第5回 Active Directoryの導入準備(前編):改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)(3/3 ページ)
ADを導入するには、事前にドメインの構造を設計しておく必要がある。前編ではドメインとDNSの階層設計を解説する。
DNSの階層構造の検討
Active Directoryドメイン名がDNSドメイン階層に依存することはすでに述べた。つまりActive Directoryの導入ではDNSの環境が非常に重要になってくる。Active Directory導入時には、既存のDNS構造を確認し、DNSの構造をどのように変更していくかを検討しておく必要がある。例えば組織のDNSドメイン名として「example.co.jp」という正式なインターネットのドメインを取得して、メール・アドレスやWebサーバ(www.example.co.jp)などですでに利用しているとする。新たにActive Directoryを導入する場合にも、このような階層的なDNSドメイン名が必要となるが、具体的にはどのようなドメイン名を使えばよいのだろうか? ここではいくつかのパターンについて見ておこう。
Active Directoryドメイン導入の際に使われるDNSの階層構造としては、基本的には次のような3つのパターンが考えられる。
■パターン1――Active Directory用にサブ・ドメインを用意する
インターネット用の(公式な)ドメイン名のゾーンの下に、新しくActive Directory用のサブ・ドメインを作成し、そのサブ・ドメインの管理をActive Directory用のDNSサーバに委任する。インターネット向けのドメインの下に、社内のActive Directory向けのドメインが構築されることになるので、名前空間の連続性が高く、また社外向けと社内向けのドメインを簡単に区別することができる。
例えばインターネット向けのドメイン名が「△△△.co.jp」だとすると、新しく「ad」というサブ・ドメインを作成し、Active Directory向け(社内向け)のドメイン名を「ad.△△△.co.jp」とする。この結果、インターネット向けのサーバは「www.△△△.co.jp」や「mailgw.△△△.co.jp」という名前になり、社内向けのマシンは、「server.ad.△△△.co.jp」や「pc01.ad.△△△.co.jp」などとなる。
Active Directory用のドメインを既存のドメイン階層にサブ・ドメインとして追加する
インターネット向けのドメイン名の下に、新しくサブ・ドメインを作成し(この例では「ad.example.co.jp」)、これをActive Directory用のドメインとする。インターネット向けの公開ホスト(メール・サーバやWebサーバなど)は、トップレベルのドメインに配置し、Active Directory向けのDCやドメイン内のホストは、サブ・ドメインの中に配置する。
この構成では、Active DirectoryゾーンとほかのDNSゾーンを分離することができるため、インターネット向けのDNSの管理者とActive Directoryの管理者が異なるような場合に管理しやすくなる。また、既存のDNSの名前空間と連続した名前が定義されるため、混乱を避けることができる。ただし、Active Directory用のドメインは既存のDNSドメインのサブ・ドメインとなるため、少々名前空間が長くなってしまう。ドメイン名の先頭には、必ず(例えば)「ad.〜」というサブ・ドメイン名が付くため、管理者やユーザーにとってはやや煩わしいかもしれない。
■パターン2――同じドメイン名を使用する
インターネット用のドメイン名とActive Directory用のドメイン名を同じにし、それぞれに独立したDNSサーバを用意することもできる。管理者やユーザーにとっては、インターネット向けと同じドメイン階層にすることができるので、理解しやすいというメリットがある。
例えばインターネット向けのドメイン名が「△△△.co.jp」だとすると、Active Directory向け(社内向け)のドメイン名も同じ「△△△.co.jp」となる。この結果、インターネット向けのサーバは「www.△△△.co.jp」や「mailgw.△△△.co.jp」という名前になるが、同時に、社内向けのマシンも「server.△△△.co.jp」や「pc01.△△△.co.jp」などとなる(もちろん必要に応じてサブ・ドメインを作成してもよい)。
Active Directory用と既存のドメイン名に同じドメイン名を使う
インターネット向けのドメイン名とActive Directory用のドメインを一致させる(この例では「example.co.jp」)。インターネット向けの公開ホスト(メール・サーバやWebサーバなど)は、インターネット向けのDNSドメインに配置し、Active Directory向けのドメイン・コントローラやホストは、Active Directory用のDNSドメイン中に配置する。ただし、インターネット向けの特定のホスト(例えばwww.example.co.jp)などは、両方のDNSサーバに登録しておかないと、他方のDNSサーバから参照できなくなる。なお、両方のドメインを1台のDNSサーバで兼用することも不可能ではないが、Active Directory用のさまざまなDNSレコード情報がインターネット側からも見えてしまうので、セキュリティ的には望ましくない。
この構造では既存のインターネット向けのドメイン名をそのままActive Directoryでも使うため、ユーザーは複数のドメイン名を意識する必要がない(中間的なサブ・ドメインが不要なので、直感的に理解しやすい)。ただし、同じドメイン(DNSゾーン)に対して、インターネット用とActive Directory用の2つのDNSサーバが独立して存在することになるので、少し注意が必要である(パターン1や以下のパターン3では、各ドメイン/サブ・ドメインのゾーン情報を持つDNSサーバは1台しかないので、問題にはならない)。
通常、社内でユーザーが利用するコンピュータはActive Directoryドメインのメンバになるだろうから、各クライアントのTCP/IP設定では、Active Directory用のDNSサーバ(社内向けDNSサーバ)を優先DNSサーバとして設定する。しかし自社のWebサーバやメール・サーバなど(例:「www.example.co.jp」や「mail.example.co.jp」など)は、既存のインターネット向けのDNSサーバだけに登録されているだろうから、Active Directory用のDNSサーバに問い合わせても名前解決はできない。これでは、社内のユーザーが自社のWebサーバやメール・サーバなどへアクセスできなくなってしまう。
この問題を解決する1つの手段として、インターネット公開用のDNSレコードを、Active Directory用のDNSサーバにも登録してしまうという方法がある。そうすれば、どちらのDNSサーバを使っても、同じDNSレコード情報を得ることができる。ただしDNSレコードの情報を更新するときは、両方のDNSサーバで同じように変更しなければならないので、管理者にとっては少々面倒である。
■パターン3―異なるドメイン名を使用する
インターネット用ドメイン名と、Active Directory用ドメイン名をまったく異なるものにするという方法もある。
Active Directory用ドメインと既存のドメイン名で異なる名前を使う
インターネット向けのドメイン名とActive Directory用のドメインをまったく別にして構築する。独立したDNSサーバなので、既存のドメインとは関係なく、独立したActive Directory環境を構築することができる。管理も独立して行うことができるが、ユーザーから見ると2つのDNSドメインが存在していることになるので、どちらのDNSサーバで管理されているリソースなのかを把握しておく必要がある。
この構成では、Active DirectoryドメインとDNSドメインを明確に区分けすることができる。パターン2(同じドメイン名を使う方法)のような、DNSレコードの追加という作業は必要ないし、何らかの事情でドメイン名を変更しなければならなくなった場合でも、お互いのDNSサーバに対して独立して作業することができる。ただし、ユーザーは自分がアクセスするべきリソースがActive Directoryドメインのリソースなのか、既存のインターネット向けのDNSサーバで管理されているリソースなのかを把握して、アクセスする必要がある。例えばインターネット・メール・アドレスのドメイン名とローカルのネットワークのドメイン名が違っていると、ユーザーは混乱して間違ったドメイン名を指定してしまい(server.ad.localではなく、server.example.co.jpなどと指定して)、ネットワーク上のサーバにつながらない、などというトラブルが多発するかもしれない。
Active Directoryの導入チームとDNSの管理チームが異なる場合には、事前に打ち合わせをし、どこまで名前構造の変更が可能なのかを話し合っておく必要がある。Active Directoryの導入により、既存のDNS管理者の仕事が増えてしまうような場合には、作業を引き受けてもらえない場合もあるので、あらかじめきちんと話し合っておこう。
後編となる次回は、フォレスト構造やサイトの設計などについて解説する。
Copyright© Digital Advantage Corp. All Rights Reserved.