▼米Microsoftは5月6日,サーバーOSのアップデート版である「Windows Server 2003 R2」(開発コード名)の英語版ベータを公開した。
▼R2はSP1をベースに,いくつかのコンポーネントを追加したもの。OSの基本機能はSP1と変わらない。
▼主な新機能は,圧縮機能を備えたレプリケーション,フォルダ単位のクォータ,ドメイン間でユーザー認証情報を受け渡すADFSなどである。
| ||
| ||
| ||
| ||
|
Windows Server 2003 R2はWindows Server 2003 Service Pack 1(SP1)をベースにコンポーネントを追加したOSであり,OSの基本機能はSP1と変わらない。ベータ版をインストールする際には,SP1の環境でR2のインストーラを実行し,その後コントロール・パネルの[Add or Remove Programs]で必要なコンポーネントを追加する。製品版のCD-ROMも,SP1適用済みWindows Server 2003と,R2の2枚組になるという。
Windows Server 2003 R2で追加される主な新機能と強化点を表1[拡大表示]に示す。ただし,これらの新機能/強化点の多くは,既に単体のコンポーネントとして配布済み,もしくは今後配布される予定だ。全く新しい機能/強化点は,DFS*(分散ファイル・システム)レプリケーション,ストレージ管理,Active Directory Federation Services(ADFS)の3つである。
レプリケーションを高速化
DFSレプリケーションは,分散ファイル・システムにおいてサーバー間のレプリケーションを実行する機能だ。これまでのFRS(ファイル複製サービス)の後継に当たる。FRSと比較して,WAN環境向けの機能などを強化している。
最大の強化点は,ファイルの内容が更新された際に,元のデータとの差分だけを転送することでデータの転送量を低減する機能を追加したこと。例えば文書ファイルのタイトルだけを変更した場合でも,FRSはファイル全体を転送していた。これに対し,DFSレプリケーションではタイトルを含むブロックだけを転送する。米Microsoftのテストによれば,レプリケーションに必要な帯域幅が最大で400分の1にまで減少するという。
このほか,レプリケーションのピーク時の動作を制御することで,使用帯域幅が一定値を超えないようにする「帯域幅スロットリング」機能も追加される。これにより,レプリケーションの実行時にほかのアプリケーションのパフォーマンスが大幅に低下するのを回避できる。特に,遠隔地のサーバーを低速な専用線で接続している環境では効果が高い。曜日や時間帯などによって使用する帯域幅を変更することも可能だ(図1[拡大表示])。
フォルダ単位でクォータを設定できる
ストレージ管理では,フォルダ単位のクォータ*,ファイル・スクリーニング,ストレージ・レポート出力などの機能が追加される。いずれもNAS(ネットワーク接続ストレージ)向けのOS「Windows Storage Server 2003」で搭載済みだが,汎用のサーバー向けWindowsに搭載されるのは初めてとなる。
フォルダ単位のクォータは,その名の通りクォータをフォルダ単位で設定する機能である。Windows 2000からサポートされたNTFS 5.0のディスク・クォータは,ボリューム単位でしか設定できないという課題があった。
また,NTFSのディスク・クォータのようにディスクの使用量をファイルの論理的なサイズ*を基に計算するのではなく,実際にディスク上を占めるサイズで計算するのもメリットだ。設定したしきい値を超えたときなどに,管理者に電子メールで通知したり,指定したコマンドを実行したりする機能も備える(図2[拡大表示])。
ファイル・スクリーニングは,指定した種類のファイルの書き込みを禁止する機能である。動画ファイルや音楽ファイルなどの業務と無関係なファイルを保存できなくすることで,ディスク・スペースを有効に使うなどに利用できる。ユーザーが禁止されたファイルを保存しようとしたときに,管理者に電子メールで通知するといった処理を実行できるのはフォルダ単位のクォータと同様だ。
ストレージ・レポート出力は,ユーザーごとの使用率や最近アクセスされたファイルなど,ディスクの使用状況に関する様々なレポートを出力する機能である。レポートの出力フォーマットは,ダイナミックHTML,CSV(カンマ区切り値),XML(拡張マークアップ言語)などの形式を選択できる。スケジュールに従ってレポートを自動生成する機能も備える。
企業間のシングル・サインオンを実現
3つ目のADFSは,異なる組織の間でユーザー認証情報を受け渡しする仕組みだ。例えば,自動車メーカーAと,Aに部品を納入している部品メーカーBがそれぞれActive Directoryドメイン/フォレスト*を構築し,IIS(Internet Information Services)でイントラネットのWebアプリケーションを運用しているとしよう(図3[拡大表示])。IISはユーザーがWindowsにログオンしたときの認証情報をWebアプリケーションの認証に利用する機能を備えているため,社内でシングル・サインオン*を実現するのは簡単だ。しかし,A社の社員がB社の在庫管理アプリケーションにアクセスしたいといった場合は,明示的なログインが必要になる。B社がA社の社員まで管理する必要が生じるため,管理コストが増大するという問題もある。
企業間でドメイン/フォレストの信頼関係を結べばこうした状況は解消されるものの,そこまで強い結びつきが望ましくない場合も多い。そこで,A社における認証情報をB社に送ることでシングル・サインオンを実現するのがADFSである。今後,複数の企業のWebサービスを連携させて1つの処理を行うようなケースが増えてきたときに,何度もログインしなくても済むようにするのが狙いだ。
ADFSを利用してシングル・サインオンを実現する仕組みを図4[拡大表示]に示す。ADFSを利用するためには,ユーザーがWebブラウザで社外のアプリケーションにアクセスする際に,あらかじめ何らかの手段でADFSにリクエストが送られるようにしておく。これには社外のサイトにアクセスするためのポータル・サイトを社内に用意するのが簡単だ。
リクエストを受け取ったADFSは,Active Directoryからユーザーの肩書や所属する部署名などの情報を取得し,それを基にSAML(セキュリティ・アサーション・マークアップ言語)などの企業間であらかじめ定めた形式の認証情報を作成する。ブラウザは,この認証情報を含めてB社のWebサーバーにリクエストを送る。B社では,受け取った認証情報をADFSでローカルな形式に変換後,肩書や部署名などの情報を基にアクセスを許可するかどうかを判断する。
ADFSは,(1)認証情報の作成や変換などを実行する「Federation Service」,(2)Webアプリケーションとして動作し,Webブラウザなどに対するインターフェースを提供する「Federation Service Proxy」,(3)ISAPI*エクステンションとして動作し,リクエストに含まれる認証情報のチェックなどを行う「SSO Agent」——の3つのコンポーネントで構成される。SSO Agentは必要に応じてCookieに認証情報を書き込める。そのため,Windows認証以外の方法で認証を行うサイトでも,アプリケーションのコードを修正することなくシングル・サインオンを実現できる可能性がある。
また,XML関連の標準化団体OASIS(Organization for the Advancement of Structured Information Standards)が策定したWebサービスに関するセキュリティ仕様「WS-Security」の一部であるWS-Federationもサポートしている。WS-Federationをサポートするほかの認証サービスとも相互に運用できるようになるはずだ。
OSの基本機能がWindows Server 2003 SP1と同じである一方で,R2にはデータ圧縮機能付きのレプリケーションやフォルダ単位のクォータなど,これまでユーザーが望んできた機能のいくつかが追加されている。これらの機能はサード・パーティ製のソフトウエアを利用することで実現できるものの,数十万円の追加投資が必要になる。R2へのアップグレード料金は未定だが,ユーザーによっては非常にお買い得感のあるものとなる可能性が高い。R2への移行に備える意味でも,早めにSP1を適用して動作検証を済ませておきたい。
