Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
ドメインツリーとフォレスト
Active Directoryの構成要素には,ドメイン,ドメインツリー,フォレストがある。ドメインとは,1つ以上のドメインコントローラによって管理された領域であり,オブジェクトを複製したりセキュリティポリシーを設定したりするときの論理的な境界となる。最も単純なActive Directoryの構成は,ドメインが1つだけ存在する環境であり,初めてWindows 2000のドメインコントローラをインストールしたときには,この構成となる。このとき同時に,ドメインツリーとフォレストも作成される。つまり,初めてドメインコントローラをインストールしたときに,ドメイン,ドメインツリー,フォレストというすべての構成要素が作成されるのである。
ドメインツリーは,1つ以上の連続するDNS名を備えたドメインの集合として定義される。たとえば,active.dsl.local.ドメインが存在しているとき,ネットワークの拡大などに伴ってsubdomain.active.dsl.local.ドメインを追加したい場合,このドメインはactive.dsl.local.ドメインのサブドメインとして構成することができる。active.dsl.local.ドメインとsubdomain.active.dsl.local.ドメインは連続したDNSの名前空間に存在するため,ドメインツリーを形成することができる。ドメインツリーに含まれるドメインは,すべて同じフォレストに所属していることになる。
ドメインが連続したDNSの名前空間に存在するからといって,必ずドメインツリーを形成しているとは限らない。ドメインツリーを形成するには,サブドメインのActive Directoryを導入する段階で,既存のドメインツリーに所属するよう明示的に指定しなければならない。ドメインツリーに所属するよう設定しなかった場合,サブドメインは連続したDNSの名前空間に存在していながらも,別のドメインツリーとして形成されてしまう。
なお,ドメインツリー内で最上位に位置するドメインのことを,「ドメインツリーのルートドメイン」と呼ぶ。ドメインが1つしかない場合もドメインツリーとみなすことができるため,active.dsl.local.ドメインは,そのドメインが作成されたときからドメインツリーのルートドメインである。
フォレストには,スキーマとグローバルカタログを共有するドメインとドメインツリーが,それぞれ1つ以上含まれている。フォレストは,Active Directoryの信頼関係やスキーマの境界となる。また,実際の運用上は,ディレクトリ内のオブジェクトを検索したり表示したりするときの境界でもある。ドメインツリーとは異なり,フォレストには連続していないDNSの名前空間に存在するドメインをも含むことができる。たとえば,active.dsl.local.ドメインがドメインツリーのルートドメインである場合に,otherdom.dsl.local.ドメインを追加したいとする。このとき,両ドメインの名前は連続したDNSの名前空間にないので,両ドメインをドメインツリーとして構成することはできない。しかし,同一フォレストとして構成することは可能である。
なお,フォレストにもルートドメインは存在する。フォレストのルートドメインは,フォレストに最初に参加したドメインである(本稿中の例でいえば,active.dsl.local.ドメインがルートドメインとなる)。
ドメイン,ドメインツリー,フォレストの関係を,Fig.1にまとめておく。
Fig.1 ドメイン,ドメインツリー,フォレストの関係(図版をクリックすると拡大可能)
1/17 |