Windows環境で組織のシステム環境を構築・運用をしていくうえでActive Directory(以下AD)の理解は避けては通れない道となっています。逆にADを理解すればイントラネットのコントロールができるのでどこの組織からも必要とされるでしょう。腰を据えて理解していきましょう。
また、理解するにはとにかく実際に操作をしてみる事をお勧めいたします。
Active Directoryの概要
まずはADの定義を整理しておきましょう。
ADの主な機能はたったの2つです。
1.認証サービス
コンピューターにログインするユーザーの情報をADサーバーで集中管理して、利用者は何も意識することなく認証が自動で行われる環境を提供しています。
2.グループポリシー
システム管理者がポリシーを定義する事でクライアントコンピューター全てを一括でコントロールする事ができます。(例:パスワードは3カ月に1度変更するように定義可能)
Active Directoryの構成
全体像
ドメイン
ADでのセキュリティの範囲でユーザやコンピュータを管理する単位です。管理者はドメイン毎に必要になってくるでしょう。イメージ的に組織毎にドメインが異なります。そして下図のように三角で表現されるのが一般的です。図ではittrip.co.jpがドメインという単位ということになります。
子ドメイン
ドメインは階層構造にすることができます。図の例だとittip.co.jpがルートドメインred.ittip.co.jpが子ドメインという呼び方をします。また、このような構造をドメインツリーといいます。
組織単位(OU)
ドメイン内で管理を分ける場合にOUという単位があります。ドメインは会社単位でOUが部署単位といったイメージが分かり易いでしょう。OUの直下にコンピュータとユーザーを割り当てて各OUにポリシーを設定していくといった利用の仕方をします。例えば、OU開発部とOU総務部でデスクトップに置くショートカットを違うものにすることができます。
サイト
ドメインが全て同じ拠点にある事はあまりないでしょう。拠点毎に纏めた単位がサイトと定義されます。別の言い方をすると高速に通信ができるコンピューターをまとめる単位です。
フォレスト
ドメインツリー同士を信頼関係で繋ぐことができます。例えばA社がB社をM&Aした場合に信頼関係で繋ぐ事によって管理が一元化できます。そして図のような範囲がADでの最大範囲となります。一番大きなくくりというふうに理解してください。
ドメイン
Windowsコンピュータはホスト名と呼ばれるコンピュータ名を設定して、ドメインまたはワークグループのいずれかに所属させる必要があります。パソコンを新規で調達した場合は図のような設定を行う必要があります。所属するグループをドメインかワークグループで選択するようになってますよね。
上の図でドメインの説明をしていきます。ドメインコントローラー(ADサーバーと良く言われますが、正式名称はドメインコントローラーです。ドメコンと略したりもします。)にAとBというコンピューターを登録します。またユーザーとして山田さんと鈴木さんを登録します。
AとBはドメイン参加しているコンピューターと現場では良く言われます。ドメインコントローラーで定義されたグループポリシーと言われるポリシーが適応されています。
そして山田さんはドメインコントローラーに登録されていますから、AとBのコンピューターにログインができます。佐藤さんは登録されていないのでログインができません。登録されていないからログインに必要なIDとパスワードがそもそも無いんですね。山田さんはドメイン参加しているコンピューターであれば全てにログインができます。
ドメインに参加させておけばドメコンでアクセス権やセキュリティ制御が集中してできますので、組織のネットワークにはなくてはならないわけですね。実に効率的です。
ワークグループ
ワークグループとドメイン管理との違いがコンピューター毎にセキュリティ制御やユーザーの登録をする必要があります。上の図では、コンピューターには山田さん、鈴木さんが登録されていて、コンピューターBには鈴木さんのみの登録になっています。鈴木さんはAとB両方のコンピューターにログオンが可能ですが、山田さんはコンピューターAにしかログオンすることができません。
唯一のメリットとしては、ドメインコントローラーを保持しなくていいので導入コストが安い事ですが、運用コストを考えると5人以上社員がいればドメイン管理したほうが良いと現場目線では感じます。
ドメインコントローラー
ドメインコントローラーとはADのデータベースを保持するサーバのことです。ドメインに関するありとあらゆる情報が入っているサーバーです。
ドメインコントローラーは一台でも動作しますが、以下2点の理由から複数台で構成するのが望ましいです。
1.負荷分散
ユーザーが多数同時にアクセスしても遅延せず処理できるよする。CPUは並列処理が苦手なのでいくら高スペックのサーバであっても同時にアクセスが集中すると遅延する可能性があります。
2.障害対策
1台に障害が発生しても残りのサーバーでAD機能を利用できます。
※ドメインコントローラーの複製はマルチマスター複製という方法で、マスターがなく常にサーバー同士が同期しているといった複製方式です。なのでADへの変更作業はどのドメインコントローラーで行っても良いということです。
Active Directoryの複製
ACの複製はマルチマスター複製という方式になっています。
結論から述べると45秒で全てのドメインコントローラーへの複製が完了します。
構成を見てみましょう、変更があったドメインコントローラーは複製パートナーのドメインコントローラーに対して、変更15秒後にフォワーダ先になっているドメインコントローラーに変更内容を通知するように定義されています。そしてポイントなのが、何台ものドメインコントローラーがあったとしても3回で全ての複製が完了する仕組みになっています。 45秒(15秒×3回)で全ての複製が完了するということですね。
Active Directory (AD) 複製サーバーの構築方法|ADは2台以上構成での冗長化が必須
フォレスト
全てのドメインはフォレストという範囲に所属する必要があります。他ドメインと信頼関係を結んでいない単一のドメインの場合でもフォレストという範囲に所属する事になります。(上図だとittrip.co.ukが該当)
同一フォレスト内にドメインがある場合のメリットは下記の2点です。
1.他のドメインのユーザーを利用してログインする事ができる。(上図だとittrip.xyzに所属しているユーザーがittrip.comのユーザーでコンピューターにログインする事ができます。)
2.グローバルカタログサーバーを利用することで、フォレスト内の全ドメインの情報を1回で検索する事ができる。
グローバルカタログサーバー(GC)
グローバルカタログサーバーがある場合と無い場合を比較して説明します。
グローバルカタログサーバーがない場合(上図左側)
検索を行う場合に全てのドメインコントローラーに問い合わせをする必要があり、検索スピードが遅く非効率的である事が分かると思います。
グローバルカタログサーバーがある場合(上図右側)
グローバルカタログ(GC)に事前に検索に用いるデータが集約されていますので、検索スピードが速いです。
ポイント
デフォルトではフォレストルートドメイン(フォレスト内に最初に作成されたルートドメイン)の1台目のドメインコントローラーがグローバルカタログサーバーに設定されます。もし変更した場合は、「Active Directoryサイトとサービス」から変更することができます。
サイト
サイトの定義は、高速に通信できるコンピュータをまとめた単位です。サイトを越えた低速な通信回線での通信量を削減できます。
サイトを構成するメリットは下記2点です。
1.同一サイト内のドメインコントローラーの優先的利用
上図の北海度サイトを見てください、北海道サイトに設置してあるコンピューターが見に行くドメインコントローラーは北海道サイトにあるドメインコントローラーを優先してくれます。これにより、沖縄サイトに繋ぎにいく必要がないので、常に高速でADの機能を利用できるわけです。
2.ドメインコントローラーの複製の効率化
ドメインコントローラーの複製はサイト内のみで行われるようになります。サイト間の複製は各サイトの代表のドメインコントローラー間でのみ行われるようになります。(上図ではDC2とDC4)
サイト設定をしていないと、各ドメインコントローラーがサイトを超えて通信をしてしまうわけです。(例えば、DC3とDC6が通信してしまう。)
Active Directoryサーバーの構築手順
実際のActive Directoryの構築方法は下記の記事で纏めてあります。
Active Directory サーバー(ADサーバー)の構築手順を初心者にも分かり易く徹底解説
グルーポプリシーの作成方法
グループポリシーの作成についは「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!を参照ください。実例を用いて説明をしていますので全くの初心者でもグルーポプリシーが扱えるようになります。
参考書籍
以下の書籍で勉強しました。体系的に学んでおくとWindowsのバージョンが上がっても対応できます。
コメント