読者です 読者をやめる 読者になる 読者になる

Windows Serverをゆるゆると愛でる

Windows Server(主にActive Directory関連)について割とヌルく取り上げるブログです。

フォレストの機能レベルを考える(2)Windows Server 2003(上)

こんにちは。
フォレストの機能レベルについてあーだこーだ書くブログ、第2回はWindow Server 2003です。このWindows Server 2003ドメインの機能レベルもさることながら、フォレストの機能レベルの新機能も多く、3回に分けてお届けします。大体何でもそうですが、最初に書いてあるのがメジャーかつ分かりやすい機能で、後になればなるほどマイナーかつ理解しづらい内容です。よって次回以降かなり大変ですがめげずに頑張ります...。

1. フォレストの信頼

Windows 2000まではリソースを参照可能な最大の単位はフォレストでした。しかし、企業の合併などで異なるフォレストに所属するActive Directoryを結合してお互いのリソースにアクセスする、となった場合にアクセスできない、という問題がありました。フォレストの信頼はフォレストルートドメイン間で作成でき、一方向または双方向の信頼関係を結ぶことができます。この際、推移的な信頼関係により各フォレスト内に存在する全てのドメインについても一方向または双方向の信頼関係が結ばれます。フォレストの信頼はドメインを移行する際にADMTを使用する場合に必要な技術となります。
ちなみにフォレストの信頼を行う場合は双方のフォレストの機能レベルをWindows Server 2003以上にしておく必要があります。

2. ドメインのリネーム

ドメインのリネームは正直影響範囲がかなり大きいため、よほどのことがない限り実施しない方が良いです。例えば会社名がガラリと変わってしまった、合併した、間違えた...等でしょうか。初回構築時であればドメインのリネームを行うよりも降格→昇格をした方がDNSなどにゴミが残らずスッキリとできるかと思います。ドメインのリネームはrendomコマンドを使用します。

3. リンクされた値のレプリケーション

メンバーシップの内容全体を1つのユニットとして複製する代わりに、グループメンバーシップ(group membership)を変更することでメンバー個別の値を格納・レプリケーションすることができる機能です。全体を一度に複製しようとすると、複製のための帯域が必要となります。またそれに伴い複数のドメインコントローラーで同時に複製した場合の考慮が必要となります。個別に処理することで帯域やサーバー負荷の軽減などのメリットが見込まれます。

4. 読み取り専用ドメインコントローラー(RODC)

遠隔地で管理者が確保できない、またはデータセンターと十分なネットワーク帯域が確保できない(最近は光回線のおかげでかなり減ったと思いますが)などの理由により、ドメインコントローラーがあればいいけど置いても管理できない、という場合は読み取り専用ドメインコントローラーを配置することができます。最近ではWorkplace Joinなどの機能や、そもそもADではなくAzure ADで操作しよう、といった動きが出てきて、無理してADを設置・展開しなくても遠隔地から認証可能になってきているように思いますが、インターネットが使用できずかつVPN帯域が小さいのに端末数が多くて認証も頻繁(例えばファイルサーバーが拠点側にあり、都度認証が行われる等)の場合はRODCの導入検討をした方が良いと思います。