Active Directoryの構造を理解する【入門 Part2】

この記事の内容

Active Directoryの構造を確認するには、サーバーマネージャーからではなく、ツールメニューから専用の管理ツールを使います。主に使用するツールは以下の3つです。

サーバーマネージャーでADDSのタイルをクリックすると情報は表示されますが、実際の管理作業はこれらの専用ツールから行います。

「Active Directoryドメインと信頼関係」ツールを開くと、フォレストとドメインの全体像を把握できます。

ドメインのプロパティを確認すると、以下の情報が確認できます。

ドメイン名（NetBIOS名） — ダウンレベルドメイン名とも呼ばれ、フルドメイン名の先頭部分が使われます（例：ad.local であれば AD）
ドメインの機能レベル — Windows Server 2016が現時点での最新です。Active Directoryは事実上完成された技術とされており、2016以降は機能追加がほとんどないため、最新がWindows Server 2016となっています

ここでは信頼関係の有無も確認できます。信頼関係が設定されていない場合、シングルフォレスト・シングルドメイン構成であることがわかります。

「Active Directoryユーザーとコンピューター」ツールを開くと、ドメインの内部構造を確認できます。ドメインを展開すると、いくつかのオブジェクトが並んでいます。

ドメイン作成時から自動的に存在するオブジェクトの格納場所です。代表的なものは以下の通りです。

コンテナはアイコンがフォルダ型で、プロパティを開いてもタブがほとんどありません。

管理者が新規作成する構造化の単位です。「DomainControllers」がOUの代表例で、アイコンの見た目がコンテナと若干異なります。プロパティを開くと複数のタブが表示される点もコンテナとの違いです。

新規作成時は「組織単位」として作成します。

OUにはコンテナにはない機能として、制御の委任が行えます。これにより、特定の管理権限を別のユーザーやグループに委任することができます。

実際の運用では、新しく作成するオブジェクトの格納先はOUを使います。コンテナはシステムが自動で利用するものと理解しておくとよいでしょう。

「Active Directoryサイトとサービス」ツールでは、ネットワークトポロジーに基づいたAD構成を管理します。

サイトとは、ネットワーク的に近い場所（高速な回線でつながっている範囲）をひとまとめにした論理的な単位です。Active Directoryをインストールすると、Default-First-Site-Name という名前のサイトが自動的に作成されます。

サイトのプロパティでオブジェクトクラスを確認すると site と表示されます。

クライアントPCはIPアドレスのネットワーク部分を見て、自分がどのサイトに所属するかを判断します。これを設定するのがサブネットです。

サブネットとサイトを対応付けることで、クライアントが自動的に最寄りのドメインコントローラーを利用するようになります。

サイトが複数ある場合、サイト間の接続設定としてサイトリンクを構成します。サイトリンクでは以下の設定が可能です。

ドメインコントローラーが増えた場合、レプリケーションの順序や負荷分散も重要になります。Active Directoryはサイトリンクの設定をもとに自動的にレプリケーションの経路を計算します。

なお、サイト・サービスの設定はフォレストレベルの設定です。ドメインではなくフォレスト全体に影響する点に注意してください。

拠点が1か所でネットワークが高速な場合は、サイトを1つだけにしておくのがシンプルで管理しやすい構成です。

このような構成であれば、クライアントはどのドメインコントローラーも気にせず利用でき、構成のトラブルも起きにくくなります。

一方、地理的に離れた拠点があり、拠点間がWAN回線（低速・高遅延）でのみつながっている場合は、複数サイトを作成してサブネットとサイトリンクを適切に設定することが必要です。

Active Directoryの全体構造を理解するうえで重要なキーワードは以下の通りです。

管理ツールはそれぞれ確認できる情報が異なります。ドメインの全体像は「ドメインと信頼関係」、内部のオブジェクト構成は「ユーザーとコンピューター」、サイト構成は「サイトとサービス」と使い分けることで、Active Directoryの構造を体系的に把握できます。

次回は、Active Directoryと密接に関係するDNSについて掘り下げていく予定です。