■Active Directoryの構築はウィザードに従って行うため,操作自体は簡単である。しかし、Active Directoryの論理構造は修正が極めて難しいので,中途半端な理解のまま構築することは避けたい。特にDNSとドメイン階層については十分に理解しておくべきなので,前回までの内容をぜひ復習しておいてほしい。
|
これまでの4回の連載で,Active Directoryについて解説してきた。今回は実際にActive Directoryを構築する手順を解説する。 例としているのは,新しいドメインを作成する場合である。既存のドメインに新しいドメインを追加する場合は設定内容が異なるが,おおまかな手順は同じである。設定は,以下の手順で行う。 (1)DNSの設定 (2)ドメイン・コントローラの設定 (3)組織単位(OU)の設定 (4)コンピュータ・アカウントの作成 (5)ユーザーの設定 (6)グループの設定 注意しなければならないのは,Active Directoryは一度構築してしまうと,変更するのがとても難しいことだ。Windows 2000のActive Directoryは,構築後はドメイン構造はもちろん,ドメイン名やドメイン・コントローラ名の変更すらできない。Windows Server 2003では,こうした制限は撤廃されている。しかし実際には,容易に変更できるのはドメイン・コントローラのコンピュータ名くらいであり,ドメイン名の変更やドメイン構造の変更は,専用のツールを使って10以上のステップを踏む必要があるなど,極めて難しい。また,Windows Server 2003でもフォレスト・ルート・ドメインの付け替えはサポートしない。こうしたことから,変更しないつもりで,ドメイン構造を設計してほしい。
ただし,第3回で説明した「サイト」や「GC」の設定は,Windows 2000であっても容易に修正できるし,再起動も不要である。物理構造は,営業拠点の変化によりひんぱんに変更されるが,論理構造はそれほど変化しないことが多いという現実に対応するためだろう。 OSが混在する場合,モード設定が必要 Active DirectoryはWindows Server 2003で改良されたが,この結果,Windows NT,Windows 2000との互換性が損なわれた。そのため「フォレスト機能レベル」および「ドメイン機能レベル」というモードが追加された。同じフォレスト,ドメイン内でWindows 2003/2000/NTの各ドメイン・コントローラが混在する場合,設定するモードが異なる。
フォレスト機能レベルは互換性を重視するほうから(1)Windows 2000(2)Windows Server 2003中間(3)Windows Server 2003,の3つのモードがある( 図1 )。ドメイン機能レベルは同様に(1)Windows 2000混在(2)Windows 2000ネイティブ(3)Windows Server 2003中間(4)Windows Server 2003,の4つがある(図2)。中間モードは、Windows NTとWindows Server 2003の混在環境(つまりWindows 2000を含まない状態)で使う特殊なモードで,Windows NT 4.0 PDC(プライマリ・ドメイン・コントローラ)をWindows Server 2003にアップグレードした場合に選択できる。フォレスト機能レベル,ドメイン機能レベルともにレベルが高いほど,パフォーマンスが高くなる。
フォレスト機能レベルを変更するには,管理ツール[Active Directoryドメインと信頼関係]で最上位のアイコンを右クリックし[フォレスト機能レベルを上げる]を選択する。同様に,ドメイン機能レベルの変更は,ドメイン名を右クリックし[ドメイン機能レベルを上げる]を選ぶ。いずれの場合も機能レベルを下げることはできない。また、フォレストの機能レベルを上げるには、フォレストに含まれる全ドメインが同等以上の機能レベルになっている必要がある(表1)。 |
