PR
■最終回は,Active Directoryの運用フェーズにおける拡張機能の紹介だ。運用に関する拡張機能は,グループ・メンバーシップ複製,GC完全複製の回避,残存オブジェクトの除去,セキュリティの結果セット,inetOrgPersonのサポートなど相当数に上る。これらの代表的なものを紹介しよう。

(横山 哲也=グローバルナレッジネットワーク)


 Active Directoryの設計と展開が完了したら,最後は運用フェーズに入る。Windows Server 2003になって拡張された機能は数が多いが,(1)複製トラフィック,(2)セキュリティ管理,(3)管理ツール,(4)相互運用性の4つ分野に分けて代表的なものを解説する。

複製トラフィックを改善して
安全で効率的な運用を目指す

 最初の分野はディレクトリの複製トラフィックだ。そもそも設計時に複製トラフィックは考慮しておくものであるが,実際に問題が表面化するのは運用フェーズに入ってからであるものだ。例えば,設計よりも複製速度が遅かったり,なぜか複製が失敗するといったトラブルは,設計時点で分からないことが多い。

●グループ・メンバーシップ複製
 Windows 2000 ServerのADにおいてディレクトリの複製をするときは,グループのメンバー属性がまるごと1つの複製単位になっていた。例えば,TanakaおよびSuzukiの2人がメンバーとして所属しているグループSalesに,新たにSatoが追加されたとしよう。このとき,追加メンバーであるSatoだけではなく,TanakaやSuzukiといったメンバー・シップ全員の情報も複製される。


△ 図をクリックすると拡大されます
図1●グループ・メンバー・シップの複製アルゴリズムが改良された

 もし,この過程でもう1つのドメイン・コントローラ(DC)でグループSalesにYamadaを追加していると,双方のDCが複製をしようとして,複製の衝突が発生する。するとどちらか一方の複製だけが生き残り,せっかく追加したメンバーシップが失われてしまうという,かなり深刻なトラブルが起きる(図1上)。

 このような問題を防ぐため,Windows Server 2003のADでは,グループ・メンバー・シップの複製単位を追加したメンバーの情報など個別の内容に改めた。衝突の危険性がゼロになったわけではないが,ほとんどのトラブルは回避できるだろう(図1下)。

●GC完全複製の回避
 ADは,グローバル・カタログ(GC)への格納対象となる情報PAS(Partial Attribute Set)を変更できる。実際に,Exchange 2000 Serverはインストール時にPASを変更している。また,スキーマ管理ツールを使えば管理者がPASを変更するのも容易だ。

 しかし,PASが変更された場合,Windows 2000ではGCの完全複製が発生し,GCサーバーやネットワークに大きな負荷がかかっていた。

 Windows Server 2003では,追加された属性のみを複製できるため,効率的にGCを拡張できる。この機能は,フォレストの機能レベルが「Windows Server 2003」モードになっている場合は自動的に有効になり,管理者への負担はない。

●非圧縮複製
 Windows 2000のADでは,サイト間複製のトラフィックは自動的に10分の1程度のデータ量に圧縮された。しかし,ブロードバンド環境の普及に伴い,必ずしもCPUパワーを使う圧縮が最善とは言えなくなってきた。

 なぜならブロードバンド接続は,信頼性こそLANに劣るものの,速度は数Mビット/秒から数十Mビット/秒に達し,一昔前のLANに迫る勢いである。このような場合,データ圧縮は単なるオーバーヘッドであり,回避したい場合があるからだ。とはいえ,サイトを構成しないと,複製のスケジューリングや複製トポロジなどがLAN接続を前提とした経路になってしまう。


△ 図をクリックすると拡大されます
図2●サイト間のDC複製で非圧縮が選べるようになった

 そこで,Windows Server 2003ではサイト間リンクを使った通信であっても圧縮を行わないオプションが追加された(図2)。この機能を使うことで,サイト間通信に伴うCPUパワーを有効利用できる。

 ただし,実際の設定は,ADSIEDITというツールを使う必要があり,少々面倒である。

ADのセキュリティ管理を支える
残存オブジェクトの除去,セキュリティの結果セット

 セキュリティは,Windows Server 2003の開発にあたって最も重視された分野である。Windows 2000のADには,操作によってはセキュリティ・ホールになる可能性があるやっかいな問題が多く存在していた。それらは運用上のノウハウによって対処されていたのが実情だ。それがWindows Server 2003では,特にADデータベースの管理とアクセス権について,セキュリティを保護する機能がシステムとして強化された。また,スマート・カード・ログオンの機能も強化された。

●残存オブジェクトの除去
 Windows 2000のADでは,ユーザーなどのオブジェクトを削除した場合,60日間は削除標識をつけて保持し,その後,完全に削除する。しかし,削除前にシャットダウンしたDCが,60日以上経ったあとでドメインに復帰すると,削除したはずのオブジェクトが復活するという現象が起きる。60日以上もDCを起動しない状況は,テスト環境向けに用意したDCを本番系のネットワークに参加させた場合や,動作不良で止めていた古いDCなどを再稼働させたときなど,十分あり得ることだ。

 復活したオブジェクトがユーザー・アカウントだった場合,既に退職したユーザーが登録されていたり,漏えいしたパスワードが残っていたりする可能性があり,とても危険である。

 Windows Server 2003では,このようなセキュリティ問題を防ぐため,REPADMINコマンドを使って,一定期間を経過した残存オブジェクトを削除できるようにした。同様の機能は,Windows 2000のService Pack 3にも含まれる*1

●セキュリティの結果セット
 ネットワーク・リソースへのアクセス権を設定するADのセキュリティ設定は,[制御の委任]ウィザードで容易に設定できる。しかし,設定されたセキュリティ情報の詳細を知ることは困難であった。理由は,共有アクセス権やNTFSアクセス権などが絡み,セキュリティ設定が上位から継承されるほか,グループのメンバーシップも考慮する必要があるからだ。


△ 図をクリックすると拡大されます
図3●上位から継承されたセキュリティ設定を知る

 Windows Server 2003では,NTFSやADのセキュリティ設定を簡単に知るため「セキュリティの結果セット」が導入された(図3)。セキュリティの結果セットは,以下の手順で利用する。この例は,[Active Directoryユーザーとコンピュータ]を使っているが,他のツールでも同様の手順で操作可能である。

(1)[Active Directoryユーザーとコンピュータ]を起動する
(2)[表示]メニューから[拡張機能]を選択して,動作モードを切り替える
(3)オブジェクトのプロパティ画面を表示する
(4)[セキュリティ]タブを選択する
(5)[詳細設定]ボタンをクリックする
(6)現れた画面で,[有効なアクセス許可]タブを選択し[選択]ボタンを押す(図3上
(7)ユーザーまたはグループを選択し[OK]ボタンを押す(図3中
(8)指定したユーザーまたはグループの有効なアクセス権が表示される(図3下

●スマート・カード・ログオン
 ユーザーIDとパスワード入力だけでなく,ICカードを利用してユーザー認証を行うスマート・カード・ログオンは,Windows 2000から標準でサポートされているが,Windows Server 2003ではさらに機能が強化された。

 例えば,Windows 2000のときには,別のユーザー権限で実行する場合の認証ができなかったり,DCPROMOコマンドでDCに昇格する際に利用することができなかった。しかし,Windows Server 2003ではそれが可能になり,スマート・カードによるログオンで管理権限を確認できる。もちろん,スマート・カードの運用には,スマート・カードとスマート・カード・リーダー,そして証明機関(CA)の設定が必要なことには変わりがない。



*1
詳細な手順は英語版サポート技術情報314282を参照してほし。対応する日本語情報は314282だが,こちらには具体的な手順が掲載されていない。 [戻る]