△　図をクリックすると拡大されます 図4●サイト内の複製パス（3パス以内）

　サイトの導入により，複製トラフィック制御と認証トラフィック制御が可能となって，効率的なWindowsネットワークが構築できるようになった。なお，Active Directoryのフォレスト・ルート・ドメインの最初のドメイン・コントローラを作成すると，既定のサイト「Default-First-Site-Name」が自動的に作成され，割り当てられる。それでは，実際にどのような効率アップがあるのか，見てみよう。

サイト内はリング状，サイト間はツリー状に複製トラフィックを制御
　同一サイトのActive Directoryドメイン・コントローラは，ディレクトリ・データベースに変更があってから15秒後（Windows 2000では5分後）に他のドメイン・コントローラに対して複製を行う。一定時間待つのは，オブジェクトの属性が連続して変更される可能性が高いためである。複製は，自動生成された3ホップ以内のリング状のパスを利用する（図4）。

△　図をクリックすると拡大されます 図5●サイト間の複製パス

　別サイトに対する複製は，スパン・ツリーを自動構成する。このとき，複製は既定で180分おきに行われる。管理ツールで設定すれば最短15分まで縮めることが可能である。サイト内複製とは異なり，変更があってもそのつど複製されるわけではない。なお，サイト間でディレクトリ・データベースを複製するための窓口を「ブリッジ・ヘッド・サーバー」と呼ぶ。ブリッジ・ヘッド・サーバーは自動的に選出されるが，管理者が指定することも可能である（ 図5）。

　スパン・ツリーを構成する場合，サイト間のネットワーク接続情報として「サイト・リンク」が使用される。サイト・リンクもActive Directoryオブジェクトの1つである。Active Directoryのフォレスト・ルート・ドメインの最初のドメイン・コントローラを作成すると，既定のサイト「DEFAULTIPSITELINK」が自動的に作成される。Default-First-Site-Nameを含め，すべてのサイトは自動的にDEFAULTIPSITELINKの設定を使用する。

△　図をクリックすると拡大されます 図6●サイトを構成しない場合の複製パスの生成例

認証トラフィック制御を効率化
手動で複製パスを最適化も必要
　クライアントは，起動時に自分のサブネットから所属サイトを決定する。認証トラフィックは，自分が所属するサイトのドメイン・コントローラに送られる。前述の通り，サイト内は高速で安定した通信が可能なはずなので，認証トラフィックが低速WANを越えることはない。ただし，ドメイン・コントローラは，管理ツールを使って所属サイトを手動で設定する必要がある。

　LAN環境であれば，サイトを使用せず，既定のまま使用しても構わない。ただし前述通り，同一サイト内は頻繁に通信トラフィックが発生する上，リング状の複製トポロジが生成される。その結果，（図6のような不自然な複製パスができる可能性もある。もし，こうした複製パスのトポロジを避けたいのなら，適切なサイトを構成するため，手動で複製パスを構成する必要がある。なお，同一サブネットを複数サイトに分割できないので，広域イーサネット・サービスなどの利用時には注意が必要だ。同一サブネットの複製トポロジを制御するには手動で複製パスを構成するしか方法はない（ 図7）。

△　図をクリックすると拡大されます 図7●サイトを構成した場合の複製パスの生成例

頻繁に使うデータを集めて
効率アップを狙うGCサーバー
　同一フォレストのドメインは，ある程度の統一管理を目標にしているはずである。そのため，他ドメインの情報であっても，頻繁に参照されることもあるだろう。例えば，ユーザー名やグループ名はその代表である。逆に，他ドメインには不要な情報もある。パスワードはその典型だ。パスワードは認証時に必要であるが，認証は所属するドメインのドメイン・コントローラしか行わないので，他のドメインに複製する必要はない。

　そこで，別ドメインの情報を効率よく検索するため，よく使う情報だけを抜き出してひとまとめにすることが考えられた。これが「グローバル・カタログ（GC）」である。GCを保持するドメイン・コントローラを「グローバル・カタログ・サーバー（GCサーバー）」と呼ぶ。

　GCサーバーは，既定ではフォレスト・ルート・ドメインに最初に作成されたドメイン・コントローラにだけ構成される。しかし，GCはActive Directoryの運用上，非常に重要であり，GCなしにはログオンもできない（Windows Server 2003では設定を変更すればログオン可能）。しかし，サイト間を結ぶネットワークは，低速で不安定な可能性がある。サイト間ネットワークが切断しても正常なログオンができるよう，GCは原則としてサイト内に1台以上配置するべきだ。

　別フォレストの情報はGCに追加できない。Windows Server 2003では，フォレスト間信頼を結べるが，この場合でもGCは統合されない。迅速な検索を行いたい場合は，単一フォレストでActive Directoryを構築する必要がある。

GCレス・ログオンと複製アルゴリズムの変更でGCが改善
　Windows 2000のGCでは，「GCがないとログオンできない」と「GCに含める情報を変更するとGCの完全複製が発生」という制約があった。

　1つ目の制約について詳しく述べよう。Windows 2000では，GCと通信できない場合，一般ユーザーがログオンできなかった。例外は，管理者がローカル・ログオンする場合である。また，2つ目の制約を詳しく述べると次のようになる。GCに含める情報は「PAS（Partial Attribute Set）」と呼ばれる。Windows 2000では，PASの変更後はGCの完全な複製が必要であった。PASを変更するExchange 2000などのようなアプリケーションをインストールすると，しばらくはActive Directoryとネットワークに大きな負荷がかかる。

　Windows Server 2003では，こうした問題が解決されている。1つは「GCレス・ログオン」だ。「GCレス・ログオン」は，サイトの設定を変更することで，GCを使わなくてもログオンできるようになる機能である。ただし，セキュリティ上のリスクを防ぐため，既定ではGCレス・ログオンは無効になっている。GCは，原則としてサイトごとに設定すべきだが，GCの参照頻度が低いサイトではGCレス・ログオンを使うことでネットワーク・トラフィックを節約できる。

　もう1つ，Windows Server 2003では，GC複製の効率化が施された。GCの複製アルゴリズムが変更され，PASを変更しても，変更部分だけが複製されるようになったのだ。

＊　　＊　　＊

　今回は，サイトとGCを取り上げ，Active Directoryが物理的なネットワークをどのように扱っているのかを解説した。サイトとGCは，Active Directoryのネットワーク・トラフィックを最適化する上で，最も重要なコンポーネントである。いずれもActive Directory導入後に変更可能だが，Active Directory導入前に決定しておいた方が，スムーズに導入できるだろう。