■この連載では既存のWindowsシステムに,新しく離れた拠点のシステムを追加する段取りについて解説する。
■今回はActive Directory(AD)ドメインにおいて,拠点に対応してサイトを分け,それぞれにドメイン・コントローラ(DC)を設置する。
■さらに,拠点ごとに組織単位(OU)を設定し,管理者にも専用のOUを設定する。これにより,効率的な管理ができるようにしたい。


(2005年11月号「すぐできるWindowsサーバー強化術」より)

(山岸 真人,櫻井 敬子=NTTデータ先端技術)


 小規模なネットワークがあるとする。そこには既に,Windows Server 2003を中心にActive Directory(AD)が構築されていたとする。ファイル/プリント・サーバーがあり,システム管理者はユーザー・アカウントの登録・削除や,クライアント・マシンの入れ替えを随時行っている。

 しかし,システムは状況に応じて変化する必要が出てくる。ネットワーク・インフラの増設やセキュリティ・インフラの構築,規模の拡大に伴う管理性の向上などである。この連載では,Windowsサーバーによるインフラ範囲を拡大し,管理の効率化を行い,信頼性を向上するといった強化策を紹介していきたい。第1回は,新規拠点の増設に伴うインフラ増設のノウハウや,ADの設計を解説する。

A社では新しく大阪拠点を設置することにした
 今後,話を具体的に考えるために,ある会社のシステムを想定しよう。

 A社は,本社が東京にあり,従業員が20~30人の小規模な会社である。同社が,大阪にも拠点を持つことになった。これに伴って,東京と大阪の従業員も増え,全体で約100人になる見込みだ。システム管理者は東京と大阪にそれぞれ1人ずつ専任を置くものとする。

 それまでの東京本社のシステムでは,1人に1台のデスクトップ・パソコンが割り当てられ,30台のWindows 2000/XP ProfessionalマシンがLANでつながっていた。Windows Server 2003, Standard Editionが稼働するドメイン・コントローラ(DC)を1台設置し,全体でネイティブ・モードのADを構築している。ファイル/プリント・サーバーも1台ある。

 サーバーのセグメントは「172.16.1.0/24」,パソコンやプリンタを設置しているセグメントは「172.16.2.0/24」である。電子メールやWeb環境は,社外にホスティングしている。また各システムは,毎日フル・バックアップを実施しており,データは3世代まで保存している。

△ 図をクリックすると拡大されます
図1●今回取り上げるWindowsシステムの概要
 これに対して,将来追加する大阪支社のインフラの基本要件は次のようなものだ。パソコンやプリンタ複合機などは東京本店と同様の環境にする。大阪支社用にファイル/プリンタ・サーバーを設置する。ファイル共有は両拠点間で相互に閲覧できるようにする。そして全体として,東京と大阪の両拠点がADで統合的に管理されることを目指す(図1)。

 ネットワーク構成は,フロアごとにセグメントを分割した。セグメントを追加できるL3(レイヤー3)スイッチを設置し,ユーザー・セグメントやサーバー・セグメントはここから分岐させる。東京と大阪でファイル・サーバーを参照する必要があることから,L3スイッチ同士を接続する必要もある。2カ所の拠点はVPN(仮想プライベート・ネットワーク)で接続した。

2拠点を統合的に管理できるAD設計
 続いてADの設計に移ろう。2カ所の拠点をADで統合的に管理するには,(1)フォレストを分割する,(2)ドメインを分割する(サブドメインとして構築),(3)サイトを分割する——という3つの選択肢がある。

 (1)と(2)はパスワード・ポリシーをドメインごとに定義できたり,異なるドメインならばオブジェクト名が重複しても構わないというメリットがある。一方でDCの冗長化を考慮すると,この場合最低4台のDCが必要になる。

 マイクロソフトが公表している指針としては,ドメインやフォレストを無理に分割する必要はなく,まとめる方向が望ましいとしている。このケースでは,ADはこれまで通り,シングル・ドメインかつシングル・フォレストの構成で,サイトを分割することで東京,大阪の両拠点を分けて管理することにした。そのためには,まず,現在1台のみのDCに対して,冗長化のため大阪にサブのDCを配備することにした。ネットワークが存在しない状態でのインストールは,バックアップ・ファイルを使用することで実施できる。しかし,ここではあらかじめ大阪には配備済みのネットワークがあることを前提としている。

△ 図をクリックすると拡大されます
図2●事前にDNSを追加する
△ 図をクリックすると拡大されます
図3●DC(ドメイン・コントローラ)の追加手順
 2台目のDCを追加する手順は次の通りだ。

 まず,Windows Server 2003がインストールされたサーバーを1台用意する。そして今回のサーバーへは,DNS(ドメイン・ネーム・システム)サーバーもインストールするので,事前に[プログラムの追加と削除]からDNSサーバーを追加しておく(図2)。

 次は,ADのインストールだ。「サーバーの役割管理」から始めると楽だろう(図3-1)。「サーバーの構成ウィザード」が起動したら[ドメインコントローラ(Active Directory)]を選択し実行する(図3-3)。途中でDCの種類を聞かれるので,[既存のドメインの追加ドメインコントローラ]を選択し(図3-6),管理者のアカウントを入力する(図3-7)。また,ドメインの名前(図3-83-9)や,ADデータベースとログの保存場所(図3-10),システム・ボリュームの保存場所(図3-11),ディレクトリ・サービスの復元モードのパスワードを入力する(図3-12)。最後に設定内容を確認して再起動しよう。

△ 図をクリックすると拡大されます
図4●DNS逆引き参照ゾーンの作成手順
 続いてDNSゾーンの作成を行う。まず,時間の経過とともに既存の前方参照ゾーンと逆引き参照ゾーンのレプリカが行われ,自動的に作成されてくるのでこれを確認する。続いて必要な逆引きゾーンの追加を行う(図4)。DNSの逆引きゾーンを設定するのは,場合によってIPとドメイン名の同一性を確認することがあるためだ。今回はサーバー用のセグメントとして「172.16.1.0」および「172.17.1.0」を使用するので,「172.17.1.0」を追加した。DCはそれぞれ「172.16.1.16」および「172.17.1.16」となっている(図4-6)。最後に,それぞれのTCP/IP設定より,参照先DNSサーバーのプライマリに自分を,セカンダリに相互のIPアドレスを指定する。これで冗長化したAD環境の構築が完了した。