Deployment of Active Directory 2...
Active Directoryのインストール
Windows 2000 Serverをインストールした時点では,コンピュータはメンバサーバーまたはスタンドアロンサーバーになっている。Windows 2000 Serverをドメインコントローラとして使用するためには,別途Active Directoryをインストールする必要がある。Active Directoryは,ユーザーアカウントや共有プリンタなどのネットワークオブジェクトにかかわる情報を格納し,その情報へのアクセスを提供する。
ドメインコントローラの配置
Active Directoryをインストールするまえに,まずドメインコントローラについて説明しておこう。ドメインコントローラとは,Active Directoryのデータベースを保持し,ユーザーやアプリケーションによる認証や検索といった要求に応えるサーバーのことである。Windows NT 4.0までのドメインコントローラには,PDCとBDCという2種類が存在し,情報の変更はPDCに対してしか実行できなかった。また,ドメインコントローラにするかどうかは,Windows NTをインストールする段階で決定しなければならなかった。しかし,Windows 2000におけるドメインコントローラは1種類であり,いつでもドメインコントローラに昇格させたり降格させたりすることができる。
ドメインコントローラを構築する場合,次の3点について考慮しなければならない。
- ドメインを新規作成するか,既存ドメインに所属させるか
- ドメインを新規作成する場合,新しいドメインツリーを作成するか,既存のドメインツリーの子ドメインとして作成するか
- 新しいドメインツリーを作成する場合,所属するフォレストを新規作成するか,既存のフォレストにドメインツリーを配置するか
この選択に応じて,ドメインコントローラの配置はTable 2に示す4種類に分かれる。ドメインコントローラを配置する環境に合わせて,これらのうちのどれかを選択すればよい。
運用形態にもよるのだが,組織内のルートドメインは1つに統一したほうがよい。たとえば,tokyo.itmedia.co.jpドメインとosaka.itmedia.co.jpドメインとでフォレストを構築することによって,Active Directoryのルートドメインを擬似的に複数作成することもできるのだが,組織内の統一ポリシーを適用することが難しくなるおそれがあることに注意したい。Active Directoryのルートドメインを1つに統一しておけば,ルートドメインのドメインセキュリティポリシーを利用して,下位のドメインツリーに一括してグループポリシーを適用することもできる。先の例でいえば,itmedia.co.jpドメインをルートドメインとして設置しておけば,このドメインを通じて統一ポリシーを設定できるようになる。したがって,このような場面でフォレストを用いることは,できるだけ避けたい。
- 新しいフォレスト内の新しいドメインツリーのなかにドメインコントローラを配置する
- 既存のフォレスト内に新しいドメインツリーを作成し,ドメインコントローラを配置する
- 既存のドメインツリーに子ドメインを追加して,子ドメイン内にドメインコントローラを配置する
- 既存のドメインにドメインコントローラを配置する
Table 2 ドメインコントローラの選択
フォレスト | ドメインツリー | ドメイン | |
---|---|---|---|
1 | 新規作成 | 新規作成 | 新規作成 |
2 | 既存 | 新規作成 | 新規作成 |
3 | 既存 | 既存 | 新規作成 |
4 | 既存 | 既存 | 既存 |
上記の4つのケースを図示すると,Fig.16〜Fig.19のようになる。
Fig.16 新しいフォレスト内の新しいドメインツリーのなかにドメインコントローラを配置する
Fig.17 既存のフォレスト内に新しいドメインツリーを作成し,ドメインコントローラを配置する
Fig.18 既存フォレストの既存のドメインツリーに子ドメインを追加して,子ドメイン内にドメインコントローラを配置する
Fig.19 既存ドメインにドメインコントローラを配置する
Deployment AD-2 1/6 |