryインストール後にドメイン・モードを変更しない限り、そのドメインは混在モードで運用される。前述したとおり、混在モードではWindows NT 4.0のBDCを追加することが可能だが、Windows 2000 Active Directoryのすべての機能は使えない。
ドメイン・モードの確認と変更
Active Directoryインストール時のデフォルトのドメイン・モードは「混在モード」となっている。管理者はドメインのDCがすべてWindows 2000になっていることを確認してから、[モードの変更]ボタンをクリックすることで、ネイティブ・モードへ変更することができる。1度実行すると混在モードに戻すことはできないので、この操作は慎重に行う必要がある。
(1)現在のドメイン・モード。この場合は「混在モード」になっている。
(2)ネイティブ・モードへ変更するにはこれをクリックする。1度変更すると、混在モードへ戻すことはできない。
モードの変更は簡単に行えるが、その意味は非常に重要であるため、慎重に行う必要がある。もしドメイン内にNTのBDCが存在するのにネイティブ・モードに変更してしまうと、その後NTのBDCにはディレクトリ・データベースの変更が複製されなくなる。しかも、モード変更時にNT BDCの有無は検査されない。ディレクトリ・データベースの複製がされないと、新規ユーザーの認証はできないし、削除されたユーザーもNTのBDC上に残ってしまう。Active DirectoryとNTドメインの違いについては、連載第2回「Active Directoryによるディレクトリ管理―3.Active Directoryによる改善」を参照してほしい。
ネイティブ・モードの例
ドメイン・モードを変更して、ネイティブ・モードにした場合の例。モードを変更するためのボタンは表示されていない。つまり変更はできないということである。
(1)現在のモードは「ネイティブ・モード」。
(2)モードを変更するためのボタンはない。1度ネイティブ・モードにすると、混在モードへ戻すことはできないので、ネイティブ・モードへの移行は慎重に行う必要がある。
DNSサーバにおけるActive Directory統合ゾーン・モード
「Active Directory統合ゾーン」は、Windows 2000のDNSサーバにおけるゾーンの管理タイプの一種である。Active Directory統合ゾーンは、ドメイン・コントローラとDNSサーバを同一のコンピュータで構成することにより提供される機能である。つまりゾーンの管理タイプの一種ではあるが、Active Directoryを構築していないと利用できない。Windows 2000のDNSサービスでは、3つのゾーン・タイプがサポートされている。1つは「標準プライマリ・ゾーン」であり、マスタのゾーン・ファイルを管理する役割になる。2つ目が「標準セカンダリ・ゾーン」である。これはプライマリ・ゾーンからのゾーン・ファイルの複製を保持する。セカンダリ・ゾーンはフォールト・トレランス(耐障害性)や負荷分散を実現するために構成する。ただし、セカンダリ・ゾーンではレコードの追加や編集はできない。
そのため標準プライマリと標準セカンダリで構成されたDNSゾーンの管理は必ず標準プライマリ・ゾーンに対して行う必要がある。
DNSサーバにおけるゾーン転送
標準プライマリ・ゾーンに格納されているゾーン・データが標準セカンダリ・ゾーンへ転送される。これを「ゾーン転送」という。標準セカンダリ・ゾーンを構成(インストール)する場合は、マスタとなる標準プライマリ・ゾーンのDNSサーバを指定する必要がある。ゾーン転送は一方向にしか行われないため、ゾーン・データの編集作業はすべて標準プライマリ・ゾーンに対して行う必要がある。
これらに対して「Active Directory統合ゾーン」では、ゾーン情報をActive Directoryデータベースのオブジェクトとして保持する。Active Directoryデータベースはすべてのドメイン・コントローラで登録、編集が可能であるためプライマリ・ゾーンが複数存在するのと同じ構成となる。
Active Directory統合ゾーンの動作
ゾーン・データはActive Directory内に格納されたオブジェクトとして扱われる。すべてのドメイン・コントローラはマスタのデータベースを保持するため、どのデータベースに対しても、権利さえあればレコードの追加や変更の編集作業が自由に行える。
また、ゾーン転送もActive Directoryの複製処理に任せることができる。Active Directory統合ゾーンでは、ゾーンに対する動的更新をセキュリティで保護することもできる。ただし、DNSサーバがActive Directoryデータベースを保持するドメイン・コントローラでないと「Active Directory統合」は選択できない。
DNSコンソールによるゾーン・タイプの変更
DNSのゾーン・タイプは、DNS管理ツールで確認、変更することができる。ただし、DNSサーバがActive Directoryデータベースを保持するドメイン・コントローラでないと「Active Directory統合」は選択できない。
(1)現在のゾーン・タイプ。
(2)ゾーン・タイプを変更するにはこれをクリックする。
(3)3種類のゾーン・タイプがある。
Active Directory統合ゾーンを構成したい場合には、ドメイン・コントローラがDNSサーバになる必要がある。また組織内にBIND(UNIXやLinux OSで広く使われているDNSサーバ・ソフトウェア。BINDについてはLinux Square内の「BINDで作るDNSサーバ」などを参照)やNT4.0のDNSサーバが存在する場合でも、Active Directory統合ゾーンはプライマリ・ゾーンの役割を担うことができる。
Kerberos Version 5
Kerberos Version 5 は、Active Directoryで利用している認証プロトコルである。KerberosはMIT(マサチューセッツ工科大学)のアテナプロジェクトにより開発された。現在ではRFC1510として標準化されており、アルゴリズムが公開されているため、多くの人々により安全性が検証されている。Kerberos認証プロトコルが利用されるのは、Active DirectoryドメインにWindows 2000/XPクライアントからログオンするときのみである。Windows NTやWindows 95/98クライアントからは、従来通りのNTLM認証(Windows NT LAN Manager認証)が利用される。
「運用」
Copyright© Digital Advantage Corp. All Rights Reserved.