前回までActive Directoryの概要を紹介してきました。今回からは、Active Directoryを設計するに当たって検討しておくべき項目について紹介したいと思います。
Active Directoryの構成を検討する
Active Directoryを構成する際に、はじめにどのようにフォレストやドメインを構成するか、ドメインコントローラーを何台配置するかについて検討を行います。ドメインコントローラーの台数を検討するには、下記のような複数の要因を考慮して検討します。
- 認証要求を行うユーザーやクライアントなどのオブジェクトの数
- 同時にログオンを処理する必要はどの程度あるのか
- LDAPのクエリーの数(Exchange Serverなど)
- どの程度のサイトに分割する必要があるのか(拠点、ネットワーク構成)
- 特定のアプリケーションに対し専用にドメインコントローラーを 必要とするのか
- (Windows Server 2003以前の環境の場合)パスワードポリシーの数
前回までの連載で紹介したように、ドメインコントローラーは複数のサーバーで構成できるほか、マルチマスターレプリケーションを採用することでお互いの情報を複製し、同じ情報をデータベースに保持しています。
複数のサーバーでドメインコントローラーを構成しておくと、1台のドメインコントローラーに障害が起こった場合でも、別のドメインコントローラーが動作しているため、機能の冗長性を図ることもできます(FSMO機能を除く)。
また、ドメインクライアントはグローバルカタログ(以下GC)やDNSサーバーが存在しない場合、ログオンができなくなるため、GCの冗長化やDNSの冗長化も行う必要があります。
そういった点を踏まえて、ドメインコントローラーは複数台設置するほうが良いでしょう。ただし、台数が多くなるということは障害の際に確認しなくてはいけない点が増えるということでもありますので、必要に応じた台数とする必要はあります。
構成としては、ドメインやフォレストはできる限りシンプルにまとめられるものはまとめること(例:シングルフォレスト、シングルドメインなど)』の理由は、極力シンプルな構成にすることで設計や運用時の煩雑さを軽減できるためです。しかしながら、前述したような要件を検討していく中で複数のドメインやフォレストが必要になることもあります。これらの設計、検討ポイントは今後記載していきたいと思います。
Flexible Single Master Operation(FSMO)の役割について
Active Directoryのデータベースは、マルチマスターレプリケーションにより複製されているため、ユーザーアカウントのようなオブジェクト、ドメインなどの情報はドメインコントローラー間で同期されています。
また、どのドメインコントローラーでアカウント作成などの処理を行っても、処理結果や各ドメインコントローラーのデータベースに格納されている情報に矛盾が生じないようになっています。
そのため、負荷分散や障害などに対するバックアップとしても機能するようになっています。
ただし、Flexible Single Master Operation(FSMO)と呼ばれる役割については、複数のドメインコントローラーからの更新の競合によるデータベースの矛盾を避けるために、あらかじめ管理者が定めた特定のドメインコントローラーだけがその処理を担当することになっています。
その役割は、複数のドメインコントローラーに割り当てられることはないため、管理者が明示的に他のドメインコントローラーへ役割を移行しない限りは、FSMOの役割に応じてフォレストの最初のドメインコントローラ(フォレストルートのドメインコントローラ)や、マルチドメイン環境の場合はドメイン最初のドメインコントローラが担います。
| No | 名称 | 役割 |
| 1 | スキーママスター | Active Directoryのスキーマの変更の役割を受け持つ。スキーマの情報は、すべてのドメインコントローラーへ問い合わされるが、変更を加えることができるのは、この役割を持つドメインコントローラーのみ。 |
| 2 | ドメインネーミングマスター | フォレストへのドメインの追加や削除の役割を受け持つ。 |
| 3 | RIDマスター | ドメイン・コントローラーは、RIDプールというユーザーなどのオブジェクトに割り当てるSID(※1)の情報の一部をあらかじめ保持している。RIDマスターはRIDプールを使いきった場合に再割り当ての役割を受け待つ。 |
| 4 | PDCエミュレータ | Windows NTのPDC(プライマリ ドメイン コントローラー)のエミュレーションの役割を受け持つ。Windows 9x/NTなどのActive Directoryに対応していないクライアントに対して、PDCエミュレータの役割を果たす。また、パスワードの変更情報も優先的にPDCエミュレータへと複製を実施する。 |
| 5 | インフラストラクチャマスター | グループのユーザー情報(名前など)の変更情報をドメイン間をまたぎ通知、複製を行う役割を果たす。 |
- ※1:SIDとは、各ドメインごとに固定された値と各ドメイン内でのユニークな値を組み合わせたIDで、各ユーザー、グループなどのオブジェクトを区別するために利用されるユニークな番号
FSMOは表1に記述した5種類の役割から成り立っています。「スキーママスター」「ドメインネーミングマスター」の2つの役割は、フォレストに対して1台のドメインコントローラーが受け持ちます。また、「RIDマスター」「PDCエミュレータ」「インフラストラクチャマスター」の3つの役割は、1ドメインにつき1台のドメインコントローラーが受け持ちます。
FSMOの配置については、マイクロソフト社のKB(knowledge-Base)を併せて参考にしてください。
以上のFSMOの各役割は、通常はActive Directoryを最初に導入したドメインコントローラーが担当していますが、Active Directoryの管理ツールを使って、他のドメイン コントローラーに移すこともできます。
また、Active Directoryに何かしらのトラブルが生じた場合は、強制的にFSMOを移行することも可能ですが、実際に行う際はいくつか注意の必要な点もあります。それらの方法については後ほど紹介します。
まとめ
一般的にドメインコントローラーは、可能な限りシンプルな構成とし、複数台のドメインコントローラーを設置した方が良いと考えられます。
Active Directoryドメインコントローラーは、基本的にはマルチマスターレプリケーションを実施していますが、FSMOと呼ばれる役割は固有のドメインコントローラーでのみ保持されます。FSMOの役割は、役割に応じてフォレスト、またはドメインに対して1台のドメインコントローラーが受け持ちます。
関連資料
- Active Directoryに関する技術情報:TechNet Active Directory TechCenter
- Active Directoryに関する概要情報:Active Directory機能概要ページ
