いまさら聞けないサイトの役割：今だからこそ学び直すActive Directory基礎のキソ（4）

先人たちが作り上げてきたActive Directoryドメインには、必ずと言っていいほど複数のドメインコントローラーが存在します。ドメインコントローラーが“複数あるのは当たり前”とも言えますが、ドメインコントローラーが複数のネットワークに存在する場合、その接続はどのように制御すればよいのでしょうか？　ネットワーク的な観点からどうすべきなのでしょうか？　今回は、ネットワークの視点からActive Directoryドメインの「サイト」について学び直します。

[後藤諭史，＠IT]

今だからこそ学び直すActive Directory基礎のキソ

Active Directoryの「サイト」って何ですか？

　本連載第2回「いまさら聞けないドメイン／ドメインコントローラーの役割」でも触れた通り、1つのドメインに複数の「ドメインコントローラー」が存在した場合は、ドメインコントローラー間でアカウント情報などが複製され、どのドメインコントローラーでも等しく同じ認証情報でドメイン認証が実施されます。

　ここでのポイントは以下の2つです。

（1）ドメインコントローラー間の複製

（2）ドメインユーザーの認証

　「（1）ドメインコントローラー間の複製」は、複数のドメインコントローラーで1つのドメインを構成するActive Directoryの根幹を成すもの、といっても過言ではありません。この複製が正しく行われていないと、ドメインコントローラーAに存在するアカウントがドメインコントローラーBには存在しない、という事態が発生してしまいます。最終的には、どちらかのドメインコントローラーでは認証されない、という状態になってしまいます。

　「（2）ドメインユーザーの認証」は、本連載第2回の「ドメインコントローラーとDNSサーバの密な関係」に記述されている通り、ドメイン参加クライアントは自身が所属するネットワークに最寄りのドメインコントローラーに認証を要求します。この動きにより、ネットワーク的な遅延を最小限に抑えながら確実な認証が実施されることになります。

　上記の2つをコントロールしているのが、Active Directoryの「サイト」になります。