第7回 強化されたActive Directoryサービス(後編):Windows Server 2008の基礎知識(1/3 ページ)
強化されたActive Directory機能解説の後編。専任の管理者がいないブランチ・オフィスをサポートするための機能について詳説。
「Windows Server 2008の基礎知識」は、Windows Server 2003の後継OSとして2008年に出荷が予定されている、Windows Server 2008の注目機能について解説するコーナーです。本記事は記事執筆(2007年12月初旬)時点の最新ビルドであるRC1をベースに記述しており、製品出荷時に変更の可能性があります。ご了承ください。
前回の前編では、Windows Server 2008のActive DirectoryがいままでのActive Directoryの機能を継続して提供していることを述べた。OSが変わったからといって、いままでの知識が無駄になることも、現在利用しているActive Directory環境を見直す必要もないので安心してほしいと伝えたかったためだ。ただ、新しい機能に期待をしている方もいるだろうし、もちろん大きく変わったところもある。そこで後編では、Windows Server 2008 Active Directoryが提供する新しいシナリオと、そのシナリオを提供するために追加された新しい機能について紹介する。
新しいシナリオの提供――ブランチ・オフィス・サポート――
新しいシナリオの1つがブランチ・オフィス・シナリオである。「ブランチ・オフィス」という言葉を初めて聞く方もいると思うが、比較的小規模な支店や支部、あるいは営業所などを想像していただければよいだろう。ここでいうブランチ・オフィスの特徴として、細いネットワーク回線と専任の管理者不在、そしてサーバの物理的リスクなどがあるが、これらはITインフラを設計するうえで頭を悩ます存在になっているはずだ。
このブランチ・オフィスの問題は、企業システムの認証基盤でもあるActive Directory環境においても同じことがいえる。例えば、ブランチ・オフィスのユーザー認証を高速に行うには、ユーザーに近いところに認証サーバがあった方がよい。しかし、ブランチ・オフィスには専任の管理者がいないことも多い。またサーバ・ルームなどはなく、ユーザー名やパスワードなどの重要な情報を格納したサーバが営業カウンタの下やスチール書棚の横にむき出しのまま置かれていたりもする。だからといって、セキュリティや障害時のリスクを考えて中央のサーバ・ルームに認証サーバを集約すると、認証の度に細い回線を利用して認証が行われることになり、ブランチ・オフィス・ユーザーの仕事の効率化が失われかねない。このループがブランチ・オフィスの問題の本質でもある。
そのような状況を受け、Windows Server 2008のActive Directoryには、このブランチ・オフィスの課題を解決するための新しい機能が追加されている。それが、読み取り専用ドメイン・コントローラ(リード・オンリー・ドメイン・コントローラ。以下RODC)である。RODCの細かな特徴を解説する前に、RODCを利用した認証システムの利用の流れから述べておこう。まずは次の図を見ていただきたい。
読み取り専用ドメイン・コントローラ
(1)読み取り専用ドメイン・コントローラ(RODC)は、ほかのドメイン・コントローラからパスワード情報以外のディレクトリ情報を受け取る。
(2)ブランチ・オフィスにおいて、ユーザーはRODCに認証要求を送る。
(3)RODCはハブサイトなど、ほかの拠点のドメイン・コントローラに要求を転送する。
(4)要求を受けたドメイン・コントローラは認証作業を行い、その情報をRODCに戻す。
(5)RODCがクライアントの要求に応える形で認証が完了する。
この流れの中で、RODCは一度認証したユーザーやコンピュータのパスワードをキャッシュすることもできるため、2回目以降の認証をブランチ・オフィス内で処理することもできるし、回線の不具合を一時的に吸収することもできる。このように、RODCはユーザーに近い場所に置く認証基盤として、不要なディレクトリ情報を保持しない特殊なディレクトリ・サービスとして利用できる新しいドメイン・コントローラである。
さて、ここからはRODCの特徴を細かく見ていくことにしよう。RODC は以下のような特徴を持っている。
- 読み取り専用のディレクトリ
- 一方向のディレクトリ複製
- パスワード複製(キャッシュ)
- 限定的な管理権限の委任と展開の自動化推進
読み取り専用のディレクトリ
読んで字のごとくではあるが、RODCは読み取り専用のディレクトリを持つ新しい形のドメイン・コントローラである。ドメイン・コントローラとしてディレクトリ情報を保持し、認証やクエリには対応できるが、自身に書き込みができないため、ディレクトリ管理から解放され、認証とクエリを処理する専用のサーバとして利用できるわけだ。
このような事情のため、Windows NTドメインのころのBDC(バックアップ・ドメイン・コントローラ)と同等のものだと勘違いされることもあるが、この記事を読み終わったときにはBDCとはまったく違うことが分かるだろう。
読み取り専用という言葉を具体的にイメージしてもらうために、まずは以下の図を見ていただこう。当然ではあるが、RODCサーバに接続しているActive Directoryの管理ツールでは、新しいオブジェクトの作成ができないため、Usersコンテナを右クリックしても新規作成メニューは出てこない。
読み取り専用ドメイン・コントローラにおける操作例
これは、読み取り専用ドメイン・コントローラに接続した場合の、[Active Directory ユーザーとコンピュータ]管理ツールの実行例。Usersコンテナを右クリックしても新規作成メニューは表示されない。
(1)読み取り専用ドメイン・コントローラに接続し、Usersコンテナを選択して、右クリックする。
(2)通常のドメイン・コントローラの場合はここに[新規作成]というメニュー項目が表示されるが、読み取り専用ドメイン・コントローラの場合は表示されない。
一方向のディレクトリ複製
すでに気付いている方もおられるだろうが、ディレクトリそのものが読み取り専用であり、新規に書き込まれることがないため、RODCからほかのドメイン・コントローラへ複製を行う必要がない。よってRODCでは、ほかのドメイン・コントローラから情報をもらうだけの一方向の複製となる。
Active Directoryはマルチマスタ化されているのでシステム設計の柔軟性や拡張性が増しているが、ドメイン・コントローラの数が増えれば増えるほどディレクトリ複製の仕組みは複雑化し、複製パス(複製の経路)の自動計算のためにドメイン・コントローラに少なからず負荷がかかっていた。この負荷がドメインやサイト設計に影響を及ぼすこともある。RODCをブランチ・オフィスに導入すれば、マルチマスタ複製を必要とするドメイン・コントローラの数を大幅に減らせ、設計をいまよりシンプルにできる可能性も出てくる。
次の画面は、管理ツールの[Active Directory サイトとサービス]や[Active Directory ユーザーとコンピュータ]を使って、通常のドメイン・コントローラの接続オブジェクト(複製パス)の一覧を確認しているところだ。この環境は、分かりやすいように通常のドメイン・コントローラとRODCの2台だけで構築されているので、レプリケート先のみが存在してレプリケート元がない状態、すなわち複製パスが一方向であることが分かるだろう。
読み取り専用ドメイン・コントローラに対するレプリケート設定
これはActive Directoryの管理ツールを使って、通常のドメイン・コントローラの接続オブジェクト(複製パス)の一覧を確認しているところ。読み取り専用ドメイン・コントローラに対するレプリケートは一方向のため、レプリケート先にのみ列挙されている。
(1)レプリケート元の一覧。読み取り専用ドメイン・コントローラはレプリケート元にはなれないため、ここには表示されない。
(2)レプリケート元の一覧。読み取り専用ドメイン・コントローラはレプリケート先としてのみ利用される。
ちなみに、この状態ではシングル・マスタと同じであり、Windows NTのBDCと違ってRODCを通常のドメイン・コントローラへ変更できないことを考えると、通常のドメイン・コントローラがダウンした場合の影響は非常に大きい。よって、RODCを多用するネットワーク環境においても、通常のドメイン・コントローラを最低2台(もちろん2台のダウンが問題となるようなら3台以上を)用意しておくことをお勧めする。
このように、RODCを活用するブランチ・オフィス・シナリオに関しては、いままでのActive Directory環境を見直す必要も出てくるだろうし、Windows Server 2008のActive Directoryを利用するうえで非常に重要なポイントとなるだろう。もちろん複雑な設計にするのではなく、シンプルさを求めるためにRODCを活用していただきたい。
Copyright© Digital Advantage Corp. All Rights Reserved.