連載
» 2006年04月27日 00時00分 公開

改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版):第4回 Active Directory関連用語集(後編) (2/3)

[伊藤将人,著]

サイト

 「サイト(site)」は組織内の物理的なネットワーク接続を示すためのオブジェクトである。具体的には、ディレクトリ・データベースの複製トラフィックと、認証トラフィックを最適化(複製間隔を制御したり、複製データを圧縮したり)するために導入された。WAN回線で結ばれた複数の拠点に分かれているようなネットワークの場合には、それぞれの拠点ごとに別のサイトになるように定義するとよい。複数の拠点を1つのサイトにしてしまうと、認証などに必要な拠点間でのネットワーク・トラフィックが非常に多くなってしまうが、複数のサイトに分けておくと、サイト間のトラフィックは自動的に最適化され、ネットワーク・トラフィックを抑えることができる。

 各サイトは、高速で安定した通信が可能な、1つの物理的/論理的なネットワークの範囲として構成する。一般的にはLAN環境(高速なLAN回線で相互に接続されているひとまとまりのネットワーク環境)を1サイトとすることが多い。サイトには、1つ以上のIPサブネットを割り当てる。つまり、同一サブネット内であれば、高速で安定した通信が可能だという前提で考えられている(VPN技術などを使えば拠点をまたぐような同一サブネットを構築することも可能だが、そのようなことはせずに、拠点ごとに異なるサブネットにする方がよい)。LANの内部で複数のサブネットを利用している場合は、1つのサイトに複数のIPサブネットを割り当てることもできる(複数のサブネットをすべてまとめて1つのサイトにすることもできる)。

サイト構造
サイトを構成することにより、別の拠点とのネットワーク・トラフィックを制御できる(複製の間隔や複製を実行する時間帯、コストなどに基づいて制御される)。図では、左右の緑色の円がそれぞれサイトになっている。一般的には、LANで相互に接続されたネットワークを1つのサイトとし、WAN回線のような、コストの高い回線(帯域が狭い、遅延時間が大きい、通信費用が高い、など)で結ばれた拠点は別サイトとする。

 サイトを構成すると、以下の2種類のネットワーク・トラフィックを制御できる。

  • 認証トラフィック
    ログオン認証時に、同一サイト内のDCを優先して使用する。
  • 複製トラフィック
    サイト間でのディレクトリ・データベースを複製するためのトラフィックをスケジューリングし(複製を行う時間帯を限定し、ほかのネットワーク・トラフィックへの影響を抑える)、圧縮する(限られたネットワーク帯域を効率的に利用する)。

 サイトを構成していない場合には、クライアントからのログオン認証が(ネットワーク的に)近くにあるDCで行われるという保証がないし、DC間の複製データも圧縮されないため、WANトラフィックを抑制することができない。そのため、ほかの通信でWAN回線を利用するサービスの応答が遅くなるなどの影響が出ることがある。

 サイト間の複製をどのDCと行うかはISTG(Inter-Site Topology Generator)というコンポーネントが決定する。Windows 2000 ServerまでのISTGは複製相手を生成するアルゴリズムに問題があり、サイト数が約200を超える場合、必要な時間内に複製相手の生成ができなくなるという問題がある。200以上のサイトを構成する必要がある環境は大企業でも少ないため、あまり影響はないかもしれないが、Windows Server 2003のActive DirectoryではISTGアルゴリズムが改善され、サイト数が200を超えた場合でも処理が短時間で終了するように改善されている。

Windows 2000のドメイン・モード

 Windows 2000のActive Directoryドメインには、「ネイティブ・モード(native mode)」と「混在モード(mixed mode)」という2種類のドメインの動作モードがある。

 ネイティブ・モードは、ドメインに参加しているDCが、すべてWindows 2000のDCで構成されたドメインの場合に設定できる(逆に言えば、Windows NTのDCが存在する場合は、このモードにはできない)。ネイティブ・モードでは、Active Directoryのすべての機能がサポートされる。

 一方「混在モード」は、機能の一部に制限がある代わりに、Windows NTのBDCの混在をサポートする。これにより、NTドメインからActive Directoryドメインに移行した場合でも、いままで使っていたBDCをそのまま利用できる。ドメイン内のDCに1台以上のWindows NT BDCが存在する場合は、混在モードで運用しなければならない。混在モードの場合、Active DirectoryのDCは、Windows NTのBDCにもディレクトリ・データベースの内容を複製する必要がある(Windows NTのBDCもドメインのユーザー認証処理を担うため、データベース上にユーザー情報が必要である)。そのため複製データには、Windows NTのBDCが理解できるものしか含めることができない。

 Active Directoryのデフォルトのドメイン・モードは混在モードである。管理者がActive Directoryインストール後にドメイン・モードを変更しない限り、そのドメインは混在モードで運用される。前述したとおり、混在モードではWindows NTのBDCを追加することが可能だが、Windows 2000 Active Directoryのすべての機能は使えない。

ドメイン・モードの確認と変更
Active Directoryインストール時のデフォルトのドメイン・モードは「混在モード」となっている。管理者はドメインのDCがすべてWindows 2000になっていることを確認してから、[モードの変更]ボタンをクリックすることで、ネイティブ・モードへ変更することができる。1度実行すると混在モードに戻すことはできないので、この操作は慎重に行う必要がある。
 (1)現在のドメイン・モード。この場合は「混在モード」になっている。
 (2)ネイティブ・モードへ変更するにはこれをクリックする。1度変更すると、混在モードへ戻すことはできない。

 モードの変更は簡単に行えるが、その意味は非常に重要であるため、慎重に行う必要がある。もしドメイン内にNTのBDCが存在するのにネイティブ・モードに変更してしまうと、その後NTのBDCにはディレクトリ・データベースの変更が複製されなくなる。しかも、モード変更時にNT BDCの有無は検査されない。ディレクトリ・データベースの複製がされないと、新規ユーザーの認証はできないし、削除されたユーザーもNTのBDC上に残ってしまう。Active DirectoryとNTドメインの違いについては、連載第2回「Active Directoryによるディレクトリ管理―2. Active Directoryの改善」を参照してほしい。

ネイティブ・モードの例
ドメイン・モードを変更して、ネイティブ・モードにした場合の例。モードを変更するためのボタンは表示されていない。つまり変更はできないということである。
 (1)現在のモードは「ネイティブ・モード」。
 (2)モードを変更するためのボタンはない。このモードにすると、混在モードへ戻すことはできない。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。