米MicrosoftはActive Directory(AD)のフォレストをフレキシブルにする(統合や分離を容易にする)ことを,あきらめてしまったのだろうか。MicrosoftはフレキシブルなADを提供する代わりに,有償/無償のメタディレクトリ製品を提供しているが,根本的な解決策には程遠いのが現状だ。
Microsoftのメタディレクトリ製品は「Microsoft Identity Integration Server(MIIS)」である。システム管理者の負荷を減らすよう,マルチ・ベンダーによるマルチ・ディレクトリ環境を管理しやすくする製品である。1プロセッサ当たり2万5000ドルかかる完全版のMIISと,無償でダウンロードできる簡易版の「Microsoft Identity Integration Feature Pack(IIFP)」という2バージョンがある。
IIFPは基本的に,2つ以上存在するADのフォレスト間で,同一のユーザー・アカウントを維持する作業を自動化する製品である。ここで1つの疑問が生じる。あなたはこのような製品を使いたいと思うだろうか?
2つ以上のADフォレスト間で同一のユーザー・アカウントを維持する必要があるケースは限られている。例えば,法律上どうしても2つ以上のADフォレストを運用しなければならないといったケースだ。投資信託会社のケースを想像してみよう。
2つ以上のフォレストを運用している場合に役に立つIIFP
投資信託会社は,3種類のポジションの社員を雇用する必要がある。商品をクライアントに販売するブローカー,クライアントの判断の助けになるような良質な調査を提供するアナリスト,そしてその他の社員である。このような場合,安全性または法令順守のために,ADのフォレストは2つ用意するのが望ましい。1つは,アナリスト用のフォレストであり,もう1つは営業用のフォレストである。しかし,何人かの社員は両方のフォレストにログオンする必要がある。例えばITスタッフやお偉方である。つまり,Janeというシステム管理者は面倒極まりないことに,アナリスト用フォレストと営業用フォレストの両方に,別のアカウントを持たねばならない。例えば,片方のフォレストでパスワードを変更した場合,同じ作業をもう一方のフォレストでも同じ作業をしなければならないし,結婚して名前が変わった場合は,ADの奇妙な「名前を表す文字列は15文字以内でなければならない」というルールに頭を悩ますことになる。
IIFPがあれば,Janeは一方のフォレストでのみ情報を更新すればよく,IIFPが残りの作業をやってくれる。2つ以上のフォレストにおけるユーザー・アカウントの同期は,このように非常に単純な作業を自動化してくれるだけだが,この単純な作業がシステム管理者にとっては非常に苦痛なものなのだ。IIFPのようなツールが無償で使えることは,非常に喜ばしい。
しかし,最初の疑問に戻るが,このようなケースがどれほどあるのだろうか。あなたの会社が,投資信託会社だったり,法令順守のために複数のフォレストを用意しなければならないような会社だったりすることは稀であろう。それでも,システム管理者であれば,最低でも2つのADフォレストを運用していることと思う。実際に現場で使われているフォレストと,テスト環境で別に運用されているフォレストである。これら2つのフォレスト間で,従業員のアカウントを同期させる場合は,IIFPのようなツールが有用になるだろう。
企業買収の際にメタディレクトリが役立つことも
IIFPは,企業買収などで組織を統合するときにも役立つことがある。例えば,ある航空会社が業務拡大のために鉄道会社を買収した,といったケースを想像してみよう。両社では,それぞれ別々のADのフォレストが稼働していたとする。両社が合併した場合に,2つのフォレストをどのようにマージするのが望ましいだろうか。
一番手っ取り早いのが,IIFPを使うことである。IIFPを使えば2つの組織で運用されているフォレストやExchange Serverの運用を止める必要はない。しかし,買収された鉄道会社の社員の多くは,元のアカウントも航空会社のアカウントも必要になるだろう。またIT部門はいずれかのタイミングで統合する必要がある。このような場合にIIFPが有用なのはいうまでもない。
そもそもフォレスト構成を簡単に変更できないのがおかしい
ところで,航空会社と鉄道会社は,将来的には何をするべきであろうか。一番ありそうなのは,最終的には鉄道会社のフォレストをシャットダウンすることを視野に入れて,鉄道会社のフォレストにあるオブジェクトを航空会社のフォレストに移行させようと考えることである。この作業が簡単そうに思えるのは,ADのフォレストにおける「移行(migrate)」という用語におかしな意味が含まれているためだ。
ADのフォレストにおける「移行」とは正確には「2つのドメイン内におけるセキュリティ基準を緩め,両ドメイン間で信頼関係を結び,その上で一方のフォレストのオブジェクトを他方にコピーする移行ツールを利用する」という意味である。これはまた「コピーされた大量のオブジェクトをいじったり,非互換性の問題(SIDのヒストリーなど)に対処したりする準備をする」ということも意味する。つまり端的に言えば,ドメインやフォレストがめちゃくちゃになる,ということである。
誤解しないでいただきたいが,筆者は「移行ツール」を使っているユーザーを批判しようとしているのではない。そういった移行ツールを誰かが開発したという事実は,十分に感動的だと思う。筆者が言いたいのは,Windows Serverの標準ツールとして,「2つのフォレストを苦労せずにマージするツール」,例えば「フォレスト・スムース・ウィザード」のようなツールが必要だということである(筆者はここ6年ほど,同じことを主張しつづけている)。このようなツールが必要だという発想は,筆者だけのものではない。このような発想をMicrosoftの社員から初めて聞いたのは,1990年代後半のことである。そして彼らが,「分かっています。確かに現在,既存のフォレストからドメインを削除したり,一部のドメインを別のフォレストとして独立させたり,ドメインをフォレストからフォレストへ移動させたり,2つのドメインをマージさせたりはできません。しかしこれはActive Directoryがまだ『最初のリリース』段階だからです。Blackcomb(Windows Server 2003の後継バージョンに当初付けられていた開発コード名)になれば,この問題は解決します」と話すのも聞いたことがある。
Blackcombの延期が諸悪の根源
当時,筆者はフォレスト構成に柔軟性がないことが,問題だとは思わなかった。Microsoftの社員は,2005年になればBlackcombの時代になり,これらの問題が解決されると言っていた。筆者は我慢強い人間なので,5年間なら待てると思ったのである。
筆者は,Blackcombがまだ出ていないことや,Microsoftの長期計画によればBlackcombのリリースが2011年に伸びたとか,そういうことに文句を言うつもりはない。バグだらけのコードが今すぐリリースされるより,きちんと動くコードがリリースされた方が望ましいからだ。一方で筆者は,フォレストをマージする機能について,Microsoftから何も聞いていないことを危惧している。同社のAD担当者は,多数のフォレストを抱える組織にとっては,LonghornサーバーやBlackcombサーバーにおける新しいADの技術を使ってフォレストの統合を図るよりも,フォレスト構成をそのままにしておいて,MIISやIIFPを使ってアカウントを同期させるのが望ましいと考えているようなのだ。
Microsoftはかつて,フォレストがWindowsにおける最大の単位だと言っていたが,現在は最大の単位は「フェデレーション(federation)」だと言っている。フェデレーションとは複数のフォレストからなるグループであり,IIFPのようなツールによって接続されている。MicrosoftのAD担当者は現在「Identity and Access Group」というものの実現に取り組んでいる。この名称は悪くはないが,ADの大幅な仕様変更が二の次にされているという印象も受ける。実際にAD担当者に「フォレストやドメインをマージする機能はどうなっていますか」と聞いたことがあるが,担当者は「個人的な返答になるが,Windowsの開発において誰がそのプロジェクトを担当しているか知らない」と答えていた。
IIFPのようなメタディレクトリ・ツールを使って,複数のフォレストを協調させるのは良いソリューションであり,IIFPを無償で提供するMicrosoftの姿勢はとても評価できる。しかし,大規模環境において,IIFPのようなツールがどれほど有効であろうか。何百や何千もの信頼関係が結ばれた「フェデレーション」の信頼性は十分だろうか。数え切れないほどの信頼関係によって結ばれたWindows NT 4.0ベースのドメインが,どれほど信頼できないものであったのか,忘れることはできない。Windows NT 4.0で起きたことが,大規模なADフォレストのフェデレーションにおいて起きないと,どうして言えるだろうか。
メタディレクトリは,短期的にはとても優れたソリューションであるが,フォレストやドメインのマージ・ツールが登場していない段階ではあまり役に立たない。根本的な解決は,まだまだ遠いと考えられる。
