PR
■第2回では,新しくなったActive Directoryの特徴の中からWindowsシステムの設計時に役立つものを紹介する。DNSのゾーン情報をドメインを超えて複製できるようにしたり,ドメイン名の変更,フォレスト構造の変更,フォレスト間の信頼関係など,これまでWindows 2000で不可能だったことが可能になり,より柔軟な設計ができるようになった。

(横山 哲也=グローバルナレッジネットワーク)


 Windowsシステムを構築するときに,どのようにドメイン・コントローラを配置しようか,サイトはいくつになるだろうか,といったことを勘案しながら設計を進めていく。

 そのとき,従来のWindows 2000のActive Directory(AD)ではできなかったことが,Windows Server 2003のADでは可能になっていることがある。Windows 2000の教科書には,やってはいけないこととして注意事項に挙がっていたことが,Windows Server 2003では,できるようになっているわけで,いわば,常識が変わっているのだ。

 なかには積極的に利用する機能というよりは,設計の失敗を実装時にリカバーするために使う機能もある。実装と設計の分離を進めることで,設計の自由度を増やすことになるだろう。ここではWindows Server 2003になって改良されたADの特徴の中で,設計時に利点となるものを,(1)DNS設計,(2)ドメイン設計,(3)フォレスト設計,(4)サイト設計——の4つの分野について紹介する。

AD統合ゾーンの複製に効果を発揮する
アプリケーション・パーティション

 ADがドメイン階層やドメイン・コントローラ(DC)を見付け出すメカニズムには,DNSが利用されている。そのため,ドメインを設計する段階から,DNSサーバーの配置を考慮しておく必要がある。

△ 図表をクリックすると拡大されます
図1●Windows 2000 Serverにおける統合DNSサーバーの限界


△ 図表をクリックすると拡大されます
図2●Windows Server 2003におけるDNSサーバーの改良


△ 図表をクリックすると拡大されます
図3●アプリケーション・パーティションを設定する

 既にUNIXサーバーでBINDが利用されているのでない限り,新規にDNSサーバーを立てるときは,Windows付属のDNSサーバーを,「Active Directory統合ゾーン」として使うことをお勧めする。その理由は,動的更新を行う場合,BINDのようにIPアドレスだけで認証するのに比べて安全であること,マルチマスター複製が可能なので,負荷分散ができること(BINDはシングル・マスター複製なので負荷分散はできない),GUIベースでの管理が可能なこと——などが挙げられる。

 ところが,Windows 2000のDNSに実装されたAD統合ゾーンには欠点もある。

 最大の問題は,統合ゾーンのデータが,ADのドメイン・パーティションに格納されてしまうことだろう。ADには,フォレスト全体に複製される「エンタープライズ・パーティション」と,ドメイン内のみに複製される「ドメイン・パーティション」の2種類がある。Windows 2000のDNSはドメイン・パーティションを使っているため,異なるドメインのゾーン情報を保持できない(図1の(1))。また,すべてのDCにAD統合ゾーンが複製されるのも非効率的である。たとえDNSサーバーをインストールしていなくても,DCであるというだけで,データが複製されてしまうからだ(図1の(2))。

 Windows Server 2003では,新たに「アプリケーション・パーティション」を導入することで,これらの問題を解決した。アプリケーション・パーティション内ならば,任意のDCに複製できるため「フォレスト内の全DNSサーバーにのみ複製する」といった設定ができる(図2の(1))。

 アプリケーション・パーティションは,パーティション名がエンタープライズ・パーティションに登録され,アプリケーションからの要求に応じて複製を行う。さらに,DNSサーバーでないDCにまで,DNSのActive Directoryゾーン情報を不必要にコピーすることがない(図2の(2))。

 DNS管理ツールで,AD統合ゾーンのプロパティを開いて,[ゾーンレプリケーションスコープの変更]という画面を開き,統合ゾーンデータの複製を設定しようとすると,4つの選択肢が現れる。そのうち3つがアプリケーション・パーティションを利用する設定である(図3)。なお,任意のアプリケーション・パーティションを作るには,Windows Server 2003のCD-ROMから,「\Support\Tools\SUPTOOLS.MSI」をインストールし,DNSCMDコマンドを実行すればよい。

 そのほか,Windows Server 2003のDNSサーバーには,最新のDNS標準仕様が反映されているが,ADは積極的に使っているわけではないことを付け加えておく。