ドメインは階層化すべき?
Active Directoryは複数のドメインで構成できる。しかし、1台のドメインコントローラは、1つのドメインしか管理できない。2つのドメインを構成するには最低でも2台のドメインコントローラが必要となる。ドメインコントローラを、Virtual ServerやHyper-Vを使ったサーバ仮想化で1台の物理サーバに統合することはできる。しかし、統合してもOSの数は減らない。そのため、管理コストは2台のサーバの時とそれほど変わらない。サーバの数が増えると、トラブルの数も増えるおそれがある。こうしたことから、複数ドメインはどうしても必要な場合にだけ使ってほしい。一般に、複数ドメインが必要なケースは以下のどちらかの条件を満たす場合だ。
ディレクトリデータベースの複製トラフィックを制限したい
同じドメインのドメインコントローラは、ディレクトリデータベースの完全な複製を構成する。ドメインを分離すると、フォレスト共通の情報のみが複製される
パスワードポリシーを分けたい
Windows Server 2008からはセキュリティグループ単位でパスワードポリシーを構成できる。そのため、Windows Server 2003以前のドメインコントローラを使う時にのみ意味を持つ
世界的な企業でも、ドメインの数は10数個以内で構成するのが一般的だ。複数ドメインが必要な日本企業はほとんどないだろう。
ドメイン階層の作成自体は難しくない。Active Directoryのインストールウィザードの応答を変えるだけだ。この時、最初に作成したドメインを「フォレストルート」と呼び、特別な役割が割り当てられる。たとえば、フォレストルートのAdministratorユーザーは、ドメイン管理者であるDomain Adminsのメンバーであるとともに、フォレスト全体の管理者であるEnterprise Adminsのメンバーにもなる。
ドメイン階層の変更は困難だが、マイクロソフトが配付しているドメインリネームツールを使えば不可能ではない。しかし、フォレストルートドメインの役割を変えることはできない。もし複数ドメインから構成されるフォレストを作成する場合は十分注意してほしい。
本記事は、ネットワークマガジンにて掲載していた連載をまとめたものです。連載の一部は弊社刊行の書籍「Windows Serverマスターガイド」にも収録をしております。 ■Amazon.co.jpで購入
また、月刊アスキードットテクノロジーズでは、2010年3月号より本記事の執筆者である横山哲也氏による連載「Windows Server 2008 R2運用テクニック」を掲載しております。最新のWindows Serverの情報に関しましては、こちらもご覧ください。 |
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ