根強い企業でのNT 4.0利用。現状の構成把握が移行の第一歩

NTTデータ先端技術株式会社
櫻井敬子 氏

聞き手:Windows Server Insider編集長 小川 誉久
2006/06/29

 Windows NT 4.0が発表されたのは1996年末。いまから約10年前のことだ。すでに延長サポートも終了している古いOSだが、2005年末に実施した本サイトの読者アンケート(複数回答可)では、まだ36%の企業がWindows NTサーバを利用しているという結果が得られた。新OSへの移行はなぜ進まないのか、移行の障害は何か。企業におけるWindowsサーバ管理に詳しい、NTTデータ先端技術株式会社の櫻井敬子(たかこ)氏に伺った。

―― 企業におけるNT 4.0の用途は。

 

櫻井:ファイル・サーバやプリント・サーバ、名前解決のためのDNSサーバ、社外から社内ネットワークにアクセスするためのRASサーバなど、単機能サーバとして使われているケースが多いと思います。単機能サーバを完結した用途で使っており、安定して動いているなら、移行の必要性はあまり感じていない場合も多いでしょう。

―― 移行を阻んでいるハードルは何でしょうか。

 

櫻井:第一の理由は金銭的な理由ですね。サーバ・ハードウェアやOSのバージョンアップ費用はもちろんですが、新サーバにクライアントがアクセスするためのクライアント・アクセス・ライセンス(CAL)もまとめて更新する必要があり、ハードルが高くなっています。併せて、NTドメインの運用経験しかない技術者が、Active Directory(以下AD)の運用を学習する必要があり、それに掛けるコストがばかにならないという点もあります。

―― 導入コストは掛かっても、機能豊富な最新環境なら、日々の運用管理コストは低下するのでは。

 

櫻井:長い目で見れば安くなるとしても、目の前の導入コストにばかりとらわれてしまうケースが多いです。特に日本企業ではそういう傾向が強い気がします。また、NTドメインに比較するとActive Directoryは高機能で便利ですが、管理方法や操作インターフェイスが変わるので、新しく勉強しなければならないことが少なくありません。こうした学習コストがネックになっている場合もあります。

―― 互換性の問題はどうでしょう。

 

櫻井:環境にもよると思いますが、もちろん障害になる場合があります。例えば当社で発生した問題として、NTドメインからADに移行したときに、NAS(ネットワーク・アタッチド・ストレージ)が使えなくなるという障害が起こりました。原因は、NASがNTドメイン・ベースのPDC(Primary Domain Controller)とBDC(Backup Domain Controller)からアクセス権情報を取得していました。Windows NT ServerからWindows 2000 Serverに移行した時点では、Windows 2000 Serverの混在モードで動いていたため、特に問題はなかったのですが、Windows Server 2003への移行に先駆けて、ネイティブ・モードに変更した際に、認証のインターフェイスが変わってしまい、正しく動かなくなってしまったためでした。

 Windows Server 2003にはいくつかの動作モードがありますが、混在モードでは設定ができないこともあり、ネイティブ・モードへ移行する必要がありました。ネイティブ・モードへの移行によって、このような問題が発生することは、ドキュメント類からは予測できませんでした。これは個別のトラブルですが、同じように互換性上の潜在的な障害要因が存在するケースは少なくないと思います。

―― NTドメイン管理と、ADの管理では何が変わるのでしょうか。

 

櫻井:NTドメインの管理に慣れた人がADに移行するときに一番つまずきやすいのはDNS(Domain Name System)だと思います。ADではDNSが必須ですが、DNSの仕組みを理解することは簡単ではないし、DNSが不可欠だということ自体に気付かない場合もあります。困ったことに、DNSがなくてもADはインストールできてしまうのですが、DNSがなければ正しく機能しません。ADを設計・構築するためには、DNSが何に使われているか、またADにおけるDNSの仕組みについても理解する必要があります。

 また、NT 4.0のドメイン環境とAD環境でのドメイン・コントローラの扱いの違いも問題になる場合があります。NT 4.0のPDCとBDCは、文字どおり主と従の関係で、BDCはPDCのバックアップという位置付けですが、ADのドメイン・コントローラにはこのような主従関係はなく、どれもが対等で、いわばすべてがマスターです。このため間違った情報をドメイン・コントローラに登録してしまうと、それが伝播してドメイン全体の情報が書き換えられてしまいます。

 予算として可能であるならば、ADのバックアップをディザスタ・リカバリなどに置くようにしたいものです。また、ADを運用する際に細かく権限を分け、不必要な権限を与えないことで、トラブルを減らすことができます。

―― バージョンアップ予算を上司に申請するとして、何をアピールしたらよいでしょう。

 

櫻井:やはりセキュリティが強化されることと、管理コストが削減されることでしょうね。特に大企業なら、セキュリティへの関心が高いと思います。ADではグループ・ポリシーでセキュリティ・ポリシーを集中管理できます。ネットワーク全体の安全性を単一の管理ポイントから容易に制御可能です。特にWindows Server 2003で追加されたグループ・ポリシーの編集管理ツールであるGPMC(Group Policy Management Console)は、使い勝手が大幅に改善され、複雑なポリシー管理も簡単かつ確実に実行できるようになりました。

 管理コスト削減という意味では、Windows Server 2003で利用可能な無償パッチ管理ソリューションのWSUS(Windows Server Update Services)の導入により、パッチ管理が容易になるという点が挙げられるでしょう。WSUSを使えば、誰がどのパッチを適用しているか、危険な脆弱性を放置しているコンピュータがどれか、などを簡単に知ることができます。また適用をユーザー任せではなく、管理者が中央から制御できるようになります。Aグループは何時から何時の間に適用し、Bグループは何時から何時の間に適用するなども可能です。管理者がずっとコンピュータに張り付いている必要がなくなります。

―― すぐに移行できないとして、あらかじめ準備しておけることはありますか。

 

櫻井:現在使っているシステムの構成を調査して把握しておくことだと思います。Windows NT 4.0 Serverのドメイン環境だとすると、構築されたのは5年以上前でしょう。古い場合には、10年近くになるものもあります。このため、サーバ・システムを設計した人がもういないというケースも少なくないでしょう。また、もしいたとしても記憶があいまいになっていると思われます。本来これらはドキュメント化しておき、構成が変更されるたびに更新するのが理想ですが、現実にはきちんとしたドキュメント更新を実施しているところは少ないです。ですからハードウェア構成、ソフトウェア構成、ネットワーク構成、それからCALなどのライセンス構成について調査しておくべきです。それと同時に、どのような構成にしたいのか、組織構成はどのようになっているのかという点についても、あらかじめ設計に盛り込むべく、検討をしておく必要があるかと思います。実際の移行作業で一番てこずるのは、実はこうした現状把握だったりします。

 実際の環境を検討したうえで、可能であればバックアップをしっかりと用意し、移行時に問題が起こった場合にも戻せる状態を作っておくことが大切です。同時に仮のPCなどで、テスト用のドメイン・コントローラを構築し、テスト環境を作ることにより、よりスムーズに新しい環境を構築できるようになります。End of Article

 
 「IT PRO POWER INTERVIEW」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間