マイクロソフトが提供する ディレクトリサービス マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター
Agenda u はじめに n ディレクトリサービスとは? n Active Directory とは? u Active Directory がもたらすソリューション n 認証 n データ管理、ソフトウエア配布、設定管理、ネットワーク管理 u 複数ディレクトリサービスの統合と連携 n 基本的な考え方 n Active Directory を中心にするケース n Microsoft Metadirectory Service (MMS) を中心にするケース u まとめ u Backup (Active Directoryのアーキテクチャと導入) n 4. 0 から 2000 での変更 n マイクロソフト社内事例 n 2000から. NET での変更
はじめに ・ディレクトリサービスとは? ・Active Directory とは?
ディレクトリとは? ディレクトリサービスとは? n n ディレクトリ = 住所録、電話帳 ディレクトリサービス = 電話番号案内 名前 電話番号 住所 江端 忠志 03 -1234 -5678 東京都渋谷区笹塚・・・・・ 渡辺 忠典 03 -4321 -8765 東京都新宿区西新宿・・・・・ ① 104番に問い合わせ ② データベースを検索 電話番号の データベース ユーザー オペレーター ④ 目的の電話番号を知る ③ 電話番号を入手
各サービスに散在するディレクトリ u 問題点 n 混在する情報と管理方式 ネットワーク アプリケーション OS メール データベース
ディレクトリの統合と一元管理 ユーザー 情報 メール 情報 OS 情報 ハードウェア 情報 ネットワー ク 情報 Directory アプリケーション 情報 データベース 設定情報
Active Directory 概念図 Windows ユーザー n ユーザー情報 n 権限 n プロファイル n ポリシー 他の NOS n ユーザー n セキュリティ n ポリシー E-Mail サーバー n メールボックス情報 n アドレス帳 Active Directory Windows クライアント n 管理プロファイル n ネットワーク情報 n ポリシー n n ユーザー/リソース セキュリティ 委任 ポリシー アプリケーション n サーバー設定 n シングルサインオン n アプリケーション個別 のディレクトリ情報 n ポリシー Windows サーバー n 管理プロファイル n ネットワーク情報 n サービス n プリンタ n ファイル共有 n ポリシー ネットワーク機器 n 設定 n Qo. Sポリシー n セキュリティポリシー Firewall サービス n 設定 n セキュリティポリシー n VPNポリシー Internet
Active Directory のソリューション(1) ・認証
Windows 2000 における認証方式 u Kerberos バージョン 5 認証 n Windows 2000 ネットワークのデフォルト認証 n MIT(マサチューセッツ 科大学)において開発 n Active Directoryをセキュリティ アカウントデータベースとして使用 u X. 509証明書認証 n 公開鍵方式の認証プロトコルとして採用 n Secure Sockets Layer (SSL)/ Transport Layer Security (TLS)用/IP Security等で使用 n Intranet 環境でのシングルログオンを実現 Ø Kerberos 認証済みクライアント u Windows NT LAN Manager (NTLM) 認証 n Windows NT 4. 0のデフォルト認証 n 下位レベル(Windows 9 x, NT 4. 0など)の互換性維持
Kerberos による認証の仕組み (ログオン時 : 1/3) ②チケット(TGT)の発行 Active ドメイン Directory ユーザー コントローラ (KDC) ①ログオン要求
Kerberos による認証の仕組み (リソースへの初回アクセス時 : 2/3) 2. チケット発行 TGT ドメインコントローラ (Active Directory) 1. リソースを 利用したい Kerberos 対応アプリケーション ST ユーザー 3. これが チケット ST: Session Ticket ST 4. 様々な リソース ・Windows ファイル共有 ・Windows プリンタ ・IIS Web サイト ・Exchange Server ・SQL Server ・Share. Point ポータルサイト ・対応アプリケーション リソース
Kerberos による認証の仕組み (リソースへのアクセス 2回目以降 : 3/3) u ネットワーク負荷の軽減 ・ ・ ・ ドメインコントローラ (Active Directory) Kerberos 対応アプリケーション ユーザー 1. これが チケット ST ST: Session Ticket ・Windows ファイル共有 ・Windows プリンタ ・IIS Web サイト ・Exchange Server ・SQL Server ・Share. Point ポータルサイト ・対応アプリケーション リソース
Kerberos による認証の利点 u NTLM 認証の問題点を解決 n n 認証のパフォーマンスを向上 クライアント、サーバー間の相互認証 暗号化されセキュアなチケットの受け渡し ドメイン間の信頼関係を効率よく構築できる
Win 2 k & SAP WAS シングルサインオン u 「Windows 2000 の Kerberos 認証を利用した SAP Web. AS への シングルサインオン設定手順書」 n Service Marketplace よりダウンロード n 手順は以下の通り Ø セントラルインスタンスの準備 – ファイル gsskrb 5. dll の確認 – インスタンスプロファイルの調整 (トランザクションRZ 10) Ø SAP フロントエンドの設定 – SAPSSO. msi の実行(インストール) – SAP logon のシングルサインオンオプションを有効化 Ø Win 2000 ユーザーを SAP ユーザーにマッピング – トランザクションコードSU 01
Kerberos シングルサインオン ドメインコントローラ (Active Directory) Kerberos 対応アプリケーション R/3 Enterprise ユーザー ST ・Windowsファイル共有 ・Windowsプリンタ ・IIS Webサイト ・Exchange Server ・SQL Server ・Share. Point ポータルサイト ・対応アプリケーション ・SAP Web-AS ・SAP Enterprise Portal
※ X. 509証明書による認証(SSL、Web サーバ) 1. ユーザ証明書発行 認証局(Verisign, SAP Trust center など ) ※Windows 2000 の 証明書サービスを用いて (Certificate Server) 自前で構築してもよい 1. サーバ 証明書発行 Internet 3. 証明書をユーザーにマッピング してユーザーを特定 HTTP with SSL/TLS クライアント ユーザ 証明書 サーバ 証明書 2. Webサーバアクセス時はお互いの 証明書を提示して相手を確認 Web サーバ ドメイン コントローラ Active Directory
※ X. 509証明書認証の利点と注意点 u 利点 n 事前の共通鍵の交換が必要ない n 誰でも公開鍵を手に入れることが可能 n 様々な活用分野 Ø Ø Ø 暗号化データ通信 : SSL 暗号化メールの利用 : S/MIME 暗号化ファイルシステム : EFS 暗号化リモートアクセス認証 : EAP 手軽で堅牢なログオン : スマートカード u 注意点 n n 公開鍵の配布の問題 公開鍵の正当性を証明する必要 秘密鍵の管理 共通鍵に比べ処理に時間がかかる
※ スマートカードによるユーザー認証 u スマートカード n ユーザー側の認証にカードという物理的な デバイスを要求 n 記憶素子の中に証明書や秘密鍵をセキュアに格納 Ø カードからキーを取り出す事は不可能 n パスワードでなく PIN 番号を入力させる Ø ユーザー名/パスワードの認証よりも安全 Ø 入力は PIN No. だけなので、利用者にはより便利 u スマートカード対応アプリケーション n n Windowsログオン Web 認証(SSL) 暗号化メール(S/MIME) スマートカード対応 アプリケーション(の開発)
※ スマートカードによるユーザー認証 ~ Active Directory へのログオン 2チケット(TGT)の発行 Reader SC Cert AD DC/KDC ユーザー 1. ログオン要求 Cert AD: Active Directory
※ スマートカードによるユーザー認証 ~ HTTPS サーバへのアクセス 認証局(Verisign, SAP Trust center) ※Windows 2000 の 証明書サービスを用いて (Certificate Server) 自前で構築してもよい 1. ユーザ証明書発行 1. サーバ 証明書発行 Internet Reader 3. 証明書をユーザーにマッピング してユーザーを特定 HTTP with SSL/TLS ユーザ 証明書 クライアント ユーザ 証明書 サーバ 証明書 2. Webサーバアクセス時はお互いの 証明書を提示して相手を確認 Web サーバ ドメイン コントローラ Active Directory
Active Directory のソリューション(2) ・データ管理 ・ソフトウエア配布 ・設定管理 ・ネットワーク管理
ユーザー データの管理 デスクトップ上の 「マイドキュメント」フォルダ PC 1 User: A PCを移動 PC 2 User: A ファイルサーバーの 共有フォルダ グループポリシー設定により 共有フォルダを参照するように設定 より 定 定に に設 ー設 るよう リシ す ポ 照 ープ を参 グル ルダ フォ 共有 ユーザーは利用するPCによらず 常に自分のデータを利用可能
ユーザー、コンピュータへのソフトウェア配布 アプリケーション シェアポイント 管理者 u 1. シェアポイント作成 n n . MSI File 2. グループポリシーに インストール設定 Active Directory に設定を格納 u インストールサービスとの統合 n 6. インストール開始 パッケージ (Windows Installer) Active Directory n インストール完了 ドメイン, 組織単位に設定可能 グループポリシー機能の利用 OSのソフトウェアインストールの 機能を利用 (Windows Installer) インストール、アンインストール、 修復、ロールバック、 アップグレードをサポート 3. ログオン 5. アプリケーションの起動 4. ポリシー適用 利用者
リモート OS インストレーション グループポリシー & ユーザーデータ & OS/アプリケーション イメージ Active Directory DHCP サーバー リモート インストール サーバー 4. リモート インストール u リモート OS インストレーション のメリット 3. リモートブートプロセス n 新規 PC への OS 展開 Ø OS + アプリケーションの展開 n PC 故障時の復元 1. PCの故障 復元 リモートブート クライアント 2. 他の PC からリモートブート 2. 他の Ø ユーザーデータも含めて 故障前の環境が復元される n リモートブート NIC ROM または リモートブートフロッピーから起動
ユーザー、コンピュータの設定管理 u グループポリシーによるデスクトップ環境管理 n デスクトップ環境を集中管理 ポリシーの例 u ローミングユーザーサポート n 全てのプロファイル情報をサーバーに格納 n ユーザーデータ/ユーザー固有の設定情報 v v v ポリシーの適用 ユーザー設定の格納/復元 Active Directory v ログオ v ン 許可されたアプリケーションだけ 実行 コントロールパネルを隠す シャットダウンを無効にする プリンタの削除を無効 ネットワーク全体を非表示 レジストリ編集の禁止 ン グオ ロ 管理者が設定したポリシーが適用される グループポリシー ユーザープロファイル ユーザー固有の設定情報がサーバーに 格納される どの PC にログオンしても管理者が設定したポリシー が適用されユーザー固有の設定情報が復元される
ネットワーク帯域制御 無駄なネットワークトラフィックを極力排除 →レスポンスタイムの改善 u u Directory-Enable Network n ネットワークの有効利用を目的に ネットワーク機器がディレクトリ情報 を利用する仕組み ユーザー単位のネットワーク帯域制御 アプリケーション単位の ネットワーク帯域制御 ネットワーク機器の設定情報の 集中管理 Active Directory
動的なファイアーウォール構成 ユーザ 1; HTTP FTP ユーザ 2; Telnet POP SMTP ユーザ 3; LDAP Http FTP n n Active Directory 内の情報を 利用してファイアーウォール サーバーが動的にオープン ポートを構成 ファイアーウォールサーバー などの設定情報を中央で 一元管理 フ ァ イ ア ー ウ ォ ー ユーザ 1; HTTP FTP ユーザ 2; Telnet POP SMTP ユーザ 3; LDAP Http FTP ファイアーウォール ル Active Directory
複数ディレクトリサービスの統合と連携 ・基本的な考え方 ・Active Directoryを中心にするケース ・MMS (Microsoft Metadirectory Service)を 中心にするケース
v 複数のユーザーアカウントとパスワード v 利用するリソース毎に異なるオペレーション v 全ディレクトリの情報が同期されるまで、 ビジネス上のつじつまが合わない v 複数ディレクトリのメンテナンス作業負荷大 v ディレクトリ間での情報の一貫性維持が難 v 組織の変化(合併、再編等)のスピードに システムが追随できない v ディレクトリ毎に異なるAPI v アクセス制御ロジックは独自に開発要 v 本来のビジネスロジック自体の開発以外に 留意する事項が増大 TCO の増大 生産性の著しい低下 アプリケーションの複雑化 開発者 管理者 ユーザー 複数ディレクトリサービス環境の問題
問題解決への短期的、長期的取組み 複数 ディレクトリ環境 の問題 TCO の増大 生産性の著しい低下 アプリケーションの複雑化 1. 問題解決への 短期的な 取り組み ディレクトリサービス数削減 にむけた緩やかな移行 2. 問題解決への 長期的な 取り組み グローバルなディレクトリ サービスへの収束 TCOの削減、生産性の向上、 ビジネスアプリケーションの容易な開発
考えられるアプローチ Directory アプリケーション Directory Access Interface API ツール 理想 マルチディレクトリアクセス Directory コネクタによる同期 理想に到達するために、経過措置 として講じる複数のテクニック ハブ&スポークアーキテクチャ ERP アプリケーション DB Directory コネクタ LDAPプロキシインタフェース DB ブローカ エンジン メタデータ アプリケーション 人事システム Meta-Directory NOS アプリケーション その他 Directory アプリケーション LDAPインタフェース ブローカ エンジン Directory Database メタデータ Flat File
マイクロソフトが推し進めるアプローチ マルチディレクトリアクセス 理想 アプリケーション & スクリプト アプリケーション Active Directory ハブ&スポークアーキテクチャ ERP アプリケーション NT ADSI Active Directory NDS LDAP 人事システム コネクタによる同期 DB DB アプリケーション SQL Server NOS Directory MMS メタデータ Windows 2000 Active Directory MMS: Microsoft Metadirectory Service MSDSS: Microsoft Directory Synchronization Service (SFNW 5(Service for Net. Ware)のコンポーネント) ADC: Active Directory Connector Active Directory アプリケーション ADC MSDSS etc… Exchange, NDS等 LDAPプロキシインタフェース マイクロソフトはこの分野にフォーカスしない
Active Directory を中心とした統合・連携 Exchange 5. 5 Active Directory 同期 照会 / 追加 ADSI 更新 / 削除 Active Directory Connector 同期 / 移行 NDS or Net. Ware 3. x Binderies Services for Netware ver. 5. 0 同期 / 移行 UNIX NIS Services for Unix Ver. 2. 0 COM コンポーネント LDAP Group Wise ADSI NT, AD, NDS, LDAP 照会 / 追加 更新 / 削除 C言語 プログラム インポート& エクスポート CSVDE. EXE LDIFDE. EXE LDAP LDFファイル CSVファイル ※LDIF: LDAPディレクトリ一括更新に関するIETFのRFC
Active Directoryがサポートする プロトコルとインターフェース u ディレクトリサービスプロトコル n LDAP バージョン 2および 3をネイティブサポート n 他のLDAP互換クライアントアプリケーションによる アクセスも可能 u プログラミング インターフェース n ADSI (Active Directory Service Interface) Ø Visual Studio (VB, VC++), VBScriptにて開発 Ø Office アプリケーションからも利用可能 n LDAP C API Ø インターネット標準RFC 1823にて定義 Ø LDAPプロトコル対応のC言語によるAPI
Active DirectoryとUNIXとの統合・連携 Services for UNIX 2. 0 u パスワード同期 n Windowsのパスワードが変更されると UNIXのパスワードも変更、またはその逆も可能 u ユーザー名マッピング n n Active DirectoryとUNIXのユーザーアカウントをマッピング NISサーバーおよびパスワードファイル等からマッピング可能 u NFS サーバー / クライアント / ゲートウェイ n NFSファイルシステムとWindowsディレクトリを ネットワークファイルシステムとして相互接続 u NISサーバー n n n UNIX NISネットワークとActive Directoryの統合 NISドメインマップをActive Directoryにインポート Active DirectoryがNISドメインのマスターサーバーとして動作 u UNIX コマンドライン ツール (60種類)
Active DirectoryとNet. Wareとの統合・連携 Services for Net. Ware 5. 0 u ディレクトリ同期サービス n 双方向、または一方向のディレクトリ同期 u Net. Wareファイルの管理と移行 n ファイル移行ユーティリティ n ディレクトリ同期サービスとの連携により、 セキュリティ許可情報なども移行時に継承 u ユーザーやアカウントの移行の簡素化 n Net. Ware用ファイルと印刷サービスはWindows 2000 ServerをあたかもNet. Wareのファイル/プリント サーバーと同様に運用管理
Microsoft Metadirectory Service (MMS) を中心とした統合・連携 IIS SAP AD Management Agent SAP MMS Management Agent Database Oracle DCO M AD Management Agent SQL 2000 (Store) MMS Server SOAP HTTP Clien t (Winform )
MMSを中心としたデータフローのイメージ 人事システム Metadirectory Full Name Title Employee ID Ichiro Suzuki Email Address Telelphone Common Name メタバース (Metaverse) イチロー ichiros ISuzuki コネクタ スペース Full Name Title Employee ID Email Address Title Telephone Common Name Office Location Email Address Telephone Full Name Title Employee ID E-mail システム Email Address Title Telephone Common Name LDAP ディレクトリ Office Location Telephone Email address
MMS 2. 2 u現在の最新バージョン u 1999年 7月 ZOOMIT社の買収により併合した テクノロジーをさらに拡張 u企業向けのアイデンティティ情報の同期・管理の ための柔軟性の高いフレームワーク u. US版のみ提供 u. Microsoft Consulting Service (MCS) または、 認定パートナー経由でのみ提供 u製品自体は無償 u導入事例: ICL, Katten Muchin Zavis, Pirelli
MMS 2. 2 特長と課題 u特長 n オブジェクトの作成・変更・削除 n 高い接続性 Ø 多種多様なマネージメント エージェント (MA) n 確実に複数システム間の一貫性を維持 Ø 各システムとの同期処理のステートを管理 Ø 複数格納先のアイデンティティ情報の一貫性維持 Ø アイデンティティ情報のタイムリーな更新 u課題 n アーキテクチャ Ø 独自のデータ格納形式 Ø 独自のスクリプティング言語 Ø グローバライゼーションが困難
MMS 3. 0の開発方針 u SQL Server 2000をデータストアに採用 n 既存のスキルと資産を生かした展開が可能 Ø Ø Ø バックアップ/リストア リプリケーション (複製) クラスタリングによる可用性の確保 各種のSQL管理ツールを利用可能 スケーラビリティ u 完全なグローバライズ (Unicode対応) u マネジメント エージェント (MA) n 第一弾: Ø Active Directory, XML/File, i. Planet/LDAP n 順次提供(時期未定): Ø Exchange 5. 5, Lotus Notes, Relational Database, People. Soft, SAP
MMS ロードマップ u MMS 3. 0 n Beta Release n Final Release Done (10月) Q 1 2003 (予定) u MMS 3. 1 (Fairbanks) n 追加のマネジメント エージェント (MA) n 先進の階層ビジュアル機能 (Polyarchy Viewer) n ローカライズ版の追加提供 Ø 日本語、ドイツ語、フランス語, スペイン語、 イタリア語、中国語 n Final Release Q 2 -Q 3 2003 (予定)
まとめ u. Active Directoryがもたらすソリューションは数多い n 今回紹介したソリューション以外にも、 VPN, IPSec, 分散ファイルシステム, ターミナルサービス, 認証局などの機能、付加価値を高める役割 u. Active Directoryのアーキテクチャは日々革新 n 4. 0 → 2000での大変革の後、. NETでは‘枯れた技術’に n 可用性と拡張性が向上し、導入はさらに容易に u複数ディレクトリサービスの統合・連携には n 現状:Active Directoryを中心にする Ø LDAP, ADSI, 各種コネクタを利用 n 今後:MMSを中心にした、より完成度の高い統合・連携 Ø フロー制御、障害管理、参照整合性、きめ細かいデータ加 etc. .
Windows Web u Windows 2000 Server n http: //www. microsoft. com/japan/windows 2000/techinfo/plan ning/walkthroughs/default. asp (ステップバイステップガイド) u Windows. NET Server 2003 n http: //www. microsoft. com/japan/windows. netserver/default. mspx
Windows スマートカードソリューション u凸版印刷とマイクロソフトがICカード分野で協業 n http: //www. microsoft. com/japan/presspass/releas es/030501 topp. htm u大日本印刷とマイクロソフト、Windows for Smart Cardsをベースとしたスマートカード分野でのパート ナーシップを発表 n http: //www. microsoft. com/JAPAN/presspass/REL EASES/091800 smar. htm
ディレクトリ連携 u Services for UNIX 2. 0 n http: //www. microsoft. com/japan/windows 2000/sfuincluded. asp u Services for Netware 5. 0 n http: //www. microsoft. com/japan/windows 2000/sfn/default. asp u LDAP n http: //www. microsoft. com/windows 2000/techinfo/howitworks/active directory/ldap. asp u MMS 2. 2 n http: //www. microsoft. com/windows 2000/technologies/director y/MMS/default. asp n http: //www. microsoft. com/japan/windows 2000/techinfo/howit works/activedirectory/mmsintro. asp
“Windows Insider” u http: //www. atmarkit. co. jp/fwin 2 k/ n 管理者のための Active Directory 入門 Ø n (連載)NT管理者のためのActive Directory入門 Ø n http: //www. atmarkit. co. jp/fwin 2 k/operation/adprimer 001/adp rimer 001_01. html http: //www. atmarkit. co. jp/fnetwork/rensai/ad 01. html Active Directoryが次期Windowsで飛躍的進化 Ø http: //www. atmarkit. co. jp/fwin 2 k/insiderseye/20020827 dotne t_ad/dotnet_ad_01. html
Active Directory 運用事例 u株式会社東北電力様での運用レポート n http: //www. microsoft. com/japan/technet/treeview/ default. asp? url=/japan/technet/prodtechnol/windo ws 2000 serv/case/tohoku. asp
SAP / Microsoft Alliance Web uhttp: //www. ms-sap. com (JPN) uhttp: //www. microsoft-sap. com (World Wide)
It’s more software - than it’s a strategic solution !
Backup slide
Active Directoryのアーキテクチャと導入 ・ 4. 0から2000での変更 ・マイクロソフト社内事例 ・ 2000から. NETでの変更
Windows NT 4. 0 ドメインアーキテクチャ u シングルマスタ レプリケーション n PDC停止による影響が大きい n メンバーサーバー <-> DCの変更が不可 u フラットなデータベース n 管理の委譲がドメイン単位にしかできない n 複数ドメインの信頼関係の維持管理コスト大 n ドメイン間のユーザー移動ができない u スキーマの拡張性 n プロパティの拡張ができない
Windows 2000 Active Directory アーキテクチャ uマルチマスタレプリケーション n 耐障害性、パフォーマンスの向上 n 柔軟な構成変更が可能 u全てのリソースは階層化されて一元管理 n 管理権限の委任 uスキーマ構造を拡張可能 n アプリケーションが利用するアカウント情報を Active Directoryに集約可能 n アプリケーションの特性に応じて、データベースス キーマを拡張可能
※ Active Directoryの可用性向上 u マルチマスタレプリケーション DC PDCとBDCの区別なし ディレクトリ 情報 コピー 各ドメインコントローラで ユーザー登録やパスワード 変更が可能 コピー DC ディレクトリ 情報 コピー
マイクロソフト社内事例 u Windows NT 4. 0 ドメインデザイン n 約 5000 の信頼関係 (!) 13 マスター ユーザー ドメイン (MUDS) 双方向の信頼関係 Africa Central Europe Far East 片方向の信頼関係 Middle East MSLI Corp MSForest Northern Southern MSNBCI Redmond America Europe SYSWINNT Apps. WGA リソース ドメイン (約420) South Pacific VMUDVendor
マイクロソフト 社内事例 Windows 2000 Active Directory ツリーデザイン u. Redmond ドメイン n 27, 331 users, 5, 046 groups n 10 Windows 2000 DCs n. Xeon × 4, 1 GB RAM, 36 GB HD n. AD Database 310 MB, GC 333 MB n一日 19, 000 以上のログイン n. CPU 使用率 10% 以下 Redmond NAmerica CA SAmerica MX AR* BR* CL* CO* EC* PE* VE* Namerica OU’s AZ* Calif* CN* CO* DC* FL* GA* HI* IL* IN* MA* MI* MN* MO* NJ* NY* OH* OR* PA* PR* SC* TX* U. K. corp. microsoft. com Europe DE Europe OU’s AT* BE* CH* CZ* DK* ES* FI* GR* HU* IE* IT* NL* NO* PL* PT* RO* RU* SE* SK* SI* MEast FR u u AE* IL* SA* TR* FEast JP CN* HK* IN* KR* TW* Africa MA* ZA* EG* KE* CI* SPacific AU ワールド ワイドでシングル フォレスト ルート ドメインは 13個の子ドメイン 110万オブジェクト グローバルカタログのDITサイズ 19 GB MY* NZ* PH* SG* TH* ID* VN* Vendors Partners KAO MSNBCI Windows NT 4. 0 trust w/vendor’s domain Windows NT 4. 0 trust w/partner’s domain
マイクロソフト社内事例(AD移行のメリット) u ドメインデータベース数の削減 (433 14) u 信頼関係の維持管理コストの削減 (5000 13) u ドメインコントローラ数の削減 n 従来はリソースドメイン毎に少なくとも2台のDC u DNSの管理の簡素化 n DNSの管理をActive Directoryの管理と統合 u ソリューションの実現 n グループポリシーによるアプリケーションの自動インストール n “プリンタの検索” 機能により、利便性を向上
マイクロソフト社内事例(情シ部門の考察) u Active Directory は下記の点で非常にうまく機能している n n WAN 回線を介しても効率的に複製処理が行われる 非常に多くの複製(レプリカ)をサポートできる 非常に多くのオブジェクト数を格納できる 属性レベルのセキュリティ設定を行うことができる Korea Japan China Taiwan Hong New Delhi Kong. Philippines Bombay Thailand Bangalore Kuala Lumpur Singapore Redmond Bismarck Boston Oregon Tucson Charlotte Dallas Smyrna Puerto Rico Mexico Bogota Venezuela Medellin Ecuador Peru Indonesia Australia New Zealand Norway Finland Poland Russia Denmark Sweden Ireland Holland Czech Rep Germany England Belgium Austria France Switzerland Spain Hungary Italy Turkey Portugal Greece Israel Morocco Egypt UAE Ivory Coast Kenya Brazil Chile Uruguay Argentina South Africa
マイクロソフト社内事例(情シ部門の考察) u 展開時の課題 n n n n DCインストール時の複製時間 ネイティブモードログオン時のGCアクセスの影響 サイト数増大にともなう管理負担の増加 複製によるグループメンバー衝突の可能性 GC格納属性の変更による完全複製 アップグレード時のドメインコントローラへの負荷集中 スキーマクラス・属性の再定義が困難 ドメイン名の変更不可 u 管理面での課題 n DCコンピュータ名の変更不可 n 管理ツールの操作性 n コマンドラインによる管理ツールの不足
(参考) Windows Server 2003での改良 ※ 2003年第一四半期リリース予定 u 柔軟性の向上 n n ドメイン名変更と構造の再構築 スキーマの無効化 フォレスト間の信頼関係 コンソールの強化 u ネットワークの利用効率の改善 n ユニバーサルグループキャッシング n グループ複製メカニズムの改善 u 移行と展開の簡易化 n オブジェクト移行ツールの改善 n メディアからの複製インストール
Скачать презентацию マイクロソフトが提供する ディレクトリサービス マイクロソフト株式会社 SAP Microsoft コンピテンスセンター Agenda u
6d6666fd62deb1290d74595bbd1ff085.ppt