連載
» 2006年06月15日 05時00分 公開

Windows Q&A:Active Directory (2/3)

[横山哲也,グローバルナレッジネットワーク]

Q:Windows NTドメインとは何が違うのか?

A:互換機能は別にして、Windows NTドメインとActive Directoryにはどういう違いがあるのだろうか。利点と欠点に分けて列挙してみよう。

■利点または欠点:TCP/IPベースである
 Active DirectoryはNetBEUIIPXでは使えない。TCP/IPがないと、Active Directoryの機能は一切使えないし、Windows NT互換機能さえ利用できない。社内ネットワークを業界標準プロトコルであるTCP/IPで統一できるのは利点だが、IPXなどを標準として使っている企業にとっては欠点となる。

■欠点:DNSが必須である
 Active DirectoryドメインはDNSドメインと一致しなければならない。もちろん、だからといってActive Directory用のドメインをインターネット上に公開する必要はない。

 DNSはインターネットを支える基盤技術であるにもかかわらず、十分に理解している人は少ない。過去にDNSを使っていなかったWindowsエンジニアが知らないのは情状酌量の余地があるとしても、UNIXエンジニアでさえDNSを完全に理解している人は決して多くはないのが現状だ。DNSを知らないWindowsエンジニアが、DNSを少ししか知らないUNIXエンジニアと話をして、Active Directoryの導入を行う場合の結果は大きく3つのパターンをたどる。まず、Active Directoryのインストールが却下されるケース。そして、DNSの設定を間違えたまま運用を続けてしまうケース。最後が、偶然にも正しく運用できるケースである。

 Active Directoryのインストールが成功するかどうかは、DNSの理解度に比例するといってよい。

■欠点:ドメイン名とコンピュータ名の変更が困難
 Active Directoryでは、ドメインコントローラーと呼ばれるWindows 2000 Serverがドメインを構成する。Active Directoryは、ドメイン名の変更やドメインコントローラーのコンピュータ名の変更をサポートしない(下図参照)。Windows NTと異なり、ドメインコントローラーを非ドメインコントローラーにしたり、再度ドメインコントローラーに昇格したりすることはできる。しかし、これらの名前を直接変更することはできない。そのため、Active Directoryを構築する場合、名前付けは慎重に行う必要がある。なお、2002年末から2003年初頭にも発表が予定されている次世代のWindows .NET Serverでは、Active Directoryの柔軟性が大きな機能向上の1つに数えられており、ドメインコントローラーのコンピュータ名変更などが行えるようにされる(詳細は別稿「Insider's Eye:Active Directoryが次期Windowsで飛躍的進化」を参照)。

Active Directoryドメインコントローラーで表示した[システムのプロパティ]ダイアログ Active Directoryドメインコントローラーで表示した[システムのプロパティ]ダイアログ
Active Directoryドメインコントローラーでは、ドメイン名もドメインコントローラー名も変更できない。ただし、Active Directory環境であっても、ドメインコントローラー以外のコンピュータ名は変更できる。
  (1)通常のコンピュータでは、このボタンからコンピュータ名などを変更できるが、Active Directoryドメインコントローラーでは、このようにボタンがグレー表示になり、クリックできない。

■利点:可用性(アベイラビリティ)が高い
 Active Directoryは「ドメインコントローラー」と呼ばれる役割のサーバが管理する。ドメインコントローラーを複数用意することで、可用性を高めることができる。各ドメインコントローラーはほぼ対等の役割を持ち、どのドメインコントローラーでもユーザーの追加や削除を行える。Windows NTでは、PDC(Primary Domain Controller:メインのドメインコントローラー)が停止するとできない作業が多かったが、Active Directoryではそうした制約はほとんどない。

■利点:拡張性(スケーラビリティ)が高い
 Windows NTでは、最大登録ユーザーは4万人程度だが、Active Directoryでは数百万人を超える登録も可能だ。また、WAN回線を考慮した設計もできるので、大規模ドメインの構築も簡単にできる。

■利点:管理性(マネージャビリティ)が高い
 Windows NT同様、集中管理もできるが、ドメイン階層やOUを利用した分散管理もできる。集中管理でも分散管理でも、管理者が望む方式に対応できるのだ。

Q:Active Directory以外の選択肢はあるのか?

A:Active Directoryに対抗するディレクトリサービスとしては、ノベル社のeDirectory(旧NDS:Novell Directory Service)がある。以前のNDSはNetWare Serverを必要とし、Windowsだけでは運用できなかったが、現在のeDirectoryはWindows 2000 Server上でも動作させることができる。

 Active DirectoryとeDirectoryは、特に米国を中心に激しいマーケティング活動を行っている。その片りんはノベル社のWebサイトに見られる(日本語)。対するマイクロソフト社の反論は、正直言って迫力に欠ける。例えば「マイクロソフト社の反論」を参照してほしい(日本語および英語)。

 実際のところ、Active DirectoryもeDirectoryも基本的な機能は共通している。大多数のユーザーにとって両者の違いはあまり問題にならないだろう。ただし、ディレクトリサービスの真の価値は、アプリケーションが対応しているかどうかで決まる。マイクロソフトのサーバ製品に魅力を感じるのであれば、Active Directory以外の選択肢はない。また、Active DirectoryはWindows 2000 Serverとそのクライアントライセンスだけで使える手軽さも魅力である。

Q:Active Directoryの導入によるメリットは?

A:実をいうと、Active Directoryを導入するだけでは大きなメリットは生じない。管理者にとっては、可用性や拡張性が向上する利点はあるが、Windows NTレベルで十分だと考えている人も多いだろう。利用者にしても、ユーザー登録情報に追加された多くの属性を検索できる程度でしかない。

 真のメリットは、Active Directory対応のアプリケーションを導入した時点で現れる。現在、Active Directoryの力を十分に引き出しているアプリケーションは、ずばりExchange 2000である。Active DirectoryなしにExchange 2000の機能は実現できなかっただろう。また他にも、Active Directoryを必要とするアプリケーションは幾つもある。Active Directory導入のメリットは、こうしたアプリケーションが使えることである。逆にいうと、魅力的なアプリケーションがない限り、Active Directoryに大きなメリットはない。

Q:Active Directoryの導入によるデメリットは?

A:現在、TCP/IPを使っていない企業にとって、Active Directoryの導入には相当な投資が必要になる。また、複数のWindows NTドメインが複雑な構造を持つ場合、Active Directoryへの移行コストがかさむ可能性が高い。最悪の場合には、移行時にユーザー情報の一部が消えてしまう(データを移行できず、新たに入力しなければならない)可能性もある。また、Active DirectoryはWindows NTに比べるとログオン時のトラフィックが増えるので、ドメインコントローラーは拠点ごとに置く必要がある。ネットワークの構成によっては、このトラフィックのために回線速度を増大させる必要があるだろう。

 ただし、問題になるのは移行コストであって、運用コストは上昇しない。Active Directoryの運用は複雑だと思っている人が多いようだが、Windows NTと同レベルの運用であれば、デフォルト値のまま使い続けることができる。Active Directoryは確かに複雑なシステムだが、日常のメンテナンスは完全に自動化されており、管理者が手を出す必要はほとんどない。複数の拠点を結ぶ場合は、物理ネットワークを反映するために「サイト」を設定する必要があるが、これも数分で完了する作業であり、ネットワーク構成が変化しない限り定期的なメンテナンスの必要はない。

Q:Active Directoryの導入に必要なコストは?

A:Active Directory導入時には相当なコストを覚悟してほしい。一般的なコストには以下のようなものがある。

1.ネットワークインフラ
 TCP/IPを標準とし、社内用のDNSサーバを設定する必要がある。社内用DNSサーバはActive Directoryドメインコントローラーと兼任させるのが最も簡単である。

2.サーバPC
 拠点ごとに1台、全社で(1ドメインあたり)2台以上のサーバが必要である(Active Directoryのドメインコントローラー1台と、可用性向上のための1台以上の追加ドメインコントローラー)。

3.ソフトウェアライセンス
 Windows 2000 Serverライセンスがサーバ数だけ必要な他、ログオンユーザー数だけのクライアントライセンスが必要である。Windows NTでは、認証のためにはクライアントライセンスは不要であったが、Windows 2000では認証のためのライセンスも必要である。

4.移行コスト
 Windows NTドメインから移行する場合、移行コストを計上する必要がある。移行コストは、移行パターンによって大きく異なるので、以下にケース別の例を示す。

5.アプリケーションコスト
 使用中のアプリケーションがWindows 2000に対応していない場合、対応するバージョンにアップグレードする必要がある。また、動作テストも行う必要がある。

●移行コストの例

 Active Directoryへの移行コストは、移行に使用する技術によって大きく変化する。ここでは、移行コストの安い順に紹介しよう。

1.インプレースアップグレード

 稼働中のWindows NT PDCをWindows 2000にアップグレードすると、自動的にActive Directoryが構成される。これを「インプレースアップグレード」という。インプレースアップグレードの場合、特別な移行コストは掛からない。半日から1日もあれば移行は完了するし、2台以上のドメインコントローラーがあれば、移行中にネットワークを停止させる必要もない。

Active Directoryへの移行例:インプレースアップグレード Active Directoryへの移行例:インプレースアップグレード
インプレースアップグレードでは、既存のWindows NT 4.0 PDCをWindows 2000にアップグレードし、順次、Windows NTを減らしていく。

2.パラレルインストール

 稼働中のWindows NTをそのままにして、新たにActive Directoryを新規構築し、その後、Windows NTユーザーをActive Directoryに移行することができる。このような方法を「パラレルインストール」という。パラレルインストールの場合、少なくとも1台のPCを新規に用意する必要がある。そのため、ハードウェアコストが若干増加する。

Active Directoryへの移行:パラレルインストール Active Directoryへの移行:パラレルインストール
パラレルインストールでは、既存のWindows NTシステムはそのままにして、新たにWindows 2000からなるActive Directory環境を構築し、その後ユーザー情報などを新しい環境に移行させる。

3.パラレルインストール後のユーザー移行

■無償ツールの利用
 ユーザーの移行には、マイクロソフトが無償で配布しているADMT(Active Directory Migration Tool)や各種のスクリプトが使える。これらのツールを使う場合には追加コストは掛からない。小規模なサイトの移行にはこれで十分だろう。ただし、ADMTは多くの機能を持つため、付属するドキュメントだけでは使い方がよく理解できないかもしれない。直接的な移行コストではないが、ADMTの使い方を含め、Active Directoryドメインへの移行の詳細を学習するには、マイクロソフト公式教育カリキュラム「Microsoft Windows 2000マイグレーション設計(#2010)」などを受講するとよい。受講料は提供会社によって若干異なるが、おおむね10万円程度である。

■NetIQ社のツールを利用
 NetIQ社の移行ツール「Domain Migration Administrator(DMA)」を使う方法もある。もともとADMTはNetIQの技術を使っているが、DMAに比べると機能が制限されている。例えば、ADMTにはパスワード移行の機能がないが、DMAはパスワードもそのまま移行できる。また、段階的な移行プロジェクトをサポートする機能を持つなど、大規模環境での移行を支援する。ただし、DMAはADMT以上に多くの機能を持っているため、非常に複雑である。しかも、ほとんどの場合、移行は1回限りの作業であり、製品技術の修得にかけたコストを回収するのは難しいかもしれない。適切なコンサルティングサービスを購入することも検討したい。マイクロソフト社は「Speed Migrationサービス」として、DMAを使った移行サービスプログラムを支援している。詳細はこの件に関するマイクロソフトのページを参照してほしい。

Q:Active Directoryのために準備すべきソフトウェアは何か?

A:Active Directoryは、Windows 2000 Serverの標準機能である。DNSドメインの設計さえ完全に行えば、追加ソフトウェアは不要である。DNSサーバは、UNIXやLinuxでおなじみのBINDなどが使えるが、簡単に運用したいのであればドメインコントローラーにWindows 2000 Server付属のDNSサーバを利用するとよい。

 DNSは標準規格であり、当然のことであるが、マイクロソフト社のDNSはBINDなど他社のDNSと連携して動作する。上位ドメインにBINDがあっても下位ドメインにBINDがあっても構わない。また、プライマリサーバーがBINDでセカンダリサーバーがマイクロソフトDNSでも、あるいはその逆でも完全に正常に利用できる。しかし、マイクロソフトDNSは、比較的新しい規格を採用しているので、古いBINDをセカンダリまたはプライマリにできない場合がある。BIND 8.2.1以降なら安心だ。

 クライアントを変更する必要はない。Windows 9x、Windows NTクライアントは、Active Directoryドメインを、従来のWindows NTドメインと認識する。

Q:クライアントとしてWindows 9x/Meを使うことはできるのか?

A:全ての「マイクロソフトネットワーククライアント」は、Active DirectoryのWindows NT互換機能のクライアントとして動作する。筆者が実際に動作を確認したものは以下の通りである。

  • Windows 95
  • Windows 98
  • Windows 98 SE
  • Windows NT 4.0
  • Windows 3.1 + LAN Managerクライアント
  • MS-DOS LAN Managerクライアント
  • Linux+samba

 なお、Windows 95/98/NTには「ディレクトリサービスクライアント(DSCLIENT)」をインストールできる。Windows 95/98用のDSCLIENTはWindows 2000 ServerのCD-ROMに格納されている。また、Windows NT用のDSCLIENTは次のマイクロソフトのWebサイトから無償でダウンロードできる。

 Windows Me用のDSCLIENTは存在しないが、Windows 95/98用のものがそのまま使えたという報告がある。

 DSCLIENTの機能は以下の通りである。Active Directoryの重要な機能はほとんど使えないので注意してほしい。DSCLIENTは、あくまでもWindows 2000への移行中の一時的な機能強化である。

■NTLMバージョン2認証の追加
 拡張されたWindows NTベースの認証のプロトコルNTLMを利用できるようになる。

■サイトの認識
 サイトとは、物理的なネットワーク速度や信頼性を管理するために考えられた機能である。DSCLIENTをインストールすると、サイト情報を参照し、ネットワーク上でクライアントから最も近いドメインコントローラーに対してログオン処理を行う。ただし、認証プロトコル自身はNTLMバージョン2、つまりWindows NTの認証を拡張したものであり、Active Directoryで使うKerberos認証ではない。

■パスワード変更
 Windows 2000ベースの任意のドメインコントローラーに対してパスワードの変更ができるようになる。ただし、これはパスワード変更のAPI(プログラムインタフェース)が追加されただけであり、標準のパスワード変更機能は従来通りPDCに対してのみ行う。つまり、対応するアプリケーションがない限りこの機能は利用できない。

■ADSIの追加
 ADSI (Active Directory Service Interfaces)が追加され、はActive Directoryに対するスクリプト処理やプログラム実行が可能になる。

■ドメインDFSの追加
 Active Directoryを使うと、分散ファイルシステム(DFS)のフォールトトレラント機能が使えるようになる。

■Windows アドレス帳(WAB)の強化
 Windowsアドレス帳を使って、電話番号や住所などのプロパティを変更できる。デフォルトでは、自分自身で一部の情報を変更できる。もちろん、他人の情報を変更するには適切な管理権限が必要である。

 DSCLIENTの詳細は以下のURLを参照してほしい。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。