選択したドメイン設計モデルには、次の要因が影響します。
Active Directory Domain Services (AD DS) に割り当てるネットワーク上の利用可能な容量。 目標は、使用可能なネットワーク帯域幅への影響を最小限に抑えながら、情報の効率的なレプリケーションを実現するモデルを選択することです。
組織内のユーザーの数。 組織に多数のユーザーが含まれている場合、複数のドメインを展開すると、データをパーティション化し、特定のネットワーク接続を通過するレプリケーショントラフィックの量をより細かくコントロールできます。 これにより、データがレプリケートされる場所をコントロールし、ネットワーク内の低速リンク上のレプリケーショントラフィックによって発生する負荷を軽減できます。
最も単純なドメイン設計は、1 つのドメインです。 1 つのドメイン設計において、すべての情報がすべてのドメインコントローラーにレプリケートできます。 必要に応じて、追加の地域ドメインを展開できます。 これは、ネットワークインフラストラクチャの一部が低速リンクで接続されていて、レプリケーショントラフィックが AD DS に割り当てられた容量を超えないようにするためにフォレストの所有者が必要とする場合に発生することがあります。
フォレストに展開するドメインの数を最小限に抑えることをお勧めします。 これにより、展開の全体的な複雑さが緩和され、結果として総保有コストの削減につながります。 次の表に、リージョンドメインの追加に伴う管理コストを示しています。
| コスト | 影響 |
|---|---|
| 複数のサービス管理者グループの管理 | 各ドメインには、個別に管理する必要がある独自のサービス管理者グループがあります。 これらのサービス管理者グループのメンバーシップは、慎重にコントロールするようにしてください。 |
| 複数のドメインに共通するグループポリシー設定間の一貫性を守る | フォレスト全体に適用する必要があるグループ ポリシー設定は、フォレスト内の各ドメインに個別に適用する必要があります。 |
| 複数のドメインに共通するアクセス制御および監査設定間の一貫性の保つ | フォレスト全体に適用する必要があるアクセス制御と監査の設定は、フォレスト内の各ドメインに個別に適用する必要があります。 |
| ドメイン間でオブジェクトが移動する可能性の増加 | ドメインの数が多いほど、ユーザーがドメイン間を移動する可能性が高くなります。 この移動は、エンド ユーザーに影響を与える可能性があります。 |
注意
Windows Server の詳細なパスワードおよびアカウント ロックアウトのポリシーも、選択した設計モデルに影響を与えることがあります。 Windows Server 2008 のこのリリースより前のバージョンでは、ドメインの既定のドメイン ポリシーで指定された 1 つのパスワードおよびアカウントのロックアウト ポリシーのみを、ドメイン内のすべてのユーザーに適用できました。 そのため、ユーザー セットごとに異なるパスワードおよびアカウント ロックアウト設定が必要な場合は、パスワード フィルターを作成するか、複数のドメインを展開する必要がありました。 詳細なパスワード ポリシーを使用して、複数のパスワード ポリシーを指定し、1 つのドメイン内の異なるユーザーセットに異なるパスワード制限とアカウント ロックアウト ポリシーを適用できるようになりました。 詳細な設定が可能なパスワードとアカウントのロックアウトポリシーの詳細については、記事 「AD DSの詳細な設定が可能なパスワードとアカウントのロックアウトポリシーのステップバイステップガイド」 を参照してください。
シングル ドメイン モデル
シングル・ドメイン・モデルは管理が最も容易であり、保守コストも最小限に抑えられます。 1 つのドメインを含むフォレストで構成されます。 このドメインはフォレスト ルート ドメインであり、フォレスト内のすべてのユーザー アカウントとグループ アカウントが含まれています。
1 つのドメインで構成されるフォレスト モデルには、次のようなメリットがあり、管理の複雑さが緩和されます。
どのドメイン コントローラーでも、フォレスト内の任意のユーザーを認証できます。
すべてのドメイン コントローラーをグローバル カタログにすることができるため、グローバル カタログ サーバーの配置を計画する必要はありません。
1 つのドメイン フォレストでは、すべてのディレクトリ データが、ドメイン コントローラーをホストしているすべての地理的な場所にレプリケートされます。 このモデルは管理が非常に容易ですが、2 つのドメイン モデルの中で最も多くのレプリケーション トラフィックを作成します。 ディレクトリを複数のドメインにパーティション化すると、特定の地理的領域へのオブジェクトのレプリケーションが制限されますが、管理オーバーヘッドが増加します。
地域ドメイン モデル
ドメイン内のすべてのオブジェクト データは、そのドメイン内のすべてのドメイン コントローラーにレプリケートされます。 このため、ワイド エリア ネットワーク (WAN) によって接続されたさまざまな地理的な場所に分散された多数のユーザーがフォレストに含まれる場合は、WAN リンク上のレプリケーション トラフィックを減らすために地域ドメインを展開を実行する必要があります。 地理的に基づく地域ドメインは、ネットワーク WAN 接続に従って整理できます。
地域ドメイン モデルを使用すると、長期にわたって安定した環境を維持できます。 モデル内のドメインを定義するために使用するリージョンを、大陸境界などの安定した要素に基づいて設定します。 組織内のグループなど、その他の要因に基づくドメインは頻繁に変更される可能性があり、環境の再構築が必要になることがあります。
地域ドメインモデルは、1 つのフォレスト ルート ドメインンと、複数の地域ドメインで構成されます。 地域ドメイン モデルの設計では、フォレストルートドメインとなるドメインを特定し、レプリケーション要件を満たすために必要な追加ドメインの数を決定します。 組織に組織内の他のグループからのデータ分離またはサービス分離を必要とするグループが含まれている場合は、これらのグループ用に別のフォレストを作成します。 ドメインでは、データの分離やサービスの分離は行われていません。