ステップバイステップガイド : Active Directory サイトとサービス

[アーティクル]
09/28/2010

公開日: 2005年1月7日

このガイドでは、Active Directory サイトとサービススナップインを使用して、ローカルエリアネットワーク (LAN) 上に作成されるサイト内のレプリケーショントポロジとワイドエリアネットワーク (WAN) 上に作成されるサイト間のレプリケーショントポロジを管理する方法について説明します。

トピック

はじめに

概要

[Active Directory サイトとサービ] ツールの使用

付録 : レプリケーショントポロジの概念付録 : レプリケーショントポロジの概念

はじめに

ステップバイステップガイド

Microsoft Windows Server 2003 展開のステップバイステップガイドでは、多くの共通点を持つオペレーティングシステム構成における実際上の操作を説明します。これらのガイドでは、Windows Server 2003 をインストールして共通ネットワークインフラストラクチャを構築することから説明を始めます。そして、Active Directory® の構成、Windows XP Professional ワークステーションのインストールについて説明し、最後にワークステーションをドメインに追加する方法について説明します。これらのステップバイステップガイドの各分冊では、この共通ネットワークインフラストラクチャが構築されていることを前提としています。このガイドで説明するネットワークインフラストラクチャとは異なるインフラストラクチャを構築する場合は、適宜変更を加えながらガイドを読み進めてください。

共通ネットワークインフラストラクチャの構築には、以下のガイドで説明する操作を完了する必要があります。

共通ネットワークインフラストラクチャを構築すると、その他のステップバイステップガイドの操作を実行できるようになります。ただし、その他のステップバイステップガイドでは、共通ネットワークインフラストラクチャ構築の要件に加えて、その他の前提条件が必要になる場合があります。詳細については、各ステップバイステップガイドの説明を参照してください。

Microsoft Virtual PC

Microsoft Windows Server 2003 展開のステップバイステップガイドで説明する内容は、現実のラボ環境で実装することができ、Microsoft Virtual PC 2004 や Microsoft Virtual Server 2005 のような仮想化テクノロジを使って実装することもできます。仮想コンピュータテクノロジを使用すると、単一の物理サーバー上で複数のオペレーティングシステムを並行して稼働させることができます。Virtual PC 2004 と Virtual Server 2005 は、ソフトウェアのテストや開発、レガシアプリケーションの移行、サーバー統合の各シナリオにおいて、業務効率を高めるように設計されています。

Microsoft Windows Server 2003 展開のステップバイステップガイドでは、現実のラボ環境での構成を前提としています。ただし、大部分の構成はそのまま仮想環境に適用できます。

このステップバイステップガイドに記載する概念を仮想環境に適用する場合の説明については、ここでは割愛します。

重要

このドキュメントで使用している会社、組織、製品、ドメイン名、電子メールアドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社名、組織名、製品名、ドメイン名、電子メールアドレス、ロゴ、個人名、場所名、イベント名などは一切関係ありません。

この共通インフラストラクチャは、プライベートネットワークで使用する目的で設計されています。共通インフラストラクチャで使用する架空の企業名と DNS (Domain Name System) 名は、インターネット上で使用するための登録が行われていません。パブリックネットワークやインターネット上では、この名前を使用しないようにしてください。

この共通インフラストラクチャの Active Directory サービス構造は、Windows Server 2003 の変更と構成管理機能の概要、および Active Directory との関連を示すために設計されたものです。企業で Active Directory を構成する場合を想定して設計されているわけではないことに注意してください。

概要

Windows Server 2003 の Active Directory サイトとサービススナップインの目的は、エンタープライズ環境において、LAN 上のサイト内のレプリケーショントポロジおよび WAN 上のサイト間のレプリケーショントポロジを管理することです。

メモ「付録」では、Active Directory サービスのレプリケーションを実行する方法について説明しています。レプリケーションについて熟知していない場合は、先に「付録」の内容に目をとおしておくことをお勧めします。

サイト

サイトとは、高速通信が可能なネットワーク領域のことで、インターネットプロトコル (IP) サブネットに基づいて適切に接続されたコンピュータの集まりをいいます。サイトに基づいてレプリケーションの実行を制御するため、Active Directory サイトとサービススナップインで行う変更によって、同一ドメイン内の (互いに離れている) ドメインコントローラ (DC) 間の通信効率が影響を受けます。

サイトは概念上 Windows Server 2003 ベースのドメインとは異なります。サイトは複数のドメインにまたがることがあり、ドメインも複数のサイトにまたがることがあるからです。サイトはドメイン名前空間の一部ではありません。サイトはドメイン情報のレプリケーションを制御し、リソースの近接性を判定します。たとえば、ワークステーションはそのサイト内で認証を行うドメインコントローラを選択します。

Active Directory サービスがレプリケーションを適切に実行できるように、KCC (Knowledge Consistency Checker) と呼ばれるサービスが各ドメインコントローラ上で動作し、同一サイト内のコンピュータ間に自動的に接続を確立します。このような接続を "Active Directory 接続オブジェクト" といいます。管理者は接続オブジェクトを新たに作成したり、既存の接続オブジェクトを削除したりすることができます。ただし、サイト内でレプリケーションが不可能になったり、単一点での障害が発生した場合には、KCC によって、新しい接続オブジェクトが Active Directory のレプリケーションを再開するために必要な数だけ作成されます。

サイト間のレプリケーションは、コストの高い接続または低速接続で行われることが考えられます。そのため、サイト間のレプリケーションでは、トランスポートを選択することができ、サイトリンクとサイトリンクブリッジを作成することによってレプリケーションメカニズムを確立します。

Default-First-Site

Windows Server 2003 を最初のドメインコントローラにインストールすると、最初のサイトが自動的に作成されます。この最初に作成されるサイトは "Default-First-Site-Name" と呼ばれます。このサイト名は、後で変更することも、このまま使用することも可能です。

サイトのレプリケーショントポロジによって以下が決まります。

レプリケーションが実行される場所 (同一サイト内でどのドメインコントローラがどのドメインコントローラと通信するかなど)。さらに、レプリケーショントポロジによってサイト間の通信方法も決まります。
レプリケーションのスケジュール。サイト間のレプリケーションのスケジュールは管理者が完全に設定できます。サイト内のドメインコントローラ間のレプリケーションは通知に基づいて行われます。ドメイン内のオブジェクトに変更が加えられた場合、5 分以内に通知が送信されます。

新たに昇格されたドメインコントローラは、インストール時に適用されるサイトコンテナに配置されます。たとえば、カリフォルニアで使用するサーバーをハワイマウイ島のデータセンターで構築して構成した場合、サーバーの構成ウィザードでは、このサーバーが Maui サイトに配置されます。このサーバーをカリフォルニアへ移送した後で、Active Directory サイトとサービススナップインを使用し、サーバーオブジェクトを別のサイトへ移動することができます。

Active Directory サイトとサービススナップインの [Sites] では以下の操作を行うことができます。

有効なサイトの表示。たとえば、Default-First-Site-Name は Headquarters などのサイト名に変更されている場合があります。サイトの作成、削除、名前の変更を行うことができます。
サイトに参加しているサーバーの表示。サーバーを削除したり別のサイトへ移動したりすることができます (メモサーバーを手動で追加することもできますが、ドメインコントローラをセットアップするときにはサーバーが自動的に追加されます)。
サイトの情報を使用するアプリケーションの表示。Active Directory トポロジのルートは Sites\Default-First-Site-Name\Servers です。ここには、ドメインとは関係なく特定のサイトに参加しているサーバーの一覧があります。特定のサーバーの接続一覧を表示するには、Sites\Default-First-Site-Name\Servers\{サーバー}\NTDS Settings を開きます。サーバーごとに、サイト内の他のサーバーのレプリケーションに使用される接続とスケジュールが表示されます。
- 接続 - 2 台のコンピュータで双方向のレプリケーションを行うためには、一方のコンピュータからもう一方のコンピュータへの接続と、その逆方向の接続が必要です。
- スケジュール - サイト内では、ディレクトリの新規差分のプルレプリケーションがサーバー間で約 5 分おきに行われます。パートナーの接続オブジェクトが破損した場合に、内部パートナーへの定期的な通知を行うために、スケジュールがサイト内で重要な働きをします。このような通知は、通常 6 時間おきに送信されます。また、スケジュールはサイト間のプルレプリケーションの制御においても重要な役割を果たします (サイト間では 5 分間隔の自動レプリケーションは行われません)。
サイト間のトランスポートとリンクの表示。トランスポートとは、サイト間の通信に使用するプロトコル (IP など) のことです。
サブネットの表示。サブネットによって、ある範囲の IP アドレスをサイトに関連付けることができます。

前提条件

[Active Directory サイトとサービ] ツールの使用

[Active Directory サイトとサービス] ツールを起動するには

HQ-CON-DC-01 で、[スタート] メニューの [すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[Active Directory サイトとサービス] をクリックします。図 1 に示すようなコンソールが表示されます。

図 1. Active Directory サイトとサービススナップイン
拡大表示する

サイトのプロパティの変更

Default-First-Site-Name を変更するには

[Sites] の隣にあるプラス記号 (+) をクリックして、ツリーを展開します。
左側のペインで [Default-First-Site-Name] を右クリックし、[名前の変更] をクリックします。
「Seattle-WA」と入力し、Enter キーを押します。

新しいサイトの作成

Active Directory におけるサイトとは、ネットワークの物理構造、つまりトポロジを意味します。Active Directory では、サイトオブジェクトやサイトリンクオブジェクトとしてディレクトリに保存されるトポロジ情報に基づいて最も効率的なレプリケーショントポロジを作成します。サイトおよびサイトリンクを定義するには、Active Directory サイトとサービススナップインを使用します。サイトとは、適切に接続されたサブネットの集まりをいいます。サイトとドメインは同じものではありません。サイトがネットワークの物理構造を表すのに対し、ドメインは組織の論理構造を表します。

新しいサイトを追加するには

左側のペインで [Sites] を右クリックし、[新しいサイト] をクリックします。
[新しいオブジェクト–サイト] ダイアログボックスで、新しいサイトの名前を「Vancouver-BC」と入力します。
[DEFAULTIPSITELINK] をクリックして選択し、[OK] をクリックします。
(メモサイトリンクについては、このガイドの後半で説明します。)
Active Directory メッセージボックスの情報を確認し、[OK] をクリックします。

サイト間でのコンピュータの移動

各サイトの Servers コンテナにあるコンピュータを別のサイトへ移動することができます。

メモコンピュータは IP アドレスとサブネットマスクに基づいてサイトに割り当てられます。サイト割り当ての扱い方は、クライアントやメンバサーバーとドメインコントローラとでは異なります。クライアントの場合、サイト割り当てはクライアントの IP アドレスとサブネットマスクによってログオン中に動的に決定されます。ドメインコントローラの場合は、対応する Active Directory サーバーオブジェクトの位置によってサイト割り当てが決定されます。

サイトにコンピュータを移動するには

[Active Directory サイトとサービス] スナップインで [Seattle-WA] の隣にあるプラス記号 (+) をクリックし、[Servers] をクリックします。
結果ペインで [HQ-CON-DC-02] を右クリックし、[移動] をクリックします。
[サーバーの移動] ダイアログボックスで、図 2 に示す [Vancouver-BC] をクリックし、[OK] をクリックします。

図 2. サイト間でコンピュータを移動する
手順 2 および 3 を繰り返し、HQ-CON-DC-03 を Vancouver-BC サイトに移動します。
左側のペインで [Vancouver-BC] の隣にあるプラス記号 (+) をクリックし、[Servers] をクリックして、2 つのサーバーが Vancouver-BC サイトに割り当てられていることを確認します。

サブネットの操作

前述のとおり、サイトは LAN などの高速ネットワークによって接続されたコンピュータの集まりです。通常、1 つのサイト内のコンピュータはすべて同じ建物内または構内ネットワーク上にあります。各サイトは 1 つまたは複数の IP サブネットで構成されます。サブネットとは IP ネットワーク内の領域であり、各サブネットに固有のネットワークアドレスが割り当てられます。郵便番号によって周辺の住所をグループ化するように、サブネットアドレスによって近くにある複数のコンピュータをグループ化することができます。各サイトは 1 つまたは複数のサブネットに関連付けられます。

特定のサイトにサブネットを追加するには

[Active Directory サイトとサービス] スナップインの左側のペインで [Subnets] をクリックし、[Subnets] を右クリックします。次に、[新しいサブネット] をクリックします。
[新しいオブジェクト–サブネット] ダイアログボックスで、[アドレス] と [マスク] に図 3 に示す値を入力し、[Vancouver-BC] をクリックして選択します。次に、[OK] をクリックします。

図 3. サブネットを追加する

作成されたサブネットは Subnets フォルダの下に表示されます。作成したサブネットは、その時点では Vancouver-BC サイトに関連付けられますが、後で別のサイトに関連付けることができます。

サブネットを特定のサイトに関連付けるには

Subnets フォルダ内の [30.0.10.0/24] サブネットを右クリックし、[プロパティ] をクリックします。
[30.0.10.0/24のプロパティ] ダイアログボックスで、このサブネットを関連付けるサイトをリストボックスから選択し (図 4)、[OK] をクリックします。

図 4. サブネットをサイトに関連付ける
[場所] タブをクリックし、サイトの位置の説明を入力します。この例では、「Vancouver」と入力し、[OK] をクリックします。

サイトリンク

複数のサイト間にサイトリンクを作成することによって、レプリケーショントポロジを制御することができます。サイトリンクを作成することで、使用可能な接続、優先する接続、使用できる帯域幅などの情報を指定できます。Active Directory は、これらの情報に基づいて、パフォーマンスが最高となるようにレプリケーションのタイミングと接続を選択します。

サイト間でスケジュールされたレプリケーショを実行するためには、両方のサイトの通信トランスポートが一致している必要があります。通常、サイトリンクではプロトコルとして IP を使用します。

サイトリンクを作成するには

[Inter-Site Transports] の隣にあるプラス記号 (+) をクリックし、[IP] を右クリックして、[新しいサイトリンク] をクリックします。
[新しいオブジェクト – サイトリンク] ダイアログボックスで、[名前] に「PNW-Slow Connection」と入力し (図 5)、[OK] をクリックします。

図 5. サイトリンクを作成する
IP サイトリンクの右側の結果ペインで、新たに作成した [PNW-Slow Connection] リンクをダブルクリックします。
[PNW-Slow Connectionのプロパティ] ダイアログボックスで、[説明] に「Replication Every 24 Hours」と入力します。次に、[レプリケートの間隔] の設定を 1440 に変更し、[OK] をクリックします。

メモ DEFAULTIPSITELINK を削除すると、Seattle と Vancouver 間のレプリケーションは PNW-Slow Connection サイトリンク上で IP によって 24 時間おきに実行されます。

サイトリンクブリッジ

既定では、すべてのサイトリンクがブリッジされ、推移性を持ちます。これによって、2 つのサイトが明示的なサイトリンクによって接続されていない場合でも、中間に位置するサイトリンクおよびサイトを経由して通信することができます。すべてのサイトリンクをブリッジすることには、サイト間で考えられるすべての経路についてサイトリンクを作成する必要がないため、管理が容易になるという利点があります。

通常は、サイトリンクの自動ブリッジを有効のままにします。ただし、以下の場合には、サイトリンクの自動ブリッジを無効にし、特定のサイトリンクについてのみ手動でブリッジを作成することもできます。

ネットワークが完全にルーティングされていない (すべてのドメインコントローラが相互に直接通信できるわけではない)。
各ドメインコントローラが相互に直接通信することを妨げるネットワークルーティングまたはセキュリティポリシーがある。
Active Directory 構造に多数のサイトが存在する。

付録 : レプリケーショントポロジの概念

レプリケーションの概要

ネットワークがきわめて小規模である場合を除き、ディレクトリデータをネットワーク上の複数の場所に置き、すべてのユーザーが同じ条件で使用できるようにする必要があります。レプリケーションによって、ディレクトリデータのレプリカが複数のドメインコントローラに配置されるので、すべてのユーザーに対してディレクトリの可用性とパフォーマンスを保証できます。Active Directory ではマルチマスタレプリケーションモデルを採用しており、指定されたプライマリドメインコントローラだけでなく、どのドメインコントローラでもディレクトリに変更を加えることができます。Active Directory では、サイトという概念を利用することによってレプリケーションを効率化し、KCC を使用してネットワークに最適なレプリケーショントポロジを自動的に決定します。

レプリケーションデータの構成

データは各ドメインコントローラのディレクトリストアに保存されます。ディレクトリストアは論理的に複数のディレクトリパーティションに分割されています。パーティションごとに異なる種類のディレクトリデータ (ドメインデータ、フォレストスキーマデータ、フォレスト構成データ、アプリケーションデータ) が保存されます。フォレスト内のすべてのドメインコントローラにスキーマパーティションおよび構成パーティションのレプリカがあり、ドメイン内のすべてのドメインコントローラにはドメインパーティションのレプリカがあります。アプリケーションディレクトリパーティションには特定のアプリケーションに関するディレクトリデータがあり、さまざまなドメインに属するドメインコントローラに保存できます。各ディレクトリパーティションに対する変更は、そのパーティションのレプリカがあるすべてのドメインコントローラにレプリケートされます。

レプリケーションには、フォレスト全体におけるグローバルカタログの可用性を維持するという効果もあります。グローバルカタログとは、すべてのドメインの各オブジェクトに関するデータが保存された検索可能なディレクトリストアのことです。グローバルカタログが保存されるのは、グローバルカタログの設定が有効であるドメインコントローラだけです。

サイトによるレプリケーションの効率化

レプリケーションを効率化するために、Active Directory ではサイトを利用しています。サイトは適切に接続されたコンピュータの集まりであり、サイトによってディレクトリデータのレプリケーション方法が決まります。Active Directory が行うディレクトリ情報のレプリケーションの頻度はサイト間よりサイト内の方が多くなります。それによって、最も密接に接続されたドメインコントローラが、レプリケートされた更新を最初に受け取ります。このようなドメインコントローラでは、特定のディレクトリ情報を必要とする可能性が最も高いからです。他のサイトのドメインコントローラも更新を受け取りますが、それほど頻繁ではありません。これはネットワーク帯域幅の消費を抑えるためです。

レプリケーショントポロジの決定

KCC は各ドメインコントローラで動作するプロセスであり、[Active Directory サイトとサービス] スナップインで指定したネットワーク情報に基づき、最も効率的なレプリケーショントポロジを自動的に決定します。KCC はネットワークに加えられた変更に対応できるようレプリケーショントポロジを定期的に再計算します。各サイトにおいて、ある 1 つのドメインコントローラで動作する KCC (サイト間トポロジジェネレータ) がサイト間のレプリケーショントポロジを決定します。

次の方法で共有

ステップバイステップガイド : Active Directory サイトとサービス

トピック