サイト管理とGCレスログオンを理解しよう

遠隔地の拠点でActive Directoryを運用するには？

2010年06月08日 08時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

　前回まででActive Directoryの基本的な環境が構築できた。しかし、複数の拠点を含む場合は特別な注意が必要だ。今回は低速回線を含むドメイン環境の構成について、「サイト」ともに紹介しよう。

拠点間はサイトで区切る

　Active Directory環境を構築すると、ドメインコントローラ同士、もしくはドメインコントローラとクライアントとの間で多くの通信が行なわれる。1つの建物内など、高速なLANで構築された環境であればこの通信も問題にならない。しかし、東京本社と大阪支社など離れた拠点をWANで結んでいる場合、低速なWAN回線に多量のトラフィックが流れ込むことは望ましいことではない。これは認証に時間がかかったり、ほかの通信の妨げになる危険がある。

　こうした問題を解決するため、Active Directoryが搭載するのが連載第6回で紹介した「サイト」である。高速通信が可能な範囲を1つのサイトとし、サイト内とサイト間とで通信の制御を行なう。サイトとは接続状態のよい、つまり信頼性が高く、高速な通信が可能な1つ以上のTCP/IPサブネットと定義される。高速の定義は必ずしも厳密ではないが、一般にはLANで接続された領域を高速とみなす。

　ただし、広域Ethernetのように「速度はLANだが運用形態はWANである」場合には意見が分かれる。ネットワークトラフィックを厳密に制御したければ別サイト、管理を簡単にしたければ同一サイトにするのが原則だ。

　サイトの目的はおもに、「複製トラフィック制御」と「認証トラフィックの制御」の2点となる。複製トラフィック制御は、Active Directoryディレクトリデータベースの複製データを圧縮し、複製の時間帯を制御するものだ。そして、認証トラフィックの制御は、ログオン認証を行なうドメインコントローラを限定するものとなる。

　サイトはドメインと独立して構成される。1つのサイトに複数のドメインを構成できるほか、複数のサイトにまたがったドメインも構成可能である。こうしたことから、サイトを管理するにはドメイン単体の管理者である「Domain Admins」ではなく、ドメイン全体（フォレスト）の管理権限を持つ「Enterprise Admins」の権限が必要となる。

図1●サイトとドメインの関係

　サイトを利用する作業は、

サイトの作成
サブネットオブジェクトの作成と割り当て
サイトリンクの作成と割り当て
ドメインコントローラを適切なサイトへ移動

となる。順番に説明していこう。

サイトの作成

　管理者がサイトを作成しなくても、Active Directoryには「Default-First-Site-Name」という名称のサイトが用意されており、すべてのドメインコントローラが自動的に割り当てられる。サイトが1つしかない場合は「Default-First-Site-Name」を使い続けてもかまわないし、わかりやすいように変更してもよい。サイトは地域を表わすオブジェクトであり、その名称には地域やビルを示す名前が付けられることが多い。

　一方、2つ以上のサイトがある場合は、以下の手順でサイトの追加と変更をする。ここでは、例としてTOKYOサイトとOSAKAサイトを作成する。