Ad

サービスロケータ、名前解決の仕組みからADを捉える 前回は認証、名前解決の視点からADを見てみましたが、今回はサービスロケータ、名前解決の視点からADを見ていこうと思います。 ※注意事項 以下の事項に関しては、ここで述べるには複雑すぎるので詳しくは述べません。 通信に利用するプロトコル(NetBEUI、TCP/IP） インターフェース（NETBIOS、NETBIOS over TCP/IP) NETBIOS名とホスト名 WINSサーバとDNSサーバーの違い Windowsブラウジングの仕組み スタンドアロンPCの場合 スタンドアロンPCの場合には、特にサービスロケーターや名前解決の仕組みは必要ありません。 複数PCの場合 複数PCの場合には、どのPCに何が入っているかなどに関しては全て個人の記憶なりで管理します。特にPCの仕組みとしては組み込む必然性はありません。 ワークグループの場合 ネットワークが利用できる環境では、通信をするために名前解決が必要ですし、共有リソースにアクセスする必要性も出てきます。 共有リソースの場所は記憶で管理し、名前解決はブロードキャスト(同一セグメントのみ)、ローカルファイル(hostsファイル、lmhostsファイル)を利用します。 どのPCがワークグループに参加しているか、という点に関しては、ブラウズリストを利用します。このブラウズリストに関しても、ブロードキャストやローカルファイルを利用して取得します。 NTドメイン NTドメインにおいては、アカウントデータベースも共有リソースとなります。つまり、ログオンする際にはドメインコントローラーを知り、通信を行う必要があります。 では、ドメインコントローラーの場所をどのようにしてクライアントは知ることが出来るのか? これは複数の方法があり、(同一セグメントであれば)ブロードキャスト、各PCのlmhostsファイルに記述するといった方法もありますが、本命はWINSを利用する方法になります。 WINSの場所自体は、各PCに静的に設定します。 WINSによって提供されるもの WINSの役割は複数ありますが、以下のものを提供します。 -ドメインコントローラーの場所 -NETBIOS名とIPアドレスの組(名前解決) -ブラウズリストの場所 WindowsNT時代にはWINSがサービスロケーター、名前解決の手段として一般的に利用されていました。 (余談)ちなみにNetBEUIプロトコルを利用しているかぎりにおいては、このあたりは全てブロードキャストで解決します。なぜならNetBEUIにはネットワークセグメントという概念はなく、全てのPCに対してブロードキャストが届くネットワークしか想定していないからです。 WINSサーバーの問題 WINSサーバーには以下の問題がありました。 オブジェクト数、データ構造 WINSのデータベースはフラットな構造であったので、必要なレコード、つまり全てのドメインの全てのレコードを保持する必要がありました。 (余談)WINSの場合、対象サーバーが保持しているレコードは名前解決できるし、保持していないレコードは名前解決できないという動きでした。自分が保持していないレコードだった場合には保持しているはずのWINSサーバーに問い合わせて、答えを返す・・・というようには動きません。 複製の管理 WINSサーバーが複数存在する環境では、WINSサーバー同士でレコードを明示的にPushしたり、Pullしたりする必要がありました。つまりWINSの複製のトポロジを管理者が管理しなくてはならず、しかも色々と複製にまつわるトラブルが多かったそうです。 ログオンするDCのコントロール NTドメインの時代にはログオンするDCはWINSサーバーから取得していたので、ログオンするDCが名前解決に依存してしまっていました。このため、最悪の場合には、近くにあるDCを利用せずに、ネットワーク的に非常に遠いDCを利用してしまうこともあったそうです。 公開できるリソースの種類 サービスロケーターとしてWINSを捉えた際にWINSが扱えるものはDCの場所とブラウズリストの場所に関するものだけだったので、たとえば共有プリンタの場所などは扱えず、UNCパスを利用しなくてはなりませんでした。 ADでの改善 ここまで見てきたWINSの問題点を改善するために、ADでは名前解決にDNS、サービスロケーターとしてもDNS,ADを利用するように変更されています。 オブジェクト数、データ構造 DNSを採用することで、ドメインごとに管理を分散できるようになりました。 複製の管理 名前解決に関してはDNSを採用したため、WINSの構成を行う必要がなくなりました。それに加えて、ADのDNSでは「AD統合ゾーン」という仕組みを採用し、DCのレプリケーションにDNSのレコードも含められるようになっています。(通常の標準プライマリ、標準セカンダリとしても構成可能) これによって、管理者は名前解決のための複製管理とDCの複製管理を分けて考える必要がなくなりました。 ログオンするDCのコントロール ADでは「サイト」という概念が導入されて、ログオンするDCはまずはサイト内を利用する・・・というように管理者が細かく管理できるようになりました。DCの場所はDNSのSRVレコードで示されています。 公開できるリソースの種類 ADでは、ユーザー、グループ、共有フォルダ、共有プリンタなどのリソースに関しても「ADに公開」することが出来るようになりました。

今頃ADの勉強会?という声も聞こえてきそうですが、新人はまったく別のことが専門だった人がほとんど・・・というのが今のSIerの実体で、需要は毎年あるのです。 3日かけて、AD勉強会をやりました。ものすごく疲れた・・・。 ちょっとは達成感があるけど、自分の技術的なスキル向上にはまだ全然やくにってない！人に話をする練習にはちょっとはなってるかな。 まだまだこれからだのぅ。

会社でだれにいわれたわけでもないけど、「やるぞ」ということで、ADの勉強会をしています。希望を募ったら、20人くらい集まったので、3日に分けて、まずは基本的なところから。今日は初日であんまりうまく出来なかったけれども、明日もあさってもあるから、もうちょっとうまくやろうっと。 でも、こんなことやって自分の仕事時間増やしても、特になにも得はないのです。もうちょっと何か文句でもいいからいってくれるといいんだけど・・・。

初めて高橋メソッドをつかって、上のエントリに関するPPTファイルを作ってみました。PPTファイルというところがダサいけれども・・・。 こんなのでいいのかな？まあいいのかな。 {{ul_display 0}}