Deployment of Active Directory 1... NTドメインからActive Directoryドメインへの移行
混在モードとネイティブモード
●SIDとRID
Windows NT Server 4.0では,ユーザーやグループなどを管理するため,オブジェクトの作成時にSID(Security Identifier:セキュリティ識別子)と呼ばれる数値を割り当てている。SIDの最初の部分である“S-1-5-xxx”は,SIDのリビジョン番号やアカウントの種別を表すために使う。次に,発行元を表す“XXX-YYY-ZZZ”(通常はドメインを表す)が続き,最後にRID(Relative Identification:相対識別子)が続く。RIDは,ドメイン内部のアカウントを区別するために利用されている(Fig.6)。
Fig.6 Windows NT 4.0におけるSIDとRIDの仕組み
Windows NT Server 4.0と同様に,Windows 2000 Serverでも,ユーザーなどを管理するためにSIDとRIDを使用している。各ドメインコントローラには,RIDとして割り当て得る500個の数値(RIDプール)が割り当てられており,新規にユーザーなどを作成したときには,そのなかから1つの値が利用されることになっている。もちろん,割り当てられる値の範囲はドメインコントローラごとに異なるので,別のドメインコントローラで作成されたユーザーのRIDと数値が重なってしまう心配はない。
また,最初に割り当てられたRIDプールの残りが約100個になると,各ドメインコントローラは,「RIDプールマスタ」という役割を担う特別なコンピュータに対して,予約されている数値と重複しない新しいRIDプールの割り当てを要求する。RIDプールマスタはFSMOとして機能する役割の1つであり,ドメイン内のRIDプールを管理する。したがってRIDは,RIDプールマスタから割り当てられたRIDプールの範囲内で,各ドメインコントローラが自由に利用することになる。なお,万一RIDプールマスタが停止しても,各ドメインコントローラに割り当てられているRIDプールに余剰がある限り,管理者は新たなユーザーやグループを作成することができる。
以上のような仕組みによって,Active Directoryドメインでは,どのドメインコントローラでもユーザーなどのオブジェクトを作成することができるうえ,ドメイン内で一意のIDにより区別することができるのである(Fig.7)。
Fig.7 Active DirectoryにおけるSIDとRIDの仕組み(クリックで拡大可能)
一般的に,RIDプールマスタは,PDCエミュレータと同じコンピュータに担当させる。性能上の問題から分離させたい場合でも,同じLAN内など,高速に通信できる範囲に配置すべきである。特に混在モードの場合,Windows NT Server 4.0の管理ツールは,PDCエミュレータに対してユーザーやグループの作成を依頼することになるため,PDCエミュレータと同じコンピュータで新しいRIDプールを確保できるほうが,スループットが向上する。
ネイティブモードに移行した場合には,必ずしもRIDプールマスタとPDCエミュレータを同じドメインコントローラに兼務させる必要はない。負荷分散の必要に応じて,両者を分離させることもできる。ただし,両者を分離させるということは,それだけドメインコントローラが必要になるということである。構成にもよるだろうが,両者を物理的に分離させるよりも,両者を1台のドメインコントローラに兼務させ,負荷分散とバックアップを目的とするドメインコントローラを追加したほうが管理コストが低くすむこともある。
 |
Deployment of AD−Part1 6/17 |  |
