第4回 Active Directory関連用語集(後編):改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)(1/3 ページ)
ADを理解するために、知っておきたい基礎用語集。後編となる今回は、ドメイン機能レベル、DNSなどを解説。
本稿は、Windows 2000 Serverを対象として、2002年9月より連載を開始した「管理者のためのActive Directory入門」を元に、Windows Server 2003向けの情報を追加し、改訂したものです。以前の連載は、以下のリンクから参照できます。
今回も前回に引き続き、Active Directory関連の重要な用語について解説する。
LDAP
「LDAP(Lightweight Directory Access Protocol)」は、RFC2251(およびその更新版であるRFC3377、RFC3771)で定義されている、X.500準拠のディレクトリ・サービスにアクセスするためのプロトコルである。Active Directoryでは、ディレクトリ情報の検索や更新の際にLDAPが使われている。X.500ディレクトリ・サービスで定義されるDAP(Directory Access Protocol)は複雑であったため、DAPをベースにして軽量化したLDAPがディレクトリ・サービス・プロトコルの標準となっている(「軽量」とは、仕組みが簡単で、プロトコルを利用したり実装したりする手間が少なくて済むという意味)。LDAPはプラットフォーム依存ではないので、LDAPを使ってLinuxクライアントがActive Directoryを参照することも可能である。
グローバル・カタログ
「グローバル・カタログ(Global Catalog:GC)」とは、フォレスト内の全ドメインの全オブジェクトから、利用頻度の高い属性のみを抽出したものである。デフォルトではユーザー名やログオン名など、検索で利用される頻度が高い属性がグローバル・カタログに複製され、保存されている。グローバル・カタログを使うと、異なるドメインのオブジェクトでもフォレストが同じであれば、一括して検索できるという利点がある。
グローバル・カタログの検索
Active Directoryの管理ツール(「Active Directoryサイトとサービス」)で、適当なOU(組織単位)を右クリックし、ポップアップ・メニューから[検索]を選択すると表示される検索ダイアログ。グローバル・カタログを利用することにより、フォレスト内の異なるドメインのオブジェクトも含めた検索ができる。
(1)「全部のDirectory」を選択すると、フォレスト全体からオブジェクトを検索することができる。
複数ドメインを含むフォレストに1つのグローバル・カタログ・サーバを設定した場合、オブジェクトは次のような状態で保持される。
グローバル・カタログによる複製オブジェクトの保持
グローバル・カタログには、フォレストに属するすべてのドメインに含まれるオブジェクトのうち、一部の属性が複製され、保持されている。フォレスト全体の検索がしたい場合にはグローバル・カタログに問い合わせればよい。
グローバル・カタログは、フォレスト内のグローバル・カタログ・サーバが保持する。グローバル・カタログ・サーバはドメイン・コントローラ(以下DC)の役割の1つであり、デフォルトではフォレストに最初にインストールされたDCがこの役割を担当することになっている。2台目以降のDCは自動的にはグローバル・カタログ・サーバにはならないため、複数のグローバル・カタログ・サーバを用意したい場合には、管理者が手動で設定を行う必要がある(ただしグローバル・カタログ・サーバにするコンピュータは、必ずDCでなければならない)。実際の設定作業は、管理ツール「Active Directoryサイトとサービス」を使って行う。
グローバル・カタログ・サーバの設定
フォレスト内に複数のグローバル・カタログ・サーバを配置したい場合には、「Active Directoryサイトとサービス」管理ツールを利用して設定する。すべてのDCはグローバル・カタログ・サーバになることができるが、あまり増やしすぎるとネットワーク・トラフィックに悪影響を及ぼしてしまう。
(1)グローバル・カタログ・サーバであるかどうかはこのチェック・ボックスで判断できる。これをオンにすると、DCにグローバル・カタログ・サーバの役割を持たせることができる。
グローバル・カタログ・サーバは、ログオン時の所属グループの確認や、オブジェクト検索に利用される。Active Directoryは、一部の例外を除き、グローバル・カタログが利用できないとログオンできないという仕様なので、フォールト・トレランス(耐障害性)を確保するためにも、2台以上のグローバル・カタログ・サーバを設置するべきである。もっとも、あまりグローバル・カタログ・サーバの台数を増やしすぎると、グローバル・カタログ・サーバ間での複製のためのネットワーク・トラフィックが大きくなるので、サイトごとに1台程度を目安にしておけばよいだろう。(フォレストがシングル・ドメインの場合には、すべてのDCは全データを持っているので、全DCをグローバル・カタログ・サーバに設定してもネットワーク・トラフィックへの影響は無い)
操作マスタ(FSMO)
同一ドメイン内のDCは、同じデータベースを共有・保持し、基本的にはDCの役割は対等である。しかし、複数のコンピュータで処理すると不整合が発生する可能性がある処理や、効率の悪い処理については1台のDCが専任で処理する。そのような特別な役割(担当)を持っているDCのことを「操作マスタ(FSMO:Flexible Single Master Operation)」と呼ぶ。なお、操作マスタは役割であり、保持するデータベースの内容が異なるわけではない。
操作マスタが担う機能は全部で5種類ある。
- スキーマ・マスタ
フォレストでActive Directoryデータベース・スキーマの変更を担当する。 - ドメイン名前付けマスタ
フォレストに対してドメインの追加や削除を管理する。 - RIDマスタ
DCは、ユーザーやグループ・アカウントを作成したときにセキュリティID(SID)を割り当てる。「RID(Relative ID)」はSIDの一部であり、ドメイン内でユニークな値である。各DCは、自分が与えることのできるSIDをいくつか持っている。これがRIDプールである。RIDマスタはRIDプールのSIDを使い切った場合に再割り当てを担当する。 - PDCエミュレータ
旧バージョンのクライアントやBDC(Backup Domain Controller:バックアップ・ドメイン・コントローラ)に対してPDC(Primary Domain Controller:プライマリ・ドメイン・コントローラ)の役割を提供する。また、ネイティブ・モードでも、パスワード照合に失敗した場合(パスワード・データが複製されるよりも早くログオンした場合)は、このコンピュータに認証が転送される。また、マスタ・ブラウザの役割も担う。 - インフラストラクチャ・マスタ
ドメイン内でグループ・アカウント内のメンバの割り当てを担当する。例えばユーザーの名前を変更した場合、ほかのドメインでもグループ・アカウントのメンバ表示を変更する必要がある。このような変更に責任を持つのがインフラストラクチャ・マスタである。
関連リンク
Copyright© Digital Advantage Corp. All Rights Reserved.