Active Directory - Center
Download
Report
Transcript Active Directory - Center
マイクロソフトが提供する
ディレクトリサービス
マイクロソフト株式会社
SAP/Microsoft コンピテンスセンター
Agenda
はじめに
ディレクトリサービスとは?
Active Directory とは?
Active Directory がもたらすソリューション
認証
データ管理、ソフトウエア配布、設定管理、ネットワーク管理
複数ディレクトリサービスの統合と連携
基本的な考え方
Active Directory を中心にするケース
Microsoft Metadirectory Service (MMS) を中心にするケース
まとめ
Backup (Active Directoryのアーキテクチャと導入)
4.0 から 2000 での変更
マイクロソフト社内事例
2000から .NET での変更
はじめに
・ディレクトリサービスとは?
・Active Directory とは?
ディレクトリとは?
ディレクトリサービスとは?
ディレクトリ = 住所録、電話帳
ディレクトリサービス = 電話番号案内
名前
電話番号
住所
江端 忠志
03-1234-5678
東京都渋谷区笹塚・・・・・
渡辺 忠典
03-4321-8765
東京都新宿区西新宿・・・・・
① 104番に問い合わせ
② データベースを検索
電話番号の
データベース
ユーザー
オペレーター
④ 目的の電話番号を知る
③ 電話番号を入手
各サービスに散在するディレクトリ
問題点
混在する情報と管理方式
ネットワーク
アプリケーション
OS
メール
データベース
ディレクトリの統合と一元管理
ユーザー
情報
メール
情報
OS
情報
ハードウェア
情報
ネットワー
ク
情報
Directory
アプリケーション
情報
データベース
設定情報
Active Directory 概念図
Windows ユーザー
ユーザー情報
権限
プロファイル
ポリシー
他の NOS
ユーザー
セキュリティ
ポリシー
E-Mail サーバー
メールボックス情報
アドレス帳
Active
Directory
Windows クライアント
管理プロファイル
ネットワーク情報
ポリシー
ユーザー/リソース
セキュリティ
委任
ポリシー
アプリケーション
サーバー設定
シングルサインオン
アプリケーション個別
のディレクトリ情報
ポリシー
Windows サーバー
管理プロファイル
ネットワーク情報
サービス
プリンタ
ファイル共有
ポリシー
ネットワーク機器
設定
QoSポリシー
セキュリティポリシー
Firewall サービス
設定
セキュリティポリシー
VPNポリシー
Internet
Active Directory のソリューション(1)
・認証
Windows 2000 における認証方式
Kerberos バージョン 5 認証
Windows 2000 ネットワークのデフォルト認証
MIT(マサチューセッツ工科大学)において開発
Active Directoryをセキュリティ アカウントデータベースとして使用
X.509証明書認証
公開鍵方式の認証プロトコルとして採用
Secure Sockets Layer (SSL)/
Transport Layer Security (TLS)用/IP Security等で使用
Intranet 環境でのシングルログオンを実現
Kerberos 認証済みクライアント
Windows NT LAN Manager (NTLM) 認証
Windows NT 4.0のデフォルト認証
下位レベル(Windows9x, NT4.0など)の互換性維持
Kerberos による認証の仕組み
(ログオン時 : 1/3)
②チケット(TGT)の発行
Active
ドメイン Directory
ユーザー
コントローラ
(KDC)
①ログオン要求
Kerberos による認証の仕組み
(リソースへの初回アクセス時 : 2/3)
2.チケット発行
TGT
ドメインコントローラ
(Active Directory)
1.リソースを
利用したい
Kerberos
対応アプリケーション
ST
ユーザー
3.これが
チケット
ST
ST: Session Ticket
4.様々な
リソース
・Windows ファイル共有
・Windows プリンタ
・IIS Web サイト
・Exchange Server
・SQL Server
・SharePoint ポータルサイト
・対応アプリケーション
リソース
Kerberos による認証の仕組み
(リソースへのアクセス2回目以降 : 3/3)
ネットワーク負荷の軽減
・ ・ ・
ドメインコントローラ
(Active Directory)
Kerberos
対応アプリケーション
ユーザー
1.これが
チケット
ST
ST: Session Ticket
・Windows ファイル共有
・Windows プリンタ
・IIS Web サイト
・Exchange Server
・SQL Server
・SharePoint ポータルサイト
・対応アプリケーション
リソース
Kerberos による認証の利点
NTLM 認証の問題点を解決
認証のパフォーマンスを向上
クライアント、サーバー間の相互認証
暗号化されセキュアなチケットの受け渡し
ドメイン間の信頼関係を効率よく構築できる
Win2k & SAP WAS シングルサインオン
「Windows 2000 の Kerberos 認証を利用した SAP WebAS への
シングルサインオン設定手順書」
Service Marketplace よりダウンロード
手順は以下の通り
セントラルインスタンスの準備
– ファイル gsskrb5.dll の確認
– インスタンスプロファイルの調整 (トランザクションRZ10)
SAP フロントエンドの設定
– SAPSSO.msi の実行(インストール)
– SAP logon のシングルサインオンオプションを有効化
Win2000 ユーザーを SAP ユーザーにマッピング
– トランザクションコードSU01
Kerberos シングルサインオン
ドメインコントローラ
(Active Directory)
Kerberos
対応アプリケーション
R/3 Enterprise
ユーザー
ST
・Windowsファイル共有
・Windowsプリンタ
・IIS Webサイト
・Exchange Server
・SQL Server
・SharePoint ポータルサイト
・対応アプリケーション
・SAP Web-AS
・SAP Enterprise Portal
※ X.509証明書による認証(SSL、Web サーバ)
認証局(Verisign, SAP Trust center など
)
※Windows2000 の
証明書サービスを用いて
(Certificate Server)
自前で構築してもよい
1. ユーザ証明書発行
1.サーバ
証明書発行
Internet
3. 証明書をユーザーにマッピング
してユーザーを特定
HTTP with SSL/TLS
クライアント
ユーザ
証明書
サーバ
証明書
2. Webサーバアクセス時はお互いの
証明書を提示して相手を確認
Web
サーバ
ドメイン
コントローラ
Active
Directory
※ X.509証明書認証の利点と注意点
利点
事前の共通鍵の交換が必要ない
誰でも公開鍵を手に入れることが可能
様々な活用分野
暗号化データ通信 : SSL
暗号化メールの利用 : S/MIME
暗号化ファイルシステム : EFS
暗号化リモートアクセス認証 : EAP
手軽で堅牢なログオン : スマートカード
注意点
公開鍵の配布の問題
公開鍵の正当性を証明する必要
秘密鍵の管理
共通鍵に比べ処理に時間がかかる
※ スマートカードによるユーザー認証
スマートカード
ユーザー側の認証にカードという物理的な
デバイスを要求
記憶素子の中に証明書や秘密鍵をセキュアに格納
カードからキーを取り出す事は不可能
パスワードでなく PIN 番号を入力させる
ユーザー名/パスワードの認証よりも安全
入力は PIN No. だけなので、利用者にはより便利
スマートカード対応アプリケーション
Windowsログオン
Web 認証(SSL)
暗号化メール(S/MIME)
スマートカード対応
アプリケーション(の開発)
※ スマートカードによるユーザー認証
~ Active Directory へのログオン
2チケット(TGT)の発行
Reader
SC
Cert
AD
ユーザー
DC/KDC
1.ログオン要求
Cert
AD: Active
Directory
※ スマートカードによるユーザー認証
~ HTTPS サーバへのアクセス
認証局(Verisign, SAP Trust center)
※Windows2000 の
証明書サービスを用いて
(Certificate Server)
自前で構築してもよい
1. ユーザ証明書発行
1.サーバ
証明書発行
Reader
Internet
3. 証明書をユーザーにマッピング
してユーザーを特定
HTTP with SSL/TLS
ユーザ
証明書
クライアント
ユーザ
証明書
サーバ
証明書
2. Webサーバアクセス時はお互いの
証明書を提示して相手を確認
Web
サーバ
ドメイン
コントローラ
Active
Directory
Active Directory のソリューション(2)
・データ管理
・ソフトウエア配布
・設定管理
・ネットワーク管理
ユーザー データの管理
デスクトップ上の
「マイドキュメント」フォルダ
PC1
ファイルサーバーの
共有フォルダ
グループポリシー設定により
共有フォルダを参照するように設定
User: A
PCを移動
PC2
User: A
ユーザーは利用するPCによらず
常に自分のデータを利用可能
ユーザー、コンピュータへのソフトウェア配布
アプリケーション
シェアポイント
管理者
1.シェアポイント作成
.MSI File
2.グループポリシーに
インストール設定
Active Directory に設定を格納
インストールサービスとの統合
6.インストール開始
パッケージ
(Windows Installer)
Active
Directory
インストール完了
ドメイン,組織単位に設定可能
グループポリシー機能の利用
OSのソフトウェアインストールの
機能を利用 (Windows Installer)
インストール、アンインストール、
修復、ロールバック、
アップグレードをサポート
3.ログオン
5.アプリケーションの起動
4.ポリシー適用
利用者
リモート OS インストレーション
グループポリシー
&
ユーザーデータ
&
OS/アプリケーション
イメージ
Active
Directory
DHCP
サーバー
リモート
インストール
サーバー
4.リモート
インストール
リモート OS インストレーション
のメリット
3.リモートブートプロセス
新規 PC への OS 展開
1.PCの故障
リモートブート
クライアント
2.他の PC からリモートブート
PC 故障時の復元
復元
OS + アプリケーションの展開
ユーザーデータも含めて
故障前の環境が復元される
リモートブート NIC ROM または
リモートブートフロッピーから起動
ユーザー、コンピュータの設定管理
グループポリシーによるデスクトップ環境管理
デスクトップ環境を集中管理
ポリシーの例
ローミングユーザーサポート
全てのプロファイル情報をサーバーに格納
ユーザーデータ/ユーザー固有の設定情報
ポリシーの適用
許可されたアプリケーションだけ
実行
コントロールパネルを隠す
シャットダウンを無効にする
プリンタの削除を無効
ネットワーク全体を非表示
レジストリ編集の禁止
ユーザー設定の格納/復元
Active
Directory
管理者が設定したポリシーが適用される
グループポリシー
ユーザープロファイル
ユーザー固有の設定情報がサーバーに
格納される
どの PC にログオンしても管理者が設定したポリシー
が適用されユーザー固有の設定情報が復元される
ネットワーク帯域制御
無駄なネットワークトラフィックを極力排除
→レスポンスタイムの改善
Directory-Enable Network
ネットワークの有効利用を目的に
ネットワーク機器がディレクトリ情報
を利用する仕組み
ユーザー単位のネットワーク帯域制御
アプリケーション単位の
ネットワーク帯域制御
ネットワーク機器の設定情報の
集中管理
Active Directory
動的なファイアーウォール構成
ユーザ1; HTTP FTP
ユーザ2; Telnet POP SMTP
ユーザ3; LDAP Http FTP
Active Directory 内の情報を
利用してファイアーウォール
サーバーが動的にオープン
ポートを構成
ファイアーウォールサーバー
などの設定情報を中央で
一元管理
ユーザ1; HTTP FTP
ユーザ2; Telnet POP SMTP
ユーザ3; LDAP Http FTP
ファイアーウォール
フ
ァ
イ
ア
ー
ウ
ォ
ー
ル
Active Directory
複数ディレクトリサービスの統合と連携
・基本的な考え方
・Active Directoryを中心にするケース
・MMS (Microsoft Metadirectory Service)を
中心にするケース
複数のユーザーアカウントとパスワード
利用するリソース毎に異なるオペレーション
全ディレクトリの情報が同期されるまで、
ビジネス上のつじつまが合わない
複数ディレクトリのメンテナンス作業負荷大
ディレクトリ間での情報の一貫性維持が難
組織の変化(合併、再編等)のスピードに
システムが追随できない
ディレクトリ毎に異なるAPI
アクセス制御ロジックは独自に開発要
本来のビジネスロジック自体の開発以外に
留意する事項が増大
TCO の増大
生産性の著しい低下
アプリケーションの複雑化
開発者
管理者
ユーザー
複数ディレクトリサービス環境の問題
問題解決への短期的、長期的取組み
複数
ディレクトリ環境
の問題
TCO の増大
生産性の著しい低下
アプリケーションの複雑化
1. 問題解決への
短期的な
取り組み
ディレクトリサービス数削減
にむけた緩やかな移行
2. 問題解決への
長期的な
取り組み
グローバルなディレクトリ
サービスへの収束
TCOの削減、生産性の向上、
ビジネスアプリケーションの容易な開発
考えられるアプローチ
Directory
アプリケーション
Directory
Access
Interface
API
ツール
理想
マルチディレクトリアクセス
Directory
Directory
Directory
コネクタによる同期
理想に到達するために、経過措置
として講じる複数のテクニック
ハブ&スポークアーキテクチャ
ERP
アプリケーション
アプリケーション
Directory
アプリケーション
コネクタ
Directory
人事システム
LDAPプロキシインタフェース
DB
Meta-Directory
NOS
Directory
アプリケーション
DB
ブローカ エンジン
メタデータ
その他
Directory
LDAPインタフェース
ブローカ エンジン
Directory
Database
メタデータ
Flat File
マイクロソフトが推し進めるアプローチ
マルチディレクトリアクセス
理想
アプリケーション &
スクリプト
アプリケーション
Active Directory
ハブ&スポークアーキテクチャ
ERP
アプリケーション
NT
ADSI
Active
Directory
NDS
LDAP
人事システム
コネクタによる同期
DB
DB
アプリケーション
アプリケーション
SQL Server
NOS
Directory
MMS
メタデータ
Windows
2000
Active
Directory
Active
Directory
ADC
MSDSS
etc…
Exchange,
NDS等
LDAPプロキシインタフェース
MMS: Microsoft Metadirectory Service
MSDSS: Microsoft Directory Synchronization Service
(SFNW5(Service for NetWare)のコンポーネント)
ADC: Active Directory Connector
マイクロソフトはこの分野にフォーカスしない
Active Directory を中心とした統合・連携
Exchange
5.5
Active
Directory
同期
Group
Wise
照会 / 追加 ADSI
更新 / 削除
ADSI
Active Directory
Connector
LDAP
同期 / 移行
NDS or
NetWare
3.x
Binderies
UNIX NIS
COM
コンポーネント
照会 / 追加
更新 / 削除
C言語
プログラム
Services for
Netware
ver.5.0
同期 / 移行
Services for
Unix Ver.2.0
NT, AD,
NDS,
LDAP
インポート&
エクスポート
CSVDE.EXE
LDIFDE.EXE
LDAP
LDAP
LDFファイル
CSVファイル
※LDIF: LDAPディレクトリ一括更新に関するIETFのRFC
Active Directoryがサポートする
プロトコルとインターフェース
ディレクトリサービスプロトコル
LDAP バージョン2および3をネイティブサポート
他のLDAP互換クライアントアプリケーションによる
アクセスも可能
プログラミング インターフェース
ADSI (Active Directory Service Interface)
Visual Studio (VB,VC++),VBScriptにて開発
Office アプリケーションからも利用可能
LDAP C API
インターネット標準RFC1823にて定義
LDAPプロトコル対応のC言語によるAPI
Active DirectoryとUNIXとの統合・連携
Services for UNIX 2.0
パスワード同期
Windowsのパスワードが変更されると
UNIXのパスワードも変更、またはその逆も可能
ユーザー名マッピング
Active DirectoryとUNIXのユーザーアカウントをマッピング
NISサーバーおよびパスワードファイル等からマッピング可能
NFS サーバー / クライアント / ゲートウェイ
NFSファイルシステムとWindowsディレクトリを
ネットワークファイルシステムとして相互接続
NISサーバー
UNIX NISネットワークとActive Directoryの統合
NISドメインマップをActive Directoryにインポート
Active DirectoryがNISドメインのマスターサーバーとして動作
UNIX コマンドライン ツール (60種類)
Active DirectoryとNetWareとの統合・連携
Services for NetWare 5.0
ディレクトリ同期サービス
双方向、または一方向のディレクトリ同期
NetWareファイルの管理と移行
ファイル移行ユーティリティ
ディレクトリ同期サービスとの連携により、
セキュリティ許可情報なども移行時に継承
ユーザーやアカウントの移行の簡素化
NetWare用ファイルと印刷サービスはWindows 2000
ServerをあたかもNetWareのファイル/プリント
サーバーと同様に運用管理
Microsoft Metadirectory Service (MMS)
を中心とした統合・連携
IIS
AD
Management
Agent
DCOM
AD
MMS
SAP
SAP
Management
Agent
SQL 2000
Database
Oracle
(Store)
Management
Agent
MMS Server
SOAP
HTTP
Clien
t
(Winform
)
MMSを中心としたデータフローのイメージ
人事システム
Metadirectory
イチロー
Full Name
Title
Employee ID
Ichiro
Suzuki
Email Address
Telelphone
Common Name
メタバース
(Metaverse)
Full Name
Title
Employee ID
Full Name
Title
Employee ID
E-mail システム
ichiros
ISuzuki
コネクタ
スペース
Email Address
Title
Telephone
Common Name
Office Location
Email Address
Telephone
Email Address
Title
Telephone
Common Name
LDAP ディレクトリ
Office Location
Telephone
Email address
MMS 2.2
現在の最新バージョン
1999年 7月 ZOOMIT社の買収により併合した
テクノロジーをさらに拡張
企業向けのアイデンティティ情報の同期・管理の
ための柔軟性の高いフレームワーク
US版のみ提供
Microsoft Consulting Service (MCS) または、
認定パートナー経由でのみ提供
製品自体は無償
導入事例: ICL, Katten Muchin Zavis, Pirelli
MMS 2.2 特長と課題
特長
オブジェクトの作成・変更・削除
高い接続性
多種多様なマネージメント エージェント (MA)
確実に複数システム間の一貫性を維持
各システムとの同期処理のステートを管理
複数格納先のアイデンティティ情報の一貫性維持
アイデンティティ情報のタイムリーな更新
課題
アーキテクチャ
独自のデータ格納形式
独自のスクリプティング言語
グローバライゼーションが困難
MMS 3.0の開発方針
SQL Server 2000をデータストアに採用
既存のスキルと資産を生かした展開が可能
バックアップ/リストア
リプリケーション (複製)
クラスタリングによる可用性の確保
各種のSQL管理ツールを利用可能
スケーラビリティ
完全なグローバライズ (Unicode対応)
マネジメント エージェント (MA)
第一弾:
Active Directory, XML/File, iPlanet/LDAP
順次提供(時期未定):
Exchange 5.5, Lotus Notes, Relational Database,
PeopleSoft, SAP
MMS ロードマップ
MMS 3.0
Beta Release
Final Release
Done (10月)
Q1 2003 (予定)
MMS 3.1 (Fairbanks)
追加のマネジメント エージェント (MA)
先進の階層ビジュアル機能 (Polyarchy Viewer)
ローカライズ版の追加提供
日本語、ドイツ語、フランス語, スペイン語、
イタリア語、中国語
Final Release
Q2-Q3 2003 (予定)
まとめ
Active Directoryがもたらすソリューションは数多い
今回紹介したソリューション以外にも、
VPN, IPSec, 分散ファイルシステム, ターミナルサービス,
認証局などの機能、付加価値を高める役割
Active Directoryのアーキテクチャは日々革新
4.0 → 2000での大変革の後、 .NETでは‘枯れた技術’に
可用性と拡張性が向上し、導入はさらに容易に
複数ディレクトリサービスの統合・連携には
現状:Active Directoryを中心にする
LDAP, ADSI, 各種コネクタを利用
今後:MMSを中心にした、より完成度の高い統合・連携
フロー制御、障害管理、参照整合性、きめ細かいデータ加工 etc..
Windows Web
Windows 2000 Server
http://www.microsoft.com/japan/windows2000/
http://www.microsoft.com/japan/windows2000/techinfo/plan
ning/walkthroughs/default.asp (ステップバイステップガイド)
Windows .NET Server 2003
http://www.microsoft.com/japan/windows.netserver/default.
mspx
Windows スマートカードソリューション
凸版印刷とマイクロソフトがICカード分野で協業
http://www.microsoft.com/japan/presspass/releas
es/030501topp.htm
大日本印刷とマイクロソフト、Windows for Smart
Cardsをベースとしたスマートカード分野でのパート
ナーシップを発表
http://www.microsoft.com/JAPAN/presspass/REL
EASES/091800smar.htm
ディレクトリ連携
Services for UNIX 2.0
http://www.microsoft.com/japan/windows2000/sfu/sfuincluded
.asp
Services for Netware 5.0
http://www.microsoft.com/japan/windows2000/sfn/default.asp
LDAP
http://www.microsoft.com/windows2000/techinfo/howitworks/active
directory/ldap.asp
MMS 2.2
http://www.microsoft.com/windows2000/technologies/director
y/MMS/default.asp
http://www.microsoft.com/japan/windows2000/techinfo/howit
works/activedirectory/mmsintro.asp
“Windows Insider”
http://www.atmarkit.co.jp/fwin2k/
管理者のための Active Directory 入門
(連載)NT管理者のためのActive Directory入門
http://www.atmarkit.co.jp/fwin2k/operation/adprimer001/adpr
imer001_01.html
http://www.atmarkit.co.jp/fnetwork/rensai/ad01/ad01.html
Active Directoryが次期Windowsで飛躍的進化
http://www.atmarkit.co.jp/fwin2k/insiderseye/20020827dotne
t_ad/dotnet_ad_01.html
Active Directory 運用事例
株式会社東北電力様での運用レポート
http://www.microsoft.com/japan/technet/treeview/
default.asp?url=/japan/technet/prodtechnol/windo
ws2000serv/case/tohoku.asp
SAP / Microsoft Alliance Web
http://www.ms-sap.com (JPN)
http://www.microsoft-sap.com (World Wide)
It’s
more
software -
than
it’s a
strategic
solution !
Backup slide
Active Directoryのアーキテクチャと導入
・4.0から2000での変更
・マイクロソフト社内事例
・2000から .NETでの変更
Windows NT 4.0 ドメインアーキテクチャ
シングルマスタ レプリケーション
PDC停止による影響が大きい
メンバーサーバー <-> DCの変更が不可
フラットなデータベース
管理の委譲がドメイン単位にしかできない
複数ドメインの信頼関係の維持管理コスト大
ドメイン間のユーザー移動ができない
スキーマの拡張性
プロパティの拡張ができない
Windows 2000
Active Directory アーキテクチャ
マルチマスタレプリケーション
耐障害性、パフォーマンスの向上
柔軟な構成変更が可能
全てのリソースは階層化されて一元管理
管理権限の委任
スキーマ構造を拡張可能
アプリケーションが利用するアカウント情報を
Active Directoryに集約可能
アプリケーションの特性に応じて、データベース
スキーマを拡張可能
※ Active Directoryの可用性向上
マルチマスタレプリケーション
DC
ディレクトリ
情報
コピー
PDCとBDCの区別なし
各ドメインコントローラで
ユーザー登録やパスワード
変更が可能
コピー
DC
ディレクトリ
情報
DC
ディレクトリ
情報
コピー
コピー
DC
ディレクトリ
情報
コピー
マイクロソフト社内事例
Windows NT 4.0 ドメインデザイン
約 5000 の信頼関係 (!)
13 マスター ユーザー ドメイン (MUDS)
双方向の信頼関係
Africa
Central
Europe
Far
East
片方向の信頼関係
Middle
East
MSLI
Corp
MSForest
North Northern South Southern
MSNBCI Redmond America Europe America
Europe
SYSWINNT
AppsWGA
リソース ドメイン (約420)
South
Pacific
VMUDVendor
マイクロソフト 社内事例
Windows 2000 Active Directory ツリーデザイン
Redmond ドメイン
27,331 users, 5,046 groups
10 Windows 2000 DCs
Xeon ×4, 1GB RAM, 36GB HD
AD Database 310 MB, GC 333MB
一日19,000 以上のログイン
CPU 使用率 10% 以下
Redmond
CA
NAmerica
SAmerica
MX
AR*
BR*
CL*
CO*
EC*
PE*
VE*
Namerica
OU’s
AZ* Calif*
CN* CO*
DC* FL*
GA* HI*
IL* IN*
MA* MI*
MN* MO*
NJ* NY*
OH* OR*
PA* PR*
SC* TX*
U.K.
corp.microsoft.com
Europe
DE
Europe OU’s
AT* BE*
CH* CZ*
DK* ES*
FI*
GR*
HR* HU*
IE*
IT*
NL* NO*
PL* PT*
RO* RU*
SE* SK*
SI*
MEast
FR
AE*
IL*
SA*
TR*
FEast
JP
CN*
HK*
IN*
KR*
TW*
Africa
MA*
ZA*
EG*
KE*
CI*
SPacific
AU
ワールド ワイドでシングル フォレスト
ルート ドメインは13個の子ドメイン
110万オブジェクト
グローバルカタログのDITサイズ19GB
MY*
NZ*
PH*
SG*
TH*
ID*
VN*
Vendors
Partners
KAO
MSNBCI
Windows
NT 4.0 trust
w/vendor’s
domain
Windows
NT 4.0 trust
w/partner’s
domain
マイクロソフト社内事例(AD移行のメリット)
ドメインデータベース数の削減 (433 14)
信頼関係の維持管理コストの削減 (5000 13)
ドメインコントローラ数の削減
従来はリソースドメイン毎に少なくとも2台のDC
DNSの管理の簡素化
DNSの管理をActive Directoryの管理と統合
ソリューションの実現
グループポリシーによるアプリケーションの自動インストール
“プリンタの検索” 機能により、利便性を向上
マイクロソフト社内事例(情シ部門の考察)
Active Directory は下記の点で非常にうまく機能している
WAN 回線を介しても効率的に複製処理が行われる
非常に多くの複製(レプリカ)をサポートできる
非常に多くのオブジェクト数を格納できる
属性レベルのセキュリティ設定を行うことができる
Norway
Finland
Poland Russia
DenmarkSweden
Ireland
Holland Czech Rep
Germany
England Belgium
Austria
France Switzerland
Spain
Hungary
Italy
Portugal
Turkey
Greece Israel
Morocco
Egypt UAE
Data
Center
Korea Japan
China
Taiwan
Hong
New Delhi
KongPhilippines
Bombay
Thailand
Bangalore
Kuala Lumpur
Singapore
Data
Center
Redmond
Data
Center
Bismarck
Boston
Oregon
Tucson
Charlotte
Dallas
Smyrna
Puerto Rico
Mexico
BogotaVenezuela
Medellin
Ecuador
Peru
Indonesia
Australia
New Zealand
Ivory Coast
Kenya
Brazil
Chile Uruguay
Argentina
South Africa
マイクロソフト社内事例(情シ部門の考察)
展開時の課題
DCインストール時の複製時間
ネイティブモードログオン時のGCアクセスの影響
サイト数増大にともなう管理負担の増加
複製によるグループメンバー衝突の可能性
GC格納属性の変更による完全複製
アップグレード時のドメインコントローラへの負荷集中
スキーマクラス・属性の再定義が困難
ドメイン名の変更不可
管理面での課題
DCコンピュータ名の変更不可
管理ツールの操作性
コマンドラインによる管理ツールの不足
(参考) Windows Server 2003での改良
※ 2003年第一四半期リリース予定
柔軟性の向上
ドメイン名変更と構造の再構築
スキーマの無効化
フォレスト間の信頼関係
コンソールの強化
ネットワークの利用効率の改善
ユニバーサルグループキャッシング
グループ複製メカニズムの改善
移行と展開の簡易化
オブジェクト移行ツールの改善
メディアからの複製インストール