扉イメージ

 Windows 2000の製品出荷が刻々と近づいている。あなたは,Windows 2000のどの機能を利用しようと計画しているだろうか。モバイル端末に導入したい,グループポリシーを使ってユーザーを管理したい,VPN(Virtual Private Network)を構築したい,通信を暗号化して保護したい――などなど,「あれもしたい!」「これもしたい!」と,いまから夢が膨らんでいるかもしれない。

 Windows 2000にはさまざまな新機能が搭載されているが,ほとんどの新機能は,ユーザー,コンピュータ,共有資源,グループポリシーなどを一括管理するActive Directoryを基盤として稼動する。つまり,Active Directoryを導入してActive Directoryドメインを構築しなければ,Windows 2000 Serverの特徴となっているほとんどの機能は利用できないのである。したがって,Windows 2000 Serverを導入する場合,Active Directoryドメインの構築は最終的に避けられないといってよい(すでにWindows NT Serverでネットワークを構築しているならば,問題となるのは「どう移行するか」と「いつ移行するか」の2点であろう)。

 すでに前回の特集でも説明したように,Active Directoryに限らず,ディレクトリサービスは緻密な設計と計画に基づいて導入すべきである。特に,DNSと密接に統合されたActive Directoryは,ボトムアップアプローチよりもトップダウンアプローチでの導入になじみやすい。もちろん,MoveTreeやClonePrincipalといったSupport Toolを利用することでボトムアップ型の導入を実現することも不可能ではないが,これらのツールは必要に迫られてやむなく使用すべきものであって,やはり導入の初期工程できちんと全体像を設計しておくことが望ましい。

 そこで今回は,MicrosoftがBeta版で検証したデータを元に,主に次の2点に注目しつつ,Active Directoryドメインの設計指針を示す。

  • Active Directoryのディレクトリ容量の見積もり
  • Active Directoryの複製トラフィックの分析から見たドメインコントローラの配置

 残念ながら,今回は認証トラフィックについてはほとんど言及していない。なぜなら,認証トラフィックはシステム全体の挙動と大きくかかわるため,製品版で検証しなければ参考になるデータが得られないと判断したためである。もちろん,ディレクトリ容量や複製トラフィックも,製品版で多少異なる結果となる可能性はあるのだが,定量的な情報であるだけに,誤差の点でも評価しやすい。その点,認証トラフィックはネットワークの構成にも影響を受けるうえ,クライアント,DNS,LDAP,KDC,グローバルカタログなど,さまざまなネットワーク要素が絡むため,正式な製品版が提供されるまで評価を避けることにした。この点については,製品版を入手次第,検証して続報したいところである。

 なお,くり返しになるが,本稿で示す計測値はすべてMicrosoftがBeta版で検証した結果に基づくものである。製品版では結果が微妙に異なっていることがあるので,その点はご了承いただきたい。

Directory design 1...
ディレクトリ容量の見積もり

Active Directoryデータベースの実体とは
オブジェクトの容量
属性の容量
ディレクトリ容量の変化
縮小されないディレクトリ容量の謎

Directory design 2...
複製トラフィックから見たドメイン設計

シングルドメインの検討
ドメインは管理とセキュリティの境界
ドメインは複製処理の境界
低速WAN回線を経由する場合のサイト分割
複製トラフィックの見積もり
ドメインコントローラの配置
頻繁に使われるドメインコントローラ

(竹島弓理)

Directory design nextpg.gif


Special

- PR -

Special

- PR -