Insider's Eye

Active Directoryが次期Windowsで飛躍的進化(3)

―― 導入リスクも大幅に軽減 ――

Peter Pawlak
2002/08/28
Copyright(C) 2002, Redmond Communications Inc. and Mediaselect Inc.

ADの新機能:ネットワークの利用効率の向上

 新しいADでは、企業がWAN回線の負荷を軽減できる機能強化が施されている。次のように、ネットワークの利用効率を高める2つの主要な強化点がある。

■ユニバーサル・グループ・キャッシング
 グローバル・カタログ(GC)サーバとして構成されていないWindows .NET Serverドメイン・コントローラ(DC)は、ユニバーサル・グループ・メンバーシップ情報をキャッシュして、ADドメインの継続利用ユーザーのログオン要求を処理する際に利用できるようになった。

 Windows 2000では、DCはログオンを処理する際、GCサーバと通信して、ユーザーのユニバーサル・グループ・メンバーシップ情報の提供を受ける必要がある。このため、一部の企業はリモート・オフィスにGCサーバを配置することを強いられる。リモート・オフィスとほかのオフィスを結ぶネットワークに障害が起きても、リモート・オフィスでログオンが支障なく行えるようにするためだ。だが、大規模環境では、GCサーバは大量の複製を行う必要があるため、リモート・サイトが使用するWAN回線に負荷がかかることになる。

 新しいユニバーサル・グループ・メンバーシップ情報のキャッシング機能により、リモート・オフィスにGCサーバを配置することに伴う複製のオーバーヘッドを回避できる。同時に、リモート・オフィスと最も近いGCサーバを結ぶWAN回線がダウンした場合でも、ADドメインの継続利用ユーザーは影響を受けずにログオンできる。また、ローカルのDCがユニバーサル・グループ・メンバーシップ情報を扱うことで、ログオンの応答時間も改善される(この機能の図解については、以下の「ユニバーサル・グループ・キャッシング」参照)。

ユニバーサル・グループ・キャッシング
 Windows .NET Serverの新機能であるユニバーサル・グループ・キャッシングにより、低速なWAN回線を介したトラフィックが減少し、ログオンの応答時間も改善される。この例では、企業は複数のドメイン・コントローラ(DC)を含む大規模サイト(左)を持っている。右のリモート・サイトはDCを独自に運用しているが、グローバル・カタログ(GC)サーバは持っていない。つまり、このサイトは、ユーザーがログオンするために必要なユニバーサル・グループ・メンバーシップ情報を含むGCデータベースを保持していない。
  ADドメインに初めてログオンするユーザーは、自分のローカルサイトのDCにアクセスする。
  このサイトにはGCサーバがないため、DCは大規模サイトのGCサーバにコンタクトする。
  GCサーバはそのユーザーのユニバーサル・グループ・メンバーシップ情報を提供する。
  以後、そのユーザーがログオンすると、ローカルのDCはそのユーザーのユニバーサル・グループ・メンバーシップ情報のキャッシュされたコピーを使用する。このキャッシュは、DCの複製スケジュールに基づいて定期的に更新されるが、GC全体の複製によるWAN回線のオーバーヘッドは回避できる。

■グループ複製メカニズムの改善
 Windows .NET ServerのADでは、グループメンバーシップの変更時に差分複製(グループメンバーシップ情報全体ではなく変更点のみの複製)を利用して、変更をほかのDCに反映させることができる。

 Windows 2000では、グループのメンバーシップを変更する際は、グループオブジェクト全体をそのドメイン内のほかのDCと、GCサーバに複製する必要がある。この複製は必要以上に時間がかかり、ネットワーク・トラフィックを増大させる。さらに、そのタイムラグに起因する問題もある。複数のDCでグループのメンバーシップが同時に更新されると、一部の更新内容が複製中に失われかねないという問題だ。このためMicrosoftは、1つのグループに5000以上のメンバーを含めないようにすることを推奨してきた。

 Windows .NET ServerのADでは、グループ複製メカニズムの改善により、メンバーシップの変更に伴う不都合が解消され、ネットワークの使用帯域が減少する。さらに、複製速度が大幅に向上するため、グループが同時に変更された場合でも衝突がはるかに起こりにくい。

ADの新機能:移行と展開の円滑化

 新しいADは、展開とNT 4.0ディレクトリからの移行が円滑に行えるようになっている。次のように、移行と展開を円滑化する2つの主要な強化点がある。

■オブジェクト移行ツールの改善
 Windows .NET Serverでは、強化されたActive Directory移行ツール(ADMT:Active Directory Migration Tool)が用意されている。新しいADMTはアカウントのパスワードを保持できるほか、スクリプトの利用に対応している。

 Windows 2000のADMTは、管理者がユーザーをドメイン間で移動できるグラフィカルツールだ。だが、移動の際にパスワードが失われるため、新しいパスワードが発行または作成されるまで、セキュリティの脆弱性やサポート負担を抱えざるを得ない。また、Windows 2000のADMTはスクリプトの利用に対応しておらず、企業は繰り返し行う移行操作をスクリプト化して実行することができない。

 新しいADMTでは、フォレストやドメインの集約時にユーザーをよりスムーズに移行できるほか、スクリプトを作成して移行プロセスを自動化できる。Windows .NET ServerのADMTは、Visual Basic ScriptやVisual Basic、Visual C++など、COMインターフェイスをサポートする任意の言語から呼び出せる。また、スクリプト化が可能なタスクはすべてコマンドラインやバッチファイルから実行できる。

■メディアからの複製のインストール
 管理者は新しい「Install Replica from Media」(メディアからの複製のインストール)機能を利用して、リモート・サイトで既存DCの複製を作成できる。

 管理者がWindows 2000 DCの複製をリモート・サイトで最初に作成する場合、既存DCからWANを介してADデータベース全体を複製する必要がある。この複製は長時間を要し、大量のネットワーク・トラフィックを発生させる可能性があり、ADが大規模な場合はなおさらだ。また、リモートDCがGCサーバを兼ねる場合、問題はさらに深刻になる。

 Windows .NET Serverでは、管理者は既存のDCやGCサーバをリムーバブルメディアにバックアップし、このメディアを用いてDCの最初の複製を行える。バックアップファイルはAD対応の任意のバックアップ・ユーティリティ(標準搭載のNTBackupユーティリティなど)によって生成され、テープやCD、DVDなどのメディアを使って複製先DCに取り込める。そのおかげで、ネットワークが使用されるのは、バックアップの実行後に行われた変更を複製する場合に限られる。

柔軟性の向上には代償も

 ほとんどの管理者はWindows .NET ServerのADの新機能を歓迎するだろう。だが、その中の2つの機能には、重要な注意点がある。

■ドメインの名前変更と構造の再構築は難作業
 Microsoftは、管理者がドメインの名前や位置を変更するためのツールとガイドラインを提供している。だが、これらのタスクにおける手順の解説は34ページにも上り、実施するに当たっては、管理者はプロセスを十分に理解してテスト環境でリハーサルを行わないと、多くの落とし穴にはまりかねない。また、これらのタスクが適切に行われたとしても、その過程ではマシンを何度もリブートする必要が生じ、ADとユーザーのダウンタイムが発生する。

 Microsoftも、可能なときは常に十分な計画を立て、これらのタスクを行わないで済むようにする方が、はるかに得策だと認めている。

■フォレスト間の信頼関係では同期がサポートされない
 フォレスト間の信頼関係により、信頼される側のフォレスト内のユーザーは通常のユーザーアカウントを使って、信頼する側のフォレスト内のリソースにアクセスできる。だが、これでは不十分なケースもある。例えば、複数のフォレストを持つ企業がExchange 2000を使用している場合に、グローバルアドレス帳に全従業員のエントリを持たせようとしたとする。しかし、このアドレス帳は、Exchange Serverが属すフォレストのグローバル・カタログのエントリに基づくため、通常、ほかのフォレスト内のユーザー、グループの電子メール名や配布リストを含まない。

 この問題には、Microsoft Metadirectory Services(MMS)などの同期ツールを使って対処できる。対処方法は、同期ツールでフォレストごとに、ほかのフォレストのユーザーアカウントを表すExchangeの「連絡先」を作成することだ。

 現行のMMS 2.0を使用する場合、追加コストがかかり複雑さも増すほか、新たな問題が派生する可能性もあるが、よりシンプルなソリューションがまもなく登場する。MicrosoftのWindows .NET Server担当テクニカル・プロダクト・マネージャ、Jackson Shaw氏によると、同社は複数ADフォレストの同期に特化したMMSのシンプルな機能限定版を投入する。MMS Standard Editionと呼ばれるこの新製品には、管理者に使い方をガイドするグラフィカル・インターフェイスが搭載される。End of Article

[参考資料]

Directions on Microsoft日本語版
本記事は、(株)メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。Directions on Microsoftは、同社のWebサイトより定期購読の申込みができます。
 

 INDEX
  Insider's Eye
    Active Directoryが次期Windowsで飛躍的進化(1)
    Active Directoryが次期Windowsで飛躍的進化(2)
  Active Directoryが次期Windowsで飛躍的進化(3)
    コラム:Active Directory入門
  
「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT