このページの本文へ

前へ 1 2 3 4 次へ

Windows Serverで学ぶサーバOS入門第18回

削除方法も知っておこう!

ドメインコントローラ追加によるトラブルへの対策

2010年06月01日 09時00分更新

文● 横山哲也/グローバルナレッジネットワーク株式会社

  • この記事をはてなブックマークに追加
  • 本文印刷

ドメインは階層化すべき?

 Active Directoryは複数のドメインで構成できる。しかし、1台のドメインコントローラは、1つのドメインしか管理できない。2つのドメインを構成するには最低でも2台のドメインコントローラが必要となる。ドメインコントローラを、Virtual ServerやHyper-Vを使ったサーバ仮想化で1台の物理サーバに統合することはできる。しかし、統合してもOSの数は減らない。そのため、管理コストは2台のサーバの時とそれほど変わらない。サーバの数が増えると、トラブルの数も増えるおそれがある。こうしたことから、複数ドメインはどうしても必要な場合にだけ使ってほしい。一般に、複数ドメインが必要なケースは以下のどちらかの条件を満たす場合だ。

ディレクトリデータベースの複製トラフィックを制限したい

 同じドメインのドメインコントローラは、ディレクトリデータベースの完全な複製を構成する。ドメインを分離すると、フォレスト共通の情報のみが複製される

パスワードポリシーを分けたい

 Windows Server 2008からはセキュリティグループ単位でパスワードポリシーを構成できる。そのため、Windows Server 2003以前のドメインコントローラを使う時にのみ意味を持つ

 世界的な企業でも、ドメインの数は10数個以内で構成するのが一般的だ。複数ドメインが必要な日本企業はほとんどないだろう。

 ドメイン階層の作成自体は難しくない。Active Directoryのインストールウィザードの応答を変えるだけだ。この時、最初に作成したドメインを「フォレストルート」と呼び、特別な役割が割り当てられる。たとえば、フォレストルートのAdministratorユーザーは、ドメイン管理者であるDomain Adminsのメンバーであるとともに、フォレスト全体の管理者であるEnterprise Adminsのメンバーにもなる。

 ドメイン階層の変更は困難だが、マイクロソフトが配付しているドメインリネームツールを使えば不可能ではない。しかし、フォレストルートドメインの役割を変えることはできない。もし複数ドメインから構成されるフォレストを作成する場合は十分注意してほしい。

 本記事は、ネットワークマガジンにて掲載していた連載をまとめたものです。連載の一部は弊社刊行の書籍「Windows Serverマスターガイド」にも収録をしております。

■Amazon.co.jpで購入

 また、月刊アスキードットテクノロジーズでは、2010年3月号より本記事の執筆者である横山哲也氏による連載「Windows Server 2008 R2運用テクニック」を掲載しております。最新のWindows Serverの情報に関しましては、こちらもご覧ください。

前へ 1 2 3 4 次へ

カテゴリートップへ

この連載の記事
ピックアップ