主な変更点
オフライン ドメイン参加は、Windows® 7 または Windows Server 2008 R2 を実行しているコンピューターを、Active Directory ドメイン サービス (AD DS) のドメインにネットワーク接続なしで参加させる新しいプロセスです。このプロセスには、新しいコマンドライン ツールである Djoin.exe が含まれます。このツールを使用して、オフライン ドメイン参加を完了させることができます。
オフライン ドメイン参加を使用するとどのような効果がありますか。
オフライン ドメイン参加を使用すると、ネットワーク経由でドメイン コントローラーにアクセスせずにコンピューターをドメインに参加させることができます。コンピューターをドメインに参加させることができるのは、オペレーティング システムのインストール後にコンピューターを初めて起動するときです。また、コンピューターを再起動しなくても、ドメイン参加を完了させることができます。これにより、データセンターなどの場所でコンピューターの大規模展開を完了するのに必要な時間と手間を減らすことができます。
たとえば、組織が多数の仮想マシンをデータセンターに展開しなければならない場合があります。オフライン ドメイン参加を使用すると、オペレーティング システムのインストール後、初めて仮想マシンを起動するときに、その仮想マシンをドメインに参加させることができます。また、仮想マシンを再起動しなくても、ドメイン参加を完了させることができます。これにより、仮想マシンの大規模展開に必要な時間を大幅に短縮できます。
ドメイン参加によって、Windows オペレーティング システムと Active Directory ドメイン間の信頼関係が確立します。この操作には、AD DS の状態変化と、ドメインに参加しているコンピューター上での状態変化が必要です。以前の Windows オペレーティング システムでは、ドメイン参加を完了させるには、そのドメインに参加しているコンピューターが実行中で、ドメイン コントローラーにアクセスするためのネットワーク接続が確立されていなければなりませんでした。オフライン ドメイン参加は、以前の要件と比較して次の点が優れています。
- Active Directory の状態変化が、コンピューターへのネットワーク トラフィックなしで完了します。
- コンピューターの状態変化が、ドメイン コントローラーへのネットワーク トラフィックなしで完了します。
- 一連の変更をそれぞれ、別々の時間に完了させることができます。
次のセクションでは、オフライン ドメイン参加がもたらすメリットについて説明します。
データセンターの総保有コスト (TCO) の削減
オフライン ドメイン参加は、各サーバーが必要とする起動時間を短縮し、運用環境におけるドメイン参加操作の信頼性を向上させることで、コンピューターの総保有コスト (TCO) を削減できます。一般的に、最近のデータセンターには、プロビジョニング サーバーがあります。このサーバーは、イメージを構成し、そのイメージを運用コンピューターに送信して展開します。この運用コンピューターでは、設定、ドメイン参加、および再起動が行われます。ドメイン参加に関連する問題、たとえば、ネットワーク接続の問題や必要なオフライン サーバーに関する問題がある場合、こうした問題は、その時点で診断し解決しなければなりません。このような場合、オフライン ドメインに参加すると、運用コンピューターに対するセットアップを行っている間にドメイン参加情報を構成し、運用コンピューターとドメイン コントローラー間で生じる可能性のある問題を回避できます。また、オンライン ドメイン参加に必要な再起動の必要性を排除できるため、各サーバーの合計セットアップ時間が短縮されます。
RODC を使用しているドメイン参加の実行方法の改良
Windows Server 2008 には、読み取り専用ドメイン コントローラー (RODC) に対してドメイン参加操作を実行するメカニズムがあります。ただし、RODC に対してドメイン参加操作を行う場合は、次の複数の手順を行う必要があります。
- コンピューター アカウントをディレクトリに事前に作成し、スクリプトを使用して追加の属性を設定します。
- 必要に応じて、RODC のパスワード レプリケーション ポリシー (PRP) を修正し、ドメインに参加させるコンピューターのパスワードを RODC でキャッシュできるようにします。
- ドメインに参加させるコンピューターのシークレットのレプリケーションを強制的に実行します。
- ドメインに参加しようとしているコンピューターに、パスワードをオフラインで知らせます。
- RODC を対象とするカスタム スクリプトを実行し、このドメイン参加を完了します。
オフライン ドメイン参加を使用すると、RODC に対して実行するドメイン参加操作の手順は次のように簡易化されます。
- AD DS のアカウントを事前に作成します。
- ドメイン参加コンピューターに必要な関連する状態情報を、テキスト ファイルに送信します。
- コンピューターはテキスト ファイルの情報を使用して、コンピューター起動時にドメインに参加します。
迅速なエンタープライズ展開
Windows システム イメージ マネージャーなどの展開ツールを使用すると、Unattend.xml ファイル内のドメイン参加に関連する情報を指定することで、オペレーション システムのインストール中にドメイン参加を無人で実行できます。また、この Unattend.xml ファイルを使用して、Windows 7 および Windows Server 2008 R2 を実行するコンピューターに必要な情報を指定し、オフライン ドメイン参加を行うことができます。
Windows 7 および Windows Server 2008 R2 の Unattend.xml ファイルには、オフライン ドメイン参加をサポートするためのセクションが新しく追加されています。
この機能が役に立つのはどのような職務の人ですか。
ここで紹介した変更は次のような人に役に立つでしょう。
- Active Directory 管理者
- ネットワーク アーキテクト
- システム ビルダー
- セキュリティ管理者
- データセンター管理者
特別な注意事項はありますか。
Djoin.exe は、Windows 7 または Windows Server 2008 R2 を実行するコンピューターでのみ実行できます。Djoin.exe を実行して AD DS にコンピューターのアカウント データをプロビジョニングするコンピューターは、Windows 7 または Windows Server 2008 R2 を実行している必要があります。また、ドメインに参加させるコンピューターでも Windows 7 または Windows Server 2008 R2 が実行されていなければなりません。
既定では、Djoin.exe コマンドの対象は、Windows Server 2008 R2 を実行するドメイン コントローラーです。ただし、Windows Server 2008 R2 よりも前のバージョンの Windows Server を実行しているドメイン コントローラーを対象にする場合は、オプションの /downlevel パラメーターを指定することができます。
オフライン ドメイン参加を実行するには、ワークステーションをドメインに参加させるためのユーザー権利が必要です。既定では、Domain Admins グループのメンバーは、ワークステーションをドメインに参加させるユーザー権利を持っています。Domain Admins グループのメンバー以外については、このユーザー権利が付与または委任されていなければなりません。これらのユーザー権利を委任する方法の詳細については、オフライン ドメイン参加の手順ガイドに関するページ (英語の可能性あり) (http://go.microsoft.com/fwlink/?LinkId=134704) を参照してください。
この機能はどのエディションに搭載されていますか。
このパッケージは、すべてのエディションで使用できます。
32 ビット版および 64 ビット版への対応
Djoin.exe は Windows 7 および Windows Server 2008 R2 の両方に含まれており、32 ビットおよび 64 ビットの両方のバージョンで利用できます。ただし、プロビジョニング コマンドから生じる 64 ビット エンコード BLOB はアーキテクチャ非依存です。したがって、Djoin.exe を 32 ビット コンピューターまたは 64 ビット コンピューターのいずれかで実行し、AD DS でコンピューター アカウント データをプロビジョニングできます。また、Djoin.exe をもう一度 32 ビット コンピューターまたは 64 ビット コンピューターのいずれかで実行すると、オフライン ドメイン参加を要求できます。