第5回 Active Directoryの導入準備(前編):管理者のためのActive Directory入門(2/2 ページ)
Active Directoryの導入成功には、十分な計画や準備が欠かせない。今回は導入手順やドメイン名について解説する。
ドメイン名の階層
Active Directoryのドメイン名の階層は、DNSドメイン名の階層に依存している。すでにインターネットで登録しているドメイン名を利用することもできるし、全く別の名前をActive Directoryドメインの名前として割り当てることもできる。Active Directoryは社内向けのサービスのため、Active Directoryドメイン名を社内に限定して使うことも可能である(インターネットに登録する義務はない)。
Active Directoryドメインの命名階層は慎重に決定して割り当てるべきである。Active Directoryの構築はフォレスト・ルート・ドメインから行う必要があるが、Windows 2000のActive Directoryでは、インストール後にドメイン名を変更することはできないからだ。ドメイン名を変更したければ、一度Active Directoryをアンインストールし、再度インストールするときに新しい名前を割り当てる必要がある。Windows .NET Server 2003では名前の変更が可能だが、それにしたところで複雑な手順が必要であり、きちんとした準備なしにいい加減に決定してよいということではない。
割り当てるActive Directoryドメイン名はDNSドメインの命名規則に準拠する必要がある(「☆☆☆.★★★.co.jp」のように、DNSドメイン名の命名規則に準拠する)。このとき、ドメイン名(FQDN名)全体の長さは255文字まで有効である。
デフォルトでは、割り当てたActive Directoryドメイン名の先頭のピリオドまでがNetBIOSドメイン名として利用されるため、既存のネットワーク環境で先頭のピリオドまでの名前が一意かどうかを確認しておく必要がある(「☆☆☆.★★★.co.jp」なら「☆☆☆」の部分)。また、NetBIOS名の文字数は最長で15文字までしか割り当てられないため、制限の範囲内にとどめるように名前を付けるべきである。もしどうしてもNTのドメイン名と重複する場合は、Active Directoryのドメイン名とは別に、NetBIOSドメイン名を割り当てることもできる。
Active Directoryドメイン名とNT NetBIOSドメイン名の比較
Active Directoryのドメイン名はDNSのドメイン名に準拠している(ドメイン名全体の長さは255文字まで有効)。そしてドメイン名の先頭のピリオドの左側にある名前の部分がNetBIOSのドメイン名となる。例えばActive Directoryのドメイン名(つまりDNSのドメイン名)が「cmt.co.jp」ならば、NetBIOSドメイン名は「CMT」となる。NetBIOSドメイン名(ドメイン名に限らず、一般的なNetBIOS名)は、最長で15文字まで可能。
また、ドメインのメンバーとなるコンピュータがすべてWindows 2000もしくはWindows XPであればWINSサーバは不要だが、Windows NTやWindows 9x/Meなどが存在する場合には、それらのコンピュータからも名前解決ができるように、1台以上のWINSサーバを設置しておこう。
DNSの階層構造の検討
Active Directoryドメイン名がDNSドメイン階層に依存することはすでに述べた。つまりActive Directoryの導入ではDNSの環境が非常に重要になってくる。Active Directory導入時には、既存のDNS構造を確認し、DNSの構造をどのように変更していくかを検討しておく必要がある。例えば組織のDNSドメイン名として「cmt.co.jp」という正式なインターネットのドメインを取得して、メール・アドレスやWebサーバ(www.cmt.co.jp)などですでに利用しているとする。新たにActive Directoryを導入する場合にも、このような階層的なDNSドメイン名が必要となるが、具体的にはどのようなドメイン名を使えばよいのだろうか? ここでは幾つかのパターンについて見ておこう。
Active Directoryドメイン導入の際に使われるDNSの階層構造としては、基本的には次のような3つのパターンが考えられる。
■パターン1―Active Directory用にサブドメインを用意する
インターネット用の(公式な)ドメイン名のゾーンの下に、新しくActive Directory用のサブドメインを作成し、そのサブドメインの管理をActive Directory用のDNSサーバに委任する。インターネット向けのドメインの下に、社内のActive Directory向けのドメインが構築されることになるので、名前の連続性が高く、また社外向けと社内向けのドメインを簡単に区別することができる。
例えばインターネット向けのドメイン名が「★★★.co.jp」だとすると、新しく「ad」というサブドメインを作成し、Active Directory向け(社内向け)のドメイン名を「ad.★★★.co.jp」とする。この結果、インターネット向けのサーバは「www.★★★.co.jp」や「mailgw.★★★.co.jp」という名前になり、社内向けのマシンは、「server.ad.★★★.co.jp」や「pc01.ad.★★★.co.jp」などとなる。
Active Directory用のドメインを既存のドメイン階層にサブドメインとして追加する
インターネット向けのドメイン名の下に、新しくサブドメインを作成し(この例では「ad.cmt.co.jp」)、これをActive Directory用のドメインとする。インターネット向けの公開ホスト(メール・サーバやWebサーバなど)は、トップレベルのドメインに配置し、Active Directory向けのドメイン・コントローラやドメイン内のホストは、サブドメイン中に配置する。
この構成では、Active DirectoryゾーンとほかのDNSゾーンを分離することができるため、インターネット向けのDNSの管理者とActive Directoryの管理者が異なるような場合に管理しやすくなる。また、既存のDNSの名前空間と連続した名前が定義されるため、混乱を避けることができる。ただし、Active Directory用のドメインは既存のDNSドメインのサブドメインとなるため、少々名前空間が長くなってしまう。ドメイン名の先頭には、必ず(例えば)「ad.〜」というサブドメイン名が付くため、管理者やユーザーにとってはやや煩わしいかもしれない。
■パターン2―同じドメイン名を使用する
インターネット用のドメイン名とActive Directory用のドメイン名を同じにし、それぞれに独立したDNSサーバを用意することもできる。管理者やユーザーにとっては、インターネット向けと同じドメイン階層にすることができるので、理解しやすいというメリットがある。
例えばインターネット向けのドメイン名が「★★★.co.jp」だとすると、Active Directory向け(社内向け)のドメイン名も同じ「★★★.co.jp」となる。この結果、インターネット向けのサーバは「www.★★★.co.jp」や「mailgw.★★★.co.jp」という名前になるが、同時に、社内向けのマシンも「server.★★★.co.jp」や「pc01.★★★.co.jp」などとなる(もちろん必要に応じてサブドメインを作成してもよい)。
Active Directory用のドメインと既存のドメイン名に同じものを使う
インターネット向けのドメイン名とActive Directory用のドメインを一致させる(この例では「cmt.co.jp」)。インターネット向けの公開ホスト(メール・サーバやWebサーバなど)は、インターネット向けのDNSドメインに配置し、Active Directory向けのドメイン・コントローラやホストは、Active Directory用のDNSドメイン中に配置する。ただし、インターネット向けの特定のホスト(例えばwww.cmt.co.jp)などは、両方のDNSサーバに登録しておかないと、他方のDNSサーバから参照できなくなる。なお、両方のドメインを1台のDNSサーバで兼用することも不可能ではないが、Active Directory用のさまざまなDNSレコード情報がインターネット側からも見えてしまったりするので、セキュリティ的には望ましくない。
この構造では既存のインターネット向けのドメイン名をそのままActive Directoryでも使うため、ユーザーは複数のドメイン名を意識する必要がない(中間的なサブドメインが不要なので、直感的に理解しやすい)。ただし、同じドメイン(DNSゾーン)に対して、インターネット用とActive Directory用の2つのDNSサーバが独立して存在することになるので、少し注意が必要である(パターン1や以下のパターン3では、各ドメイン/サブドメインのゾーン情報を持つDNSサーバは1台しかないので、問題にはならない)。
通常、社内でユーザーが利用するコンピュータはActive Directoryドメインのメンバーになるだろうから、各クライアントのTCP/IP設定では、Active Directory用のDNSサーバ(社内向けDNSサーバ)を優先DNSサーバとして設定する。しかし自社のWebサーバやメール・サーバなど(例:「www.cmt.co.jp」や「mail.cmt.co.jp」など)は、既存のインターネット向けのDNSサーバだけに登録されているだろうから、Active Directory用のDNSサーバに問い合わせても名前解決はできない。これでは、社内のユーザーが自社のWebサーバやメール・サーバなどへアクセスできなくなってしまう。
この問題を解決する1つの手段として、インターネット公開用のDNSレコードを、Active Directory用のDNSサーバにも登録してしまうという方法がある。こうすれば、どちらのDNSサーバを使っても、同じDNSレコード情報を得ることができる。ただしDNSレコードの情報を更新するときは、両方のDNSサーバで同じように変更しなければならないので、管理者にとっては少々面倒である。
■パターン3―異なるドメイン名を使用する
インターネット用ドメイン名と、Active Directory用ドメイン名を全く異なるものにするという方法もある。
Active Directory用ドメインと既存のドメイン名で異なる名前を使う
インターネット向けのドメイン名とActive Directory用のドメインを全く別にして構築する。独立したDNSサーバなので、既存のドメインとは関係なく、独立したActive Directory環境を構築することができる。管理も独立して行うことができるが、ユーザーから見ると2つのDNSドメインが存在していることになるので、どちらのDNSサーバで管理されているリソースなのかを把握しておく必要がある。
この構成では、Active DirectoryドメインとDNSドメインを明確に区分けすることができる。パターン2(同じドメイン名を使う方法)のような、DNSレコードの追加という作業は必要ないし、何らかの事情でドメイン名を変更しなければならなくなった場合でも、お互いのDNSサーバに対して独立して作業することができる。ただし、ユーザーは自分がアクセスするべきリソースがActive Directoryドメインのリソースなのか、既存のインターネット向けのDNSサーバで管理されているリソースなのかを把握して、アクセスする必要がある。例えばインターネット・メール・アドレスのドメイン名とローカルのネットワークのドメイン名が違っていると、ユーザーは混乱して間違ったドメイン名を指定してしまい(server.ad.localではなく、server.cmt.co.jpなどと指定して)、ネットワーク上のサーバにつながらない、などというトラブルが多発するかもしれない。
Active Directoryの導入チームとDNSの管理チームが異なる場合には、事前に打ち合わせをし、どこまで名前構造の変更が可能なのかを話し合っておく必要がある。Active Directoryの導入により、既存のDNS管理者の仕事が増えてしまうような場合には、作業を引き受けてもらえない場合もあるので、あらかじめきちんと話し合っておこう。
「運用」
Copyright© Digital Advantage Corp. All Rights Reserved.