Active Directory - Center

Transcript Active Directory - Center

マイクロソフトが提供する
ディレクトリサービス
マイクロソフト株式会社
SAP/Microsoft コンピテンスセンター
Agenda
 はじめに
 ディレクトリサービスとは？
 Active Directory とは？
 Active Directory がもたらすソリューション
 認証
 データ管理、ソフトウエア配布、設定管理、ネットワーク管理
 複数ディレクトリサービスの統合と連携
 基本的な考え方
 Active Directory を中心にするケース
 Microsoft Metadirectory Service (MMS) を中心にするケース
 まとめ
 Backup (Active Directoryのアーキテクチャと導入)
 4.0 から 2000 での変更
 マイクロソフト社内事例
 2000から .NET での変更
はじめに
・ディレクトリサービスとは？
・Active Directory とは？
ディレクトリとは？
ディレクトリサービスとは？


ディレクトリ = 住所録、電話帳
ディレクトリサービス = 電話番号案内
名前
電話番号
住所
江端忠志
03-1234-5678
東京都渋谷区笹塚・・・・・
渡辺忠典
03-4321-8765
東京都新宿区西新宿・・・・・
① 104番に問い合わせ
② データベースを検索
電話番号の
データベース
ユーザー
オペレーター
④ 目的の電話番号を知る
③ 電話番号を入手
各サービスに散在するディレクトリ
 問題点
 混在する情報と管理方式
ネットワーク
アプリケーション
OS
メール
データベース
ディレクトリの統合と一元管理
ユーザー
情報
メール
情報
ＯＳ
情報
ハードウェア
情報
ネットワー
ク
情報
Directory
アプリケーション
情報
データベース
設定情報
Active Directory 概念図
Windows ユーザー
 ユーザー情報
 権限
 プロファイル
 ポリシー
他の NOS
 ユーザー
 セキュリティ
 ポリシー
E-Mail サーバー
 メールボックス情報
 アドレス帳
Active
Directory
Windows クライアント
 管理プロファイル
 ネットワーク情報
 ポリシー




ユーザー/リソース
セキュリティ
委任
ポリシー
アプリケーション
 サーバー設定
 シングルサインオン
 アプリケーション個別
のディレクトリ情報
 ポリシー
Windows サーバー
 管理プロファイル
 ネットワーク情報
 サービス
 プリンタ
 ファイル共有
 ポリシー
ネットワーク機器
 設定
 QoSポリシー
 セキュリティポリシー
Firewall サービス
 設定
 セキュリティポリシー
 VPNポリシー
Internet
Active Directory のソリューション（１）
・認証
Windows 2000 における認証方式
 Kerberos バージョン 5 認証
 Windows 2000 ネットワークのデフォルト認証
 MIT(マサチューセッツ工科大学)において開発
 Active Directoryをセキュリティアカウントデータベースとして使用
 X.509証明書認証
 公開鍵方式の認証プロトコルとして採用
 Secure Sockets Layer (SSL)/
Transport Layer Security (TLS)用/IP Security等で使用
 Intranet 環境でのシングルログオンを実現
 Kerberos 認証済みクライアント
 Windows NT LAN Manager (NTLM) 認証
 Windows NT 4.0のデフォルト認証
 下位レベル(Windows9x, NT4.0など)の互換性維持
Kerberos による認証の仕組み
（ログオン時 : 1/3）
②チケット（TGT）の発行
Active
ドメイン Directory
ユーザー
コントローラ
(KDC)
①ログオン要求
Kerberos による認証の仕組み
（リソースへの初回アクセス時 : 2/3）
2.チケット発行
TGT
ドメインコントローラ
(Active Directory)
1.リソースを
利用したい
Kerberos
対応アプリケーション
ST
ユーザー
3.これが
チケット
ST
ST: Session Ticket
4.様々な
リソース
・Windows ファイル共有
・Windows プリンタ
・IIS Web サイト
・Exchange Server
・SQL Server
・SharePoint ポータルサイト
・対応アプリケーション
リソース
Kerberos による認証の仕組み
（リソースへのアクセス2回目以降 : 3/3）
 ネットワーク負荷の軽減
・・・
ドメインコントローラ
(Active Directory)
Kerberos
対応アプリケーション
ユーザー
1.これが
チケット
ST
ST: Session Ticket
・Windows ファイル共有
・Windows プリンタ
・IIS Web サイト
・Exchange Server
・SQL Server
・SharePoint ポータルサイト
・対応アプリケーション
リソース
Kerberos による認証の利点
 NTLM 認証の問題点を解決




認証のパフォーマンスを向上
クライアント、サーバー間の相互認証
暗号化されセキュアなチケットの受け渡し
ドメイン間の信頼関係を効率よく構築できる
Win2k & SAP WAS シングルサインオン
 「Windows 2000 の Kerberos 認証を利用した SAP WebAS への
シングルサインオン設定手順書」
 Service Marketplace よりダウンロード
 手順は以下の通り
 セントラルインスタンスの準備
– ファイル gsskrb5.dll の確認
– インスタンスプロファイルの調整 (トランザクションRZ10)
 SAP フロントエンドの設定
– SAPSSO.msi の実行（インストール）
– SAP logon のシングルサインオンオプションを有効化
 Win2000 ユーザーを SAP ユーザーにマッピング
– トランザクションコードSU01
Kerberos シングルサインオン
ドメインコントローラ
(Active Directory)
Kerberos
対応アプリケーション
R/3 Enterprise
ユーザー
ST
・Windowsファイル共有
・Windowsプリンタ
・IIS Webサイト
・Exchange Server
・SQL Server
・SharePoint ポータルサイト
・対応アプリケーション
・SAP Web-AS
・SAP Enterprise Portal
※ X.509証明書による認証（SSL、Web サーバ）
認証局（Verisign, SAP Trust center など
)
※Windows2000 の
証明書サービスを用いて
（Certificate Server）
自前で構築してもよい
1. ユーザ証明書発行
1.サーバ
証明書発行
Internet
3. 証明書をユーザーにマッピング
してユーザーを特定
HTTP with SSL/TLS
クライアント
ユーザ
証明書
サーバ
証明書
2. Webサーバアクセス時はお互いの
証明書を提示して相手を確認
Web
サーバ
ドメイン
コントローラ
Active
Directory
※ X.509証明書認証の利点と注意点
 利点



事前の共通鍵の交換が必要ない
誰でも公開鍵を手に入れることが可能
様々な活用分野





暗号化データ通信 : SSL
暗号化メールの利用 : S/MIME
暗号化ファイルシステム : EFS
暗号化リモートアクセス認証 : EAP
手軽で堅牢なログオン : スマートカード
 注意点




公開鍵の配布の問題
公開鍵の正当性を証明する必要
秘密鍵の管理
共通鍵に比べ処理に時間がかかる
※ スマートカードによるユーザー認証
 スマートカード
 ユーザー側の認証にカードという物理的な
デバイスを要求
 記憶素子の中に証明書や秘密鍵をセキュアに格納

カードからキーを取り出す事は不可能
 パスワードでなく PIN 番号を入力させる


ユーザー名／パスワードの認証よりも安全
入力は PIN No. だけなので、利用者にはより便利
 スマートカード対応アプリケーション




Windowsログオン
Web 認証(SSL)
暗号化メール(S/MIME)
スマートカード対応
アプリケーション（の開発）
※ スマートカードによるユーザー認証
～ Active Directory へのログオン
2チケット（TGT）の発行
Reader
SC
Cert
AD
ユーザー
DC/KDC
1.ログオン要求
Cert
AD: Active
Directory
※ スマートカードによるユーザー認証
～ HTTPS サーバへのアクセス
認証局（Verisign, SAP Trust center)
※Windows2000 の
証明書サービスを用いて
（Certificate Server）
自前で構築してもよい
1. ユーザ証明書発行
1.サーバ
証明書発行
Reader
Internet
3. 証明書をユーザーにマッピング
してユーザーを特定
HTTP with SSL/TLS
ユーザ
証明書
クライアント
ユーザ
証明書
サーバ
証明書
2. Webサーバアクセス時はお互いの
証明書を提示して相手を確認
Web
サーバ
ドメイン
コントローラ
Active
Directory
Active Directory のソリューション（２）
・データ管理
・ソフトウエア配布
・設定管理
・ネットワーク管理
ユーザーデータの管理
デスクトップ上の
「マイドキュメント」フォルダ
PC1
ファイルサーバーの
共有フォルダ
グループポリシー設定により
共有フォルダを参照するように設定
User: A
PCを移動
PC2
User: A
ユーザーは利用するPCによらず
常に自分のデータを利用可能
ユーザー、コンピュータへのソフトウェア配布
アプリケーション
シェアポイント
管理者

1.シェアポイント作成


.MSI File

2.グループポリシーに
インストール設定
Active Directory に設定を格納
インストールサービスとの統合

6.インストール開始
パッケージ

(Windows Installer)
Active
Directory
インストール完了
ドメイン,組織単位に設定可能
グループポリシー機能の利用
OSのソフトウェアインストールの
機能を利用 (Windows Installer)
インストール、アンインストール、
修復、ロールバック、
アップグレードをサポート
3.ログオン
5.アプリケーションの起動
4.ポリシー適用
利用者
リモート OS インストレーション
グループポリシー
&
ユーザーデータ
&
OS/アプリケーション
イメージ
Active
Directory
DHCP
サーバー
リモート
インストール
サーバー
4.リモート
インストール
 リモート OS インストレーション
のメリット
3.リモートブートプロセス

新規 PC への OS 展開


1.PCの故障

リモートブート
クライアント
2.他の PC からリモートブート
PC 故障時の復元

復元
OS + アプリケーションの展開
ユーザーデータも含めて
故障前の環境が復元される
リモートブート NIC ROM または
リモートブートフロッピーから起動
ユーザー、コンピュータの設定管理
 グループポリシーによるデスクトップ環境管理

デスクトップ環境を集中管理
ポリシーの例
 ローミングユーザーサポート



全てのプロファイル情報をサーバーに格納
ユーザーデータ／ユーザー固有の設定情報




ポリシーの適用

許可されたアプリケーションだけ
実行
コントロールパネルを隠す
シャットダウンを無効にする
プリンタの削除を無効
ネットワーク全体を非表示
レジストリ編集の禁止
ユーザー設定の格納/復元
Active
Directory
管理者が設定したポリシーが適用される
グループポリシー
ユーザープロファイル
ユーザー固有の設定情報がサーバーに
格納される
どの PC にログオンしても管理者が設定したポリシー
が適用されユーザー固有の設定情報が復元される
ネットワーク帯域制御
無駄なネットワークトラフィックを極力排除
→レスポンスタイムの改善




Directory-Enable Network
 ネットワークの有効利用を目的に
ネットワーク機器がディレクトリ情報
を利用する仕組み
ユーザー単位のネットワーク帯域制御
アプリケーション単位の
ネットワーク帯域制御
ネットワーク機器の設定情報の
集中管理
Active Directory
動的なファイアーウォール構成
ユーザ1; HTTP FTP
ユーザ2; Telnet POP SMTP
ユーザ3; LDAP Http FTP


Active Directory 内の情報を
利用してファイアーウォール
サーバーが動的にオープン
ポートを構成
ファイアーウォールサーバー
などの設定情報を中央で
一元管理
ユーザ1; HTTP FTP
ユーザ2; Telnet POP SMTP
ユーザ3; LDAP Http FTP
ファイアーウォール
フ
ァ
イ
ア
ー
ウ
ォ
ー
ル
Active Directory
複数ディレクトリサービスの統合と連携
・基本的な考え方
・Active Directoryを中心にするケース
・MMS (Microsoft Metadirectory Service)を
中心にするケース
複数のユーザーアカウントとパスワード
 利用するリソース毎に異なるオペレーション
 全ディレクトリの情報が同期されるまで、
ビジネス上のつじつまが合わない

複数ディレクトリのメンテナンス作業負荷大
 ディレクトリ間での情報の一貫性維持が難
 組織の変化(合併、再編等)のスピードに
システムが追随できない

ディレクトリ毎に異なるAPI
 アクセス制御ロジックは独自に開発要
 本来のビジネスロジック自体の開発以外に
留意する事項が増大

TCO の増大
生産性の著しい低下
アプリケーションの複雑化
開発者
管理者
ユーザー
複数ディレクトリサービス環境の問題
問題解決への短期的、長期的取組み
複数
ディレクトリ環境
の問題
TCO の増大
生産性の著しい低下
アプリケーションの複雑化
1. 問題解決への
短期的な
取り組み
ディレクトリサービス数削減
にむけた緩やかな移行
2. 問題解決への
長期的な
取り組み
グローバルなディレクトリ
サービスへの収束
TCOの削減、生産性の向上、
ビジネスアプリケーションの容易な開発
考えられるアプローチ
Directory
アプリケーション
Directory
Access
Interface
API
ツール
理想
マルチディレクトリアクセス
Directory
Directory
Directory
コネクタによる同期
理想に到達するために、経過措置
として講じる複数のテクニック
ハブ&スポークアーキテクチャ
ERP
アプリケーション
アプリケーション
Directory
アプリケーション
コネクタ
Directory
人事システム
LDAPプロキシインタフェース
DB
Meta-Directory
NOS
Directory
アプリケーション
DB
ブローカエンジン
メタデータ
その他
Directory
LDAPインタフェース
ブローカエンジン
Directory
Database
メタデータ
Flat File
マイクロソフトが推し進めるアプローチ
マルチディレクトリアクセス
理想
アプリケーション &
スクリプト
アプリケーション
Active Directory
ハブ&スポークアーキテクチャ
ERP
アプリケーション
NT
ADSI
Active
Directory
NDS
LDAP
人事システム
コネクタによる同期
DB
DB
アプリケーション
アプリケーション
SQL Server
NOS
Directory
MMS
メタデータ
Windows
2000
Active
Directory
Active
Directory
ADC
MSDSS
etc…
Exchange,
NDS等
LDAPプロキシインタフェース
MMS: Microsoft Metadirectory Service
MSDSS: Microsoft Directory Synchronization Service
(SFNW5(Service for NetWare)のコンポーネント)
ADC: Active Directory Connector
マイクロソフトはこの分野にフォーカスしない
Active Directory を中心とした統合・連携
Exchange
5.5
Active
Directory
同期
Group
Wise
照会 / 追加ＡＤＳＩ
更新 / 削除
ＡＤＳＩ
Active Directory
Connector
LDAP
同期 / 移行
NDS or
NetWare
3.x
Binderies
UNIX NIS
COM
コンポーネント
照会 / 追加
更新 / 削除
Ｃ言語
プログラム
Services for
Netware
ver.5.0
同期 / 移行
Services for
Unix Ver.2.0
NT, AD,
NDS,
LDAP
インポート&
エクスポート
CSVDE.EXE
LDIFDE.EXE
LDAP
LDAP
LDFファイル
CSVファイル
※LDIF: LDAPディレクトリ一括更新に関するIETFのRFC
Active Directoryがサポートする
プロトコルとインターフェース
 ディレクトリサービスプロトコル
 LDAP バージョン2および3をネイティブサポート
 他のLDAP互換クライアントアプリケーションによる
アクセスも可能
 プログラミングインターフェース
 ADSI (Active Directory Service Interface)
 Visual Studio (VB,VC++）,VBScriptにて開発
 Office アプリケーションからも利用可能
 LDAP C API
 インターネット標準RFC1823にて定義
 LDAPプロトコル対応のC言語によるAPI
Active DirectoryとUNIXとの統合・連携
Services for UNIX 2.0
 パスワード同期

Windowsのパスワードが変更されると
UNIXのパスワードも変更、またはその逆も可能
 ユーザー名マッピング


Active DirectoryとUNIXのユーザーアカウントをマッピング
NISサーバーおよびパスワードファイル等からマッピング可能
 NFS サーバー / クライアント / ゲートウェイ

NFSファイルシステムとWindowsディレクトリを
ネットワークファイルシステムとして相互接続
 NISサーバー



UNIX NISネットワークとActive Directoryの統合
NISドメインマップをActive Directoryにインポート
Active DirectoryがNISドメインのマスターサーバーとして動作
 UNIX コマンドラインツール（60種類）
Active DirectoryとNetWareとの統合・連携
Services for NetWare 5.0
 ディレクトリ同期サービス
 双方向、または一方向のディレクトリ同期
 NetWareファイルの管理と移行
 ファイル移行ユーティリティ
 ディレクトリ同期サービスとの連携により、
セキュリティ許可情報なども移行時に継承
 ユーザーやアカウントの移行の簡素化
 NetWare用ファイルと印刷サービスはWindows 2000
ServerをあたかもNetWareのファイル／プリント
サーバーと同様に運用管理
Microsoft Metadirectory Service (MMS)
を中心とした統合・連携
IIS
AD
Management
Agent
DCOM
AD
MMS
SAP
SAP
Management
Agent
SQL 2000
Database
Oracle
(Store)
Management
Agent
MMS Server
SOAP
HTTP
Clien
t
(Winform
)
MMSを中心としたデータフローのイメージ
人事システム
Metadirectory
イチロー
Full Name
Title
Employee ID
Ichiro
Suzuki
Email Address
Telelphone
Common Name
メタバース
(Metaverse)
Full Name
Title
Employee ID
Full Name
Title
Employee ID
E-mail システム
ichiros
ISuzuki
コネクタ
スペース
Email Address
Title
Telephone
Common Name
Office Location
Email Address
Telephone
Email Address
Title
Telephone
Common Name
LDAP ディレクトリ
Office Location
Telephone
Email address
MMS 2.2
現在の最新バージョン
1999年 7月 ZOOMIT社の買収により併合した
テクノロジーをさらに拡張
企業向けのアイデンティティ情報の同期・管理の
ための柔軟性の高いフレームワーク
US版のみ提供
Microsoft Consulting Service (MCS) または、
認定パートナー経由でのみ提供
製品自体は無償
導入事例： ICL, Katten Muchin Zavis, Pirelli
MMS 2.2 特長と課題
特長
 オブジェクトの作成・変更・削除
 高い接続性
 多種多様なマネージメントエージェント (MA)
 確実に複数システム間の一貫性を維持
 各システムとの同期処理のステートを管理
 複数格納先のアイデンティティ情報の一貫性維持
 アイデンティティ情報のタイムリーな更新
課題
 アーキテクチャ
 独自のデータ格納形式
 独自のスクリプティング言語
 グローバライゼーションが困難
MMS 3.0の開発方針
 SQL Server 2000をデータストアに採用
 既存のスキルと資産を生かした展開が可能





バックアップ／リストア
リプリケーション (複製)
クラスタリングによる可用性の確保
各種のSQL管理ツールを利用可能
スケーラビリティ
 完全なグローバライズ (Unicode対応)
 マネジメントエージェント (MA)
 第一弾：
 Active Directory, XML/File, iPlanet/LDAP
 順次提供(時期未定)：
 Exchange 5.5, Lotus Notes, Relational Database,
PeopleSoft, SAP
MMS ロードマップ
 MMS 3.0
 Beta Release
 Final Release
Done (10月)
Q1 2003 (予定)
 MMS 3.1 (Fairbanks)
 追加のマネジメントエージェント (MA)
 先進の階層ビジュアル機能 (Polyarchy Viewer)
 ローカライズ版の追加提供

日本語、ドイツ語、フランス語, スペイン語、
イタリア語、中国語
 Final Release
Q2-Q3 2003 (予定)
まとめ
Active Directoryがもたらすソリューションは数多い
 今回紹介したソリューション以外にも、
VPN, IPSec, 分散ファイルシステム, ターミナルサービス,
認証局などの機能、付加価値を高める役割
Active Directoryのアーキテクチャは日々革新
 4.0 → 2000での大変革の後、 .NETでは‘枯れた技術’に
 可用性と拡張性が向上し、導入はさらに容易に
複数ディレクトリサービスの統合・連携には
 現状：Active Directoryを中心にする
 LDAP, ADSI, 各種コネクタを利用
 今後：MMSを中心にした、より完成度の高い統合・連携
 フロー制御、障害管理、参照整合性、きめ細かいデータ加工 etc..
Windows Web
 Windows 2000 Server
 http://www.microsoft.com/japan/windows2000/
 http://www.microsoft.com/japan/windows2000/techinfo/plan
ning/walkthroughs/default.asp (ステップバイステップガイド)
 Windows .NET Server 2003
 http://www.microsoft.com/japan/windows.netserver/default.
mspx
Windows スマートカードソリューション
凸版印刷とマイクロソフトがICカード分野で協業
 http://www.microsoft.com/japan/presspass/releas
es/030501topp.htm
大日本印刷とマイクロソフト、Windows for Smart
Cardsをベースとしたスマートカード分野でのパート
ナーシップを発表
 http://www.microsoft.com/JAPAN/presspass/REL
EASES/091800smar.htm
ディレクトリ連携
 Services for UNIX 2.0
 http://www.microsoft.com/japan/windows2000/sfu/sfuincluded
.asp
 Services for Netware 5.0
 http://www.microsoft.com/japan/windows2000/sfn/default.asp
 LDAP
 http://www.microsoft.com/windows2000/techinfo/howitworks/active
directory/ldap.asp
 MMS 2.2
 http://www.microsoft.com/windows2000/technologies/director
y/MMS/default.asp
 http://www.microsoft.com/japan/windows2000/techinfo/howit
works/activedirectory/mmsintro.asp
“Windows Insider”
 http://www.atmarkit.co.jp/fwin2k/

管理者のための Active Directory 入門


（連載）NT管理者のためのActive Directory入門


http://www.atmarkit.co.jp/fwin2k/operation/adprimer001/adpr
imer001_01.html
http://www.atmarkit.co.jp/fnetwork/rensai/ad01/ad01.html
Active Directoryが次期Windowsで飛躍的進化

http://www.atmarkit.co.jp/fwin2k/insiderseye/20020827dotne
t_ad/dotnet_ad_01.html
Active Directory 運用事例
株式会社東北電力様での運用レポート
 http://www.microsoft.com/japan/technet/treeview/
default.asp?url=/japan/technet/prodtechnol/windo
ws2000serv/case/tohoku.asp
SAP / Microsoft Alliance Web
http://www.ms-sap.com (JPN)
http://www.microsoft-sap.com (World Wide)
It’s
more
software -
than
it’s a
strategic
solution !
Backup slide
Active Directoryのアーキテクチャと導入
・4.0から2000での変更
・マイクロソフト社内事例
・2000から .NETでの変更
Windows NT 4.0 ドメインアーキテクチャ
 シングルマスタレプリケーション
 PDC停止による影響が大きい
 メンバーサーバー <-> DCの変更が不可
 フラットなデータベース
 管理の委譲がドメイン単位にしかできない
 複数ドメインの信頼関係の維持管理コスト大
 ドメイン間のユーザー移動ができない
 スキーマの拡張性
 プロパティの拡張ができない
Windows 2000
Active Directory アーキテクチャ
マルチマスタレプリケーション
 耐障害性、パフォーマンスの向上
 柔軟な構成変更が可能
全てのリソースは階層化されて一元管理
 管理権限の委任
スキーマ構造を拡張可能
 アプリケーションが利用するアカウント情報を
Active Directoryに集約可能
 アプリケーションの特性に応じて、データベース
スキーマを拡張可能
※ Active Directoryの可用性向上
 マルチマスタレプリケーション
DC
ディレクトリ
情報
コピー
PDCとBDCの区別なし
各ドメインコントローラで
ユーザー登録やパスワード
変更が可能
コピー
DC
ディレクトリ
情報
DC
ディレクトリ
情報
コピー
コピー
DC
ディレクトリ
情報
コピー
マイクロソフト社内事例
 Windows NT 4.0 ドメインデザイン
 約 5000 の信頼関係 (!)
13 マスターユーザードメイン (MUDS)
双方向の信頼関係
Africa
Central
Europe
Far
East
片方向の信頼関係
Middle
East
MSLI
Corp
MSForest
North Northern South Southern
MSNBCI Redmond America Europe America
Europe
SYSWINNT
AppsWGA
リソースドメイン (約420)
South
Pacific
VMUDVendor
マイクロソフト社内事例
Windows 2000 Active Directory ツリーデザイン
Redmond ドメイン
27,331 users, 5,046 groups
10 Windows 2000 DCs
Xeon ×4, 1GB RAM, 36GB HD
AD Database 310 MB, GC 333MB
一日19,000 以上のログイン
CPU 使用率 10% 以下
Redmond
CA
NAmerica
SAmerica
MX
AR*
BR*
CL*
CO*
EC*
PE*
VE*
Namerica
OU’s
AZ* Calif*
CN* CO*
DC* FL*
GA* HI*
IL* IN*
MA* MI*
MN* MO*
NJ* NY*
OH* OR*
PA* PR*
SC* TX*
U.K.
corp.microsoft.com
Europe
DE
Europe OU’s
AT* BE*
CH* CZ*
DK* ES*
FI*
GR*
HR* HU*
IE*
IT*
NL* NO*
PL* PT*
RO* RU*
SE* SK*
SI*
MEast
FR




AE*
IL*
SA*
TR*
FEast
JP
CN*
HK*
IN*
KR*
TW*
Africa
MA*
ZA*
EG*
KE*
CI*
SPacific
AU
ワールドワイドでシングルフォレスト
ルートドメインは13個の子ドメイン
110万オブジェクト
グローバルカタログのDITサイズ19GB
MY*
NZ*
PH*
SG*
TH*
ID*
VN*
Vendors
Partners
KAO
MSNBCI
Windows
NT 4.0 trust
w/vendor’s
domain
Windows
NT 4.0 trust
w/partner’s
domain
マイクロソフト社内事例（AD移行のメリット）
ドメインデータベース数の削減 (433  14)
信頼関係の維持管理コストの削減 (5000  13)
ドメインコントローラ数の削減
 従来はリソースドメイン毎に少なくとも2台のDC
DNSの管理の簡素化
 DNSの管理をActive Directoryの管理と統合
ソリューションの実現
 グループポリシーによるアプリケーションの自動インストール
 “プリンタの検索” 機能により、利便性を向上
マイクロソフト社内事例（情シ部門の考察）
 Active Directory は下記の点で非常にうまく機能している




WAN 回線を介しても効率的に複製処理が行われる
非常に多くの複製(レプリカ)をサポートできる
非常に多くのオブジェクト数を格納できる
属性レベルのセキュリティ設定を行うことができる
Norway
Finland
Poland Russia
DenmarkSweden
Ireland
Holland Czech Rep
Germany
England Belgium
Austria
France Switzerland
Spain
Hungary
Italy
Portugal
Turkey
Greece Israel
Morocco
Egypt UAE
Data
Center
Korea Japan
China
Taiwan
Hong
New Delhi
KongPhilippines
Bombay
Thailand
Bangalore
Kuala Lumpur
Singapore
Data
Center
Redmond
Data
Center
Bismarck
Boston
Oregon
Tucson
Charlotte
Dallas
Smyrna
Puerto Rico
Mexico
BogotaVenezuela
Medellin
Ecuador
Peru
Indonesia
Australia
New Zealand
Ivory Coast
Kenya
Brazil
Chile Uruguay
Argentina
South Africa
マイクロソフト社内事例（情シ部門の考察）
 展開時の課題








DCインストール時の複製時間
ネイティブモードログオン時のＧＣアクセスの影響
サイト数増大にともなう管理負担の増加
複製によるグループメンバー衝突の可能性
GC格納属性の変更による完全複製
アップグレード時のドメインコントローラへの負荷集中
スキーマクラス・属性の再定義が困難
ドメイン名の変更不可
 管理面での課題
 DCコンピュータ名の変更不可
 管理ツールの操作性
 コマンドラインによる管理ツールの不足
（参考） Windows Server 2003での改良
※ 2003年第一四半期リリース予定
 柔軟性の向上




ドメイン名変更と構造の再構築
スキーマの無効化
フォレスト間の信頼関係
コンソールの強化
 ネットワークの利用効率の改善
 ユニバーサルグループキャッシング
 グループ複製メカニズムの改善
 移行と展開の簡易化
 オブジェクト移行ツールの改善
 メディアからの複製インストール