第4回 Active Directory関連用語集(後編):改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)(3/3 ページ)
ADを理解するために、知っておきたい基礎用語集。後編となる今回は、ドメイン機能レベル、DNSなどを解説。
Windows Server 2003の機能レベル
Windows Server 2003のActive Directoryでは、「ドメイン・モード」が「機能レベル」となった。機能レベルには「ドメイン機能レベル」と「フォレスト機能レベル」があり、Windows 2000までのドメイン・モードと同じようにドメイン内にどのバージョンのDCが存在し、どの機能まで実行できるのかを指し示す。Windows 2000の時代にはDCとして参加できるバージョンはNTとWindows 2000の2種類しか存在しなかったが、Windows Server 2003では1種類増えたため、利用できる機能の範囲も少し複雑になる。「ドメイン機能レベル」は次の4種類がある。
●Windows 2000混在
- Windows 2000のActive Directoryで混在モードとして利用していた機能レベル。
- この機能レベルには、DCとしてWindows NT 4.0/Windows 2000 Server/Windows Server 2003が参加できる。
●Windows 2000ネイティブ
- Windows 2000のActive Directoryでネイティブ・モードとして利用していた機能レベル。
- この機能レベルには、DCとしてWindows 2000 Server/Windows Server 2003が参加できる。
●Windows Server 2003中間
- この機能レベルにはDCとしてWindows NT 4.0とWindows Server 2003が参加できる。NTドメインから、Windows Server 2003 Active Directoryにアップグレードした際に選択可能である。
●Windows Server 2003
- この機能レベルでは、すべてのDCがWindows Server 2003である必要があるが、Windows Server 2003のActive Directoryのすべての機能を利用することができる。
- ほかの機能レベルでは一部機能が制限されるため、できるだけ、この機能レベルに昇格するように計画を立てることをお勧めする。
また、ドメイン単位の機能レベルのほかに、Windows Server 2003からは、フォレスト単位で使用する機能もあるため、フォレスト機能レベルという設定も存在する。Windows Server 2003のActive Directoryがサポートするフォレスト機能レベルは次の3種類である。設定できるフォレストの機能レベルは、フォレスト内のドメインの機能レベルに依存する。
●Windows 2000
- デフォルトの機能レベルで、Windows NT 4.0/2000/Server 2003のDCが参加できる。したがって、フォレスト内にひとつでもWindows 2000混在や、Windows 2000ネイティブの機能レベルのドメインがある場合には、フォレストの機能レベルはWindows 2000になる。
●Windows Server 2003中間
- この機能レベルでは、Windows NT 4.0とWindows Server 2003のDCが参加でき、Windows 2000 ServerのDCは参加できない。
- Windows NT 4.0のDCをWindows Server 2003にアップグレードする際の移行用に用意された特殊な機能レベル。Windows NT 4.0のPDCをWindows Server 2003にアップグレードし、Windows NTのBDCが残存する場合などに利用する。
- フォレスト内のドメインのドメイン機能レベルがWindows Server 2003中間と、 Windows Server 2003の場合に設定できる。
●Windows Server 2003
- Windows Server 2003のみが参加できる。
- このフォレスト機能レベルに移行する際には、フォレストを構成するドメインの機能レベルが「Windows 2000ネイティブ」か「Windows Server 2003」である必要がある。フォレスト機能レベルを上げると、「Windows 2000ネイティブ」機能レベルで動作するDCが、自動で「Windows Server 2003」機能レベルに上がる。つまり、フォレストの機能レベルをWindows Server 2003 にした時点で、フォレスト内のすべてのドメインのドメイン機能レベルが「Windows Server 2003」機能レベルになる。
- ドメイン名の変更/再構築、スキーマ・クラスと属性の非アクティブ化、クロス・フォレスト信頼などの機能が利用できる。
なお、各機能レベルで利用できる機能は、Windows Server 2003のヘルプや以下のサポート技術情報で確認できる。
DNSサーバにおけるActive Directory統合ゾーン・モード
Windows 2000/2003のDNSサービスでは、「標準プライマリ・ゾーン」「標準セカンダリ・ゾーン」「Active Directory統合ゾーン」という、3つのゾーン・タイプがサポートされている。
標準プライマリ・ゾーンは、マスタのゾーン・ファイルを管理する役割を持つ。標準セカンダリ・ゾーンは、マスタ・ゾーンからのゾーン・ファイルの複製を保持する。セカンダリ・ゾーンはフォールト・トレランス(耐障害性)や負荷分散を実現するために構成する。ただし、セカンダリ・ゾーンではレコードの追加や編集はできない。
そのため標準プライマリと標準セカンダリで構成されたDNSゾーンの管理は必ず標準プライマリ・ゾーンに対して行う必要がある。
DNSサーバにおけるゾーン転送
標準プライマリ・ゾーンに格納されているゾーン・データが標準セカンダリ・ゾーンへ転送される。これを「ゾーン転送」という。標準セカンダリ・ゾーンを構成(インストール)する場合は、マスタとなる標準プライマリ・ゾーンのDNSサーバを指定する必要がある。ゾーン転送は一方向にしか行われないため、ゾーン・データの編集作業はすべて標準プライマリ・ゾーンに対して行う必要がある。
3つ目のタイプであるActive Directory統合ゾーンは、DCとDNSサーバを同一のコンピュータで構成することにより提供される機能である。つまりゾーンの管理タイプの一種ではあるが、Active Directoryを構築していないと利用できない。Active Directory統合ゾーンでは、ゾーン情報をActive Directoryデータベースのオブジェクトとして保持する。Active DirectoryデータベースはすべてのDCで登録、編集が可能であるためプライマリ・ゾーンが複数存在するのと同じ構成となる。
Active Directory統合ゾーンの動作
ゾーン・データはActive Directory内に格納されたオブジェクトとして扱われる。すべてのDCはマスタのデータベースを保持するため、どのデータベースに対しても、権利さえあればレコードの追加や変更の編集作業が自由に行える。
また、ゾーン転送もActive Directoryの複製処理に任せることができる。Active Directory統合ゾーンでは、ゾーンに対する動的更新をセキュリティで保護することもできる。ただし、Active Directory統合ゾーンはドメイン・モードがネイティブ・モード時のみ設定可能である。
DNSコンソールによるゾーン・タイプの変更
DNSのゾーン・タイプは、DNS管理ツールで確認、変更することができる。ただし、DNSサーバがActive Directoryデータベースを保持するDCでないと「Active Directory統合」は選択できない。
(1)現在のゾーン・タイプ。
(2)ゾーン・タイプを変更するにはこれをクリックする。
(3)3種類のゾーン・タイプがある。
Active Directory統合ゾーンを構成したい場合には、DCがDNSサーバになる必要がある。また組織内にBINDやNT 4.0などのセカンダリDNSサーバが存在する場合でも、Active Directory統合ゾーンはプライマリ・ゾーンの役割を担うことができる。
Windows Server 2003のDNSサービスでは、GUIが一部変更され、Active Directory統合ゾーンというラジオ・ボタンはなくなっている。そしてプライマリ・ゾーンかスタブ・ゾーンを選択した場合には、Active Directory統合のチェック・ボックスの選択ができるようになる。
ゾーンの種類の変更ダイアログ(Windows Server 2003)
Windows Server 2003のDNSサービスでは、GUIが一部変更され、Active Directory統合ゾーンというラジオ・ボタンはなくなっているが、[プライマリ ゾーン]か[スタブ ゾーン]を選択した場合には、Active Directory統合のチェック・ボックスの選択ができる。
Kerberos Version 5
Kerberos Version 5は、Active Directoryで利用される認証プロトコルである。
KerberosはMIT(マサチューセッツ工科大学)のアテナ・プロジェクトにより開発された。現在ではRFC4120として標準化されており、仕様が公開されているため、多くの人々により安全性が検証されている。Kerberos認証プロトコルが利用されるのは、Active DirectoryドメインにWindows 2000/XP/2003クライアントからログオンするときだけである。Windows NTやWindows 95/98/Meクライアントからは、従来からのNTLM認証が利用される。またLinuxなどWindows OS以外のOSが稼働しているシステムが、Kerberos Version 5を使ってActive DirectoryドメインのDCの認証機構を利用することもできる。
Copyright© Digital Advantage Corp. All Rights Reserved.