グローバル ディレクトリ サービスの展開計画

  • [アーティクル]

要約
Microsoft の提唱するディレクトリ サービスの利用方針において、その中心的役割を果たすのが Microsoft® Windows® 2000 Server Active Directory (以下 Active Directory) です。Active Directory は、スケーラビリティの実現とインターネットの標準技術の利用、そして OS との完全な統合を果たした、初めてのエンタープライズ規模のディレクトリ サービスです。Windows アプリケーションで総合的にディレクトリ サービスを利用できるようになるだけでなく、企業の所有する多数のディレクトリを分離、移行、集中管理し、その数を減らすための統合ポイントとして利用できるよう設計されています。したがって、企業情報の共有とネットワーク リソース (アプリケーション、ネットワーク オペレーティング システム、ディレクトリを利用できるデバイスなど) の統一管理を行う上で、Active Directory は理想的な長期的基盤であるといえます。

トピック

はじめに はじめに
グローバル ディレクトリ サービスに対するニーズ グローバル ディレクトリ サービスに対するニーズ
グローバル ディレクトリ サービスの必要条件 グローバル ディレクトリ サービスの必要条件
Microsoft の提唱するグローバル ディレクトリ サービス展開計画 Microsoft の提唱するグローバル ディレクトリ サービス展開計画
まとめ まとめ

はじめに

現在、多くの IT 企業で人材、アプリケーション、リソースなどの情報が社内に散在し、増え続けています。オペレーティング システムやアプリケーション (電子メール システムから ERP システムまで) の多くには、ユーザーやリソースの情報を保存するための独自のリポジトリ機能が用意されています。したがって、企業で使用、サポートするアプリケーションやプラットフォームの数が増えるにつれ、リポジトリの数や種類も増えていくことになります。その結果、重複する情報や関連する情報までが別々の場所に保存されてしまい、企業はその散在した情報の管理を強いられることになります。企業がコストを最低限に抑え、変化に柔軟に対応できるようにするためには、エンタープライズ規模のディレクトリ サービスが必要です。ディレクトリ サービスを利用することにより、アプリケーションやオペレーティング システムの機能を損なうことなく、企業内の情報を保存、管理し、その情報にアクセスするための共通の保存場所を構築することができます。

これまで長期に渡り投資してきたアプリケーションやプラットフォームの存在を考えると、この目標はすぐにでも達成できるような簡単なものではありません。しかし、インターネットの標準ディレクトリが利用可能であることと、アプリケーション ベンダから相互運用の需要に応える製品がどんどん提供されるようになったことから、企業で必要なディレクトリの数を減らし、将来のグローバル ディレクトリに向けた基盤を築いておくことは可能であるといえます。

Microsoft では、企業が既存のアプリケーションやオペレーティング システム (Windows NT Server 4.0 を含む) に多大な投資を行ってきた点、そして Active Directory を完全に活用できるまでには時間がかかる点に配慮し、以下のように対処してきました。

  • Microsoft® Windows® NT Server Version 4.0 (以下 Windows NT Server 4.0) のアプリケーションの開発、展開時に利用できるオープン ディレクトリ サービス インターフェイスの開発

  • ディレクトリに関する情報を完全に保持したまま Windows NT Server 4.0 から Active Directory にアップグレードできるツールの開発

  • 既存のディレクトリから Active Directory に移行するときに、Active Directory を集中管理の中心点およびシングル サインオン インフラストラクチャとして利用できるよう同期機能を実現

  • 既存のディレクトリから Active Directory への移行を自動化する方法の作成

現在 Windows NT Server 4.0 を使用しており、将来 Microsoft® Windows® 2000 Server (以下 Windows 2000 Server) を展開する予定の企業にとって、グローバル ディレクトリ利用方針に Active Directory を採用するのは、賢明な選択であるといえます。

ページのトップへ ページのトップへ

グローバル ディレクトリ サービスに対するニーズ

ひとことで言うと、ディレクトリ サービスとは、ネットワーク上に存在するリソース (アプリケーション、ファイル、プリンタ、人など) に関する情報を保存しているリポジトリです。ディレクトリ サービスを利用すると、このようなリソースに名前や説明を付けたり、リソースの検索や、アクセス、管理、保護を一貫した方法で行えるようになるため、非常に有益です。

多くのオペレーティング システムやアプリケーションには、各種機能を実現するため、独自のリポジトリやディレクトリ サービスがあります。たとえば、電子メール アプリケーションには、送信先のアドレスを探し出してメールを送信するためのディレクトリ サービスがあり、サーバー オペレーティング システムでは、ディレクトリ サービスを使ってユーザー アカウントの管理やアプリケーションの設定情報の保存を行っています。このような独自のディレクトリ サービスは、アプリケーションやオペレーティング システムに特化した構造を持ち、標準に準拠していないインターフェイスを採用している場合が多いため、集中管理ができず共同利用も難しい数々のディレクトリを、企業は自力で管理しなくてはならないという事態になります。

互換性のないディレクトリ サービスがたくさんあると、次のような問題が発生します。

  • エンド ユーザー 別のシステムにログインするたびに、そのシステム用のユーザー アカウントとパスワードを再入力しなくてはなりません。また、ネットワーク上での情報の保存場所を正確に把握していなくてはなりません。

  • 管理者 ネットワーク内の各ディレクトリの管理方法を理解しなくてはなりません。また、複数のディレクトリを使う作業 (新規雇用の従業員の名前の入力など) を、ディレクトリごとに繰り返し行わなければなりません。

  • アプリケーション開発者 アプリケーションからアクセスするディレクトリごとに、別々のロジックを記述しなければなりません。

その結果、カスタマイズされたディレクトリ サービスが増加するに従って、管理にかかる所有費用が継続的に増加し、エンド ユーザーの生産性が低下し、アプリケーションが複雑化していくことになります。短期的には、企業はこのような傾向に歯止めをかける方法を見出し、ディレクトリを積極的に統合してできるだけ数を減らす必要があります。長期的には、必要なレベルのスケーラビリティを備え、標準規格に基づく相互運用性があり、オペレーティング システムと統合された技術を標準として採用することが、最善のソリューションであるといえるでしょう。

ページのトップへ ページのトップへ

グローバル ディレクトリ サービスの必要条件

複雑な企業環境の中でグローバル ディレクトリ サービスが有効に機能するためには、グローバル ディレクトリ サービスに以下のような特長が備わっている必要があります。

  • シングル サインオン エンド ユーザーがユーザー名とパスワードを使っていったんログオンしたら、電子メールやアプリケーション、ファイルにアクセスしたり、ネットワーク上の保存場所に関係なくプリンタなどのネットワーク リソースにアクセスできるようになる機能です。

  • 集中管理 管理者が企業リソースを集中管理できる機能です。ユーザー アカウントの追加や削除などの一般的な管理タスクを、ディレクトリごとに繰り返す必要がなくなります。

  • 変化への柔軟な対応 ビジネス マネージャには、企業が変化にすばやく対応できるようにするためのディレクトリ サービスが必要です。たとえば、企業の再編成を阻害ではなく促進でき、企業の合併を複雑化ではなく簡素化できるようなディレクトリ サービスです。さらに、インターネットを使ってビジネス パートナーと作業を行ったり、変化の激しいビジネス環境において電子商取引をサポートできるようなディレクトリ サービスも必要となります。

  • 標準規格に準拠したインターフェイス アプリケーション開発者には、開発に必要なひととおりの機能を備え、標準の規格やプログラミング インターフェイスをサポートするディレクトリ サービスが必要です。また、セキュリティなどの機能をアプリケーションに何回も実装する手間を省くため、ディレクトリ サービスがオペレーティング システムと強固に統合されている必要があります。

最終的には、以上のような特長を備えたディレクトリ サービスを選ぶ必要があります。適切なディレクトリ サービスの条件としては、スケーラビリティを備えていること、強力かつ柔軟であること、標準規格に準拠していること、現在行っているディレクトリ統合作業をサポートできること、将来グローバル ディレクトリ サービスとして完全に機能できることなどが挙げられます。したがって、長期的にグローバル ディレクトリ展開計画を考えると、次のような技術を基盤とすることが理想的であるといえます。

  • インターネットの標準規格を使って構築されていること

  • ディレクトリ アクセス、相互運用、移行、ほかの遷移的なディレクトリとの同期ができるよう、インターフェイスが公開されていること

  • オペレーティング システム レベルでの統合により、簡略性、機能強化、システムの整合性が実現されていること

以上のような条件を満たすディレクトリ サービスであれば、長期的に投資を行う価値があるといえるでしょう。現在ある何種類もの専用ディレクトリを統合できる、汎用性の高い 1 つのディレクトリ サービスに集中的に投資できるということになるからです。

ページのトップへ ページのトップへ

Microsoft の提唱するグローバル ディレクトリ サービス展開計画

Microsoft の提唱するディレクトリ サービスの利用方針において、その中心的役割を果たすのが Microsoft® Windows® 2000 Server Active Directory・(以下 Active Directory) です。Active Directory は、スケーラビリティの実現とインターネットの標準技術の利用、そして OS との完全な統合を果たした、初めてのエンタープライズ規模のディレクトリ サービスです。Windows アプリケーションで総合的にディレクトリ サービスを利用できるようになるだけでなく、企業の所有する多数のディレクトリを分離、移行、集中管理し、その数を減らすための統合ポイントとして利用できるよう設計されています。したがって、企業情報の共有とネットワーク リソース (アプリケーション、ネットワーク オペレーティング システム、ディレクトリを利用できるデバイスなど) の統一管理を行う上で、Active Directory は理想的な長期的基盤であるといえます。

Microsoft では、Active Directory の品質は多くの要素から決まると考えています。スケーラビリティやパフォーマンスなどの要素は、基本的な技術要件で、簡単に定義できます。一方、現在までの投資対象の保護といった要素については、明確に定義することは容易ではありません。そこで、このような要素に対しては、次のような指針を設定しました。

  • 現在および将来の Windows NT 4.0 ユーザーが既存のディレクトリやアプリケーションを相互運用するための方法が幅広く用意されていること。これには、Microsoft が提供するものとサードパーティが提供するものの両方が含まれます。

  • Windows NT Server 4.0 から Windows 2000 Server および Active Directory へのシームレスな移行が可能で、現在 Windows NT 4.0 環境にあるディレクトリ関連のデータが一切損なわれないこと。

  • Active Directory のオペレーティング システム レベルでの強固な統合により、シームレスな操作、簡単な管理、機能の強化、およびシステムの整合性が実現されていること。

  • Active Directory が標準インターフェイスにできるだけ準拠していること。これにより、Active Directory を単一のグローバル ディレクトリ サービスとして利用した長期的な統合が、より簡単になります。

以上の指針と Microsoft の結論について、次に詳しく説明します。

現在 Windows NT Server 4.0 を使用しているユーザーが、既存のシステムに変更を加えることなく、ユーザーによるシングル サインオンや管理者による集中管理を簡単に実現できるようにするため、数々の機能が用意されています。

  • NetWare の統合と移行 NetWare ユーザーを対象として、既存の NetWare ベースのネットワークに Windows NT Server を簡単に統合するためのツールを多数用意しています。たとえば、Services for NetWare というツールには、Windows NT Server ベースの情報と、NetWare 2.x、3.x、4.x システム (バインダリ エミュレーション モード) の情報をシームレスに同期するツールが含まれています。また、このサービスを利用すると、クライアント ソフトウェアを変更せずに、NetWare クライアントから Windows NT Server を使ってファイルやプリンタを共有できるようになります。また、Windows NT Server には、NetWare のユーザーおよびグループ アカウント情報を Windows NT ディレクトリ サービスに移行するためのツールも付属しています。

  • Macintosh の統合 Windows NT Services for the Macintosh (Windows NT Server 4.0 に付属) により、AppleShare と互換性のあるディレクトリ認証と、Apple 社の AppleTalk プロトコルを使ったファイルとプリンタの共有が可能になります。

  • ホスト システムへのシングル サインオン SNA Server for Windows NT により、ホストベースの RACF および ACF2 セキュリティ製品を同期させ、Windows NT とホスト環境の間でシングル サインオン環境を実現できます。

Microsoft では、Windows NT 4.0 と、最終的には Windows 2000 および Active Directory で成功を修めるには、サードパーティ製の相互運用製品が重要になると考えています。そこで、Microsoft は以下のような公開インターフェイスとプロトコルを提供し、既存の環境でも、将来的には Active Directory とも正しく動作するようなソリューションをサードパーティで開発できるようにしています。

  • ADSI (Active Directory サービス インターフェイス ) ハイレベルで、言語に依存しないディレクトリ サービス プログラミング インターフェイスのセット。Windows NT Server 4.0、Novell NetWare 3.x、NDS (Novell Directory Services) を含む NetWare 4.x から提供されるリソースとの通信もサポートされています。また、ADSI は Windows 2000 Server Active Directory の開発時の主要 API でもあります。ADSI を使うと、複数のディレクトリにアクセスできるアプリケーションの開発や、ディレクトリ間でデータを同期するアプリケーションの実装を、簡単かつ標準化された方法で行うことができます。

  • LDAP (Light-Weight Directory Access Protocol) Version 3 業界標準のディレクトリ アクセス プロトコル。デスクトップ アプリケーションやサーバー アプリケーションから、さまざまなディレクトリの情報にアクセスするための標準です。Microsoft® Outlook・(メッセージングおよびコラボレーションのクライアント) や、Microsoft® NetMeeting・会議ソフトウェア、Microsoft® Internet Explorer といったクライアント製品や、現行バージョンの Site Server や Exchange Server などのサーバー製品でも、LDAP をサポートしています。また、Microsoft® Exchange Server でのディレクトリの移行と Windows 2000 Server との同期にも、LDAP が使われています。Windows 2000 Server でも、Active Directory ベースの情報にアクセスするために LDAP がサポートされています。

  • SSPI (Security Service Provider Interface) Windows NT のセキュリティ機能を利用するための、高レベルで言語に依存しないプログラミング インターフェイスのセット。GSSAPI (General Security Service Application Programming Interface) 標準を基にしており、Windows NT のセキュリティ統合の利点 (シングル サインオン、認証、アクセス許可など) が利用可能になります。

また、Microsoft® BackOffice® ロゴ プログラムに準拠するための重要な条件として、サードパーティ製品は Windows NT 4.0 のシングル サインオン機能を実現している必要があります。現在、550 社以上の企業から、この規格に準拠した製品が販売されています (そのうちの一部を以下に掲載しています)。

Microsoft 製品の機能に加え、以下のサードパーティ製品には、前述の公開インターフェイスが使用されています。これにより、集中管理、シングル サインオン、およびドメイン設定を目的とした相互運用ソリューションを実現しています。このようなソリューションでは既存のシステムに変更を加える必要がないため、将来 Active Directory への移行が容易になります。

集中管理

Entevo DirectScript 企業向けディレクトリ管理製品。一般的な管理タスクを簡略化することにより、管理を容易にし、TCO (総所有費用) を低減します。DirectScript には次のような機能があります。

  • Visual Basic® 開発システム、Visual Basic Scripting Edition (VBScript)、または JScript・開発ソフトウェアにより、一般的な管理タスク (ドメイン間でのリソースの移動、ファイル サーバーやプリント サーバーのセキュリティ管理、分散ネットワーク上でのリソースのエミュレーションなど) を簡単に実装できます。

  • ADSI の採用により、Windows NT ドメイン環境のユーザー、グループ、ディレクトリとファイル、セキュリティ、レジストリ、コンピュータ、プリンタ オブジェクトなどの管理が可能です。

  • カスタマイズ可能な 10 種類以上のサンプルやスクリプト (Visual Basic、Active Server Pages、J/Script など) が付属されています。この管理スクリプトは、ブラウザを使って企業全体で利用することができます。また、Novell の NDS など名前空間の異なる環境にあるオブジェクトのマッピングも可能になります。

Entevo SecureFile デスクトップとインターネットのセキュリティ ツール。個人および企業ユーザー向けにセキュリティ機能を提供します。たとえば、ファイルの機密保護 (暗号化/復号化)、整合性の保証 (ハッシング)、認証 (デジタル署名による署名/照合) などの機能を、マウスで操作可能な統合されたインターフェイスで利用することができます。

Entevo DirectAdmin DirectAdmin の新規リリースでは、複数のネットワーク オペレーティング システムやアプリケーション (NDS、Vines、Exchange) と inter-NOS 操作がサポートされるので、各ネットワーク オペレーティング システムのディレクトリを Windows NT Server から集中管理できるようになります。

Mission Critical Enterprise Administration 大規模な Windows NT ベースのネットワークを対象とした、高度なルールベースの管理環境です。アカウントやリソースの管理、総合的なレポート作成、およびドメイン統合などの高度な自動化が可能になり、管理面でのスケーラビリティを実現しています。

FastLane Technoloies Virtual Administrator Windows NT ドメイン構造内で管理者権限を分割、委任したり、Windows NT の標準管理ツールを使ってドメイン階層をフラットにしたり再構築するためのツールです。

シングル サインオン ソリューション

Axent Enterprise Resource Manager ネットワークにログオンすると、ログオン操作を何回も行わなくても自動的に異種プラットフォームへアクセスできるようにする製品です。次のような機能があります。

  • ユーザー アカウント、システムへのアクセス権、およびパスワードの、より詳細な管理が可能です。

  • システム管理者が、安全かつ効率的に管理業務を分割することが可能です。

移行およびドメイン再構築用ツール

Flyte Migration Management Tool for VINES to Windows NT VINES から Windows NT Server への移行タスクを簡略化するツール。StreetTalk とクリーンアップ ツールが組み込まれているため、ユーザーへの負担を最低限に抑え、迅速かつ円滑に Windows NT に移行することができます。

Phoenix Domain Reconfiguration Tool for Windows NT ドメイン階層をフラットにしたり再構築する作業を簡略化するツール。セキュリティを維持したまま、移行を段階的または自動的に行うことができます。

Active Directory は、Windows 2000 Server オペレーティング システム プラットフォームの基礎をなすコンポーネントです。以下に挙げる理由から、Active Directory はユーザーが長い間持っていたニーズに応えます。

  • 相互運用を実現するため、インターネット標準を使って構築されています。

  • ディレクトリの相互運用、移行、およびほかのディレクトリ サービスとの同期を行うためにインターフェイスを公開しています。

  • ディレクトリ サービスとオペレーティング システムのサービスの強固な統合により、システムの整合性、簡潔性、機能強化、拡張性を実現しています。

ディレクトリ サービスとオペレーティング システムとの強固な統合からもたらされる利点には、すぐに気づかないかもしれません。しかし、Active Directory と Windows 2000 Server との強固な統合により、企業とそのユーザーに大きな利益をもたらします。

  • システムの整合性の強化 Active Directory を Windows 2000 Server の一部として実装することにより、Microsoft では、オペレーティング システム プラットフォーム全体がパフォーマンス、セキュリティ、信頼性の面で最適化、テストされていることを保証します。Windows サーバー製品が基幹業務に必須の存在となるに従い、広範にわたる機能を Microsoft から直接入手できるかどうかが、重要な問題となってきます。

  • 集中管理 Windows 2000 Server では、システム設定、ユーザー プロファイル、およびアプリケーションに関する情報はすべて Active Directory に保存されます。Windows 2000 Server のポリシー管理機能と併せて、管理者は分散したデスクトップ、ネットワーク サービス、およびディレクトリ利用可能なアプリケーションを、共通の管理インターフェイスを使って集中管理することができます。また、ネットワーク管理者は、Active Directory の提供するシステム プロファイルにより、ルーターなどのネットワーク機器を一貫した方法で監視、管理することができます。

  • ユーザー環境の個別設定 Windows 2000 Server や Windows 2000 Professional では、Active Directory に保存された情報に基づいて、ユーザーが文書を保存する場所、個人設定を保存する場所、その他個人の全体的な環境設定などが決定されます。設定情報は、管理ポリシーとして指定されます。管理ポリシーは、特定のユーザーが特定のマシンからログオンするときに適用されます。このポリシーから、オンデマンド アプリケーションの展開やログオン/ログオフ スクリプト、セキュリティ設定などのコンピューティング環境要素の動作が決まります。

  • サービス設定の簡素化 管理者は、Active Directory を基盤とした Windows 2000 Server の統合された設定機能を利用することができます。これには、ネットワーク サービス、アプリケーション サービス、インターネット/イントラネット サービスが含まれます。

  • 帯域幅割り当ての改善 Windows 2000 Server ネットワーク サービスと Active Directory との統合により、ネットワーク リソースをより効率的にユーザーやアプリケーションに割り当てられるようになり、ネットワーク利用コストを低減できます。RSVP (Reservation Services Virtual Protocol)1 や QoS (Quality of Service) 2 などの Windows 2000 Server ネットワーク サービスでは、Active Directory に保存されたユーザー プロファイル情報を使って、帯域幅、通信経路、各ユーザーに割り当てるサービスの種類などを決定します。

  • セキュリティ サービスの統合 標準に準拠した認証プロトコル (MIT の Kerberos や X.509 など) と Active Directory との統合により、シングル サインオンだけでユーザーはさまざまなネットワークやアプリケーションを利用できるようになります。また管理者は、ユーザー アカウントを設定するだけで、Kerberos や公開キー デジタル証明書などの複数のセキュリティ資格情報が利用可能になります。デジタル証明書の利用や、Windows アカウントへの証明書のマッピングによって、バリュー チェーン統合やエクストラネットを、ビジネス パートナーが安全に利用できるようになります。アプリケーション開発者は、Active Directory と Windows 2000 Server のセキュリティ サービスにより、アプリケーション開発コストを抑え、複雑な開発を避けることができます。

  • ディレクトリ対応アプリケーション Active Directory サービスに対応したアプリケーションには、数多くの利点があります。たとえば、アプリケーションでサービス プロバイダを動的にディレクトリに位置付けることができるので、管理者はビジネス ニーズの変化に合わせてリソースを再設定することができます。リソースの再設定には、たとえばアプリケーションを実行するマシンの指定などが含まれます。ディレクトリにより、アプリケーションは優先的に使うよう設定されたサービス プロバイダを利用できないときでも、自動的に別のプロバイダを利用することができます。これにより、アプリケーションが堅固になり、利用度が向上します。また、Active Directory を利用すると、別のアプリケーションに既に実装されていて、ディレクトリ内に発行されているサービスが簡単に見つかるので、開発時間を短縮することもできます。

  • アプリケーション設定の簡潔化 Active Directory と Windows 2000 Server オペレーティング システム サービスを利用することで、アプリケーションの設定とインストール情報を集中管理できます。ユーザーがうっかりアプリケーションの設定ファイルを削除してしまったとしても、Active Directory 上で以前に設定したインストール情報を参照できるので、アプリケーションの再インストールを簡単に行うことができます。

以上のような数々のユニークな利点は、Windows 2000 Server と Active Directory の強固な統合によりもたらされたのです。

Active Directory はインターネットの標準技術を基に構築されているので、世界中の組織やインターネットで既に実装されている DNS や TCP/IP、LDAP、X.509、Kerberos 認証などの技術が利用可能です。これらの業界標準のディレクトリ サービス プロトコルとインターフェイスのサポートにより、シングル サインオン、集中管理、ネットワーク相互運用などの機能をユーザーに提供しています。

Active Directory では、次に示す主要な標準をサポートしています。

Windows 2000 Server での標準

RFC

目的

DHCP

2131

ネットワーク アドレスの管理

Dynamic DNS

2052、2136

ホスト ネームスペースの管理

SNTP (Simple Network Time Protocol)

1769

時刻情報の取得サービス

LDAP v3

2251

ディレクトリ アクセス

LDAP 'C'

1777

ディレクトリ API

LDIF ディレクトリ情報形式

草案

ディレクトリの同期

MIT v5 Kerberos
x.509 v3 公開キー

1510
ISO

認証

LDAP

2247、2252、2256

ディレクトリ スキーマ

TCP/IP

793
791

ネットワーク トランスポート

これらのインターネット標準をサポートすることにより、以下の利点が得られます。

  • Dynamic DNS 標準の DNS 命名規則と互換性のあるグローバルな名前付け構造を構築できます。

  • LDAP アプリケーションとディレクトリ サービスの間の相互運用を最大限可能にし、同期によってディレクトリの相互運用を容易にします。

  • Kerberos 認証と X.509 公開キー Active Directory にセキュリティを統合することにより、インターネット環境とイントラネット環境の両方で、企業の持つセキュリティを必要に応じて統合、調和することが可能になります。

標準規格の使用により、既存のデスクトップやサーバーにあるソフトウェアに変更を加えることなく、完全な相互運用を実現できます。しかし、標準規格だけでは十分な機能を実現できません。ソフトウェア ベンダは、補完的な標準規格を統合するソリューションを構築する必要があります。たとえば、Active Directory では RFC822 準拠のインターネット名を使用することにより、ディレクトリ内のユーザーの識別 (LDAP) や、セキュリティ プロトコル (Kerberos)、証明書 (X.509)、およびオペレーティング システムのプリンシパルの識別を行います。これにより、エンド ユーザー、分散アプリケーション、および企業の管理者の環境が大幅に簡潔化されます。その結果、Windows 2000 Server を最小限の作業で既存の環境と統合できるのです。

先に述べたように、グローバル ディレクトリへの移行は、多くの企業においてはすぐに実施できるような性質のものではありません。非常に多くのディレクトリ関連の情報が、非常に多くの場所に分散してしまっているからです。しかし、ディレクトリ情報が継続的に増加すると、結局は多大なコストがかかってしまうため、ディレクトリの増加に歯止めをかけ、統合を目指す方法を見出さなくてはなりません。この目標を達成するため、グローバル ディレクトリ化を簡単かつ迅速に行えるよう、Active Directory は以下のように設計されています。

  • LDAP などのプロトコルや ADSI などのインターフェイスを介して、既存のアプリケーションとの相互運用をサポートします。

  • Active Directory への移行を容易にするツールを提供します。

  • Active Directory のデータとほかのディレクトリ データとの同期をサポートします。

ディレクトリの同期機能は重要です。Active Directory でデータの保存と管理を集中的に行い、その後自動的にほかのディレクトリにデータのサブセットを作成できるからです。ディレクトリを移行中で、複数のディレクトリを維持している企業の場合、集中管理やシングル サインオンを行う上で同期機能が必要になります。

同期機能は複数の方法で実現されます。まず、標準への準拠については、Microsoft ではほかのベンダと協力して LDAP の次バージョンの仕様に同期機能が盛り込まれるようにし、可能になりしだい LDAP の同期機能をサポートする予定です。Active Directory 同期コネクタという、一方向の同期サービスをまもなくリリース予定です。Active Directory 同期コネクタは、Active Directory で行われた変更を NDS (NetWare Directory Service)、Netscape Enterprise Directory、Lotus Notes などのディレクトリに反映させます。NDS 同期コネクタは、Windows 2000 Server のリリースで提供されます。また、Windows 2000 Server のリリース時期に合わせて、ADSI などのインターフェイスを使って多数のディレクトリをサポートする同期コネクタが、サードパーティから発売される予定です。

移行に関しては、Microsoft では Computer Associates と共同で DS Migrate for Windows という移行ツールを開発しています。DS Migrate を使うと、NetWare 3.x および 4.x ベースのサーバーを自動的に Active Directory に移行することができます。DS Migrate では、ADSI を使って NetWare バインダリおよび NDS のデータを移行エンジンにコピーし、次に Active Directory に自動的にマッピングします。このツールの利点のひとつは、DS Migrate がオンラインでもオフラインでも機能するということにあります。つまり、オンラインでディレクトリ情報をそのままアップグレードすることも、何段階かに分けてオフラインで移行を行うこともできます。

ページのトップへ ページのトップへ

まとめ

単一のグローバル ディレクトリ サービスを構築するという考えそのものは、新しいものではありません。多くの企業では、何らかの形でディレクトリ サービス製品を利用したり、ディレクトリの統合と標準化を目指したりしてきました。しかし、期待したとおりの結果を得られた企業はほとんどありませんでした。ある面で秀でた製品や技術が別の面で劣っていたり、既存の投資を使い続けるには、ディレクトリ構造を大幅に変更する以外の方法がなかったため、グローバル ディレクトリが構築できなかったのです。

Microsoft ではこの問題を認識し、強力なエンタープライズ規模の技術を Active Directory という形で提供し、グローバル ディレクトリへの移行を段階的かつ実践的に行うことのできる方法を用意しました。また、Windows NT Server 4.0 を現在利用している企業や今後展開する予定の企業が、Active Directory を使って簡単かつシームレスに Windows 2000 Server に移行できるよう準備しています。

さらに、Active Directory は Windows 2000 Server オペレーティング システムと強固に統合されており、より簡潔で、システムの整合性、強力な新機能が実現されます。Windows 2000 Server Active Directory を、次世代の分散アプリケーション開発の標準ベース プラットフォームとして利用できることは明らかであるといえます。

Windows 2000 の最新情報については、Microsoft TechNet または Windows NT Server の Web サイト (https://www.microsoft.com/japan/ntserver/default.mspx) をご覧ください。

© 1999 Microsoft Corporation. All right reserved.

本書に記載されている情報は、発行時点で議論されている問題点に関する Microsoft Corporation の最新の見解を示しています。Microsoft は変化する市場状況に対処しなければならないため、本書の内容を Microsoft の確約事項として解釈してはならず、Microsoft は発行日以降に提示された情報の精度についてはいかなるものであれ保証致しません。

本書は、情報の通知のみを目的としており、Microsoft は本書に記載されている情報について明示的にも暗黙的にも一切の保証を致しません。

Microsoft、Active Desktop、BackOffice、BackOffice ロゴ、Windows、および Windows NT は米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

その他、記載されている会社名および製品名は、各社の商標および登録商標です。

Microsoft Corporation. One Microsoft Way. Redmond, WA 98052-6399 USA

  1. 特定の通信経路のネットワーク サービスを確保するためのプロトコル。
  2. ネットワーク サービス用の帯域幅の確保を保証すること。

ページのトップへ ページのトップへ