PR

【問題】
 あなたの会社では,Active Directory Lightweight Directory Service(AD LDS)を使って,ある業務アプリケーションを利用している。AD LDSは業務アプリケーションが稼働している複数台のサーバーにインストールされ,いくつかのインスタンスが作成されている。

 この度,業務アプリケーションのバージョンアップに伴いAD LDSを構築し直すことになった。この再構築作業では,一旦AD LDSをアンインストールし,新しい構成でインストールする必要がある。

 あなたは既存のAD LDSをサーバー・マネージャの[役割の削除ウィザード]を使ってアンインストールしようとしましたが,ウイザードを完了できません。AD LDSをアンインストールする際に見落としている手順は何か。次の中から適切なものを選択しなさい。

A. DCPROMOコマンドでAD LDSをアンインストールする
B. [サービス]スナップインでAD LDSを停止する
C. [コントロールパネル]の[プログラムと機能]で全てのAD LDSインスタンスを削除する
D. グローバル・カタログの役割を別のAD LDSサーバーに移動する

正解:C

【解説】
 AD LDSは,Active Directory Domain Service(AD DS)の簡易版の役割である。Windows Server 2003時代には「Active Directory Application Mode(AD AM)」という名称で呼ばれ,Webからダウンロードし利用していた。

 AD LDSの活用局面は多々あるが,アプリケーションがWindowsユーザーに関連する固有データ(例えば誕生日など)を持つような局面を考えてみよう。固有データをAD DS本体に格納することも,スキーマの変更を行えば可能ではある。しかし,アプリケーションの固有データを必要としないドメイン・コントローラーにも格納され,さらにAD DSの働きによって全社的にレプリケーションされてしまう。

 このような固有データの格納にはAD LDSを利用するのが望ましい。アプリケーションは認証にAD DSを使うことができ,必要なサーバー(AD LDSをインストールしたサーバー)にのみ固有データが格納される。これによって,レプリケーション・トラフィックもAD LDSサーバー間だけに留められる。単純な表現をするならば,AD LDSは,アプリケーションで扱われるディレクトリ・データの格納をサポートするサービスなのである。

 先にも述べたが,AD LDSはAD DSの簡易版であり,サポートされていない機能がある。

●AD LDSでサポートされる機能

  • アプリケーション・ディレクトリ・パーティション
  • マルチマスタ・レプリケーション
  • LDAPSでのアクセス
  • ADSI API

●AD LDSでサポートされない機能

  • Windowsのユーザー・アカウント,グループ・アカウント,コンピュータ・アカウントは格納できない(セキュリティ・プリンシパルの作成ができない)
  • グローバル・カタログは格納できない
  • グループ・ポリシーは格納できない

 上記に記載した通り,AD LDSにはグローバルカタログは存在しない。よって選択肢Dは誤りである。

 AD LDSの構築,操作,解除は以下のステップにて行われる。

●AD LDSの構築

1:AD LDSのインストール
 [サーバーマネージャ]またはServerManagerCmdコマンドにて行う(図1

図1●[役割の追加ウィザード]で,AD LDSの役割をインストールする
図1●[役割の追加ウィザード]で,AD LDSの役割をインストールする
[画像のクリックで拡大表示]

2:AD LDSインスタンスの作成
 [Active Directoryライトウェイト ディレクトリ サービス セットアップ ウィザード]にて行う。[Active Directoryライトウェイト ディレクトリ サービス セットアップ ウィザード]は,AD LDSのインストール後に,[サーバーマネージャ]または[スタート]メニューから実行できる(図2)。

図2●AD LDSの管理ツールである「Active Directoryライトウェイト ディレクトリ サービス セットアップ ウィザード」
図2●AD LDSの管理ツールである「Active Directoryライトウェイト ディレクトリ サービス セットアップ ウィザード」
[画像のクリックで拡大表示]

 このウイザードで,AD DSで言うところのマスター/レプリカ(1つ目か複製物か否か)や,LDAPポートなどを指定する。

 インスタンスは,インスタンス名およびポートを変更することで,一台のAD LDSサーバー上に複数作成できる(図3)。

図3●AD LDSインスタンスを作成する手順
図3●AD LDSインスタンスを作成する手順
[画像のクリックで拡大表示]

●AD LDSの操作

 [ADSIエディタ]ツールや[LDP]ツールを使用する。[ADSIエディタ]でAD LDSに接続する際には,パーティション名(ツール上の表記は識別名)とポートを指定する(図4)。接続した後は,AD DSを操作するのと同様の操作ができる(図5)。

図4●「ADSIエディタ」からAD LDSに接続する方法
図4●「ADSIエディタ」からAD LDSに接続する方法
[画像のクリックで拡大表示]
 
図5●「ADSIエディタ」を使ってAD LDS上にユーザーを作成する
図5●「ADSIエディタ」を使ってAD LDS上にユーザーを作成する
ここではユーザーを作成しているが,セキュリティ・プリンシパルではないことに留意してほしい
[画像のクリックで拡大表示]

●AD LDSの解除

1:AD LDSインスタンスの削除
 [コントロールパネル]の[プログラムと機能]で行うインスタンスが残っている場合は,AD LDSのアンインストールはできない(図6)。

図6●AD LDSインスタンスの削除
図6●AD LDSインスタンスの削除
[画像のクリックで拡大表示]

2:AD LDSのアンインストール
 [サーバーマネージャ]またはServerManagerCmdコマンドにて行う

 上記に記載した通り,AD LDSのアンインストールには,サービスを停止するとか,DCPROMOを実行する必要性はない。よって選択肢A,Bは誤りである。

 AD LDSインスタンスは複数作成できるが,1つでも残っている場合は,AD LDSをアンインストールすることができない。よって選択肢Cが正解である。


■変更履歴
当初,解答文の冒頭で「正解はD」としていましたが,「正解はC」の誤りです。お詫びして訂正します。本文は修正済みです。 [2008/04/18 10:00]