第3回 Active Directory関連用語集(前編):改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)(1/2 ページ)
ADを理解するために、知っておきたい基礎用語集。前編となる今回は、ドメイン、フォレスト、ADスキーマなどを解説。
本稿は、Windows 2000 Serverを対象として、2002年9月より連載を開始した「管理者のためのActive Directory入門」を元に、Windows Server 2003向けの情報を追加し、改訂したものです。以前の連載は、以下のリンクから参照できます。
今回と次回の2回では、Active Directoryの解説を本格的に開始する前に、ぜひ知っておきたい重要なActive Directory関連用語を解説する。Active Directory構築時に注意すべきポイントも記しておいたので、実際にActive Directoryを導入するときにも参考にしていただきたい。
ドメイン
Active Directoryの論理構造の基本単位を「ドメイン(domain。領域とか範囲という意味)」という。ドメインの基本概念はWindows NTの場合と大きな違いはない。つまり「同じディレクトリ・データベースを共有する範囲」である。いい換えると、同じドメインのすべてのサーバは、そのドメインのユーザーやコンピュータを正しく識別し、そのサーバが持つリソースへのアクセスを提供することができる。
ドメイン構造
ドメインとは、同じディレクトリ・データベースを共有する範囲であり、ドメイン全体に対して統一されたセキュリティ設定を適用することができる。ドメインに登録されたコンピュータは、ドメインに登録されたユーザーを正しく認識し、各サーバの持つリソースへのアクセスを提供する。
ドメインには共通の「セキュリティ・ポリシー」が設定される。セキュリティ・ポリシーとは、例えば以下のような運用の原則となるセキュリティ上の「ルール」のことである。
- ユーザーのパスワードの文字数
文字数が少ないとパスワードが破られやすいので、ある文字数以上を強制する - ユーザーのパスワード変更禁止期間
変更禁止期間がないと、ユーザーがすぐに元のパスワードに戻せてしまうため、変更を強制する意味がなくなってしまう - ユーザーのパスワード最大有効期間
同じパスワードを長く使い続けるのは望ましくないので、ある期間ごとにパスワードの変更を強制する
これらのポリシーはドメイン単位でしか設定できないため、ドメインの範囲はセキュリティの境界ともいえる。
ドメイン・コントローラ
Active Directoryのディレクトリ・データベースを管理するサーバを「ドメイン・コントローラ(Domain Controller)」と呼ぶ。Active Directoryドメインをインストールする場合、1台以上のドメイン・コントローラが必要となる。Active Directoryのドメイン・コントローラにはWindows 2000 Server、Windows Server 2003以上が稼働するコンピュータが必要だ(Windows 2000 ProfessionalやWindows XP Professional/Home Edition、Windows Server 2003 Web Editionはドメイン・コントローラにはなれない)。
ドメイン・コントローラの最大の目的は「認可(Authorization」と「認証(Authentication)」を行うことである。認可とは、ユーザーとコンピュータをディレクトリ・データベースに登録する作業であり、認証とは、正当な利用者かどうかを判定する作業である。認可されたユーザーが、認証を受けて、初めてドメイン内のリソースを利用できるようになる。これをつかさどるのがドメイン・コントローラの役目である。
Active Directoryドメインは、ただ1台のドメイン・コントローラがあれば構築できるが、複数台のドメイン・コントローラがあれば、フォールト・トレランス(耐障害性。システムの一部に障害が発生しても、処理を続けられる機能や性能のこと)や負荷分散が実現できる。通常は最低でも2台、できればネットワークの拠点ごとに1台以上のドメイン・コントローラを配置しておきたい。ドメイン・コントローラは、ログオン時やサーバへのアクセス時など、頻繁に利用されるからだ。なお複数のドメイン・コントローラがある場合、ドメイン・コントローラが持っているディレクトリ・データベースは、自動的にほかのドメイン・コントローラへ複製されるようになっている。
ドメイン・コントローラの役割
ドメイン・コントローラは、ユーザー情報をActive Directoryデータベースに格納し、ログオン認証要求があれば、ユーザー名やパスワードなどの情報がデータベース内の情報と一致しているかどうかを調べるという認証作業を行い、それにパスすればドメインへの参加を許可する。
ドメイン・ツリー
「ドメイン・ツリー」とは、連続した名前空間を共有しているActive Directoryドメインの階層構造を意味している。Active Directoryのドメイン階層はDNSの名前階層を流用するため、DNSの規則に従って階層を構成している。つまり、子ドメインは親ドメインの名前を継承する。このとき、ツリーに参加するすべてのドメイン間には双方向の推移する(*)信頼関係が結ばれる。
* 「推移する」の意味については、連載第1回の「1.ディレクトリ・サービスと階層構造」を参照のこと。
なお、実際にドメイン・ツリーを作成する場合は、必ずツリーの末端にドメインを追加する必要がある。親(上位)ドメインを後から追加することはできない。
ドメインのツリー構造
ドメイン・ツリーは、DNSの名前付け規則に従って、階層的に構築される。1つの親ドメインの下に、(1つ以上の)子ドメインを置き、これを繰り返して連続的なDNS名前空間を構成する。同じツリーに参加するドメインは必ず親ドメインの名前を継承する。同じドメイン・ツリーに属するドメイン間には双方向の推移する信頼関係が結ばれるため、ほかのドメインの資源へのアクセスも提供される。
フォレスト
「フォレスト(forest。森という意味)」は1つ以上のツリーで構成された、Active Directoryにおける最も大きな管理単位である。組織内に異なる名前空間にしたいドメイン・ツリーが複数あり、それぞれのドメイン・ツリーから別ツリーのドメインの資源にアクセスするには、ドメイン間で信頼関係を結ぶ必要がある。しかしそれぞれのドメイン・ツリーのルート・ドメインが同じフォレストに参加するようにインストールすれば、双方向に推移する信頼関係が結ばれる(単一フォレスト複数ツリー)。そのため、ユーザーはフォレストに参加するすべてのドメインの資源へアクセスが提供されるようになる。
ドメイン・ツリーとフォレスト
フォレストとは、1つ以上のツリーで構成された、Active Directoryにおける最も大きな管理単位である。同じフォレストに参加するようにドメイン・ツリーをインストールすれば、双方向に推移する信頼関係が結ばれ、ユーザーはフォレストに参加するすべてのドメインの資源へアクセスできるようになる。同じドメイン名を継承したくない場合には、別の名前階層を定義できるが、フォレストに参加することにより推移する信頼関係が結ばれ、同じグローバル・カタログが利用できるため、組織全体の検索機能が提供される。
新規にActive Directoryをインストールすると、フォレストが1つ構成されたことになり、1台目のドメイン・コントローラは“フォレスト・ルート・ドメイン”を構成する。フォレスト・ルート・ドメインは、Active Directoryデータベースの初期値を生成する非常に重要なドメインであり、それ以降にインストールするドメインはすべてフォレスト・ルート・ドメインを基準に構成される。フォレストには特別な名前はなく、フォレスト・ルート・ドメインのドメイン名がフォレスト名として利用される。単一ツリーなら、ツリーの最上位のドメインがフォレスト・ルート・ドメインであることは明確だが、複数のツリーがある場合、フォレスト・ルート・ドメインの判別は難しい。簡単な判別法としては、Enterprise Adminsグループが登録されたドメインを探せばよい。このグループを持つドメインがフォレスト・ルート・ドメインである。
フォレスト・ルート・ドメイン
最初にインストールしたドメイン・ツリーがフォレスト・ルート・ドメインとなる。2番目以降のドメイン・ツリーは、フォレスト・ルート・ドメインを指定してインストールする。するとそれぞれのドメイン・ツリー間で双方向に推移する信頼関係が結ばれる。マルチ・ツリーのフォレストでは、パッと見ただけでは、どれがフォレスト・ルート・ドメインか判断できない。フォレストに参加させたいドメインをインストールするときには、フォレスト・ルート・ドメインを指定するため、管理者はどのドメインがフォレスト・ルート・ドメインかを知っておく必要がある。フォレスト・ルート・ドメインにはEnterprise Adminsグループが存在する。このグループは、ほかのツリーのルート・ドメインには存在しない。
Active Directoryの操作範囲はフォレスト内に限られるため、可能な限り単一フォレストで運用すべきである。例えばフォレストを分けてActive Directoryを構成すると、グローバル・カタログも分かれてしまい、組織全体の検索ができなくなってしまう。後からフォレストを結合することもできないため、Active Directoryフォレストの設計は非常に重要な作業となる。
Windows Serve 2003で構成されたActive Directoryでは、「フォレスト間信頼」という別フォレスト間で推移する双方向の信頼関係を結べる機能が追加されたが、グローバル・カタログやスキーマが統合されるわけではない。いずれにしても同じ組織であれば単一フォレストで運用すべきである。
関連リンク
Copyright© Digital Advantage Corp. All Rights Reserved.