Windowsパソコンを利用する企業の多くが導入しているActive Directory(AD)。便利な半面、ネットワークでの挙動が複雑なことから、トラブルの原因になることが少なくない。そこで本特集では、ADを利用するWindowsネットワークでのトラブル回避術を解説する。

 Active Directory(AD)とは、ユーザーやパソコン、サーバー、プリンターといったネットワーク上のリソースを一元管理するディレクトリサービスである。マイクロソフトがWindowsに標準機能として搭載している。

 ADは「ドメイン」という管理単位でユーザーやリソース(コンピュータなど)を管理する。DNSのドメインとは異なるため、ここではADドメインと呼んで区別する。ADドメインでディレクトリサービスを提供するサーバーも、一般的なサーバーと区別するために、ここではADサーバーと呼ぶ。

 まずは、名前解決すなわちDNSサーバーに関するトラブルの回避策を紹介しよう。

 ADに参加するコンピュータが参照するDNSサーバーには、ADサーバーを指定するのが鉄則だ。ADでは、独自の名前解決を使っており、BINDなど一般的なDNSサーバーで対応するのはハードルが高く現実的ではない。

 ADドメインでのリソース情報は、DNSサーバーにSRVレコードとして登録されている。例えば、LDAP、Kerberos認証、共有フォルダーなどのサービスを提供しているサーバーやIPアドレスといった情報が登録されている。

 ADサーバーは、DNSの「動的更新」という仕組みを使って、これらの情報をSRVレコードとしてDNSサーバーに登録する。ADサーバーが提供しているサービス内容や所属サイトといった情報が変更されると、SRVレコードの登録情報は自動的に更新される。デフォルトでは1時間おきに更新される。

 ADサーバーのDNSサーバーには、こうしたSRVレコードの登録とDNSの動的更新の機能が標準で実装されている。

 一方、ADサーバー以外のDNSサーバーを使う場合は、通常は利用しない動的更新を有効にする必要がある。それを理解しないままADで利用しようとすると、SRVレコードを登録できなかったり、名前解決に失敗したりする。

ADサーバー以外のDNSサーバーを使うとトラブルが発生する
[画像のクリックで拡大表示]

 仮に動的更新を有効にしたとしても、そのDNSのゾーンは実質的にAD専用になってしまう。つまり、ADサーバーをそのまま使ったほうが手軽で便利なのだ。

別のDNSサーバーに委任

 もちろん、ADサーバーだけですべての名前解決ができるとは限らない。社内向けサーバーやインターネット上のサーバーの名前解決のために、ADサーバー以外のDNSサーバーを使いたい場合があるだろう。そうしたときは、ADサーバーのDNSサーバー機能に「フォワーダー」の設定をすれば、他のDNSサーバーと併用できる。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。