第6回　Active Directoryの導入準備（後編）：管理者のためのActive Directory入門（2/2 ページ）

サイトの検討

　NTドメインでは、「サイト」という地理的な要因（WAN回線で接続された離れた場所なので、トラフィックを抑えたいなどの要求）を管理することはできなかった。一部レジストリを修正することによって、複製周期などを変更することはできたが、そのような設定はドメイン・コントローラ単位で行う必要があり、面倒であった。Active Directoryのサイトは、既存のNTドメインとは関係なく、独立して設計できる。

　サイトを定義する場合には、高速で安定した通信が行える範囲を１つのサイトとして定義する必要がある。簡単にいえば、１つのLAN（拠点）として構築されたネットワークをサイトとして定義すればよいだろう。サイトにはIPサブネットを割り当てる。複数のIPサブネットを同一サイトに割り当てることもできるため、同一拠点が複数のサブネットに分かれていてもよい。これとは逆に、１つのサブネットを複数のサイトに分けることはできない。

サイト構造
サイトとは、組織内の物理的なネットワーク接続を示すためのオブジェクトである。ドメインの論理的な構造とは関係なくサイトを定義することができる。一般的には、高速で安定した通信が行える範囲、つまり１つのLANとか、1つのIPサブネット（のグループ）を単位としてサイトを定義する。

DNSドメインの構造

　前回述べたように、Active Directoryのドメイン名はDNSの名前階層に従っている。そのため、Active Directoryのインストール前には必ず、Active Directoryドメイン名のためのゾーンを管理するDNSサーバが必要である。

　Active Directory用のDNSサーバは次の機能をサポートしている必要がある。

■SRVリソース・レコード（必須）
　「SRV（service）リソース・レコード」とは、ネットワークのサービスを登録するためのDNSレコードである。Active Directoryでは、どのコンピュータがドメイン・コントローラなのかや、グローバル・カタログ・サーバを兼ねているのかといった登録情報がこのSRVリソース・レコードにより解決できるようになる。クライアントは、ログオンする際に、DNSサーバに対してドメイン・コントローラを問い合わせ、そのクエリー結果のサーバに対して認証要求を行う。

登録されたSRVレコード
Windows 2000 Serverに含まれているDNSサーバは、SRVレコード（Service Location）をサポートしている。Active Directoryでは、各ドメインに登録されているこのDNSレコードを使ってドメイン・コントローラやグローバル・カタログ・サーバなどの情報を取得し、接続している。Active Directoryを運用するためには、SRVレコードをサポートしたDNSサーバが必須となっている。
　（1）Active Directoryで使用するDNSサーバでは、このような特別なレコードが作成され、情報が保持される。
　（2）サービスの名称。グローバル・カタログ・サーバやLDAPサーバなどの情報を保持する。
　（3）SRVレコード。
　（4）サービスのホスト名やポート番号、優先度などの情報。

■動的更新（強く推奨）
　動的更新とは、DNSクライアントのAレコード（ホスト・レコード）やPTRレコード（ポインタ・レコード）の動的な登録を行うための機能である。DHCPクライアントのように、IPアドレスが動的に割り当てられるコンピュータは、DNSサーバにあらかじめ静的に登録しておくことができない。クライアントが起動するたびに異なるIPアドレスが割り当てられる可能性があるからである（登録したとしても、IPアドレスが割り当てられるたびに登録し直さなければ、正しい名前解決ができなくなってしまう）。動的更新機能とは、クライアントが自分自身のIPアドレスをDNSサーバに登録・更新する機能のことである。これにより、IPアドレスが変わった場合でも常に正しく名前解決することができる。

　また、前述のSRVリソース・レコードも動的更新により登録されるため、新たにドメイン・コントローラをインストールすれば、SRVリソース・レコードの登録処理も行われる。ドメイン・コントローラので必要とされるSRVリソース・レコードの種類はたくさんあるため、すべてを静的に登録するとなると大変な管理作業になってしまう。できれば動的更新がサポートされているDNSサーバが望ましい。

Windows 2000のDNSサーバにおける動的更新の設定
Active Directoryで利用するDNSサーバは、レコードの動的な更新機能をサポートしていることが望ましい。DHCPでIPアドレスを割り当てているようなネットワーク環境では、起動するたびに異なるIPアドレスになる可能性がある。このような場合、動的更新をサポートしているDNSサーバならば、IPアドレスが変わっても自動的に更新され、常に正しい名前解決ができる。
　（1）Active Directory用の特別なモードで動作している（このモードでは、Active Directory内にゾーン・データが保存される）。詳細については連載第4回の「Active Directory統合ゾーン」を参照。
　（2）動的な更新をサポートするモード。「セキュリティで保護された更新のみ」では、許可されたクライアントからの更新要求のみを受け付ける。通常はこのモードで使用する。

　これらの機能は、Windows 2000 Serverに含まれているMicrosoft DNSサービスでサポートされているが、UNIXシステムなどで実装されているBINDというDNSサーバ・ソフトウェアを使うこともできる。ただしBINDでは上記の機能がサポートされているバージョンが8.1.2以降（8.2.2以降を推奨）となるため、UNIXを利用したい場合には、バージョンを確認し、動的更新などの機能を有効にしておく必要がある。

　Active Directory用のゾーン情報は、Active Directoryをインストールする前に構成しておく必要があるが、Active Directoryインストール・ウィザード（DCPROMO.EXE）を実行すれば、必要な作業を自動的に行ってくれるので、すべてウィザードに任せるのが簡単でよいだろう。具体的なインストール手順については次回解説するが、ウィザードを起動すると、（DNSサービスがインストールされていなければ）DNSサービスをインストールし、続いて（ゾーンが存在しない場合は）指定したActive Directoryドメイン名のゾーンを「Active Directory統合ゾーン」として作成し、さらに、動的更新をセキュリティで保護された更新のみという状態に設定してくれる。

　また、Active Directory用のゾーンでは、社内のコンピュータやドメイン・コントローラなどのリソース・レコードだけを管理するため、インターネットに公開する必要はない（セキュリティのためにも、公開しない方がよいだろう）。

　次回は、いよいよ実際にActive Directoryのインストール作業を行うことにする。

「運用」