今回は、Active Directoryのドメイン構成と、そこで使用するドメイン名をどのように決定するかについて解説しよう。

特に理由がない限り、ドメインは階層化しない

NTドメインと比較したときのActive Directoryのメリットとして、ドメインの階層化が可能になっている点が挙げられた。ところが現在では、特に事情がなければ単一のドメインで済ませるよう推奨されている。「階層化が可能である」からといって「階層化しなければならない」ということではないのだ。

そもそもNTドメインで複数のドメインを設置しなければならない最大の理由は、収容可能なオブジェクトの数に40,000個という限界が存在したことによる。中小企業ならともかく、何千人、あるいは何万人もの社員がいる大企業では、この制限を簡単に突破してしまうため、部署単位で別々のドメインを設置せざるを得なかった。

しかし、Active Directoryでは(機能レベルを混在モードにしていない限りは)収容可能なオブジェクトの数に制限はなく、Active Directoryデータベースを配置するドライブの空き容量以外に制約要因は存在しない。それであれば、単一のドメインにまとめる方が合理的だ。

また、Active Directoryに登録したユーザーアカウントなどのオブジェクトは、通常の方法ではドメイン間の移動を行えない。もしも、組織構成に合わせて複数のドメインを構成・階層化してしまうと、組織変更や人事異動がある度に、オブジェクトの削除や再作成が必要になってしまう。これでは管理が煩雑になりすぎる。

この他にもいろいろな理由があり、「特に理由がなければドメインはひとつにまとめる」という流れになった。ドメインコントローラの数をむやみに増やさないようにするためにも、ドメインの数はできるだけ少ない方が好ましい。

ドメイン名をどのようにして決めるか

単一のドメインにすべてを集約する場合でも、あるいは階層化する場合でも、ドメイン名を決めなければならない。これにも推奨設定がある。

インターネットで独自のドメイン名を取得している組織がActive Directoryを構成・運用する場合、その独自ドメイン名を利用するのが一般的だ。ただし、LAN内部で使用しているActive Directoryであることを明確にするため、そしてインターネット向けとLAN向けでホスト名が重複する事態を避けるために、名前の階層をひとつ増やすのが通例となっている。

たとえば、取得している独自ドメイン名が「company.co.jp」であれば、「ad-domain.company.co.jp」といった具合になる。必ず「ad○○」といった名前にしなければならないということではないが、Active Directoryのドメイン名であることを明確にするため、ここではこのようにしてみた。

もしもインターネットで独自ドメイン名を取得していない場合には、任意の名前を何か決めて、その後ろに「.local」をつけるのがマイクロソフトの推奨設定になっている。たとえば、「company.local」「organisation.local」といった具合だ。必須ではないが、Active Directoryであることを明確にしてもよい。

いずれにしても注意しなければならないのが、ドメインNetBIOS名との兼ね合いだ。前回に解説したように、ドメインNetBIOS名の既定値は、ドメインDNS名を構成する各パートのうち左端のパートを流用するものになっている。そして、ドメインNetBIOS名には最大15文字という制限がある。

だから、左端のパートが15文字以内で納まるようにすると、ドメインDNS名とドメインNetBIOS名の対応が明確になって分かりやすい。

注意しなければならないのは、ドメインツリーを構成する場合だ。 階層が何階層あろうが、ドメインDNS名のうち左端のパートをドメインNetBIOS名に流用するのは同じなので、たとえば同一フォレスト内に「tokyo.ad-domain.company.local」と「tokyo.kanto.new-domain.company.jp」という2種類のActive Directoryドメインが存在した場合、どちらもドメインNetBIOS名の既定値が「TOKYO」になって重複してしまう。

こうしたトラブルを回避するためには、事前にドメインツリー全体の設計図を作成する。そして、ドメインDNS名とドメインNetBIOS名をリストアップして、重複が発生しないかどうかを確認して、重複があれば内容を見直す必要がある。