こんなところが新しくなった Windows Server 2003 の ActiveDirectory
Windows 2000
Server から Windows Server 2003 へのバージョンアップは、
Windows NT Server から Windows 2000
Server
ほど劇的とは思われていません。
確かに見た目は、かなり似ており、取り上げるほどのものとは思われていない
ようです。
しかし、細かい改善が施されていたり、パフォーマンスが向上していたりと
決して侮れません。
改善等、向上した点などを知ることで、Windows
Server 2003 への親近感も
増してきますよ。
正直、Windows NT は当然として、Windows 2000
を使っている方にも
Windows Server 2003
はお勧めです。
それくらい、すばらしいサーバーに仕上がっていると私個人は思うのです・・・
できることなら、Windows
Server 2003 を利用したいものです。
ライセンスの問題さえなければ!
なぜ、マイクロソフトはアップグレード
ライセンスを廃止したのでしょう?
お陰でソフトウェア アシュアランス(アップグレード
ライセンスに変わる
ライセンス)を購入していなければ、完全に買い替え。
なかなか、難しいですね。
さて、少々話が脱線しましたが、ここでは
Windows Server 2003 の
ActiveDirectory にフォーカスしてお話します。
まずは、新しくなった項目をピックアップしました。
● ドメイン名の変更
● ドメインコントローラ名の変更
● ドメイン構造の変更
● フォレスト間の推移的な信頼関係
● グローバルカタログ(ユニバーサル グループ メンバシップ)のキャッシュ
● ActiveDirectory ユーザーとコンピュータ管理ツールの強化
・プロパティの一括変更、クエリの保存、ドラッグ&ドロップのサポート
■ドメイン名、ドメインコントローラ名、ドメイン構造の変更
Windows 2000 Server の ActiveDirectory では、これらの変更は再構築を
伴うため、導入前にしっかり計画する必要がありました。
ここでいう再構築とは削除して、再度セットアップすることです。
このため計画フェーズでは、部門間の調整に多くの時間が必要となり、
計画は遅々として進みません。
最悪のケースでは導入に至らず、プロジェクトが消滅することもありました。
これが Windows Server 2003 の ActiveDirectory では改善されたことは
喜ばしいことです。
ドメイン名やドメイン構造の変更が可能となったことで、ドメイン名やドメイン
構造の設計に時間を割く必要がなくなり、気軽に導入できるようになりました。
早期導入したい部門で導入しておいて、後で統合ということも可能ですね。
ちなみにドメイン名、ドメインコントローラ名は、どのレベルでも変更が
可能ですが、ドメイン構造の変更ではフォレスト
ルートのドメインだけは
変更できませんのでご注意下さいね。
■フォレスト間の推移的な信頼関係
新しい機能のご紹介の前に、ちょっとだけ確認です。
「推移的な」という言葉ですが、意味は把握されていますか?
Windows 2000 Server の ActiveDirectory の説明で良く使われていますよね。
結構、なんとなぁ〜く読んでいたりしませんか?
まぁ、全然難しくないんですけどね。
で、その意味はと言いますと、
「友達の友達はみぃ〜んなト・モ・ダ・チ」って
ことなんです。
具体的に言いますと、Aさんと
Bさんがいます。
Bさんには xさん、yさん、zさんという信頼のおける友達がいます。
推移的な信頼関係では、Aさんが
Bさんを信頼すると Aさんは、Bさんが信頼
している
xさん、yさん、zさんも信頼することになります。
と、いうことです。
では、本題に戻ります。
Windows 2000 Server の ActiveDirectory では、同一フォレスト内での
推移的な信頼関係をサポートしていましたが、
フォレストを越えて推移的な信頼関係が結ばれることはありませんでした。
これは複数のフォレストがある環境では、NTドメインのように複雑な信頼関係
が必要であったことを意味します。
Windows
Server 2003
では、フォレスト間で信頼関係を結ぶことで、
フォレスト越えするドメイン間でも推移的な信頼関係が築かれるのです。
■グローバルカタログ(ユニバーサル
グループ メンバシップ)のキャッシュ
グローバルカタログは、Windows 2000
ネイティブ環境でのユーザーログオンで
重要な役割を担っています。
仮にグローバルカタログが使用不可になると、ユーザーはネットワークに
ログオンできなくなります。
大変ですね。
そこで、通常はサイト内の複数のドメインコントローラにグローバルカタログ
の機能を持たせます。
ちなみに、グローバルカタログとなるサーバーは、ドメインコントローラ
としてだけ機能するサーバーよりもハードウェアのスペックが要求されます。
追加の機能を処理するわけですから、当然ですね。
要求されるスペックはフォレスト、ドメインの構造、ユーザー数に依存します。
ただ、人数の少ない拠点にもグローバルカタログを設置することは、
コスト面で良いソリューションではありませんでした。
とは言え、グローバルカタログを設置していない拠点の拠点間の回線(WAN)
がダウンすると、拠点のユーザーはネットワークにログオンできなくなります。
これジレンマなんです。
Windows
Server 2003 Active Directory
でサポートするグローバルカタログ
のキャッシュ機能は、この問題を解決します。
ユニバーサル グループ
メンバシップのキャッシュを有効にしたドメイン
コントローラを拠点に配置するだけです。
ユーザーが始めてログオン使用とした際、ドメインコントローラがグローバル
カタログと通信してメンバシップをキャッシュします。
後は定期的にドメインコントローラがキャッシュを更新してくれますので、
仮に
WAN 回線がダウンしても拠点のユーザーは、拠点内のリソースを利用する
ことができるのです。
ちなみに Exchange
Server 2000/2003
をユーザーが利用するには、グローバル
カタログとの通信が必要となります。
このキャッシュ機能使えそうですが、残念ながら
Exchange Server では
有効ではありません。
ただし、Outlook 2003 から Exchange
キャッシュモードがサポートされ、
Exchange Server
との通信が切断されてもローカルに保存された
メールボックス内のデータにアクセスできるようになっています。
■Active
Directory
ユーザーとコンピュータ管理ツールの強化
・プロパティの一括変更、クエリの保存、ドラッグ&ドロップのサポート
管理ツールも強化されています。
っていうか、
あって当然な機能が
Windows 2000 Server
の管理ツールにはなかった!
プロパティの一括変更、ドラッグ&ドロップのサポート・・・
なんでなんでしょうか?
※プロパティの一括変更とは、部署名など、同じ属性を持つユーザーを
選択して一度に変更することです。
また、ユーザーやコンピュータなど、Active
Directory のオブジェクトを
検索するクエリが保存できるようになりました。
検索は GUI
ベースなので、初心者にも扱いやすいのですが、その反面
操作が煩雑です。
同じような検索を繰り返すには向きませんでした。
しかし、今回クエリの保存機能が搭載されたことで、改善されています。
以上が、Windows Server 2003 の Active Directory で強化されたポイントです。
ドメイン名、ドメイン構造の変更は、今まで躊躇して来た方々に朗報でしょう!
NT をまだ利用されている方は、是非 Windows Server 2003 へのアップグレードを
お勧めします。
それくらい洗練された製品ですよー!
ということで、今回 Active Directory についてお送りしたいましたぁ〜
いかがでしたか?
さて、概要はお分かり頂けたかと思います。
しかし、実際の導入、運用を検討するにはさらに詳しい情報が必要ですね。
そんな方におススメなのが、この書籍です。
参考になれば、幸いです。
▼ Active Directory導入と運用の基本