検索
連載

第6回 進化したActive DirectoryWindows Server 2008 R2の真価(2/3 ページ)

2008 R2のADは待望のごみ箱機能を装備。PowerShellやオフラインでのドメイン参加機能など、注目すべきADの新機能を解説。

Share
Tweet
LINE
Hatena

Webサービス・ベースのアーキテクチャ

 Windows Server 2008 R2 Active Directoryの最も象徴的な変更点は、アーキテクチャの強化にある。多くの新機能が、従来からのRPCベースのプロトコルではなく、Webサービス・ベースの新しいアーキテクチャの上に構成されており、今後のActive Directoryの方向性として、よりオープンな通信環境での利用を目指していることがうかがえる。現時点でActive Directory Webサービスを使用する機能には、Active Directory 用のPowerShellコマンドレットやActive Directory管理センターがある。


図2 Webサービス・ベースのアーキテクチャ

 Active Directory Webサービスはその名のとおり、HTTPによるActive Directoryとの通信機能を提供するものであるが、IIS(Internet Information Services)のインストールは不要である。また、「サービス」として提供されているため、必要に応じて停止することも可能だ。なお、デフォルトではポートとしてTCPの9389番を使用しているので、ファイアウォールを経由する場合は留意しなければならない。

 Windows Server 2003/2008にActive Directory Webサービスを実装するには、「Active Directory 管理ゲートウェイ サービス」をマイクロソフトのダウンロードセンターからダウンロードしてインストールすればよい。

Active Directoryのごみ箱

 これは古くからのActive Directory管理者が長年待ち望んだ機能であり、今回の機能拡張における最もエキサイティングな機能といえるだろう。2010年にはActive Directory が誕生して10年目を迎えるが、「Active Directoryのごみ箱」は後世に語り継がれる記念すべき強化ポイントとなるに違いない。まさにR2の目玉機能といってよい。

 本機能はその名のとおり、Active Directoryに「ごみ箱(Recycle Bin)」の機能を提供するものだ。「Recycle」という言葉が示すように、Active Directoryから削除してしまったユーザーやグループなどのオブジェクトを、PowerShellに用意されたActive Directory専用のコマンドレットなどを使用して復活させることができる。

 本機能の実装により、Active Directory内オブジェクトのライフサイクルは次の図のように変更された。Windows Server 2008 R2で「ごみ箱」機能が有効な場合、コマンドおよびGUIを問わず、削除されたオブジェクトは「削除済み」状態となる。この状態ではオブジェクトが持っている一切の属性が保持されたまま、「CN=Deleted Objects,DC=(ドメイン名)」コンテナに移動される。これにより復活処理が行われると、Windows Server 2008以前と違い、元の状態と寸分たがわぬ状態に復元することができる。もちろん、グループのメンバーシップも復元できるため、アクセス権を再度振り直すなどといった手間は必要ない。ただし、「削除済」状態が保持されるのは、削除されてから180日(デフォルト値)であることに注意しなければならない。例えば、運用上1年間の保持が求められるのであれば、PowerShellコマンドレットを使用して、保持期間を延長しておく必要がある。「削除済み」状態からデフォルトの180日が経過すると、保持している属性の大部分が削除され、「リサイクル済み」状態に入る。この状態からも復元することも可能だが、多くの属性が消去された状態での復活となる。


図3 Active Directoryのごみ箱が有効になると、オブジェクトのライフサイクルが変わる

 便利な「ごみ箱」機能だが、留意点もある。それは、オブジェクトを削除したにもかかわらずActive Directoryデータベースが一定期間(デフォルトでは180日)縮小されないという点だ。定期的に大量の不要なオブジェクトを削除する必要がある環境の場合は、データベースの容量には十分に注意しなければならない。場合によっては、Active Directoryのデータベース(Ntds.dit)を別のドライブに移動する必要があるかもしれない(参考:「How To Use Ntdsutil to Manage Active Directory Files from the Command Line in Windows Server 2003 -- How to Move the Database[英語]」)。一般的に「ごみ箱」機能によって、Active Directoryデータベース・ファイルは1.1〜1.3倍程度増える(参考値)といわれている。新しくActive Directoryをインストールする場合には、年間を通した運用量を考慮して見積もりを行った方がよい。

 Active Directoryのごみ箱機能は、特にユーザーのプロビジョニングを補完する機能として注目される。なかでも、「Forefront Identity Manager 2010(Identity Lifecycle Manager 2007:ILM 2007の次期バージョン)」などの比較的高価なメタディレクトリ・サービスの導入が難しい企業の場合、Active Directoryが標準で「ユーザー情報の復活」機能を持つことは、内製による若干の実装が必要となるものの、少ない投資で高度なユーザー管理が可能となる。実は、意外と知られていないが、Windows Server 2008からは、オブジェクトの属性変更が監査ログを使用して追跡できるようになっている。こうした機能をごみ箱と並行利用することで、これまでにないきめの細かいユーザー管理が実現できるようになるはずだ。


図4 Active Directory内のユーザー・プロビジョニング

オフライン・ドメイン参加

 オフライン・ドメイン参加とは、ドメイン・コントローラと通信できない状態(オフライン)のクライアントに対し、「ドメインに参加させた状態」をあらかじめ埋め込んでおくことができる機能である。「ドメインに参加させた状態」は、事前に、すでにドメインに参加している別のクライアント内の情報を抜き出し、テキスト・ファイルに保存しておく必要がある。保存したテキスト・ファイルを別途ドメインに参加させたいクライアントに取り込むことで、オフライン・ドメイン参加は完了する。作成したファイルは1回しか使用できないので、複数のクライアントをオフライン・ドメイン参加させる場合には、クライアント台数分のファイルが必要になる。


図5 オフライン・ドメイン参加の動作イメージ
すでにドメインに参加しているコンピュータから情報を抜き出し(プロビジョニングのサーバとする)、それを取り込むことで、オフラインでのドメイン参加を実現する。オプション名の/requestODJは、「request offline domain join」の略、BLOB(binary large object)はバイナリ・データ・ファイルのこと。

 くれぐれも注意していただきたいのは、ドメイン・コントローラと一度も通信を行わずにドメインに参加できるわけではないという点だ。オフライン・ドメイン・ジョインの処理完了後、最初の起動時に最終的なネゴシエーションが行われる。

 本機能を用いてクライアントをドメインに参加させるシチュエーションとしては、次の2つが考えられる。

  1. OSがインストールされた大量のVHDファイルをあらかじめドメインに参加させておきたい。
  2. 読み取り専用ドメイン・コントローラ(RODC)との通信しか行えない環境でドメインに参加させたい。

 1.の場合、OSをインストールしたVHDファイルは、そのままではオフライン・ドメイン参加に使用できない。djoinコマンドの書式にも書かれているとおり、「%windir%」を指定する必要があるため、起動しているコンピュータのディスクとしてマウントする必要がある。もちろん、この操作は以下のようにdiskpartコマンドで実行できるため、大量のファイルが存在する場合でも自動化が可能だ。

※diskpartコマンドを起動後、次のコマンドを実行してVHDファイルをマウントする。コマンド群をファイルに記述しておいて、「diskpart /s scriptfile.txt」のようにして自動実行させてもよい。

select vdisk file=D:\Clint001.vhd
attach vdisk
exit

 面白いのは2.のシチュエーションだ。Windows Server 2008からサポートされた読み取り専用ドメイン・コントローラ(RODC。関連記事参照)を展開したブランチ・オフィスやDMZでは、RODC自身以外が書き込み可能なドメイン・コントローラにアクセスすることを許可していない場合がある。DMZ環境では特にそうだろう。そうした場合には、オフライン・ドメイン参加を利用するとよい。DMZにおけるオフライン・ドメイン参加の具体的な作業手順を筆者のブログで解説しているので、参考にしていただきたい。

Copyright© Digital Advantage Corp. All Rights Reserved.

ページトップに戻る