Active Directoryの導入成功には、十分な計画や準備が欠かせない。今回は導入手順やドメイン名について解説する。
本稿は、Windows 2000 Serverを対象とした連載です。Windows Server 2003向けの連載は以下のリンクから参照できます。
Active Directoryの導入を検討している企業が増えている。新規のActive Directoryドメインの構築だけでなく、Windows NTのドメインからの移行など、検討されている方法はさまざまだが、その導入理由は似ている。Windows NTのサポートが縮小されることやActive Directoryの導入事例が出揃ってきたこと、次期バージョンのWindows .NET Server 2003の出荷時期が見えてきたことなどである。
今回と次回の2回では、Active Directoryの導入手順や、実際の導入前に考慮しておかなければならない点などについて解説しておく。Active Directoryドメインを新たに導入したいが、Active Directoryについて詳しく学習する時間が取れない方は、ぜひ参考にしていただきたい。
Active Directoryの導入は、あらかじめ入念に検討してから実施する必要がある。なぜなら、導入後にActive Directoryの構造を変更することは簡単ではないからだ。そのためには将来の拡張の可能性も含めて、組織に適したActive Directory構造を設計しておかなければならない。特に重要なのは、Active Directory構造は必ず「フォレスト・ルート・ドメイン」と呼ばれる最上位のドメインからインストールを始めなければならない、ということである。最初に構築するドメインであるフォレスト・ルート・ドメインの変更は、Windows .NET Server 2003でも簡単にはできないので、実際にActive Directoryを導入する場合には十分な事前の検討や準備をしてから実行していただきたい。
では、どのようにすればActive Directoryの導入がスムーズに実行できるのであろうか。できるだけ失敗を少なくするために、導入までの流れの概要を紹介しておくので、参考にしていただきたい。
1.導入目的の明確化と概要の決定
まず初めに、Active Directoryを導入する目的を明確化しておくべきである。何のために導入するのかということをはっきりさせておくということだ。また導入担当者だけで決定するのではなく、実際にコストを負担する経営者などの経営戦略も加味して決定するべきである(少々大げさかもしれないが、Active Directoryを導入してもビジネスが成功するとは限らない)。導入目的を明確にしたら、その目的を達成するためのActive Directoryの設計を行う。例えば、導入目的が管理コストの削減であれば、集中管理するためのActive Directoryを設計し、管理者が効率良く運用できるドメインの機能を利用できるようなモデルを設計していく。
2.現状のネットワーク環境の調査
次に、現在のネットワーク環境を確認しておく。拠点数やサブネット数、ホスト数(各ホストのOSのバージョンやハードウェアのスペック、コンピュータ名の一覧など)、既存のNTドメインの数、ドメイン・コントローラ(PDC、BDC)の数、設置場所、DHCPサーバ(DHCPリレー・エージェントの設定やDHCPスコープの情報)、WINSサーバ、DNSサーバ、DNSソフトウェアのバージョン、拠点間を接続するWAN回線の帯域など、面倒な作業だが、きちんと調査してドキュメント化しておきたい。
3.Active Directoryフォレストの設計
1.と2.で確認した情報に基づいて、Active Directoryフォレストの概要設計を行う。ここでは机上で理想的なActive Directoryを設計しておこう。既存のネットワーク環境と照らし合わせたときに、問題が出てきたり矛盾が生じたりすることもあるだろうが、この段階で詳細に擦り合わせておく必要はない。また、NTドメインからの移行を検討している場合でも、NTドメイン環境はひとまず無視してActive Directoryの設計をしていただきたい。NTドメインからの移行では注意事項がいくつかあるが、これについては今後の連載で扱う予定である。
概要設計が終了したら、次に詳細設計を行う。この段階では、どの拠点にどんなサービスが必要なのかを具体的に設計していく。Active Directoryに関していえば、新たにドメイン・コントローラをどこに設置するのかを検討する。通常は、耐障害性や負荷分散などを考慮して、2台以上のドメイン・コントローラを設置するだろうから、どのサブネットに操作マスタとなるドメイン・コントローラを配置するのかを検討する。操作マスタはActive Directoryドメインでも重要なドメイン・コントローラとなるので、管理者が操作できる所に配置することが望ましい。DHCPサーバやWINSサーバはActive Directoryの導入により不要になるというわけではないので、既存のネットワークに存在するものがあるなら、それをそのまま残す形でもよいだろう。
4.展開計画
いつ、だれが、どこに、どのようにしてActive Directoryを導入・展開していくのか、あらかじめ計画を立てておく。特に拠点が複数ある場合には、どこから展開するかは重要な要素となる。最初に述べたように、最初はフォレスト・ルート・ドメインから順に導入を行う必要がある。この計画はActive Directory導入に必要なサービス(DNSサービスや、必要ならばDHCPサービス、WINSサービス、LAN/WAN間のルーティングなど)すべてに対して立案しておく必要がある。各サービスの展開の順番が前後するとトラブルが発生する場合もあるので(Active Directoryのインストール時にはあらかじめ要件を満たしたDNSサーバが利用できるか、インストール可能な状態になっていなければならない。さもないとエラーとなる)、注意深く計画しておく。特にDNSサーバはActive Directoryの導入には必須であり、Active Directory用のDNSには特別な要件が求められるため(SRVレコードのサポートやレコードの動的な更新機能が必要。詳細は後述)、ドメイン・コントローラのインストール前に構成できるように計画を立てておこう。
5.展開テスト
導入時に実際に行う作業手順やActive Directoryの動作などについて習熟するために、正式な導入の前に、まずは小規模な単位でテスト的に導入するのが望ましい。できれば既存のネットワークとは切り離し、テスト用の独立したネットワーク環境で実施することをお勧めする。特にWindows 2000のインストール経験がない方や、Active Directoryのインストール経験がない方はぜひとも事前にテスト導入して、Active Directoryの機能を確認しておいていただきたい。そしてテストで発生した問題については一通り確認し、問題が解決してから、次の展開に進むべきである。場合によっては、設計に戻ってActive Directory全体を見直す必要が出てくるかもしれない。
6.展開
テスト結果に問題がなければ、当初の展開計画どおりにWindows 2000 Serverを用意し、実際のインストール・展開作業を開始する。
このような手順でActive Directoryの導入作業を進めれば、展開時のトラブルを低減できるだろう。ドキュメント化やテスト導入などは不要だと思うかもしれないが、結局のところは、このような入念な準備がスムーズなActive Directoryの導入につながるので、面倒だと思わずに実行していただきたい。
関連リンク:
Copyright© Digital Advantage Corp. All Rights Reserved.