初歩から理解するActive Directory （第6回）　ｐ3

サイトとグローバル・カタログを構築する

横山哲也

2003.10.10

初歩から理解するActive Directory （第6回）　続き

グローバル・カタログ（GC）・サーバーの設定
　サイト構築の次はGCの構築に取りかかろう。同一フォレスト内のドメインはある程度，統一した管理目標が設定されることが多い。そのため，他のドメインの情報でも，ユーザー名やグループ名など頻繁に参照されるものがある。こうした，よく使う情報だけを抜き出して，ひとまとめにしたものが「グローバル・カタログ（GC）」である。GCを保持するドメイン・コントローラを「グローバル・カタログ・サーバー（GCサーバー）」と呼ぶ。

△　図をクリックすると拡大されます

図8●［グローバルカタログ］をチェックすると，GCサーバーが有効になる

　GCサーバーは，既定ではフォレスト・ルート・ドメインに最初に作成されたドメイン・コントローラにだけ構成される。しかし，デフォルトではログオン時に必ずGCサーバーにアクセスする設定となっているので，毎回他のサイトのドメイン・コントローラにアクセスする必要を省くため，できればサイトごとに1台のGCサーバーを配置したい

　GCサーバーの追加は以下の手順で行う。
（1）［Active Directoryサイトとサービス］の左ペインで，［Sites］−［（GCサーバーにしたいドメイン・コントローラのあるサイト）］−［（GCサーバーにしたいドメイン・コントローラ）］−［NTDS Settings］とクリックして展開する。［NTDS Settings］を右クリックし，現れたメニューからプロパティ画面を表示する。
（2）［全般］タブに画面を切り替え，［グローバルカタログ］の項目をクリックしてチェックすると，GCサーバー機能が有効になる。チェックを外せばGCサーバー機能を停止できる（図8）。

　これでドメイン・コントローラがGCサーバーとなった。

△　図をクリックすると拡大されます

図9●サイト内にGCがないと，ログオンするごとに他のサイトのGCにアクセスしなければならない

GCレス・ログオンの設定
　次は構築したGCサーバーの設定を行おう。Active Directoryではクライアントがログオンするとき，ユーザーのユニバーサル・グループのメンバー・シップを取得するため，ログオンの途中でGCサーバーに問い合わせをしている。回線が安定しないリモート・サイトでも確実にログオンするには（たとえほとんど参照することがないとしても）サイトごとにGCサーバーを置く必要がある（図9）。しかし，これは現実的にはあまりに不経済である。

　GCサーバーにアクセスできないと，Domain Adminsのメンバー以外は，ログオンに失敗する。ただし，ドメイン・コントローラそのものにアクセスできない場合でも，既にそのコンピュータにログオンしたことのあるユーザーは「クレデンシャル・キャッシュ」と呼ばれる認証済み情報を使ってログオンできる。クレデンシャル・キャッシュは，既定では10アカウントまで利用できる。

　Windows Server 2003ではGCサーバーのないリモート・サイトでも継続してログオンが処理されるように，ユニバーサル・グループのメンバーシップをドメイン・コントローラ上にキャッシュできる。このようなログオンを「GCレス・ログオン」という。GCレス・ログオンは，次の仕組みで行われる。まずユーザーがログオン要求を行うと，ログオン認証を行うドメイン・コントローラが選択される。ログオン認証時にGCサーバーに問い合わせたユニバーサル・グループのメンバーシップ情報が，認証を行ったドメイン・コントローラに保存されるので，以降，ドメイン・コントローラは定期的にGCを参照し，メンバーシップ情報を更新する。

　GCレス・ログオンは既定では有効になっていない。ユニバーサル・グループのキャッシュされた古い情報と現在のものが一致しないと，セキュリティ・リスクになるためである。GCレス・ログオンを有効にする場合，こうしたリスクを考慮する必要がある。

△　図をクリックすると拡大されます

図10●［ユニバーサルグループメンバシップのキャッシュを有効にする］をクリックしてチェックし，キャッシュを取得するサイトを指定する

　GCレスログオンの設定は，以下の手順でサイト単位に行う。

（1）［Active Directoryサイトとサービス］の左ペインで，［Site］から該当するサイトをクリックして選択する。
（2）右ペインにある［NTDS Site Settings］を右クリックし、現れたメニューから［プロパティ］を選択して画面を開く。
（3）［サイトの設定］タブから［ユニバーサルグループメンバシップのキャッシュを有効にする］のチェック・ボックスをオンにし，［次のサイトからキャッシュを更新する］のプルダウンメニューより，該当するサイトを選択する（図10 ）。

　キャッシュは，初回ログオン時に行われる。一度キャッシュされたら，ドメイン・コントローラはGCサーバーが利用できる場合でも，キャッシュを使用してログオン処理を行う。キャッシュされた情報は既定では8時間おきに更新される。言い換えれば，ユニバーサル・グループのメンバーシップの情報が変更されても，最大8時間はキャッシュされた古い情報を使ってログオンしてしまうということだ。なお，キャッシュされたデータは既定では180日間使用されないと失効するようになっている。

　該当ドメイン・コントローラでまだログオンしたことのないユーザーの情報は，キャッシュされないため，初回ログオン時にはGCが必須である。

＊　　＊　　＊

　Active DirectoryをWAN回線経由で使う場合，通信速度が遅いことが問題となるが，サイトを構成すれば効率よく回線が利用できる。また，サイトごとにGCを配置することで，効率よい検索とログオンができる。

　サイトやGCの設定は，一度行えば回線状況が変化しない限り変更の必要はない。Windows NTドメインでWANリンクを効率よく扱うのは非常に難しかったが，Active DirectoryではサイトとGCを利用できるので簡単だ。「Active Directoryは難しい」という先入観を持たずに，ぜひ積極的に導入してほしい。