この特集のトップページへ

Deployment of Active Directory 2... NTドメインの再設計
sankaku.gif ディレクトリの物理設計

 Active Directoryの物理設計を進めるうえでポイントになるのは,サイト,ドメイン,グローバルカタログ,ドメインコントローラの3つである。

 Active Directoryでは,ネットワークの物理設計を「サイト」という概念で取り扱う。サイトとは,十分な帯域幅が確保されている単一または複数のIPセグメントのことである。どの程度の帯域幅をもって「十分」とするかは相対的な問題なので難しいところであるが,基本的にはLANで接続されている範囲内と考えるのがよいだろう。

 Active Directoryでは,サイトに基づいて複製の方法やスケジュールを制御する。複製の方法は,サイト内(イントラサイト)とサイト間(インターサイト)で異なる。イントラサイトの場合,デフォルトでは変更後5分程度待機してからRPCを利用して複製を実行する(実際には,複製の取りこぼしがないように,さらに1時間に1回複製の必要がないかどうかを確認する)。これに対してインターサイトの場合は,管理者が設定したスケジュールに基づいて,RPCやSMTPで複製を実行する(デフォルトでは3時間に1回)。

注意 パスワードの変更やアカウントのロックアウトなど,各ドメインコントローラに早急に通知する必要がある変更が発生した場合には,例外的にリアルタイムで複製を実行する。前者を「パスワード複製」,後者を「緊急複製」と呼ぶ。複製について詳しくは,2000年1月の特集記事『検証値に基づくActive Directoryドメインの設計』の「複製トラフィックから見たドメイン設計」を参照してほしい。

 また,クライアントを認証するドメインコントローラを探索するときにも,サイトの情報が利用され,クライアントと同じサイト内にあるドメインコントローラを使用しようと試みる。クライアントの所属サイトにドメインコントローラが登録されていない場合は,あらかじめ管理者がサイト間リンクを作成するときに設定しておいた接続総コストの情報に従い,ほかのサイトにあるドメインコントローラを利用する。

 サイトとは十分な帯域幅が確保されている単一または複数のIPセグメントであるから,サイト内には最低1台,フォルトトレラントを重視するなら2台以上のドメインコントローラとグローバルカタログを設置すると,認証処理や検索処理などが高速化される。しかし,サイトを利用するユーザー数やオブジェクトの変更頻度によっては,サイト内にドメインコントローラやグローバルカタログを設置するよりも,ほかのサイトにあるドメインコントローラやグローバルカタログを利用したほうが,安価ですむこともある。なお,Windows 2000クライアントがActive Directoryドメインにログオンするときには,ドメインコントローラだけではなく,グローバルカタログも検索する。これは,ユニバーサルグループの情報がグローバルカタログに格納されているためである。

Fig.14 サイトの分割とドメインコントローラの配置
fig14.gif

 NTドメインと同様に,Active Directoryドメインでも,複製の単位はドメインである。したがって,ネットワークの物理設計をサイトで定義する場合には,「ドメインの境界をどう設定するのか」も併せて検討しなければならない。具体的には,シングルドメインとするか,マルチドメインとするかを選択することになる。Active Directoryドメインでは,極力ドメインの数を減らし,OUを使って管理境界を定義してゆくことが望ましい。しかし,特にNTドメインから移行する場合には,NTドメインで採用していたマルチマスタドメインモデルなどが足かせとなり,ドメインの統廃合を進めづらいケースもある。あるいは,2つのネットワークが非常に遅いWAN回線で接続されている場合や,複製によって発生するコストを極力削減したい場合,さらにはサイト間の管理ポリシーが大幅に異なる場合などは,無理にドメインを統廃合するのではなく,マルチドメイン構造を維持してドメインツリーを形成したほうがよいこともある(Fig.15)。どちらを採用するかはポリシーの問題であり,どちらを採用してもそれぞれにトレードオフが伴う。シングルドメインとするかマルチドメインとするかは,のちのちの管理コストに大きく影響するので,慎重に検討してもらいたい。ただし,同一フォレスト内であれば,あとからActive Directoryドメインを統廃合したり分割したりすることも不可能ではない。

Fig.15 サイトの分割とドメインの分割
fig15.gif

 グローバルカタログは,マルチドメイン/マルチサイト環境での検索性能を向上させるために用意されている。グローバルカタログには,フォレスト内に含まれる全オブジェクトの名前と,そのオブジェクトの代表的な属性が格納されている。Active Directoryの複製を考慮する場合には,ドメインコントローラ間の複製のほかに,グローバルカタログに対する複製も考慮しなければならない。また,ほかのドメインのオブジェクトを頻繁に利用するような場合には,サイトごとにグローバルカタログサーバーを配置したほうがよいこともある。

注意 グローバルカタログは,TCPポート3268番を通じたLDAP接続によって検索される。実際,グローバルカタログの情報を適当なLDAPクライアントで取得することも可能である。

 Windows NTにおけるSAMの場合,性能上問題にならないディレクトリサイズは40Mバイト程度であるとされていた(SAMデータベースを格納するレジストリ容量の制限から,仕様上も40Mバイト程度が上限となっていた)。SAMにおける1ユーザーアカウントが約1Kバイトであったことを考えると,せいぜい1ドメインあたり約4万件のアカウントしか登録できなかったことになる。しかしActive Directoryでは,ディレクトリ容量の上限も性能も大幅に改善されているので,この程度のディレクトリサイズであれば,まったく問題になることはない。ただし,Active Directoryの場合,1ユーザーオブジェクトあたり約3Kバイトのディスク容量が必要となる。そのうえ,必須プロパティ以外の属性を登録すれば,求められるディスク容量はさらに増大する。しかもActive Directoryには,ユーザーやコンピュータといった従来型のオブジェクト以外に,ポリシーやアプリケーション,プリンタなど,さまざまなネットワークリソースを格納できるようになっている。したがって,ディレクトリ容量も,従来とは比較にならないほど増大する可能性が高い。ディレクトリ容量の増大に伴って検索性能が低下したり複製トラフィックが増大したりするようであれば,ドメインを分割したり,ドメインコントローラの性能を向上させたり,ネットワークの帯域幅を検討し直したりする必要もあるだろう。

prevpg.gif Deployment of AD−Part1 12/17 nextpg.gif