Broadband Watch logo
バックナンバー

その116「DLNAの仕組み」
[2007/03/26]
その115「ドメインとActive Directory」
[2007/03/19]
その114「ワークグループができること」
[2007/03/12]
その113「WPSの仕組み」
[2007/03/05]
その112「Gopherの生い立ちと現在」
[2007/02/26]
その111「Wikiの使われ方」
[2007/02/19]
その110「文字コードとは」
[2007/02/05]
その109「IISの生い立ち」
[2007/01/29]
その108「NASの登場と一般への普及」
[2007/01/22]
その107「HomePNAのいろいろ」
[2007/01/15]
その106「Ogg Vorbisの成り立ち」
[2006/12/25]
その105「MIDIの原理とSMFの構造」
[2006/12/18]
その104「AIFFの構造」
[2006/12/11]
その103「WAVの構造と現状」
[2006/12/04]
その102「WMAの歴史」
[2006/11/27]
その101「AACの特徴」
[2006/11/20]
その100「MP3/MPEG Audioの仕組み」
[2006/11/13]
その99「HSDPAの仕組み」
[2006/11/06]
その98「H.264・MPEG-4 AVCの特徴」
[2006/10/30]
その97「IEEE 802.16e(モバイルWiMAX)の特徴」
[2006/10/23]
その96「TIFFの特徴」
[2006/10/16]
その95「PNGの現状と今後」
[2006/10/02]
その94「GIFの構造」
[2006/09/25]
その93「10GBASEの種類(2)」
[2006/09/11]
その92「10GBASEの種類」
[2006/09/04]
その91「GbEのいろいろ」
[2006/08/28]
その90「JPEGの特徴」
[2006/08/21]
その89「DivXの広がり」
[2006/08/07]
その88「MPEGの仕組み」
[2006/07/31]
その87「WMVのこれまで」
[2006/07/24]
その86「AVIの生い立ちとそのコーデック」
[2006/07/10]
その85「QuickTimeの変遷」
[2006/07/03]
その84「Realのこれまでと今後」
[2006/06/26]
その83「ShareとWinny」
[2006/06/19]
その82「DOCSISの仕組み」
[2006/06/12]
その81「SQLインジェクションの流れ」
[2006/06/05]
その80「RSSの動作」
[2006/05/29]
その79「Skypeの仕組み」
[2006/05/22]
その78「BitTorrentの特徴と今後」
[2006/05/15]
その77「Winnyの仕組みと現状」
[2006/05/08]
その76「WinMXの特徴」
[2006/04/24]
その75「Gnutellaの歴史と構造」
[2006/04/17]
その74「Napsterの歴史」
[2006/04/10]
その73「P2Pのいろいろ」
[2006/04/03]
その72「IEEE 802.11nの動向」
[2006/03/27]
その71「ActiveX Scriptingの動作」
[2006/03/20]
その70「Ajaxの仕組み」
[2006/03/13]
その69「DHTMLの動作」
[2006/03/06]
その68「Scriptの定義」
[2006/02/27]
その67「JavaScriptの仕組み」
[2006/02/20]
その66「Javaの動作」
[2006/02/13]
その65「RFCのプロセス」
[2006/02/06]
その64「ActiveX DocumentとActiveX Controlの違いと共通点」
[2006/01/30]
その63「ActiveX Controlの機能」
[2006/01/23]
その62「ActiveXを構成するもの」
[2006/01/16]
その61「Cookieの仕組みと用途」
[2005/12/26]
その60「malwareとその分類」
[2005/12/19]
その59「rootkitの動作」
[2005/12/12]
その58「CSSの役割」
[2005/12/05]
その57「HTMLの変遷」
[2005/11/28]
その56「PONとその種類」
[2005/11/21]
その55「FWAの仕組み」
[2005/11/14]
その54「DoSとDDoS」
[2005/11/07]
その53「SNMPとMIBの動作」
[2005/10/03]
その52「Jumbo Frameとフレームサイズ」
[2005/09/12]
その51「WPA2の仕組み」
[2005/09/05]
その50「WPAとWPA-PSKの違い」
[2005/08/29]
その49「WPAの仕組み」
[2005/08/22]
その48「WebDAVの動作」
[2005/08/08]
その47「OFDMAの仕組みとOFDMとの違い」
[2005/08/01]
その46「OFDMの仕組み」
[2005/07/25]
その45「WiMAXの特徴」
[2005/07/11]
その44「Wi-Fiの役割」
[2005/07/04]
その43「FTPの目的と動作」
[2005/06/27]
その42「UPnPの動作」
[2005/06/20]
その41「ネットマスクの仕組み」
[2005/06/13]
その40「ARPの機能」
[2005/06/06]
その39「DNSの原理」
[2005/05/30]
その38「デフォルトゲートウェイの役割」
[2005/05/23]
その37「MACアドレスの仕組み」
[2005/05/16]
その36「スイッチとその進化」
[2005/05/09]
その35「ルータによるメリット」
[2005/04/25]
その34「ブリッジの原理」
[2005/04/18]
その33「リピータの機能」
[2005/04/11]
その32「IPアドレスのクラス」
[2005/04/04]
その31「ブロードキャスト/マルチキャスト/ユニキャスト」
[2005/03/28]
その30「SMTP AUTHと認証の種類」
[2005/03/14]
その29「Submissionポートとスパムメール対策」
[2005/03/07]
その28「Outbound Port25 Blockingとは」
[2005/02/28]
その27「PGPの仕組み」
[2005/02/21]
その26「PKIと認証局」
[2005/02/14]
その25「公開鍵暗号方式とは」
[2005/02/07]
その24「共通鍵暗号とは」
[2005/01/31]
その23「SSHの仕組みと応用」
[2005/01/24]
その22「SSLの役割」
[2005/01/17]
その21「POP3とIMAP4の違い」
[2004/12/27]
その20「POP3の役割と機能」
[2004/12/20]
その19「SMTPの機能と問題点」
[2004/12/13]
その18「SPIとパケットフィルタリング」
[2004/12/06]
その17「LANの概念とその広がり」
[2004/11/29]
その16「SIPの役割」
[2004/11/15]
その15「プロキシの利用」
[2004/11/08]
その14「VoIPの仕組み」
[2004/11/01]
その13「イーサネットとは」
[2004/10/25]
その12「IP/TCP/UDP/ICMPとは」
[2004/10/18]
その11「DHCPの役割」
[2004/10/04]
その10「MIMOとは」
[2004/09/27]
その9「DMZとその効果」
[2004/09/13]
その8「ファイアウォールとは」
[2004/09/06]
その7「NATとNAPTの違いとIPマスカレード」
[2004/08/30]
その6「VPNとVPNパススルーの仕組み」
[2004/08/23]
その5「無線LANの問題とWEP」
[2004/08/09]
その4「IEEE 802.11a/b/gって何を意味しているの?」
[2004/08/02]
その3「ダイナミックDNSって?」
[2004/07/26]
その2「グローバルIPアドレスとプライベートIPアドレス」
[2004/07/12]
その1「PPPoEって何だろう?」
[2004/07/05]

その115「ドメインとActive Directory」


ドメインとActive Directoryって何?

 前回、「ワークグループ(Workgroup)」をご紹介しましたが、今回はその後継となる「ドメイン(Domain)」と「Active Directory」について取り上げていきます。

 端的に説明すると、ドメインとはワークグループを集中管理できる仕組み。Active DirectoryはドメインとDNSを合わせたようなもの、というイメージになります。まずは、ドメインから順に説明していきましょう。


ワークグループからドメインへ

 前回も触れたとおり、小規模のLANであれば、ワークグループで十分に機能するかと思います。ところが、マシンの台数やユーザー数が増えてくると、マシン台数×ユーザー数の分だけ設定を行なければなりません。

 例えば、20台のマシンがあったら、ユーザーが1人増減するごとに20台のマシンを回って登録/削除を行ない、マシンが1台増えたらその都度、全ユーザーの登録作業が余儀なくされます。手間もさることながら、数が増えると間違いが起きやすいのも問題です。従って、何らかの集中管理の仕組みが必要になってきます。

 そこで登場するのがドメインです。これは、Windows NT Serverと一緒に登場した新しい概念です。例えば、前回で取り上げたLANの構成を考えてみます。ここで、ドメインを使うには、“petshop”と“birdshop”のためにそれぞれ1台ずつ新しく「ドメインコントローラ」と呼ばれるものを追加します。


図1:ドメインサーバーを追加

画像1
 図1で言えば、“petserver”と“birdserver”がそれです。そして、この2台にそれぞれ“petshop”と“birdshop”のドメインコントローラとなるような設定をした上で、dog/cat/turtle/hamsterには“petshop”の、parrot/honeyparrot/finch/javasparrowには“birdshop”のドメインメンバーになるように設定を変えます。そして最後に、petserverにuser_A~user_D、birdserverにuser_E~user_Hのユーザー登録をします。

 登録作業が終わってドメインとして運用を開始すると、petshopドメインに参加しているマシン上でネットワークを参照した場合、こんな具合(画像1)に見えるはずです。この見え方自体はワークグループと違いはないのですが、異なるのはもう1つのbirdshopドメインのマシンが見えなくなることです。

 あくまでも自分の所属するドメインのメンバー同士でのみアクセスが可能になるわけで、外部から不用意に侵入されなくなるのは、セキュリティ面でも好ましいと考えられます。また、管理面でも、ドメインコントローラでマシン/ユーザーの追加や削除を一括して行なえるようになり、利便性が向上しました。


ドメインからActive Directoryへ

画像2

 そういうわけでオフィスなどではドメインを利用する、という流れはできたわけですが、より大規模になるとドメインの利用でも不便な点が出てきました。例えば、petshopの商売が盛んで、会社が各地に支店を出したとします。そうすると、全支店のマシンを1カ所のドメインコントローラで管理するのは通信費もかかるし、支店のマシンやユーザーを本店で管理するのは不便です。かといって、支店ごとにドメインを分けると、今度はお互いのデータ移動がやりにくくなってしまいます。

 実はドメインには“信頼関係”という機能があります。先の例で言えば、PetshopドメインとBirdshopドメインがお互いに信頼関係を結べば、両ドメインに所属するマシンが自由にアクセスできるようになります(画像2)。

 ただ、この信頼関係を使っても、多数のドメインを相互に接続するのは大変です。本社(Headquater)以外の支店が、東京(Tokyo)、大阪(Osaka)、名古屋(Nagoya)にあった場合、以下のように合計6つの信頼関係を結ぶ必要があります。

・Headquater-Tokyo
・Headquater-Osaka
・Headquater-Nagoya
・Tokyo-Osaka
・Tokyo-Nagoya
・Osaka-Nagoya

 もう1つは、前回でも少し触れたインターネットにおけるドメインの取り扱いがあります。例えば、petserver上でIISを使って社内管理システムを立ち上げたとします。この場合、petserver上では「http://localhost/」を入力することでIISにアクセスできますが、他のドメインメンバーは「http://petserver/」と入力してもアクセスできません。というのも、“petserver”という名前は、Windowsが勝手に管理しているもので、これとIPアドレスが結びついていないからです。

 これらを解決するのが、Windows 2000 Serverとともに導入された「Active Directory」です。Active Directoryは、上述の2問題を解決するとともに、「Directory Service」と呼ばれる機能が追加されています。ちなみにActive Directoryという名称自体も、このDirectory Serviceを統合したことに由来するようです。

 Active Directoryでは、まずドメインの親子関係が導入されました(図2)。先の例で言えば、親にあたる本店がPetshopというドメインの場合に、東京/大阪/名古屋の各支店を子ドメインとして登録すると、親子はもとより子同士でも自由にアクセスできるようになります。また、信頼関係も引き続きサポートされているので、同じく親子関係を構築したBirdshopと信頼関係を構築した場合、両方のドメインを自由にアクセスできるようになります。

 2点目に関しては、ドメインコントローラがDNSサーバー機能を兼ねる形でこれを解決しました。これによって、Windows Network上にあるドメインと、Internet上にあるドメインが一括して管理できるようになり、「http://petserver/」とするだけで、petserver上で動くIISにアクセスできるようになっています。


図2:ドメインの親子関係

 ちなみにDirectory Serviceとは、さまざまなリソースを検索・識別するためのサービスです。NTTの104(電話番号案内)を想像していただけると理解が早いかもしれません。Active Directoryの場合、ドメインへのユーザー登録時に必要な情報(例えば、社員番号や内線番号・電子メールアドレスなど)を登録しておけば、これをあとから自由に検索できる機能なども提供されています。

 小規模なオフィスではあまり必要ないでしょうが、大規模なオフィスでは有用になってきます。こうしたことからもわかる通り、ドメインやActive Directoryはビジネスでの利用を前提としたものになっています。Windows XPやWindows VistaのHome Editionでは、ドメインへの参加機能が省略されているのはこうした点が背景にあると思われ、実際の所家庭で使用する分にはこれで問題はないでしょう。


2007/03/19 10:54

槻ノ木 隆
 国内某メーカーのネットワーク関係「エンジニア」から「元エンジニア」に限りなく近いところに流れてきてしまった。ここ2年ほどは、企画とか教育、営業に近いことばかりやっており、まもなく肩書きは「退役エンジニア」になると思われる。(イラスト:Mikebow)
Broadband Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.