エンタープライズ:ニュース 2003/02/14 22:43:00 更新


Windows Server 2003でのActive Directoryの設計

このセッションは、Windows Server 2003のActive Directory関連の新機能紹介ではなく、従来から蓄積されてきたActive Directoryの設計に関するコンサルティングの経験を踏まえたノウハウの紹介、といった内容となった。

 EDC2003第2日目のWindows Serverトラックは、マイクロソフト コンサルティング本部 シニアコンサルタントの綱田和功氏による「Windows Server 2003 Active Directoryの設計」と題したセッションから始まった。

綱田和功氏

マイクロソフト コンサルティング本部 シニアコンサルタントの綱田和功氏


 Active Directoryの導入においては、計画・設計・実装・展開・運用という5つのフェーズがある。互いのフェーズ間に明確な境界はないものの、主に設計フェーズでどのようにするのがベストであるかについて、従来のWindows 2000でのActive Directory設計ベストプラクティス(模範的な設計ガイド)をもとに解説が行われた。その設定の内訳は、ユーザー数が10万人以下で、サイト数がWindows Server 2003で1000以下(Windows2000では200以下)というものである。なおユーザー数が10万人以上または上記のサイト以上の規模の場合は、Active Directoryブランチオフィスガイドを参照していただきたい。

 はじめに設計の手順だが、セオリーとしてまずフォレストの数を決定し、フォレスト内のドメインやOUについて設計するという手順が示された。フォレストの設計は、完全に1つのフォレストにする「強い集中管理」型、一部を分けた「ハイブリッド」型、完全に分散した「分散」型に分類できるが、日本の企業の場合、9割以上は単一のフォレストで十分にまかなえるという。綱田氏によれば、「ファイアウォールやNATをまたいだフォレスト展開は慎重にすべきであるが、まず、単一のフォレストで設計し、無理が生じた場合に初めてフォレストの分割を考慮すべき」である。

 Windows2000ではフォレスト間の信頼関係が自動的に結ばれないのに対し、Windows Server 2003ではフォレスト間で推移的な信頼関係を結ぶことが可能である。ただしWindows Server 2003であっても、グローバルカタログはフォレスト間で同期が必要となるため、MMS(Microsoft Metadirectory Services)などのディレクトリ同期ツールが必要となる。また、フォレストを分割するに当たっては、Exchange Server 2000に与える影響も考慮すべきことにも触れられた。

 ドメイン設計という点からは、ドメイン管理者の役割について語られた。サービスオーナー、つまり、ドメインという入れ物に関する責任者(対するデータオーナーは、コンテンツに関して責任を持つ)の面が強調され、ドメイン単位での管理権限の委任は可能であるが、他のドメインと完全に独立することが困難なため、ドメイン管理者には高い信頼性が求められるという。さらに、ドメインは複製の境界となる。つまり、複製に必要となる帯域をも考慮した設計をしなければならないということだ。ここでも、単一のドメインで構成される「強い集中管理」型、1つの管理ドメインと1つのグローバルドメインに分割する「集中管理」型、1つの管理ドメインと地域毎に分割された複数の地域ドメインを持つ「地理的ドメイン」型がモデルとして示された。このドメイン設計においては、各種要件によって判断が異なるものの、小さな組織や高度に集中管理された組織で、かつ状況が不変であることが確実であれば、純粋にシングルドメインとすることも1つの手であるという。

 ドメイン設計の手順としてはやはり、まずシングルドメインで検討を始め、フォレスト内、ドメイン内のユーザー数と、ネットワーク帯域幅の相関関連によるガイドラインをもとに、どのように分割すべきかを考慮することが大切であると実感させられた。

 次にOUの設計方法についてである。綱田氏によれば、OU設計におけるよくある落とし穴にはまらないように、OUの設計に組織図をそのまま持ち込むことは避け、すべてのOUは明確な目的を持つべきであるという。ここでは、OU管理者をデータオーナーと位置づけ、OU管理者をドメイン管理者から任命されるディレクトリツリーまたはサブツリーの管理者として役割が割り振られるべきである点が示された。OU設計の基本として、誰がOUを管理するかを明確にするべき点も強調された。具体的には、デフォルトのコンテナやOUをサービスユーザーに割り当て、別途作成したアカウントOUにデータオーナーを、また、リソースOUにサーバなどのリソースを割り当てる方法が示された。

ベストプラクティスOUモデル

OU設計の手法について、アカウントOUを作成し、管理をデータオーナーとしてのOU管理者に委任するという方法が示された


 この後はサイト設計に移り、一般的なことではあるが、拠点構成図を作成すること、拠点にDCを配置すること、拠点をサイトにマッピングすること、サイトリンクでサイトを接続することなどが手順として大切であると強調。原則として、各ハブ拠点にルートDCを配置することや、WAN回線が切断されてもログオンが必要な拠点には地域ドメインDCを優先的に配置するべきとした。

 最後にキャパシティプランニングとして、管理コスト軽減のため推奨される方法は、まずハイスペックのDCで集中的に管理することを考慮、次に負荷分散のためにDCを追加していくことだという。DCのハードウェア条件としてのCPUやメモリ、HDD容量などについて、概算のガイドラインが示されたが、これらについてもテストラボ環境での検証が必要であることも強調された。また、ADSizerを使ってより適切なパラメータを適用することも大切だと結んだ。

関連リンク
▼Microsoft Enterprise Deployment Conference 2003 レポート
▼Windows .NETチャンネル

[宮内さとる,ITmedia]