持田製薬は,全社のNTドメインをWindows 2000ドメインに切り替えた。管理コスト軽減を狙ってサーバーを集約し,営業支援システムの基盤となるExchangeサーバーをExchange 2000に移行するためだ。
■Exchange 2000への移行に当たってまず,従来14台あったExchange 5.5サーバーを本社の6台に統合。その後2001年2月,本社にあるNTのドメイン・コントローラをWindows 2000にアップグレードし,Active Directory環境に移行した。
■Windows 2000ドメインのサイトを1つにまとめ,既存のLMHOSTSファイルを利用することでトラフィックの削減と管理負荷の軽減を両立させる。

図1●持田製薬のWindows 2000とExchange 2000 Serverへの移行
全国の拠点に分散配置していたExchange 5.5サーバーを本社の6台のExchange 2000サーバーに統合する。ドメイン・コントローラも統合してWindows 2000ドメインに移行する
 持田製薬が全社ネットワークの再構築に取り組んでいる。Windows NTで構築したネットワークをWindows 2000のドメイン環境に移行させ,併せて営業支援システムのインフラとして利用しているExchange 5.5をExchange 2000にバージョンアップする計画だ(図1[拡大表示])。2000年夏から本格的な準備を開始し,2001年2月からドメイン・コントローラをWindows 2000にバージョンアップし始めた。2001年度中にはExchange 2000の導入も含めてネットワークの再構築が完了する予定である。

失敗が許されないインフラの再構築

 このネットワーク再構築の狙いは,サーバー管理を簡素化することにある。全国の拠点には専任のサーバー管理者がおらず,「分散配置した60台以上のドメイン・コントローラやExchangeサーバーの管理負担が課題になっていた」(情報システム部システム開発担当の角田龍郎専門課長)からである。

 持田製薬は95年に,Windows NTを導入して全社ネットワークを構築。その後Exchange 5.5サーバーを導入し,情報共有システムとして活用してきた。全社約50拠点にバックアップ・ドメイン・コントローラ(BDC)を,主要拠点に14台のExchangeサーバーを置いたシステムである。

 NTドメインとExchange 5.5のユーザーを別々に管理しなければならないことも,管理の負担になっていた。Exchange 2000を導入すれば,NTドメインのユーザー管理とExchangeのユーザー管理をActive Directoryで統合できる。同社はExchange 2000 Serverへの移行を見据え,2000年4月,全面的にWindows 2000を導入することに決めた。さらに全社ネットワークの再構築に併せてドメイン・コントローラやExchangeサーバーを減らし,サーバー集約による管理コスト軽減も図ることにした。

 ただし,持田製薬のWindowsネットワークは,営業担当者が日々の業務で利用する営業支援アプリケーションやメール・システムの基盤となる重要なインフラである。「移行の失敗は許されない」(角田専門課長)という覚悟で慎重に計画を立てた。

 特にWindows 2000ドメインに移行するには,Active Directoryを導入しなければならない。手間がかかるだけでなく,今後のネットワークの発展性や管理コストを左右する重要なポイントでもある。そのため「サーバーを何台も用意して事前検証しなければならず,自社でゼロからやるのは難しい」(情報システム部ネットワークの志波俊雄氏)という課題があった。新しい全社ネットワークへの移行に万全を期すため,Active Directory導入のコンサルティングを大塚商会に依頼し,本格的な開発をスタートさせた。

ドメイン・コントローラを15台に削減

 Windows 2000とExchange 2000への移行に備え,2000年夏にまずは本社と主要拠点にあった14台のExchange 5.5サーバーを本社の6台のサーバーに統合した。6台のExchangeサーバーは,バックアップ作業などの管理効率を考慮し,2台をパブリック・フォルダ専用,4台をメール・ボックス専用としてサーバーの用途を分けた。パブリック・フォルダは2台で同じものを複製して保持し,負荷分散と障害時のバックアップの役割を備える。約2000人のユーザーのメール・ボックスは,1台のサーバーに付き300人から700人分を格納している。

 約50台あるNTのドメイン・コントローラは,小規模拠点にあったBDCをすべて廃止し,本社および主要11拠点の15台を残して統合することにした。BDCを廃止する拠点ではログオン時などにレスポンスの低下が懸念されるが,「問題ないレベル」(角田氏)と判断した。

 2001年2月から,本社のドメイン・コントローラの移行作業を開始した。従来のNTドメインは全社をシングル・ドメインで構築していたので,プライマリ・ドメイン・コントローラをWindows 2000にアップグレードすることで,ドメインの移行は比較的簡単に実行できた。2001年3月末時点でWindows 2000のドメイン・コントローラを4台導入し,Active Directoryの環境へ移行させた。5月末までに,15台すべてのドメイン・コントローラをWindows 2000に移行させる。

 各拠点にある廃止予定のBDCは,現在もまだ残っている。拠点のファイル・サーバーの役割も持つため,撤去せずに,Windows 2000のメンバー・サーバーに移行させる。2001年度中に,NTのBDCを一掃する予定だ。

LMHOSTSを活用してサイトを統合

図2●LMHOSTSで認証サーバーを指定する
持田製薬のようにWindows 2000ドメインを拠点ごとにサイトを分割していない場合,LMHOSTSを使わないとクライアントはDNS上のリストを参照して特定のドメイン・コントローラにアクセスが集中してしまう。そのためLMHOSTSを活用して,各拠点のユーザーがドメインにログオンするときの認証先のドメイン・コントローラを指定できようにする
 持田製薬が導入したActive Directoryの設計では,全拠点を1つのサイトにまとめたことが特徴だ(図2[拡大表示])。サイトとは,Windows 2000ドメインを論理的に分割する単位である。ユーザーがドメインにログオンするときは,サイト内のドメイン・コントローラで認証するので,大規模なネットワークでは,一般的にドメインを複数のサイトに分けて認証のトラフィックを局所化することが多い。持田製薬が複数のサイトに分割しなかったのは,サイト間の接続を維持・管理するために手間をかけたくなかったからである。

 しかし,サイトを分けないと,認証先のドメイン・コントローラを指定できず,認証トラフィックなどが全国の拠点間で急増しかねない。持田製薬はLMHOSTSをうまく利用して,この問題を回避した。各クライアント・パソコンに配布したLMHOSTSに認証先の拠点のドメイン・コントローラを記述しておくことで,サイトが分かれていなくても,指定したドメイン・コントローラで認証できるようにした。同社はこれまでに,社内にあるマシンの構成管理の目的でLMHOSTSを作成し,名前解決にも利用していた。そのためLMHOSTSを新規に作成する必要がなく,この方法を採用できた。

2000ドメイン専用DNSを新規に構築

 Windows 2000への移行では,「インターネット・ドメインとActive Directoryのドメインをどう統合するかも不安要素だった」(志波氏)。Active Directoryの導入にはDNSが不可欠である。その際,既存のDNSをそのままActive Directory用のDNSとして利用する方法や,既存のインターネット・ドメインのサブドメインとしてActive DirectoryのDNSを構築する方法,全く独立した新規のDNSを構築する方法がある。

 持田製薬は,既存のインターネット・ドメインのDNSはそのまま残すことを前提に導入方法を検討。新規にActive Directory専用のDNSを構築し,ドメイン名はインターネット・ドメインと同じ「mochida.co.jp」にした。既存のDNSの下にサブドメインを作る方法だと,イントラネットで利用している既存のサーバーとドメイン名が変わってしまい,ユーザーの使い勝手が悪くなるからだ。

 社内のクライアントはすべてActive DirectoryのDNSを参照し,インターネットへの接続時は,参照要求を既存のDNSにフォワードする。2つの同名のドメインで名前解決の不整合を避けるため,インターネット・ドメインのDNSに登録してあるWebサーバーやメール・サーバーを,Active DirectoryのDNSにも登録した。

 持田製薬は現在,Exchange 2000の導入に向けて検証作業を進めている。約2000台あるクライアント・マシンも,NT WorkstationからWindows 2000 Professionalへの移行を終えつつある。移行完了後は,グループ・ポリシーを使ったソフト配布やデスクトップ環境の設定など,Active Directoryの機能を幅広く活用することを視野に入れている。

(森重 和春=morishig@nikkeibp.co.jp