Active Directory ドメインサービス – 概要

Active Directory ドメインサービス

Unix系から離れて Active Directory ドメインサービスについて纏めていきたいと思います.
まずは概要を説明していきます.

Active Directory ドメインサービス (AD DS) とは

AD DS はディレクトリーサービスを提供します.ディレクトリーは英和辞典で引くと名簿や住所録,案内板と記載されています.
名簿や住所録のとおり,ユーザーアカウントやコンピューターなどの情報を一元管理し,利用者・管理者の利便性を向上させる目的のシステムが Active Directory ドメインサービスです.

Active Directory と単純に呼ばれる事が多いですが,正式な名称は「Active Directory ドメインサービス」で略称が「AD DS」です.
Windows Server 2008 より,Active Directory という名称はサービス群を指す名称となりそれぞれのサービスに以下のとおり名前があります.

  • Active Directory ドメインサービス (AD DS)
  • Active Directory ライトウェイトディレクトリーサービス (AD LDS)
  • Active Directory 証明書サービス (AD CS)
  • Active Directory Rights Management サービス (AD RMS)
  • Active Directory フェデレーションサービス (AD FS)

念のため,Active Directory や AD と言われた際,AD DS を指しているのか確認をした方が安全です.また,各々のサービスについては別途触れる機会があれば触れます.ここでは AD DS のお話のみ扱います.

ディレクトリーサービスがない場合

ディレクトリーサービスが無い場合,管理者は個別に各サーバー・システムのメンテナンスを行う必要があります.
ここでいうメンテナンスとは,アカウント情報の追加・削除やサーバーの設定を指しています.これを個々のサーバーに対して実施する必要が生じます.
少数であればこれでも対応はできると思いますが台数,ユーザーが増えるにつれて乗数的に増えていきます.

ユーザーとしても,パスワードを変えたい場合個々のサーバー・サービスにアクセスして変えていく必要が生じます.
ですので,あるサービスは変えた.あるサービスは変え忘れた.などでログインが出来なくなったりして管理者へ問合せを行う事もあるでしょう.
従って管理者はさらに対応を迫られる事となり,より手間が増えていくという悪循環を生じさせます.

ディレクトリーサービスがある場合

ディレクトリーサービスがある場合,ディレクトリーサービスを提供するサーバーでのみメンテナンスを行う事でほぼほぼの対応を完了させる事ができます.
台数,ユーザーが増えても,ディレクトリーサービスだけの面倒をみれば完了できる事が大きなメリットとなります.

ユーザー目線でも,パスワードを変更したらディレクトリーサービス上の情報が変更されるため,個々のサービス毎のパスワード変更を行う必要がないなどのメリットがあります.

Active Directory ドメインサービスの設計について

AD DS にはディレクトリーサービスとして様々な機能があります.ここでは AD DS を構成するための基本的な要素を説明します.

ドメイン

AD DS の主要な機能です.主に管理する範囲・単位と理解すると良いでしょう.
AD DS を構築する上で最低限一つは必要になります.
管理単位としてドメインが存在し,この中にユーザーやグループ,コンピューターの情報を格納,管理します.
また,グループポリシーという機能を利用したクライアントやサーバーのコンピューターとしての設定の一元管理や,ユーザーポリシーの一元管理も行う事ができます.

DNS のドメインと AD DS のドメインの違い

AD DS は DNS と統合されて利用されます.その為両者を混同しがちになりますが,概念が違います.
DNS のドメインはインターネットおよびイントラネットでのホスト,FQDN と IP アドレスの解決のために用いられ,例えば seichan.org が DNS ドメインとしての管理範囲になり,www.seichan.org が 192.168.0.1 の IP アドレスである.というような解決を行うものになります.

一方,AD DS のドメインは先に述べたとおり,ユーザーやコンピューターの管理範囲になります.
コンピューターに関しては DNS に統合されている事から名前解決の際に DNS での名前解決が行われますので,これが混乱の要因になっているかもしれません.

ドメインコントローラー

ドメインには1台以上の「ドメインコントローラー」というサーバーが必ず存在します.
ドメインコントローラーは,ドメインを管理しているサーバーで,実際にはドメインコントローラーの中にユーザーやコンピューター,グループポリシーの情報が格納されています.

ドメインコントローラーがドメイン内の環境において必須のサーバーとなるため,故障などで動作していない場合,ユーザーの認証が行えないなど,そのドメイン全体へ影響を及ぼす事になります.従って,通常は2台以上のドメインコントローラーを用いた冗長構成をとります.

ドメインコントローラーの挙動

AD DS のドメインコントローラーはマルチマスター (プライマリー/セカンダリー ではなく,全てがマスターになり得る) モデルとなっており,複数台のドメインコントローラーが存在する場合,ディレクトリー情報をお互いに複製しあうことが可能となっています.
複製が完了したら同一の情報を持つことになり,先ほども述べたとおり,1台に障害が発生しても残りのドメインコントローラーが引き続き役割を担います.

フォレスト

AD DS によるドメインを作成した際,フォレストも作成されます.
フォレストは「森」のとおり,AD DS ドメインの集合体となります.
フォレストは1つのフォレストは必ず必要になり,このフォレスト内に AD DS ドメインがツリー上に構成されるケースもあれば,フォレストが2つや3つなど分かれており,それぞれに AD DS ドメインが構成されるケースもあります.
これは管理・統合の仕方によってどちらでも構成が可能です.

ドメインツリー

ドメインツリーは,連続した名前空間を持つ AD DS の構成です.
例えば,seichan.org をトップレベルの AD DS ドメインとして構成し,東京に tokyo.seichan.org,大阪に osaka.seichan.org という AD DS ドメインを構成したツリー階層を持つことができ,このような構成をドメインツリーと呼びます.

この構成は例えば各拠点で管理者を立ててその中で管理をしてもらうなどの際に用いられます.
ただし,ツリーとして分割する分全体の管理コストが増えますので本当に分割すべきなのかはよく検討すべき事柄となります.

異なる名前空間でのドメインツリー

フォレスト内には,先の名前空間が連続した構成ではなく,独立した名前空間の AD DS ドメインを追加することができます.
seichan.org と wakhok.net を同じフォレストに統合する.という場合です.

この構成をとるケースとしては,ドメインとしても管理主体を分けたい場合や会社の統合 (合併など) が行われた際に別々に管理されていたドメインを統合管理したい.という場合が多いと思います.

ここまでのまとめ

Active Directory ではなく,Active Directory ドメインサービス が正式名称です.略称は AD DS です.なるべくこの言葉を利用しましょう.
AD DS のドメインは DNS ドメインとは概念が異なりますので混同しないように気を付けましょう.DNS はあくまでもホスト名と IP アドレスの解決のために用いられます.
AD DS ドメインはコンピューターの他,ユーザー情報やコンピューターを管理する設定情報を管理する範囲です.
フォレストは必ず1つは存在する.AD DS ドメインはフォレストの中にある事を理解しましょう.
フォレスト内では AD DS ドメインはツリー構成をとる事も可能ですし,全く違うドメインを束ねてフォレスト内で管理することも可能です.

今回は AD DS の概要について記載をしました.次回は AD DS の構築を行ってそこからさらに細かい話に続いていきたいと思います.

コメント

タイトルとURLをコピーしました