Directory design 2... 複製トラフィックから見たドメイン設計
シングルドメインの検討
管理の容易さと柔軟性からいうと,ドメインを1つしか作成しないシングルドメイン構成はお勧めの選択肢である。ドメインを多く作ればその分,管理コストもマンパワーも必要になってしまう。Windows NTの場合は,管理領域を制限する目的で,あるいは管理するリソースの数が上限値を上回らないようにする目的で,アカウントドメインやリソースドメインといった具合に,ユーザーやリソースを複数のドメインに分割して管理しなければならない状況もあった。しかし,Windows 2000では,ドメインではなくOU(Organizational Unit:組織単位)を単位として権限を委譲することができるようになっているうえ,登録可能なオブジェクトの数は理論上で最大1000万個まで拡張されている。このため,組織の規模や運用によっては,シングルドメイン構成でも十分に耐え得る。むやみにドメインを分割してしまうと,組織改編などに伴ってDNSネームスペースの変更を迫られる場面も多くなる。DNSネームスペースが変更されると,運用形態によっては電子メールアドレスなどを変更しなければならないこともある。ディレクトリの柔軟性を維持するためにも,できるだけOUを活用してシンプルなディレクトリ構造を設計することが望ましい。
しかし,管理方針やネットワークトラフィック,ネットワークコストなどの問題から,ドメインを分割したほうがよい場合もある。とはいえ,いったん分割したドメインは,そう簡単に統廃合できるわけではないので,慎重に設計していただきたい。
MoveTreeやClonePrincipalなどのツールを用いることで,異なるドメインのオブジェクトを移動させることができるようになる。MoveTreeとClonePrincipalは,ともにリソースキットに付属のツールである。MoveTreeは,シングルフォレスト内のドメイン間で,OUやユーザーなどのオブジェクトを移動させるために使用するコマンドラインツールであり,Active Directoryドメイン内で実行する。これに対してClonePrincipalは,異なるフォレスト間でのコピーに使われ,ソースドメインはNTドメインでもActive Directoryドメインでもかまわない。ツールの名前のとおり,MoveTreeがオブジェクトを移動させるのに対して,ClonePrincipalはソースドメインとデスティネーションドメインとで重複したオブジェクトを持つようになる。ただし,MoveTreeでは,メンバーが登録されているローカルグループとグローバルグループを移動させることはできない。なお,MoveTreeを利用するには,Active Directoryネイティブモードでなければならないので注意してほしい。
 |
Directory design 10/18 |  |
