Active Directory トラブル回避術

　Windowsパソコンを管理するためにほとんどの企業で導入しているのがActive Directory（AD）だ。登場からすでに20年弱が経過し標準ディレクトリサービス^▼となっているADだが、ネットワークでの挙動が複雑なことから生じる理解不足が原因でトラブルになることが多く、ネットワーク管理者を悩ませている。そこで本特集では“AD地獄”に陥らないためのトラブル回避術を解説する。

クラウド版ADが登場

　まずはADの基本を確認しよう。ADとは、ユーザーやパソコン、サーバー、プリンターといったネットワーク上のリソースを一元管理するディレクトリサービスである。マイクロソフトがWindowsに標準機能として搭載している。

　2000年に登場した当初は、オンプレミス^▼専用だった。だが、インターネットやクラウドサービスの普及といった時代の流れに合わせて、社内のADを外部のクラウドサービスと連携できるADFS（AD Federation Services）や、クラウド版ADともいえるAzure Active Directory（Azure AD）が登場した（図1）。

図1●クラウドに拡張するActive Directory（AD）

Active Directory（AD）には、オンプレミスで運用するADに加えて、クラウド上でユーザー管理を実現するAzure Active Directory（Azure AD）や社内のADサーバーと社外のクラウドサービスを連携させるActive Directory Federation Services（ADFS）などがある。

[画像のクリックで拡大表示]

　Azure ADを使うと、Office365やSalesforceといったクラウドサービスのユーザー認証を一元管理できる。Windows 10以降のWindowsパソコンであればAzureADに直接サインインすることも可能だ。

　だが従来のADとは異なり、社内のオンプレミス環境にいるユーザーの認証はできないし、Windowsパソコンに対する詳細なクライアント管理もできない。そのため、Azure ADは従来のADを置き換えるものではなく、あくまでクラウドでの利用に特化した別のサービスと考えるべきである。

規模に合わせて拡張できる

　ADは「ドメイン」という管理単位でユーザーやリソース（コンピュータなど）を管理する。DNS^▼のドメインとは異なるため、今回はADドメインと呼んで区別する。ADドメインでディレクトリサービスを提供するサーバー^▼も、一般的なサーバーと区別するために、ここではADサーバーと呼ぶ。

　ADはネットワーク規模に合わせた柔軟な構成が可能だ（図2）。機能的にはADサーバーが1台だけでもADを構成でき、試験環境などとして利用できる。

図2●ADの典型的なドメイン構成

ADサーバー1台だけのシングルサーバー構成は障害に弱いため、実運用時には障害時のバックアップを想定してマルチサーバー構成を採るのが一般的だ。グローバルな組織で、国や地域によって管理権限を明確に分割したい場合などにはドメインそのものを複数に分けたマルチドメイン構成も採れる。

[画像のクリックで拡大表示]

　ADサーバー1台だけの構成では、そのADサーバーに障害が発生した場合にすべてのADクライアントがログオンできなくなってしまう。復旧にも手間がかかり影響が大きくなる。そのため、ADサーバー1台という構成は検証時だけに留め、実運用時には複数のADサーバーを使う構成に変更するのが一般的だ。

　複数のADサーバーで構成した際は、それぞれのADサーバーで同じ情報を持つ。障害時のバックアップだけでなく、管理するユーザーやリソースが増えた場合には、ADサーバーを増やして負荷を分散させることも可能だ。

　世界各国に支店や営業所があるグローバルな組織では、国や地域によって異なる法制度に対応したり、管理権限を明確に分割したりしたいことがあるだろう。そのような場合には、ドメインそのものを複数に分けたマルチドメイン構成も採れる。

　ADのクライアントとサーバー間、あるいはADサーバー間では、実に多種多様な通信をしている（表1）。ADのサーバーとクライアントの間では、これらの通信に利用するポートを開けておく必要がある。代表的な通信について、説明していこう。

表1●ADサーバーとADクライアント間あるいはADサーバー間の通信で利用するポート

[画像のクリックで拡大表示]