第6回 Active Directoryの導入準備(後編):改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)(2/2 ページ)
AD導入準備の後編。今回は、フォレスト構造やサイト設計を中心に解説。何をフォレストにし、何をドメインにすべきか。
DNSドメインの構造
Active Directoryのドメイン名はDNSの名前階層に従っている。そのため、Active Directoryのインストール前には必ず、Active Directoryドメイン名のためのゾーンを管理するDNSサーバが必要である。
Active Directory用のDNSサーバは次の機能をサポートしている必要がある。
■SRVリソース・レコード(必須)
「SRV(service)リソース・レコード」とは、ネットワークのサービスを登録するためのDNSレコードである。Active Directoryでは、どのコンピュータがDCなのか、GCサーバを兼ねているのかといった登録情報が、このSRVリソース・レコードにより解決できるようになる。クライアントは、ログオンする際にDNSサーバに対してDCを問い合わせ、そのクエリ結果のサーバに対して認証要求を行う。
登録されたSRVリソース・レコード
Windows 2000 ServerやWindows Server 2003に含まれているMicrosoft DNSサービスは、SRV(Service Location)リソース・レコードをサポートしている。Active Directoryでは、各ドメインに登録されているこのレコードを使ってDCやGCサーバなどの情報を取得し、接続している。Active Directoryを運用するためには、SRVリソース・レコードをサポートしたDNSサーバが必須となっている。画面はWindows Server 2003でのDNSサーバの管理ツールである。
(1)Active Directoryで使用するDNSサーバでは、このような特別なレコードが作成され、情報が保持される。
(2)サービスの名称。GCサーバやLDAPサーバなどの情報を保持する。
(3)SRVリソース・レコード。
(4)サービスのホスト名やポート番号、優先度などの情報。
■動的更新(強く推奨)
動的更新とは、DNSクライアントのAレコード(ホスト・レコード)やPTRレコード(逆引きポインタ・レコード)の動的な登録を行うための機能である。DHCPクライアントのように、IPアドレスが動的に割り当てられるコンピュータは、DNSサーバにあらかじめ静的に登録しておくことができない。クライアントが起動するたびに異なるIPアドレスが割り当てられる可能性があるからである(登録したとしても、IPアドレスが割り当てられるたびに登録し直さなければ、正しい名前解決ができなくなってしまう)。動的更新機能とは、クライアントが自分自身のIPアドレスをDNSサーバに登録・更新する機能のことである。これにより、IPアドレスが変わった場合でも常に正しく名前解決することができる。
また、前述のSRVリソース・レコードも動的更新により登録されるため、新たにDCをインストールすれば、SRVリソース・レコードの登録処理も行われる。DCのためのSRVリソース・レコードの種類はたくさんあるので、すべてを静的に登録するとなると大変な管理作業になってしまう。管理コストを増やしかねない静的な登録ではなく、できれば動的更新をサポートするDNSサーバの利用が望ましい。
Windows Server 2003のDNSサーバの動的更新の設定
Active Directoryで利用するDNSサーバは、レコードの動的な更新機能をサポートしていることが望ましい。DHCPでIPアドレスを割り当てているようなネットワーク環境では、起動するたびに異なるIPアドレスになる可能性がある。このような場合、動的更新をサポートしているDNSサーバならば、IPアドレスが変わっても自動的に更新され、常に正しい名前解決ができる。
(1)Active Directory用の特別なモードで動作していることが分かる(このモードでは、Active Directory内にゾーン・データが保存される)。詳細については「第4回 Active Directory関連用語集(後編)」を参照。
(2)動的な更新をサポートするモード。「セキュリティ保護のみ」では、許可されたクライアントからの更新要求のみを受け付ける。通常はこのモードで使用する。
これらの機能は、Windows 2000 ServerやWindows Server 2003に含まれているMicrosoft DNSサービスでサポートされているが、UNIXサーバなどで実装されているBINDというDNSサーバ・ソフトウェアを使うこともできる。ただしBINDでは上記の機能がサポートされているバージョンが8.1.2以降(原稿執筆時点での最新版は9.3.2。8.2.2以降を推奨)となるため、UNIX上のDNSサーバを利用したい場合には、バージョンを確認し、動的更新などの機能を有効にしておく必要がある。
Active Directory用のゾーン情報は、Active Directoryをインストールする前に構成しておく必要があるが、Active Directoryインストール・ウィザード(DCPROMO.EXE)を実行すれば、必要な作業を自動的に行ってくれるので、すべてウィザードに任せるのが簡単でよいだろう。具体的なインストール手順については次回解説するが、ウィザードを起動すると、(DNSサービスがインストールされていなければ)DNSサービスをインストールし、続いて(ゾーンが存在しない場合は)指定したActive Directoryドメイン名のゾーンをActive Directory統合として作成し、さらに、動的更新をセキュリティで保護された更新のみという状態に設定してくれる。
また、Active Directory用のゾーンでは、社内のコンピュータやDCなどのリソース・レコードだけを管理するため、インターネットに公開する必要はない(セキュリティのためにも、公開しない方がよいだろう)。
次回は、実際にActive Directoryのインストール作業を解説する。
Copyright© Digital Advantage Corp. All Rights Reserved.