Windows Server 2008で運用管理はどう変わる?(4) Windows Server 2008におけるActive Directoryの構成

Windowsサーバを導入する際の最大のメリットは、Active Directoryにあるといっても過言ではない。そのActive Directoryの基本的な考え方や運用のノウハウは、従来のバージョンと変わっていない。ただし、細かいところでさまざまな改良が取り入れられているほか、OSの仕様変更に関連して違いが生じている部分もある。今回は、そうした部分についてまとめてみた。

Active Directoryの構成 - DCPROMO.EXE

本連載の第1回でも解説したように、Windows Server 2008では個別のサーバ機能を「役割」あるいは「機能」といった形で追加する必要がある。Active Directoryもその1つで、「Active Directoryドメインサービス」という名称の役割になっている。この役割を追加してから、従来と同様にウィザードを用いて設定作業を行うと、Active Directoryの構成やドメインコントローラの設置が可能になる。

「Active Directoryドメインサービスインストールウィザード」の実体は、従来と同様に「DCPROMO.EXE」という名前の実行形式ファイルだ。そのため、[スタート]メニューをカスタマイズして、このアイテムを追加した場合に利用できる[スタート]メニュー以下の検索ボックス、あるいは[ファイル名を指定して実行]([スタート]メニューをカスタマイズして、このアイテムを追加した場合に利用できる)で、「DCPROMO」と入力して実行する。これは従来のWindowsサーバと同じだ。

Active Directoryドメインサービスだけの特殊事情として、役割を追加する手間を省いている点が挙げられる。「Active Directoryドメインサービス」の役割を組み込でいない状態でDCPROMO.EXEを実行すると、自動的に「Active Directoryドメインサービス」の役割を追加して、それからウィザードを起動するようになっている。

[スタート]メニュー以下の検索ボックスに「DCPROMO」と入力すると、従来と同様にActive Directory構成用のウィザードが起動する。

Active Directoryの構成 - ウィザードの内容

こうして「Active Directoryドメインサービスインストールウィザード」を起動した後は、以下の手順でActive Directoryの新規構成作業を進めることになる。

初期画面で、詳細モード利用の有無を選択する

ドメインコントローラの種類選択。新規構成、ドメインコントローラの追加、サブドメインの追加、ドメインツリーの追加のいずれか

ドメインDNS名の指定

(詳細モードを選択した場合)ドメインNetBIOS名の指定

フォレストの機能レベル指定

ドメインの機能レベル指定

Active Directoryと一緒に組み込む機能の選択。DNSサーバ、グローバルカタログ(GC)、読み取り専用ドメインコントローラ(RODC。新規構成時は選択不可)の選択が可能

データベース、ログ、システムボリュームのパス指定

ディレクトリサービス復元モードのパスワード指定

ドメインコントローラの追加やサブドメインの追加では、追加する対象となるドメインの指定や、そのドメインに対して管理者権限を持つユーザーアカウントとパスワードの入力が必要になるが、これは従来と同じだ。

読み取り専用ドメインコントローラ(RODC)とは

本来、Active Directoryのドメインコントローラは各々が対等なマルチマスタ構成をとっており、Active Directoryデータベースについては双方向で同期をとるようにしている。それに対して、Windows Server 2008で加わった新機能の1つ「読み取り専用ドメインコントローラ(RODC)」では、既存のドメインコントローラからデータベースの複製を受け取るだけ、つまり同期が片方向になる。

これは、Windows Server 2008がうたっている「リモートブランチへの配慮」によるものだ。限られたメンバーしかいない遠隔拠点のために、すべてのデータを保持するドメインコントローラを設置すると、ログオン時に使用するパスワードの情報などを不必要に拡散させることになる。かといって、ドメインコントローラを遠隔拠点に置かないと、ログオンなどのトラフィックがいちいちWAN回線を通じて行き来することになり、トラフィックを増やしてしまう。

そこで登場するのがRODCで、読み取り専用とすることで同期の流れを限定している。また、ログオン時に使用するパスワードの情報をRODCにキャッシュするだけでなく、キャッシュの可否を個別に指定することで、パスワード情報の拡散を最小限にとどめている。

RODCを遠隔拠点に設置すると、遠隔拠点にいるユーザーがActive Directoryにログオンしたときには、それをRODCが受け付けて、ログオン時に入力したパスワードの情報をRODCにキャッシュする。次回以降のログオンでは、RODCにキャッシュした情報を利用して認証するため、ログオン時のレスポンスを落とさずに済む。

ただし、本社のスタッフがたまたま遠隔拠点側に出張して、そちらでログオンした際に、そのパスワードまで遠隔拠点のRODCでキャッシュしてしまったのでは、結果的にパスワードの拡散につながってしまう。そこで、以下に示す2種類のグループを用意して、所属するメンバーに対してパスワードのキャッシュを有効、あるいは無効にする方法をとっている。

・Allowed RODC Password Replication Group

このグループのメンバーには、RODCへのパスワード複製を許可する

・Denied RODC Password Replication Group

このグループのメンバーには、RODCへのパスワード複製を禁止する

この設定は、RODCの導入時に行うこともできるし、後から変更することもできる。後から変更する場合、[Active Directoryユーザーとコンピュータ]管理ツールでRODCになっているサーバのプロパティを表示させて、[パスワードレプリケーションポリシー]タブ(このタブはRODCにしか存在しない)を使って行うことになる。

[Active Directoryユーザーとコンピュータ]管理ツールで、RODCになっているドメインコントローラのプロパティを表示させると、[パスワードレプリケーションポリシー]タブがある。ここで、パスワード情報のキャッシュに関する設定を行う仕組み。明示的な許可、あるいは明示的な拒否の設定を行える。