Windowsパソコンを利用する企業の多くが導入しているActive Directory(AD)。便利な半面、ネットワークでの挙動が複雑なことから、トラブルの原因になることが少なくない。そこで本特集では、ADを利用するWindowsネットワークでのトラブル回避術を解説する。

 Active Directory(AD)とは、ユーザーやパソコン、サーバー、プリンターといったネットワーク上のリソースを一元管理するディレクトリサービスである。マイクロソフトがWindowsに標準機能として搭載している。

 ADは「ドメイン」という管理単位でユーザーやリソース(コンピュータなど)を管理する。DNSのドメインとは異なるため、ここではADドメインと呼んで区別する。ADドメインでディレクトリサービスを提供するサーバーも、一般的なサーバーと区別するために、ここではADサーバーと呼ぶ。

 まずは、名前解決すなわちDNSサーバーに関するトラブルの回避策を紹介しよう。

 ADに参加するコンピュータが参照するDNSサーバーには、ADサーバーを指定するのが鉄則だ。ADでは、独自の名前解決を使っており、BINDなど一般的なDNSサーバーで対応するのはハードルが高く現実的ではない。

 ADドメインでのリソース情報は、DNSサーバーにSRVレコードとして登録されている。例えば、LDAP、Kerberos認証、共有フォルダーなどのサービスを提供しているサーバーやIPアドレスといった情報が登録されている。

 ADサーバーは、DNSの「動的更新」という仕組みを使って、これらの情報をSRVレコードとしてDNSサーバーに登録する。ADサーバーが提供しているサービス内容や所属サイトといった情報が変更されると、SRVレコードの登録情報は自動的に更新される。デフォルトでは1時間おきに更新される。

 ADサーバーのDNSサーバーには、こうしたSRVレコードの登録とDNSの動的更新の機能が標準で実装されている。

 一方、ADサーバー以外のDNSサーバーを使う場合は、通常は利用しない動的更新を有効にする必要がある。それを理解しないままADで利用しようとすると、SRVレコードを登録できなかったり、名前解決に失敗したりする。

ADサーバー以外のDNSサーバーを使うとトラブルが発生する
[画像のクリックで拡大表示]

 仮に動的更新を有効にしたとしても、そのDNSのゾーンは実質的にAD専用になってしまう。つまり、ADサーバーをそのまま使ったほうが手軽で便利なのだ。

別のDNSサーバーに委任

 もちろん、ADサーバーだけですべての名前解決ができるとは限らない。社内向けサーバーやインターネット上のサーバーの名前解決のために、ADサーバー以外のDNSサーバーを使いたい場合があるだろう。そうしたときは、ADサーバーのDNSサーバー機能に「フォワーダー」の設定をすれば、他のDNSサーバーと併用できる。

この先は有料会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら