連載
» 2002年11月28日 00時00分 公開

管理者のためのActive Directory入門:第4回 Active Directory関連用語集(後編) (1/2)

Active Directoryを運用する際に、ぜひ知っておきたい用語について解説。グローバル・カタログ/操作マスタ/サイト。

[伊藤将人,(株)コメット]
運用
Windows Server Insider

 

「運用」のインデックス

連載目次

本稿は、Windows 2000 Serverを対象とした連載です。Windows Server 2003向けの連載は以下のリンクから参照できます。


 今回も前回に引き続き、Active Directory関連の重要な用語について解説する。

LDAP(Lightweight Directory Access Protocol)

 「LDAP(Lightweight Directory Access Protocol)」は、RFC2251で定義されているX.500準拠のディレクトリ・サービスにアクセスするためのプロトコルである。Active Directoryでは、ディレクトリ情報の検索や更新の際に使われる。X.500ディレクトリ・サービスで定義されるDAP(Directory Access Protocol)は複雑であったため、DAPをベースにして軽量化したLDAPがディレクトリ・サービス・プロトコルの標準となっている(「軽量」とは、仕組みが簡単で、プロトコルを利用したり、実装したりする手間が少なくて済むということ)。

グローバル・カタログ(GC)

 「グローバル・カタログ(Global Catalog、GC)」とは、フォレスト内の全ドメインの全オブジェクトから、ひんぱんに利用する属性のみを抽出したものである。グローバル・カタログを使うと、異なるドメインのオブジェクトでも一括して検索できるという利点がある。

グローバル・カタログの検索
Active Directoryの管理ツール(「Active Directoryサイトとサービス」)で、適当なOU(組織単位)を右クリックし、ポップアップ・メニューから[検索]を選択すると表示される検索ダイアログ。グローバル・カタログを利用することにより、フォレスト内の異なるドメインのオブジェクトも含めた検索ができる。
 (1)「全部のDirectory」を選択すると、フォレスト全体からオブジェクトを検索することができる。

 デフォルトではユーザー名やログオン名など、検索で利用される頻度が高い属性がグローバル・カタログに複製され、保存されている。

グローバル・カタログによる複製オブジェクトの保持
グローバル・カタログには、フォレストに属するすべてのドメインに含まれるオブジェクトのうち、一部の属性が複製され、保持されている。フォレスト全体の検索がしたい場合にはグローバル・カタログに問い合わせればよい。

 グローバル・カタログは、フォレスト内のグローバル・カタログ・サーバが保持する。グローバル・カタログ・サーバはドメイン・コントローラの持つ役割の1つであり、デフォルトではフォレストに最初にインストールされたドメイン・コントローラがこの役割を担当することになっている。2台目以降のドメイン・コントローラは自動的にはグローバル・カタログ・サーバにはならないため、複数のグローバル・カタログ・サーバを用意したい場合には、管理者が手動で設定を行う必要がある(ただし、グローバル・カタログ・サーバにするコンピュータは、必ずドメイン・コントローラでなければならない)。実際の設定作業は、管理ツールの「Active Directoryサイトとサービス」を使って行う。

グローバル・カタログ・サーバの設定
フォレスト内に複数のグローバル・カタログ・サーバを配置したい場合には、「Active Directoryサイトとサービス」管理ツールを利用して設定する。すべてのドメイン・コントローラはグローバル・カタログ・サーバになることができるが、あまり増やしすぎるとネットワーク・トラフィックに影響を及ぼしてしまう。
 (1)グローバル・カタログ・サーバであるかどうかはこのチェック・ボックスで判断できる。これをオンにすると、ドメイン・コントローラにグローバル・カタログ・サーバの役割を持たせることができる。

 グローバル・カタログ・サーバは、ログオン時の所属グループの確認や、オブジェクト検索に利用される。Active Directoryは、一部の例外を除き、グローバル・カタログが利用できないとログオンできないという仕様なので、フォールト・トレランス(耐障害性)を確保するためにも、2台以上のグローバル・カタログ・サーバを設置するべきである。もっとも、あまりグローバル・カタログ・サーバの台数を増やしすぎると、グローバル・カタログ・サーバ間での複製のためのネットワーク・トラフィックが大きくなるので、サイトごとに1台程度を目安にしておけばよいだろう。

操作マスタ(FSMO)

 同一ドメイン内のドメイン・コントローラは、同じデータベースを共有・保持し、基本的にはドメイン・コントローラの役割は対等である。しかし、複数のコンピュータで処理すると不整合が発生する可能性がある処理や、効率の悪い処理については1台のドメイン・コントローラが専任で処理する。そのような特別な役割(担当)を持っているドメイン・コントローラのことを「操作マスタ(FSMO:Flexible Single Master Operation)」と呼ぶ。なお、操作マスタは役割であり(ドメイン・コントローラが担当する役割の1つであり)、保持するデータベースの内容がほかのドメイン・コントローラと異なっているわけではない。

 操作マスタが担う機能は全部で5種類ある。

  • スキーマ・マスタ
    Active Directoryデータベース・スキーマの変更を担当する。
  • ドメイン名前付けマスタ
    フォレストに対してドメインの追加や削除を管理する。
  • RIDマスタ
    ドメイン・コントローラは、ユーザーやグループ・アカウントを作成したときにセキュリティIDを割り当てる。「RID(Relative ID)」はセキュリティIDの一部であり、ドメイン内でユニークな値である。各ドメイン・コントローラは、自分が与えることのできるセキュリティIDをいくつか持っている。これがRIDプールである。RIDマスタはRIDプールのセキュリティIDを使いきった場合に再割り当てを担当する。
  • PDCエミュレータ
    旧バージョンのクライアントやBDC(バックアップ・ドメイン・コントローラ)に対してPDC(プライマリ・ドメイン・コントローラ)の役割を提供する。また、ネイティブ・モードでも、パスワード照合に失敗した場合(パスワードデータが複製されるよりも早くログオンした場合)は、このコンピュータに認証が転送される。また、マスタ・ブラウザの役割も担う。
  • インフラストラクチャ・マスタ
    ドメイン内でグループ・アカウント内のメンバーの割り当てを担当する。例えばユーザーの名前を変更した場合、グループ・アカウントのメンバー表示を変更する必要がある。このような変更に責任を持つのがインフラストラクチャ・マスタである。

サイト

 「サイト(site)」とは、組織内の物理的なネットワーク接続を示すためのオブジェクトである。具体的には、ディレクトリ・データベースの複製トラフィックと、認証トラフィックを最適化(複製間隔を制御したり、複製データを圧縮したりできる)するために導入された。WAN回線で結ばれた複数の拠点に分かれているようなネットワークの場合には、それぞれの拠点ごとに別々のサイトになるように定義するとよい。複数の拠点を1つのサイトにしてしまうと、認証などに必要な拠点間でのネットワーク・トラフィックが非常に多くなってしまうが、複数のサイトに分けておくと、サイト間のトラフィックは自動的に最適化され、トラフィックを抑えることができる。

 各「サイト」は、高速で安定した通信が可能な、1つの物理的/論理的なネットワークの範囲として構成する。一般的にはLAN環境(高速なLAN回線で相互に接続されているひとまとまりのネットワーク環境)を1サイトとすることが多い。サイトには、1つ以上のIPサブネットを割り当てる。つまり、同一サブネット内であれば、高速で安定した通信が可能だという前提で考えられている(VPN技術などを使えば拠点をまたぐような同一サブネットを構築することも可能だが、そのようなことはせずに、拠点ごとに異なるサブネットにする方がよい)。LANの内部で複数のサブネットを利用している場合は、1つのサイトに複数のIPサブネットを割り当てることもできる(複数のサブネットをすべてまとめて1つのサイトにすることもできる)。

サイト構造
サイトを構成することにより、別の拠点とのネットワーク・トラフィックを制御できる(複製の間隔や複製を実行する時間帯、コストなどに基づいて制御される)。図では、左右の緑色の円がそれぞれサイトになっている。一般的には、LANで相互に接続されたネットワークを1つのサイトとし、WAN回線のような、コストの高い回線(帯域が狭い、遅延時間が大きい、通信費用が高い、など)で結ばれた拠点は別サイトとする。

 サイトを構成すると、以下の2種類のネットワーク・トラフィックを制御できる。

  • 認証トラフィック
     ログオン認証時に、同一サイト内のドメイン・コントローラを優先して使用する。
  • 複製トラフィック
     サイト間でのディレクトリ・データベースを複製するためのトラフィックをスケジューリングし(複製を行う時間帯を限定し、ほかのネットワーク・トラフィックへの影響を抑える)、圧縮する(限られたネットワーク帯域を有効的に利用する)。

 サイトを構成していない場合には、クライアントからのログオン認証が(ネットワーク的に)近くにあるドメイン・コントローラで行われるという保証がないし、ドメイン・コントローラ間の複製データも圧縮されないため、WANトラフィックを抑制することができない。そのため、ほかの通信でWAN回線を利用するサービスの応答が遅くなるなどの影響がある。

関連リンク:


       1|2 次のページへ

Copyright© 1999-2018 Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。