サイト管理とGCレスログオンを理解しよう
遠隔地の拠点でActive Directoryを運用するには?
2010年06月08日 08時00分更新
GCレスログオンの設定
フォレスト内に1つしかドメインがない(シングルドメイン)場合、サイトごとにドメインコントローラを配置し、すべてのドメインコントローラをグローバルカタログ(GC)として構成すればよい。GCを追加してもドメインコントローラ間の複製トラフィックはいっさい変化せず、負荷も変わらない。
ただし、フォレスト内に複数ドメインが存在し、サイト間が低速回線で結ばれている場合は特別な注意が必要になる(図2)。Active Directoryでは、ログオンする際にフォレスト全体を参照できる「ユニバーサルグループ」のメンバシップをGCサーバに問い合わせる。ユニバーサルグループの情報は、複数のドメインのドメインコントローラが管理する。しかし、複数のドメインにまたがった検索は、ドメインコントローラへの負荷が大きくなってしまう。そこで、ユニバーサルグループのメンバ情報はGCに格納され、ログオン時にもGCを参照する仕組みが存在する。この仕組みも、高速なネットワークで構成された社内ネットワークなどであればうまく動作する。
ところが図2-(1)「サイト内にGCサーバがない場合」のように、サイトAにクライアントコンピュータと(GCサーバでない)ドメインコントローラ、サイトBにGCサーバがあり、サイト間を低速な回線で結んでいるケースを考える。この場合、サイトAにあるクライアントコンピュータがログインする際、サイトBにあるGCへもアクセスが必要になるため、ログインが完了するまで時間がかかってしまう。
この問題の解決として、サイトAのドメインコントローラもGCサーバにしてしまう方法もある(図2-(2)「サイト内にGCサーバがある場合」)。こうすれば、クライアントコンピュータのログインは高速になる。ところが、GCサーバの情報をアップデートするにはGCサーバ間で複製が必要となる。結局、低速な回線を利用することになるため、複製に時間がかかってしまう。
以上の問題を解決するのが、「GCレスログオン」だ。これは、低速回線を含むネットワークで複数ドメインが構成されている場合、ユニバーサルグループのメンバ情報をドメインコントローラ上にキャッシュする機能である。Windows Server 2003以降で利用でき、以下のように動作する。
- ユーザーがログオン要求を行なう
- ログオン認証を行なうドメインコントローラが選択される
- ログオン認証時に、GCサーバに問い合わせたユニバーサルグループのメンバシップ情報を、認証を行なったドメインコントローラに保存
- 以降、定期的にGCを参照し、ユニバーサルグループのメンバシップ情報を更新
GCレスログオンは既定では無効である。キャッシュされた(つまり古い)ユニバーサルグループのメンバシップが、実際の(つまり現在の)ユニバーサルグループのメンバシップと一致しない場合、セキュリティ上のリスクとなるためである。キャッシュを有効にする場合、こうしたリスクを慎重に評価しなければならない。
GCレスログオンの設定は以下の手順でサイト単位に行なう。
- 「Active Directoryサイトとサービス」で、「Site」から該当するサイトをクリック
- 右ペインにある「NTDS Site Settings」のプロパティを開く
- 「サイトの設定」タブから「ユニバーサルグループメンバーシップのキャッシュを有効にする」を選択(画面11)
特定のサイトのドメインコントローラのGCを優先的に使いたい場合は、「次のサイトからキャッシュを更新する」でサイトを選択する。キャッシュは、初回ログオン時に行なわれる。該当ドメインコントローラでの認証を受けていない、つまりまだログオンしたことのないユーザーの情報はキャッシュされないため、初回ログオン時にはGCが必須である。
一方、一度キャッシュされユーザーは、ドメインコントローラがGCサーバを利用できる場合でも、キャッシュを使用してログオン処理を行なう。キャッシュされた情報は既定では8時間おきに更新される。つまり、ユニバーサルグループのメンバシップの情報が変更されても、最大8時間はキャッシュされた古い情報を使ってログオンしてしまう。
なお、ドメインコントローラそのものにアクセスできない場合でも、そのコンピュータに以前ログオンしたことのあるユーザーは「クレデンシャルキャッシュ」と呼ばれる認証済み情報を使ってログオンできる。クレデンシャルキャッシュは、既定ではクライアント上に10アカウントまで利用できる。
(次ページ、「メディアからのインストール(IFM)」に続く)
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ