Microsoftが来年早々にも,リリースを予定しているWindows Server 2008の主要な機能について,前回はSever Coreなど三つを紹介した(「Windows Server 2008,六つのポイント(前編) -- Server Coreなど」)。今回は,アクティブ・ディレクトリを中心に,残りのポイントを解説していこう。
ポイント4:アクティブ・ディレクトリ関連の変更点
Windows Server 2008でアクティブ・ディレクトリ(AD)に加えられる最初の変更は,名前の変更で,ADはアクティブ・ディレクトリ・ドメイン・サービスという名前になる。ADDSでは,いくつかの点でWindowsベースのドメインに変更が加えられている。例えば,読み取り専用DC(RODC)や詳細なパスワード・ポリシー,ADのスナップショット作成機能などだ。Windows Server 2008のADで変わった点の解説に移る前に,変わっていない点を紹介させてほしい。それは,フォレスト再構築用のツールが依然として改善されていないことだ。Windows Server 2008においても,フォレストをマージする,フォレストからドメインを取り出してそれを新しいフォレストにする,二つのドメインをマージする,または合併や買収,再編成によって必要になるその他のタスクを実行するための簡単な方法は,依然として提供されていないのである。
読み取り専用ドメイン・コントローラ
Windows Server 2008には,読み取り専用ドメイン・コントローラ(RODC)と呼ばれる,新種のDCが搭載されている。Windows 2000の登場以前,ドメインは,そのドメイン・アカウントの読み取り/書き込みコピーを持つ,プライマリ・ドメイン・コントローラ(PDC)と呼ばれるサーバーをたった一つだけ有していたことを思い出してほしい。他のすべてのDCは,そのドメイン・アカウントの読み取り専用のコピーしか持っていなかったのだ。それらのDCは,バックアップ・ドメイン・コントローラ(BDC)と呼ばれていた。Windows 2000では,すべてのDCが読み取り/書き込みDCになり,すべてのDCが平等になった。
Microsoftは結局,これらのアプローチはどちらも最善のものではない,という結論に達したようだ。したがってWindows Server 2008では,読み取り/書き込みDCとRODCを,自分の好きなように組み合わせて使えるようになっている。読み取り/書き込みDCは,ドメイン・アカウントへのアップデートを受け入れられるので便利である。RODCではそれができないため,新しいユーザー・アカウントを作成したり,パスワードを変更したりすることもできない。
それでは,なぜRODCを使う必要があるのだろうか? 第一に,RODCが発生させるレプリケーション・トラフィックの量は,読み取り/書き込みDCよりも少ない。第二に,RODCには,Windows NT 4.0のBDCにはなかった機能があるのだ。任意のRODCと共有するドメイン・データを正確かつ詳細に制御できる機能が,それである。
例えば,8名の従業員がいる支局のオフィスにRODCを設置し,その8名のパスワードのみをRODCに伝える,といったことが可能なのだ。そうしておくと,仮にそのRODCが盗まれて,ADのコピーがハッキングされても,盗まれる危険のあるパスワードは,それら8名のアカウントのものだけで済む。ドメイン内のすべてのアカウントのパスワードが危険にさらされることはないのだ。また,セキュリティをさらに高めたければ,RODCにパスワードを全く伝えないことも可能である。そうすることで,DCは攻撃のターゲットとしてほとんど価値のないものになる。
たとえパスワードを全く伝えなくても,支局のオフィスにRODCを置くことは有益である。なぜなら,そのRODCは,最初のログオン・サービスをユーザーに提供することはできないものの,それ以降のログオンは処理することができるからだ。ユーザーが朝一番にワークステーションにログオンするときは,WANリンクが必要になるが,そこから先のログオンは,ローカルのRODCで処理することが可能だ(例えば,グループ・ポリシーを読み取る際のSysvol接続,ローカル・プリント・サーバーへのログオン,Exchangeサーバーへの接続など)。仮に支局オフィスのDCが盗まれても,Windows Server 2008のADを使えば,ウィザードを起動して,盗まれたパスワードを変更したり,ユーザー・アカウントを無効にしたりすることができる。 このウィザードでは,Ntdsutilツールよりはるかに簡単に,機能していないDCをADから削除することも可能だ。
詳細なパスワード・ポリシー
一つのADフォレスト内に複数のドメインを持つ理由のうち,現在でも技術的に意味のあるのは,一部のユーザーにはX日ごとにパスワードの変更を要求し,それ以外のユーザーにはY日ごとにパスワードの変更を要求したい,という場合のみだ。Windows 2000以降,ADドメインの全メンバーは,単一のパスワード・ポリシーに従うことを余儀なくされていた。
Windows Server 2008のADでは,このルールが変更されている。異なるグループまたは個人に対して,異なるパスワード・ポリシー(すなわち,パスワード設定オブジェクト - PSO)を示すように,ADを設定できるようになったのだ。PSOの作成は,少々困難である(この作業に使用できる最もユーザー・フレンドリーなツールは,adsiedit.mscだ)。しかし,システムの内部にかかわるこの機能は,よく作りこまれている。
例えば,読者の皆さんは,新しいグループ・ポリシー・オブジェクト(GPO)を作成したものの,それが許可を得られずにブロックされたり,別のポリシーによって無効にされたりしたために,失敗に終わった,ということを経験したことはないだろうか? この問題の最も明白な解決方法は,ポリシーの結果セット(RSoP)を計算するツールを使うことだ。RSoPは,ポリシーの優先順位を分析する究極の手段である。Windows Server 2008にはシンプルな内蔵型RSoPツールが搭載されている。同ツールは,PSOが作成されるたびに,自動的に実行される。
ADのスナップショット作成機能
ADのスナップショットを,あたかもそれがリアルタイムで機能,作動しているADであるかのように見ることができたら,すごく便利なのではないだろうか? Windows Server 2008では,ある意味でそれが可能になっている。
ADのスナップショットは,DC上にあるADの有効なコピーから作成されたイメージで,バックアップのようなものだ。しかし,ADのスナップショットは,単なるバックアップ以上のものである。例えば,dsamain.exeというツールを使ってADのスナップショットをマウントすると,一見正常に機能しているように見えるが,実は凍結された状態のADを見ることができる。その後,LDAPエディタを使って,バックアップされたADのオブジェクトやオブジェクト属性などを調べることが可能だ。
ADスナップショットの利点は,ユーザーが,二つの異なるDC上のADを比較したり,DC上にあるADのコピーの変更点を確認するために,DC上のADの異なる時点における状態を比較したりできるということである。さらに,ADスナップショットを利用すると,ADバックアップを簡単に閲覧することが可能だ。ADバックアップの閲覧には,企業ネットワークから切断されたDCをセットアップした後,バックアップを復元するという別の方法もあるが,この方法は非常に時間がかかる。
ADスナップショットの最大の欠点は,LDAPビューアがない,ということだ。そのため,「Microsoft Management Console (MMC) Active Directory Users and Computers」スナップインを立ち上げて,スナップショットを調べることはできない。代わりに,adsiedit.mscやldp.exeを使うしかないのである。おそらく将来的には,ADのネーミング・コンテキストの閲覧作業を簡略化するツールが,Windows Serverで提供されるだろう。例えば,グローバル・カタログ(GC)を調べるためのツールがあれば,Exchangeのトラブルシューティングは今よりもはるかに楽になるだろう。
