連載
» 2007年09月27日 00時00分 公開

第2回 Windows Server 2008とは何か?― 新しいサーバ・サービスWindows Server 2008の基礎知識(2/3 ページ)

[高添修(エバンジェリスト),マイクロソフト株式会社 ]

 次は、ネットワーク・インフラストラクチャを構築するうえで必要となる機能について、以下の4つのポイントで解説していこう。

  • Active Directoryサービス群
  • Active Directoryドメイン・サービス
  • Network Access Protection(NAP)
  • ターミナル・サービス

Active Directoryサービス群

 Windows Server 2008をインストールしてサーバ・サービスを追加する場合、Active Directoryという名称の付いた以下の5つのサービスがある。

  • Active Directoryドメイン・サービス
  • Active Directoryライトウェイト・ディレクトリ・サービス
  • Active Directory証明書サービス
  • Active Directory Rights Managementサービス
  • Active Directoryフェデレーション・サービス
Active Directory関連サービス群の連携
Windows Server 2008では、これらのサービスがActive Directoryと連携して動作する。

 ご存じのように、Active DirectoryはID管理と認証機能を提供するディレクトリ・サービスであるが、Windows Serverには、セキュリティ基盤構築のためにActive Directoryと連携可能なサービスがほかにも存在している。それらは、それぞれの特徴を生かして個別に利用することもできるが、うまく連携させることによって相乗効果を発揮させることができる。

Active Directoryドメイン・サービス
  Active Directoryドメイン・サービス(ADDS)とは、いままでのActive Directoryのことであり、ユーザー、グループ、そしてコンピュータのIDを集中管理し、Kerberosによるセキュアな認証基盤を提供するものである。若干名称が変わったが、ネットワーク基盤としての位置付けは変わらない。

Active Directoryライトウェイト・ディレクトリ・サービス
  Active Directoryライトウェイト・ディレクトリ・サービス(ADLDS)は、いままでActive Directory Application Mode(ADAM)と呼んでいたActive Directoryのサブセットの後継で、Active DirectoryからLDAP v3のLDAPサーバと複製の機能を取り出したものだ。最初はダウンロードにより無償提供されていたが、Windows Server 2003 R2では標準コンポーネントとなっていた。ADDSもLDAPサーバだが、シンプルに動作させ、個別要件に対応できるLDAPサーバとしてADLDSが提供されている。これをADDSによる基盤と連携させることで企業内のディレクトリ・サービスを柔軟に利用できる。

Active Directory証明書サービス
  Active Directory証明書サービス(ADCS)は、Active Directoryを補完するためだけに用意された機能ではない。いままでどおり、企業のPKI(公開鍵テクノロジを利用したセキュアなシステムの基盤)を支えるために、証明書の作成・発行と管理の機能を提供するものである。ただ、昨今のネットワークセキュリティを語るうえで、ユーザーやデバイス、サービスと証明書の組み合わせはなくてはならない存在になりつつある。ADDS環境下で利用することで、証明書インフラの課題である証明書の配布を容易に実現することもできる。

Active Directory Rights Managementサービス
  Active Directory Rights Managementサービス(ADRMS)は、ダウンロード提供されているRights Managementサービス(RMS)の後継で、情報漏えい対策ソフトウェアである。ADDSによるユーザー/グループの集中管理とアクセス認証は、セキュアなネットワーク基盤構築には最低限必要だが、ADDSそのものが情報漏えい対策をしてくれるわけではない。例えばファイル・サーバ上の共有フォルダにアクセス権の設定をしたとする。このとき、アクセスできる/できないといった制御やファイルの内容を変更できる/できないといった制御は可能である。しかし、最小限の読み取り権限しか持たないユーザーであっても、そのファイルを自分自身のコンピュータにコピーすることは可能であり、いったんコピーされたファイルはそのユーザーの持ち物となる。要は、従来の仕組みはアクセス制御であって情報漏えい対策とは違うものである。

 そこで出てくるのがADRMSだ。ADRMSが導入された環境では、各ファイルは暗号化されて保存されている。そしてファイルにアクセスするためには、ADRMSサーバへアクセスし、復号するためのキーを入手する必要があるので、ファイルそのものがサーバ上にあっても、USBメモリに保存されていても、権限のない人に中身を読み取られることはない。ADRMSはWindows Mediaなどのデジタル・コンテンツを守るために生まれた著作権保護技術がベースとなった、情報漏えい対策のためのソリューションである。RMSは、Active Directoryのユーザーをそのまま利用して制御を行っているため、Windows Server 2008によって、より多くの企業で利用できるようになるだろう。

Active Directoryフェデレーション・サービス
  Active Directoryフェデレーション・サービス(ADFS)は、Windows Server 2003 R2の主要機能の1つである。簡単にいうと企業をまたぐ認証基盤を構築する仕組みであり、いわば、究極のシングル・サインオン環境を提供する仕組みでもある。

 ADFSを利用すれば、例えば、自社のドメインで認証されただけで、ほかの会社が提供するWebアプリケーションにシングル・サインオンできるようになる。また認証はあくまでもドメインで行われるため、Webアプリケーションを提供する側でユーザー管理は必要なく、取引データという形でのみデータを取り扱うことが可能となる。このように、ADFSは認証機能を提供するサービスとWebアプリケーションをつなぐ役割を果たし、ユーザー、管理者、開発者のすべてにメリットをもたらす。

 ただし、企業をまたぐシステムになるため、導入方法や契約などの面で、簡単に導入するわけにはいかないようである。いままでは企業間の壁を理由に、導入を諦めていたかもしれないが、SOAやSaaSなど、サービス指向なアーキテクチャの導入が進めば、企業間をつなぐサービスの認証手段として、ADFSやフェデレーション認証は身近なものとなるだろう。

 さて以上のADFSやADRMSは以前から提供されていたものであり、特に新しくはない。だが補足しておくと、Windows Server 2008で提供されるADRMSはADFSに対応している。これにより、情報漏えい対策のためのドキュメント保護技術を企業間(グループ企業間など)で利用できるようになる。

 また、いままではADFSに対応したWebアプリケーションを開発してもらう必要があったが、Windows Server 2008に標準で組み込まれているWindows SharePoint Servicesという情報共有機能はADRMSとADFSに対応している。そのため、アプリケーションを開発しなくてもこれらの機能を利用することができる。

Active Directoryドメイン サービス

 次はADDSと呼ばれている、いままでのActive Directoryに関する変更点を解説する。

 Windows Server 2008のADDSは、ユーザーID集約、サイトの管理、マルチマスタ複製など、いままでのActive Directoryと同じ使い方をすることが可能である。Active Directoryの機能に関して、いまのままで十分だというのであれば、OSが変わったことをあまり気にする必要はない。ただ、まったく変わっていないわけではなく、いくつかの機能向上と新しいシナリオが提供されている。

 Windows Server 2008では、以下のような点が強化されている。

  • ドメインのサービス化
  • 複数パスワード・ポリシーの利用
  • ディレクトリ監査機能の強化
  • グループ・ポリシー機能の強化
  • 管理ツールの強化(ふりがなサポート、ADSIEdit機能)
  • 読み取り専用ドメイン・コントローラ

 ADDSでは、名前のとおりドメイン機能がサービス化された。ただし現時点ではほかのサービスと同じレベルまでサービス化が進んでいるわけではなく、ADDSをインストールするにはサーバをドメイン・コントローラに昇格させるといった、いままでどおりの作業が必要である。しかしサービス化されたことで、ADDSの機能のみを再起動できるし、いったん停止してデフラグを行う際に、ほかのサービスに影響を与えなくて済むといった管理上のメリットがある。またドメインごとに1つしか持てなかったパスワード・ルールを複数持てるようになり、オブジェクトに対する変更前と変更後の両方の内容をログとして出力できる、新しいディレクトリ監査機能なども追加された。

 またグループ・ポリシーにもいくつかの変更点がある。1つはポリシーの項目数で、Windows Server 2003とWindows XP のころには1600超だったものが、Windows Server 2008とWindows Vistaでは約2700に増えた。Windows Vistaで強化された多くの機能はグループ・ポリシーで制御可能となっている。そしてもう1つ、いままでは、グループ・ポリシーの数が増えると、ポリシーの設定情報が保存されるSYSVOLというフォルダの容量が大きくなるという課題があった。このSYSVOLフォルダはドメイン・コントローラ間の複製の対象となっているため、この課題はすべてのドメイン・コントローラに、そしてネットワーク全体に関係していた。そこでWindows Server 2008では、SYSVOL内で管理される設定情報量を抑制し、言語ごとに保管していたポリシーを言語依存部分と非依存部分を分けて管理するなどの工夫が行われている。

管理ツールの強化
  管理ツールも強化されている。少し細かな話になるが、[Active Directoryユーザとコンピュータ]といった標準管理ツールには、ADSIEditというActive Directoryをより詳細に管理する機能が組み込まれている。ADSIEditは、Active Directoryを利用するエンジニアにとっては必須のツールだが、これからは標準のツールと別々に起動するといった手間も不要になる。また、ようやく「ふりがな」に対応した(ユーザー名に対して、その読み仮名を付けておくことができる)。Active Directoryはスキーマと呼ばれる定義情報を拡張することができるため、ユーザーに新しいプロパティを追加するのは難しいことではないが、標準機能としてふりがな用のスキーマ拡張が行われ、標準の管理ツールによってふりがなでのソートも可能になるなど、日本企業に向いた拡張といえる。

読み取り専用ドメイン・コントローラ
  Windows Server 2008のADDSの一番大きな変更点として、ブランチ・オフィスに安心して導入できる、読み取り専用ドメイン・コントローラという機能が追加された。ブランチ・オフィスとは、管理者が不在の拠点、もしくはほかの仕事と兼任しているような拠点、認証サーバが営業カウンターの下やギャビネットの横に無造作に置いてあるような環境のことを指す。このような環境に向く機能が読み取り専用ドメイン・コントローラである。

 Windows 2000 Serverの出荷と同時に登場したActive Directoryは、サイトの管理とマルチマスタ機能が大きな特徴の1つであった。この2つの機能によって、ブランチ・オフィスを含む全社統合認証基盤を構築することができたのである。しかし、数年の間に分かってきたこととして、「ブランチ・オフィス環境は物理的にセキュアでないことが多い」ということがある。ドメイン・コントローラは、企業システムのセキュリティのベースとなるユーザーIDやパスワード情報を保持しているため、セキュアな環境に置くべきであるという理想論と、認証機能はユーザーの近くにあった方が効率がよいという現実論の両方がある。そこで利用できるのが、Windows Server 2008の読み取り専用ドメイン・コントローラである。

読み取り専用ドメイン・コントローラ
読み取り専用ドメイン・コントローラは、ブランチ・オフィス環境でも安全に利用できるようにするためのドメイン・コントローラ。基本的にユーザーのパスワードを保持せず、認証のゲートウェイとして動作する。

 読み取り専用ドメイン・コントローラは、基本的にユーザーのパスワードを保持せず、認証のゲートウェイとして動作する。

 また、読み取り専用ドメイン・コントローラは、ゲートウェイとして動作するだけでなく、いったん認証が行われたユーザーのパスワードをキャッシュすることが可能なので、ネットワーク越しに同じ認証作業が繰り返されるといった状況を減らすこともできる。読み取り専用ドメイン・コントローラと、前回解説したBitLockerというサーバのC:ドライブ全体の暗号化機能とセットで利用すれば、物理的にセキュアでない環境を考慮した認証環境が構築できる。

 また、読み取り専用ドメイン・コントローラを導入するに当たっては、もう1つポイントがある。それは、読み取り専用ドメイン・コントローラはマルチマスタ複製の一員にはなれないということである。読み取り専用ドメイン・コントローラ上では、自分自身が持つ情報を変更することがなく、ほかのドメイン・コントローラから一方向にデータを受け取るだけである(そのため読み取り専用と呼ばれている)。ドメイン・コントローラの数が増えると、マルチマスタ複製を効率的に行うための計算をしなければならなくなるが、読み取り専用ドメイン・コントローラをうまく利用すれば、マルチマスタ複製は中央拠点内だけという比較的シンプルな構成にできる可能性がある。これにより、ドメイン・コントローラのCPUリソースもマルチマスタ複製のための計算から解放できるし、マルチマスタ複製を意識しないでドメイン・コントローラを配置できる。

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。