SP1までわかる!Windows Server 2008 R2入門 第9回
細かい機能拡張を忘れずに
2008 R2で追加されたActive Directoryの新機能
2011年07月13日 06時00分更新
Active DirectoryはWindows 2000で導入され、Windows Server 2003、2008と改良されてきた。1999年にはマイクロソフトのパートナー企業に対してWindows 2000のベータ3を使った大規模なトレーニングが開催され、Active Directoryのエンジニアが大量に育成された。あれから10年、Active Directoryは成熟期に入ったといえる。そのせいか、Windows Server 2008 R2での機能拡張は細かな改善が多いようだ。
Active Directory管理センター
新しいActive Directoryの管理ツールとして、Windows Server 2008 R2では、「Active Directory管理センター」が導入された。このツールは、従来の管理ツール「Active Directoryユーザーとコンピューター」とほぼ同じ機能を持つが、画面レイアウトが変更され、さらに使いやすくなった(画面1)。
この新しい管理ツールは、内部で「Active Directory Webサービス(ADWS)」とPowerShellを利用している。ADWSはActive Directory管理のためのWebサービスインターフェイスで、TCPのポート9389を利用する。プログラマーは、ADWSを使って新しい管理アプリケーションを作成できる。
Windows Server 2003 SP2およびWindows Server 2008/2008 SP2用のADWSは「Active Directory 管理ゲートウェイ サービス」として、マイクロソフトのWebサイトからダウンロードできる。
PowerShellとActive Directory
PowerShellにはActive Directory管理用モジュールが追加され、多くの作業がコマンドラインから簡単に実行できるようになった。スタートメニューから「Windows PowerShell用のActive Directoryモジュール」を実行すると、必要なActive Directory管理モジュールを組み込んだ形でPowerShellが起動する。
このPowerShell用のActive Directoryモジュールを組み込むと、Windows Server 2008では簡単に設定できなかった「きめ細かなパスワードポリシー」などが簡単に構成できる。ただし、このモジュールはADWSを呼び出しているので、少なくとも1台のドメインコントローラーはWindows Server 2008 R2として動作しているか、Windows Server 2003 SP2以降のドメインコントローラーで「Active Directory 管理ゲートウェイサービス」が動作している必要がある。
Active Directoryがごみ箱(リサイクルビン)に対応
Windows Server 2008では、いったん削除したActive Directoryオブジェクトを復旧できるが、その手順はかなり複雑だった。しかも復旧できるのは、オブジェクトのユニークID(GUID)やアクセス許可に使っているSIDのみ。ユーザーの住所や部署など大半の属性は失われていたため、実際に復旧するのはかなり面倒だった。
しかしWindows Server 2008 R2では「ごみ箱(リサイクルビン)」機能が追加され、完全な復旧が可能になった。ごみ箱機能が有効になっていない場合(初期状態)では、Active Directoryオブジェクトを削除すると、オブジェクトの削除マークがつき、多くの属性が実際に削除される。そのため、どんなツールを使ってもGUIDやSIDなど重要な情報しか復元できない。
一方、ごみ箱を有効にすると、削除されたオブジェクトに削除マークがつくだけで、そのほかの属性は削除も変更も行なわれない。この状態を、「リサイクル」と呼ぶ。リサイクル状態から一定期間(既定では180日)経過すると、属性のほとんどが消失し、削除状態となる。完全に削除されるのは、さらに一定期間経過したあとである(図1)。
ごみ箱を有効にすると、オブジェクトを削除してもデータベースサイズに空き領域が発生しない。そのため、データベースのサイズが従来よりも大きくなる。作成と削除の頻度が高い組織は、特に注意が必要だろう。
なお、Active Directoryのごみ箱を利用するためのGUIは存在しない。ごみ箱の準備から実際の復旧に至るまで、すべてのシーンでPowerShellを利用する必要がある。
まだまだある強化点
Windows Server 2008 R2では、これまで紹介した機能以外にも強化が行なわれている。
たとえば、Windows Server 2008 R2のHDDに直接書き込みを行なうことで、Active Directoryドメインへ参加させる機能が追加された。これを「オフラインドメイン参加」と呼ぶ。オフラインドメイン参加には、「DJOIN.EXE」という専用のコマンドラインツールを使用する。仮想マシンを起動せずにドメインに参加させたい場合などは、VHDファイルの内容に対して直接書き込みを行なうことで、ドメイン参加が可能になるわけだ。
また、IISやSQLServerのために、パスワードをドメインコントローラーが定期的に自動設定するサービスアカウント「Managed Service Account」が追加された。多くの組織では管理作業の手間を省くため、サービスアカウントに無期限パスワードを設定している。
だがこれは、セキュリティ上好ましくない。こうした場合にManaged Service Account を使えば、無期限パスワードを使わずに管理の手間を省けるため、セキュリティレベルを落とすことがない。しかもManaged Service Accountは、通常のユーザーアカウントではない。そのため対話的なログインはできないので、さらに安全性が高い。
なお、Managed Service Accountの設定はPowerShellを使って行なう。構成済みのアカウント情報は「Active Directoryユーザーとコンピューター」などで表示できるが、初期設定をGUIツールで行なうことはできない。
●
本連載「SP1までわかる!Windows Server 2008 R2入門」では、Windows Server 2008 R2とSP1で強化された機能と役割を、9回にわたって紹介してきた。同じR2でも、Windows Server 2003 R2での新機能に比べると、変更点が非常に多い。クライアントと同じく名称を完全に変更して、メジャーアップグレードとなる「Windows Server 2010」にすべきだったのではないかと思うくらいだ(習慣で下半期に登場した製品は、翌年の年号を使う)。
名称を変更しなかったのは、クライアントには目新しさが求められ、サーバーには安定性が求められるためなのだろう。
Windows Serverは今後数年間、大きな変更はないと予想される。DirectAccessのように現在は使いにくい機能も含まれるが、将来を見据えて新しい機能の意味を感じてほしい。
筆者紹介:横山哲也
グローバルナレッジネットワーク株式会社
マイクロソフト認定トレーナ/マイクロソフトMVP
1994年からSEおよびプログラマー向けにWindowsのサーバーの教育を担当。1996年、グローバルナレッジネットワーク設立とともに同社に移籍。2003年より「マイクロソフトMVP(Directory Services)」
本記事は、月刊アスキードットテクノロジーズ2009年12月号の特集2「Windows Server 2008 R2の強化点」を再編集し、Service Pack 1に関する情報を追加したものです。 |
この連載の記事
-
第8回
ソフトウェア・仮想化
Windows Serverのブランチオフィスサポートの実力は? -
第7回
ソフトウェア・仮想化
R2とSP1の強化されたVDIで何ができる? -
第6回
ネットワーク
VMware対抗機能「ダイナミックメモリ」を搭載したHyper-V 2.0 -
第5回
ネットワーク
バージョンアップしたHyper-V 2.0の実力を知ろう -
第4回
ネットワーク
カーネル改良で省電力を追求したWindows Server 2008 R2 -
第3回
ネットワーク
Windows Server 2008 R2はメモリ管理も強化 -
第2回
ネットワーク
R2の新カーネルは256コアもの大規模サーバーに対応 -
第1回
ソフトウェア・仮想化
Windows Server 2008 R2はなにが変わったのか -
ソフトウェア・仮想化
SP1までわかる!Windows Server 2008 R2入門<目次> - この連載の一覧へ