フォレスト ルート ドメインを選択する
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
Active Directory フォレストに展開する最初のドメインは、フォレスト ルート ドメインと呼ばれます。 このドメインは、AD DS 展開のライフ サイクルでフォレスト ルート ドメインのままになります。
フォレスト ルート ドメインには、Enterprise Admins および Schema Admins グループが含まれます。 これらのサービス管理者グループは、ドメインの追加や削除、スキーマの変更の実装など、フォレスト レベルの操作の管理に使用されます。
フォレスト ルート ドメインを選択するには、ドメイン設計のいずれかの Active Directory ドメインがフォレスト ルート ドメインとして機能できるかどうか、または専用フォレスト ルート ドメインを展開する必要があるかどうかを判断します。
フォレスト ルート ドメインの展開の詳細については、Windows Server 2008 のフォレスト ルート ドメインの展開に関するページを参照してください。
リージョンまたは専用フォレスト ルート ドメインを選択する
1 つのドメイン モデルを適用する場合、1 つのドメインはフォレスト ルート ドメインとして機能します。 複数のドメイン モデルを適用している場合は、専用フォレスト ルート ドメインを展開するか、フォレスト ルート ドメインとして機能するリージョン ドメインを選択できます。
専用フォレスト ルート ドメイン
専用フォレスト ルート ドメインは、フォレスト ルートとして機能するように特別に作成されるドメインです。 これには、フォレスト ルート ドメインのサービス管理者アカウント以外のユーザーアカウントは含まれません。 また、ドメイン構造内の地理的領域を表しません。 フォレスト内の他のすべてのドメインは、専用フォレスト ルート ドメインの子です。
専用フォレスト ルートを使用すると、次のような利点があります。
- フォレスト サービス管理者とドメイン サービス管理者の運用上の分離。 1 つのドメイン環境では、Domain Admins および組み込み Administrators グループのメンバーは、標準のツールと手順を使用して、Enterprise Admins および Schema Admins グループのメンバーになることができます。 専用フォレスト ルート ドメインを使用するフォレストでは、リージョン ドメインの Domain Admins および組み込み Administrators グループのメンバーは、標準のツールと手順を使用してフォレスト レベルのサービス管理者グループのメンバーになることはできません。
- 他のドメインでの運用上の変更からの保護。 専用フォレスト ルート ドメインは、ドメイン構造内の特定の地理的領域を表しません。 このため、ドメインの名前変更や再構築につながる再編成やその他の変更による影響を受けません。
- 国または地域が別の地域の下位に表示されないよう、ニュートラル ルートとして機能します。 組織によっては、ある国または地域が名前空間の別の国または地域の下位にあることを避けることが望ましい場合があります。 専用フォレスト ルート ドメインを使用する場合、すべてのリージョン ドメインをドメイン階層内のピアにできます。
専用フォレスト ルートが使用される複数リージョン ドメイン環境では、フォレスト ルート ドメインのレプリケーションがネットワーク インフラストラクチャに与える影響が最小限に抑えられます。 これは、フォレスト ルートがサービス管理者アカウントのみをホストしているためです。 フォレスト内のユーザー アカウントの大部分と他のドメイン固有のデータは、リージョン ドメインに格納されます。
専用フォレスト ルート ドメインを使用する欠点の 1 つは、追加のドメインをサポートするために追加の管理オーバーヘッドが発生する点です。
フォレスト ルート ドメインとしてのリージョン ドメイン
専用フォレスト ルート ドメインを展開しない場合は、フォレスト ルート ドメインとして機能するリージョン ドメインを選択する必要があります。 このドメインは、他のすべてのリージョン ドメインの親ドメインであり、展開する最初のドメインになります。 フォレスト ルート ドメインにはユーザー アカウントが含まれるため、他のリージョン ドメインが管理されるのと同じ方法で管理されます。 主な違いは、Enterprise Admins および Schema Admins グループも含まれることです。
フォレスト ルート ドメインとして機能するリージョン ドメインを選択する利点は、追加のドメインを維持する追加の管理オーバーヘッドが生じないことです。 本社を表すドメインや最速のネットワーク接続のある地域など、フォレスト ルートとして適切なリージョン ドメインを選択します。 組織でフォレスト ルート ドメインとしてリージョン ドメインを選択するのが難しい場合は、代わりに専用フォレスト ルート モデルを使用することもできます。
フォレスト ルート ドメイン名を割り当てる
フォレスト ルート ドメイン名もフォレストの名前です。 フォレスト ルート名は、prefix.suffix の形式のプレフィックスとサフィックスで構成されるドメイン ネーム システム (DNS) 名です。 たとえば、組織にフォレスト ルート名 corp.contoso.com があるとします。 この例では、corp はプレフィックスで、contoso.com はサフィックスです。
ネットワーク上の既存の名前の一覧からサフィックスを選択します。 プレフィックスとして、以前にネットワークで使用されていない新しい名前を選択します。 既存のサフィックスに新しいプレフィックスをアタッチすると、一意の名前空間が作成されます。 Active Directory Domain Services (AD DS) の新しい名前空間を作成すると、AD DS に対応するように既存の DNS インフラストラクチャを変更する必要がなくなります。
サフィックスを選択する
フォレスト ルート ドメインのサフィックスを選択するには:
AD DS をホストするネットワークで使用されている登録済み DNS サフィックスの一覧について、組織の DNS 所有者に確認します。 内部ネットワークで使用されるサフィックスは、外部で使用されるサフィックスとは異なる場合があることに注意してください。 たとえば、インターネット上で contosopharma.com を使用し、社内ネットワークに contoso.com を使用する場合があります。
DNS 所有者に問い合わせ、AD DS で使用するサフィックスを選択します。 適切なサフィックスが存在しない場合は、新しい名前をインターネットの名前付け機関に登録します。
Active Directory 名前空間のインターネット証明機関に登録されている DNS 名を使用することをお勧めします。 グローバルに一意であることが保証されるのは、登録されている名前だけです。 別の組織が後で同じ DNS ドメイン名を登録する場合 (または、組織が同じ DNS 名を使用する別の会社と合併、その会社を吸収、またはその会社によって吸収された場合)、2 つのインフラストラクチャは相互に通信できません。
注意事項
単一ラベルの DNS 名は使用しないでください。 詳細については、単一ラベルの DNS 名を使用して構成された Active Directory ドメインの展開と操作に関するページを参照してください。 また、.local などの未登録のサフィックスは使用しないことをお勧めします。
プレフィックスを選択する
ネットワークで既に使用されている登録済みのサフィックスを選択した場合は、次の表のプレフィックスの規則を使用して、フォレスト ルート ドメイン名のプレフィックスを選択します。 新しい下位の名前を作成するために現在使用されていないプレフィックスを追加します。 たとえば、DNS ルート名が contoso.com の場合、名前空間 concorp.contoso.com がネットワークでまだ使用されていない場合は、Active Directory フォレスト ルート ドメイン名 concorp.contoso.com を作成できます。 名前空間の新しいブランチは AD DS 専用となり、既存の DNS 実装と簡単に統合できます。
フォレスト ルート ドメインとして機能するリージョン ドメインを選択した場合は、ドメインの新しいプレフィックスを選択する必要が生じることがあります。 フォレスト ルート ドメイン名はフォレスト内の他のすべてのドメイン名に影響するため、リージョン ベースの名前が適切ではない可能性があります。 ネットワークで現在使用されていない新しいサフィックスを使用している場合は、追加のプレフィックスを選択せずに、そのサフィックスをフォレスト ルート ドメイン名として使用できます。
次の表に、登録済み DNS 名のプレフィックスを選択するための規則を示します。
| ルール | 説明 |
|---|---|
| 古くなる可能性のないプレフィックスを選択します。 | 将来変更される可能性のある製品ラインやオペレーティング システムなどの名前は避けます。 corp や ds などの汎用名を使用することをお勧めします。 |
| インターネット標準文字のみが含まれるプレフィックスを選択します。 | A-Z、a-z、0-9、(-) にしますが、完全な数値にはならないようにします。 |
| プレフィックスには 15 文字以下を含める。 | プレフィックスの長さとして 15 文字以下を選択すると、NetBIOS 名はプレフィックスと同じになります。 |
Active Directory DNS 所有者は、組織の DNS 所有者と連携して、Active Directory 名前空間に使用される名前の所有権を取得することが重要です。 AD DS をサポートするための DNS インフラストラクチャの設計の詳細については、「DNS インフラストラクチャの設計を作成する」を参照してください。
フォレスト ルート ドメイン名を文書化する
フォレスト ルート ドメインに選択した DNS プレフィックスとサフィックスを文書化します。 この時点で、どのドメインがフォレスト ルートになるかを特定します。 フォレスト ルート ドメイン名の情報を、作成した "ドメイン計画" ワークシートに追加し、新規およびアップグレードされたドメインとドメイン名の計画を文書化できます。 これを開くには、Job Aids for Windows Server 2003 Deployment Kit から Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip をダウンロードして、[ドメインの計画] (DSSLOGI_5.doc) を開きます。