マイクロソフトが提供する ディレクトリサービス マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター Agenda はじめに ディレクトリサービスとは? Active Directory とは? Active Directory がもたらすソリューション 認証 データ管理、ソフトウエア配布、設定管理、ネットワーク管理 複数ディレクトリサービスの統合と連携 基本的な考え方 Active Directory を中心にするケース Microsoft Metadirectory Service (MMS) を中心にするケース まとめ Backup (Active Directoryのアーキテクチャと導入) 4.0 から 2000 での変更 マイクロソフト社内事例 2000から .NET での変更 はじめに ・ディレクトリサービスとは? ・Active Directory とは? ディレクトリとは? ディレクトリサービスとは? ディレクトリ = 住所録、電話帳 ディレクトリサービス = 電話番号案内 名前 電話番号 住所 江端 忠志 03-1234-5678 東京都渋谷区笹塚・・・・・ 渡辺 忠典 03-4321-8765 東京都新宿区西新宿・・・・・ ① 104番に問い合わせ ② データベースを検索 電話番号の データベース ユーザー オペレーター ④ 目的の電話番号を知る ③ 電話番号を入手 各サービスに散在するディレクトリ 問題点 混在する情報と管理方式 ネットワーク アプリケーション OS メール データベース ディレクトリの統合と一元管理 ユーザー 情報 メール 情報 OS 情報 ハードウェア 情報 ネットワー ク 情報 Directory アプリケーション 情報 データベース 設定情報 Active Directory 概念図 Windows ユーザー ユーザー情報 権限 プロファイル ポリシー 他の NOS ユーザー セキュリティ ポリシー E-Mail サーバー メールボックス情報 アドレス帳 Active Directory Windows クライアント 管理プロファイル ネットワーク情報 ポリシー ユーザー/リソース セキュリティ 委任 ポリシー アプリケーション サーバー設定 シングルサインオン アプリケーション個別 のディレクトリ情報 ポリシー Windows サーバー 管理プロファイル ネットワーク情報 サービス プリンタ ファイル共有 ポリシー ネットワーク機器 設定 QoSポリシー セキュリティポリシー Firewall サービス 設定 セキュリティポリシー VPNポリシー Internet Active Directory のソリューション(1) ・認証 Windows 2000 における認証方式 Kerberos バージョン 5 認証 Windows 2000 ネットワークのデフォルト認証 MIT(マサチューセッツ工科大学)において開発 Active Directoryをセキュリティ アカウントデータベースとして使用 X.509証明書認証 公開鍵方式の認証プロトコルとして採用 Secure Sockets Layer (SSL)/ Transport Layer Security (TLS)用/IP Security等で使用 Intranet 環境でのシングルログオンを実現 Kerberos 認証済みクライアント Windows NT LAN Manager (NTLM) 認証 Windows NT 4.0のデフォルト認証 下位レベル(Windows9x, NT4.0など)の互換性維持 Kerberos による認証の仕組み (ログオン時 : 1/3) ②チケット(TGT)の発行 Active ドメイン Directory ユーザー コントローラ (KDC) ①ログオン要求 Kerberos による認証の仕組み (リソースへの初回アクセス時 : 2/3) 2.チケット発行 TGT ドメインコントローラ (Active Directory) 1.リソースを 利用したい Kerberos 対応アプリケーション ST ユーザー 3.これが チケット ST ST: Session Ticket 4.様々な リソース ・Windows ファイル共有 ・Windows プリンタ ・IIS Web サイト ・Exchange Server ・SQL Server ・SharePoint ポータルサイト ・対応アプリケーション リソース Kerberos による認証の仕組み (リソースへのアクセス2回目以降 : 3/3) ネットワーク負荷の軽減 ・ ・ ・ ドメインコントローラ (Active Directory) Kerberos 対応アプリケーション ユーザー 1.これが チケット ST ST: Session Ticket ・Windows ファイル共有 ・Windows プリンタ ・IIS Web サイト ・Exchange Server ・SQL Server ・SharePoint ポータルサイト ・対応アプリケーション リソース Kerberos による認証の利点 NTLM 認証の問題点を解決 認証のパフォーマンスを向上 クライアント、サーバー間の相互認証 暗号化されセキュアなチケットの受け渡し ドメイン間の信頼関係を効率よく構築できる Win2k & SAP WAS シングルサインオン 「Windows 2000 の Kerberos 認証を利用した SAP WebAS への シングルサインオン設定手順書」 Service Marketplace よりダウンロード 手順は以下の通り セントラルインスタンスの準備 – ファイル gsskrb5.dll の確認 – インスタンスプロファイルの調整 (トランザクションRZ10) SAP フロントエンドの設定 – SAPSSO.msi の実行(インストール) – SAP logon のシングルサインオンオプションを有効化 Win2000 ユーザーを SAP ユーザーにマッピング – トランザクションコードSU01 Kerberos シングルサインオン ドメインコントローラ (Active Directory) Kerberos 対応アプリケーション R/3 Enterprise ユーザー ST ・Windowsファイル共有 ・Windowsプリンタ ・IIS Webサイト ・Exchange Server ・SQL Server ・SharePoint ポータルサイト ・対応アプリケーション ・SAP Web-AS ・SAP Enterprise Portal ※ X.509証明書による認証(SSL、Web サーバ) 認証局(Verisign, SAP Trust center など ) ※Windows2000 の 証明書サービスを用いて (Certificate Server) 自前で構築してもよい 1. ユーザ証明書発行 1.サーバ 証明書発行 Internet 3. 証明書をユーザーにマッピング してユーザーを特定 HTTP with SSL/TLS クライアント ユーザ 証明書 サーバ 証明書 2. Webサーバアクセス時はお互いの 証明書を提示して相手を確認 Web サーバ ドメイン コントローラ Active Directory ※ X.509証明書認証の利点と注意点 利点 事前の共通鍵の交換が必要ない 誰でも公開鍵を手に入れることが可能 様々な活用分野 暗号化データ通信 : SSL 暗号化メールの利用 : S/MIME 暗号化ファイルシステム : EFS 暗号化リモートアクセス認証 : EAP 手軽で堅牢なログオン : スマートカード 注意点 公開鍵の配布の問題 公開鍵の正当性を証明する必要 秘密鍵の管理 共通鍵に比べ処理に時間がかかる ※ スマートカードによるユーザー認証 スマートカード ユーザー側の認証にカードという物理的な デバイスを要求 記憶素子の中に証明書や秘密鍵をセキュアに格納 カードからキーを取り出す事は不可能 パスワードでなく PIN 番号を入力させる ユーザー名/パスワードの認証よりも安全 入力は PIN No. だけなので、利用者にはより便利 スマートカード対応アプリケーション Windowsログオン Web 認証(SSL) 暗号化メール(S/MIME) スマートカード対応 アプリケーション(の開発) ※ スマートカードによるユーザー認証 ~ Active Directory へのログオン 2チケット(TGT)の発行 Reader SC Cert AD ユーザー DC/KDC 1.ログオン要求 Cert AD: Active Directory ※ スマートカードによるユーザー認証 ~ HTTPS サーバへのアクセス 認証局(Verisign, SAP Trust center) ※Windows2000 の 証明書サービスを用いて (Certificate Server) 自前で構築してもよい 1. ユーザ証明書発行 1.サーバ 証明書発行 Reader Internet 3. 証明書をユーザーにマッピング してユーザーを特定 HTTP with SSL/TLS ユーザ 証明書 クライアント ユーザ 証明書 サーバ 証明書 2. Webサーバアクセス時はお互いの 証明書を提示して相手を確認 Web サーバ ドメイン コントローラ Active Directory Active Directory のソリューション(2) ・データ管理 ・ソフトウエア配布 ・設定管理 ・ネットワーク管理 ユーザー データの管理 デスクトップ上の 「マイドキュメント」フォルダ PC1 ファイルサーバーの 共有フォルダ グループポリシー設定により 共有フォルダを参照するように設定 User: A PCを移動 PC2 User: A ユーザーは利用するPCによらず 常に自分のデータを利用可能 ユーザー、コンピュータへのソフトウェア配布 アプリケーション シェアポイント 管理者 1.シェアポイント作成 .MSI File 2.グループポリシーに インストール設定 Active Directory に設定を格納 インストールサービスとの統合 6.インストール開始 パッケージ (Windows Installer) Active Directory インストール完了 ドメイン,組織単位に設定可能 グループポリシー機能の利用 OSのソフトウェアインストールの 機能を利用 (Windows Installer) インストール、アンインストール、 修復、ロールバック、 アップグレードをサポート 3.ログオン 5.アプリケーションの起動 4.ポリシー適用 利用者 リモート OS インストレーション グループポリシー & ユーザーデータ & OS/アプリケーション イメージ Active Directory DHCP サーバー リモート インストール サーバー 4.リモート インストール リモート OS インストレーション のメリット 3.リモートブートプロセス 新規 PC への OS 展開 1.PCの故障 リモートブート クライアント 2.他の PC からリモートブート PC 故障時の復元 復元 OS + アプリケーションの展開 ユーザーデータも含めて 故障前の環境が復元される リモートブート NIC ROM または リモートブートフロッピーから起動 ユーザー、コンピュータの設定管理 グループポリシーによるデスクトップ環境管理 デスクトップ環境を集中管理 ポリシーの例 ローミングユーザーサポート 全てのプロファイル情報をサーバーに格納 ユーザーデータ/ユーザー固有の設定情報 ポリシーの適用 許可されたアプリケーションだけ 実行 コントロールパネルを隠す シャットダウンを無効にする プリンタの削除を無効 ネットワーク全体を非表示 レジストリ編集の禁止 ユーザー設定の格納/復元 Active Directory 管理者が設定したポリシーが適用される グループポリシー ユーザープロファイル ユーザー固有の設定情報がサーバーに 格納される どの PC にログオンしても管理者が設定したポリシー が適用されユーザー固有の設定情報が復元される ネットワーク帯域制御 無駄なネットワークトラフィックを極力排除 →レスポンスタイムの改善 Directory-Enable Network ネットワークの有効利用を目的に ネットワーク機器がディレクトリ情報 を利用する仕組み ユーザー単位のネットワーク帯域制御 アプリケーション単位の ネットワーク帯域制御 ネットワーク機器の設定情報の 集中管理 Active Directory 動的なファイアーウォール構成 ユーザ1; HTTP FTP ユーザ2; Telnet POP SMTP ユーザ3; LDAP Http FTP Active Directory 内の情報を 利用してファイアーウォール サーバーが動的にオープン ポートを構成 ファイアーウォールサーバー などの設定情報を中央で 一元管理 ユーザ1; HTTP FTP ユーザ2; Telnet POP SMTP ユーザ3; LDAP Http FTP ファイアーウォール フ ァ イ ア ー ウ ォ ー ル Active Directory 複数ディレクトリサービスの統合と連携 ・基本的な考え方 ・Active Directoryを中心にするケース ・MMS (Microsoft Metadirectory Service)を 中心にするケース 複数のユーザーアカウントとパスワード 利用するリソース毎に異なるオペレーション 全ディレクトリの情報が同期されるまで、 ビジネス上のつじつまが合わない 複数ディレクトリのメンテナンス作業負荷大 ディレクトリ間での情報の一貫性維持が難 組織の変化(合併、再編等)のスピードに システムが追随できない ディレクトリ毎に異なるAPI アクセス制御ロジックは独自に開発要 本来のビジネスロジック自体の開発以外に 留意する事項が増大 TCO の増大 生産性の著しい低下 アプリケーションの複雑化 開発者 管理者 ユーザー 複数ディレクトリサービス環境の問題 問題解決への短期的、長期的取組み 複数 ディレクトリ環境 の問題 TCO の増大 生産性の著しい低下 アプリケーションの複雑化 1. 問題解決への 短期的な 取り組み ディレクトリサービス数削減 にむけた緩やかな移行 2. 問題解決への 長期的な 取り組み グローバルなディレクトリ サービスへの収束 TCOの削減、生産性の向上、 ビジネスアプリケーションの容易な開発 考えられるアプローチ Directory アプリケーション Directory Access Interface API ツール 理想 マルチディレクトリアクセス Directory Directory Directory コネクタによる同期 理想に到達するために、経過措置 として講じる複数のテクニック ハブ&スポークアーキテクチャ ERP アプリケーション アプリケーション Directory アプリケーション コネクタ Directory 人事システム LDAPプロキシインタフェース DB Meta-Directory NOS Directory アプリケーション DB ブローカ エンジン メタデータ その他 Directory LDAPインタフェース ブローカ エンジン Directory Database メタデータ Flat File マイクロソフトが推し進めるアプローチ マルチディレクトリアクセス 理想 アプリケーション & スクリプト アプリケーション Active Directory ハブ&スポークアーキテクチャ ERP アプリケーション NT ADSI Active Directory NDS LDAP 人事システム コネクタによる同期 DB DB アプリケーション アプリケーション SQL Server NOS Directory MMS メタデータ Windows 2000 Active Directory Active Directory ADC MSDSS etc… Exchange, NDS等 LDAPプロキシインタフェース MMS: Microsoft Metadirectory Service MSDSS: Microsoft Directory Synchronization Service (SFNW5(Service for NetWare)のコンポーネント) ADC: Active Directory Connector マイクロソフトはこの分野にフォーカスしない Active Directory を中心とした統合・連携 Exchange 5.5 Active Directory 同期 Group Wise 照会 / 追加 ADSI 更新 / 削除 ADSI Active Directory Connector LDAP 同期 / 移行 NDS or NetWare 3.x Binderies UNIX NIS COM コンポーネント 照会 / 追加 更新 / 削除 C言語 プログラム Services for Netware ver.5.0 同期 / 移行 Services for Unix Ver.2.0 NT, AD, NDS, LDAP インポート& エクスポート CSVDE.EXE LDIFDE.EXE LDAP LDAP LDFファイル CSVファイル ※LDIF: LDAPディレクトリ一括更新に関するIETFのRFC Active Directoryがサポートする プロトコルとインターフェース ディレクトリサービスプロトコル LDAP バージョン2および3をネイティブサポート 他のLDAP互換クライアントアプリケーションによる アクセスも可能 プログラミング インターフェース ADSI (Active Directory Service Interface) Visual Studio (VB,VC++),VBScriptにて開発 Office アプリケーションからも利用可能 LDAP C API インターネット標準RFC1823にて定義 LDAPプロトコル対応のC言語によるAPI Active DirectoryとUNIXとの統合・連携 Services for UNIX 2.0 パスワード同期 Windowsのパスワードが変更されると UNIXのパスワードも変更、またはその逆も可能 ユーザー名マッピング Active DirectoryとUNIXのユーザーアカウントをマッピング NISサーバーおよびパスワードファイル等からマッピング可能 NFS サーバー / クライアント / ゲートウェイ NFSファイルシステムとWindowsディレクトリを ネットワークファイルシステムとして相互接続 NISサーバー UNIX NISネットワークとActive Directoryの統合 NISドメインマップをActive Directoryにインポート Active DirectoryがNISドメインのマスターサーバーとして動作 UNIX コマンドライン ツール (60種類) Active DirectoryとNetWareとの統合・連携 Services for NetWare 5.0 ディレクトリ同期サービス 双方向、または一方向のディレクトリ同期 NetWareファイルの管理と移行 ファイル移行ユーティリティ ディレクトリ同期サービスとの連携により、 セキュリティ許可情報なども移行時に継承 ユーザーやアカウントの移行の簡素化 NetWare用ファイルと印刷サービスはWindows 2000 ServerをあたかもNetWareのファイル/プリント サーバーと同様に運用管理 Microsoft Metadirectory Service (MMS) を中心とした統合・連携 IIS AD Management Agent DCOM AD MMS SAP SAP Management Agent SQL 2000 Database Oracle (Store) Management Agent MMS Server SOAP HTTP Clien t (Winform ) MMSを中心としたデータフローのイメージ 人事システム Metadirectory イチロー Full Name Title Employee ID Ichiro Suzuki Email Address Telelphone Common Name メタバース (Metaverse) Full Name Title Employee ID Full Name Title Employee ID E-mail システム ichiros ISuzuki コネクタ スペース Email Address Title Telephone Common Name Office Location Email Address Telephone Email Address Title Telephone Common Name LDAP ディレクトリ Office Location Telephone Email address MMS 2.2 現在の最新バージョン 1999年 7月 ZOOMIT社の買収により併合した テクノロジーをさらに拡張 企業向けのアイデンティティ情報の同期・管理の ための柔軟性の高いフレームワーク US版のみ提供 Microsoft Consulting Service (MCS) または、 認定パートナー経由でのみ提供 製品自体は無償 導入事例: ICL, Katten Muchin Zavis, Pirelli MMS 2.2 特長と課題 特長 オブジェクトの作成・変更・削除 高い接続性 多種多様なマネージメント エージェント (MA) 確実に複数システム間の一貫性を維持 各システムとの同期処理のステートを管理 複数格納先のアイデンティティ情報の一貫性維持 アイデンティティ情報のタイムリーな更新 課題 アーキテクチャ 独自のデータ格納形式 独自のスクリプティング言語 グローバライゼーションが困難 MMS 3.0の開発方針 SQL Server 2000をデータストアに採用 既存のスキルと資産を生かした展開が可能 バックアップ/リストア リプリケーション (複製) クラスタリングによる可用性の確保 各種のSQL管理ツールを利用可能 スケーラビリティ 完全なグローバライズ (Unicode対応) マネジメント エージェント (MA) 第一弾: Active Directory, XML/File, iPlanet/LDAP 順次提供(時期未定): Exchange 5.5, Lotus Notes, Relational Database, PeopleSoft, SAP MMS ロードマップ MMS 3.0 Beta Release Final Release Done (10月) Q1 2003 (予定) MMS 3.1 (Fairbanks) 追加のマネジメント エージェント (MA) 先進の階層ビジュアル機能 (Polyarchy Viewer) ローカライズ版の追加提供 日本語、ドイツ語、フランス語, スペイン語、 イタリア語、中国語 Final Release Q2-Q3 2003 (予定) まとめ Active Directoryがもたらすソリューションは数多い 今回紹介したソリューション以外にも、 VPN, IPSec, 分散ファイルシステム, ターミナルサービス, 認証局などの機能、付加価値を高める役割 Active Directoryのアーキテクチャは日々革新 4.0 → 2000での大変革の後、 .NETでは‘枯れた技術’に 可用性と拡張性が向上し、導入はさらに容易に 複数ディレクトリサービスの統合・連携には 現状:Active Directoryを中心にする LDAP, ADSI, 各種コネクタを利用 今後:MMSを中心にした、より完成度の高い統合・連携 フロー制御、障害管理、参照整合性、きめ細かいデータ加工 etc.. Windows Web Windows 2000 Server http://www.microsoft.com/japan/windows2000/ http://www.microsoft.com/japan/windows2000/techinfo/plan ning/walkthroughs/default.asp (ステップバイステップガイド) Windows .NET Server 2003 http://www.microsoft.com/japan/windows.netserver/default. mspx Windows スマートカードソリューション 凸版印刷とマイクロソフトがICカード分野で協業 http://www.microsoft.com/japan/presspass/releas es/030501topp.htm 大日本印刷とマイクロソフト、Windows for Smart Cardsをベースとしたスマートカード分野でのパート ナーシップを発表 http://www.microsoft.com/JAPAN/presspass/REL EASES/091800smar.htm ディレクトリ連携 Services for UNIX 2.0 http://www.microsoft.com/japan/windows2000/sfu/sfuincluded .asp Services for Netware 5.0 http://www.microsoft.com/japan/windows2000/sfn/default.asp LDAP http://www.microsoft.com/windows2000/techinfo/howitworks/active directory/ldap.asp MMS 2.2 http://www.microsoft.com/windows2000/technologies/director y/MMS/default.asp http://www.microsoft.com/japan/windows2000/techinfo/howit works/activedirectory/mmsintro.asp “Windows Insider” http://www.atmarkit.co.jp/fwin2k/ 管理者のための Active Directory 入門 (連載)NT管理者のためのActive Directory入門 http://www.atmarkit.co.jp/fwin2k/operation/adprimer001/adpr imer001_01.html http://www.atmarkit.co.jp/fnetwork/rensai/ad01/ad01.html Active Directoryが次期Windowsで飛躍的進化 http://www.atmarkit.co.jp/fwin2k/insiderseye/20020827dotne t_ad/dotnet_ad_01.html Active Directory 運用事例 株式会社東北電力様での運用レポート http://www.microsoft.com/japan/technet/treeview/ default.asp?url=/japan/technet/prodtechnol/windo ws2000serv/case/tohoku.asp SAP / Microsoft Alliance Web http://www.ms-sap.com (JPN) http://www.microsoft-sap.com (World Wide) It’s more software - than it’s a strategic solution ! Backup slide Active Directoryのアーキテクチャと導入 ・4.0から2000での変更 ・マイクロソフト社内事例 ・2000から .NETでの変更 Windows NT 4.0 ドメインアーキテクチャ シングルマスタ レプリケーション PDC停止による影響が大きい メンバーサーバー <-> DCの変更が不可 フラットなデータベース 管理の委譲がドメイン単位にしかできない 複数ドメインの信頼関係の維持管理コスト大 ドメイン間のユーザー移動ができない スキーマの拡張性 プロパティの拡張ができない Windows 2000 Active Directory アーキテクチャ マルチマスタレプリケーション 耐障害性、パフォーマンスの向上 柔軟な構成変更が可能 全てのリソースは階層化されて一元管理 管理権限の委任 スキーマ構造を拡張可能 アプリケーションが利用するアカウント情報を Active Directoryに集約可能 アプリケーションの特性に応じて、データベース スキーマを拡張可能 ※ Active Directoryの可用性向上 マルチマスタレプリケーション DC ディレクトリ 情報 コピー PDCとBDCの区別なし 各ドメインコントローラで ユーザー登録やパスワード 変更が可能 コピー DC ディレクトリ 情報 DC ディレクトリ 情報 コピー コピー DC ディレクトリ 情報 コピー マイクロソフト社内事例 Windows NT 4.0 ドメインデザイン 約 5000 の信頼関係 (!) 13 マスター ユーザー ドメイン (MUDS) 双方向の信頼関係 Africa Central Europe Far East 片方向の信頼関係 Middle East MSLI Corp MSForest North Northern South Southern MSNBCI Redmond America Europe America Europe SYSWINNT AppsWGA リソース ドメイン (約420) South Pacific VMUDVendor マイクロソフト 社内事例 Windows 2000 Active Directory ツリーデザイン Redmond ドメイン 27,331 users, 5,046 groups 10 Windows 2000 DCs Xeon ×4, 1GB RAM, 36GB HD AD Database 310 MB, GC 333MB 一日19,000 以上のログイン CPU 使用率 10% 以下 Redmond CA NAmerica SAmerica MX AR* BR* CL* CO* EC* PE* VE* Namerica OU’s AZ* Calif* CN* CO* DC* FL* GA* HI* IL* IN* MA* MI* MN* MO* NJ* NY* OH* OR* PA* PR* SC* TX* U.K. corp.microsoft.com Europe DE Europe OU’s AT* BE* CH* CZ* DK* ES* FI* GR* HR* HU* IE* IT* NL* NO* PL* PT* RO* RU* SE* SK* SI* MEast FR AE* IL* SA* TR* FEast JP CN* HK* IN* KR* TW* Africa MA* ZA* EG* KE* CI* SPacific AU ワールド ワイドでシングル フォレスト ルート ドメインは13個の子ドメイン 110万オブジェクト グローバルカタログのDITサイズ19GB MY* NZ* PH* SG* TH* ID* VN* Vendors Partners KAO MSNBCI Windows NT 4.0 trust w/vendor’s domain Windows NT 4.0 trust w/partner’s domain マイクロソフト社内事例(AD移行のメリット) ドメインデータベース数の削減 (433 14) 信頼関係の維持管理コストの削減 (5000 13) ドメインコントローラ数の削減 従来はリソースドメイン毎に少なくとも2台のDC DNSの管理の簡素化 DNSの管理をActive Directoryの管理と統合 ソリューションの実現 グループポリシーによるアプリケーションの自動インストール “プリンタの検索” 機能により、利便性を向上 マイクロソフト社内事例(情シ部門の考察) Active Directory は下記の点で非常にうまく機能している WAN 回線を介しても効率的に複製処理が行われる 非常に多くの複製(レプリカ)をサポートできる 非常に多くのオブジェクト数を格納できる 属性レベルのセキュリティ設定を行うことができる Norway Finland Poland Russia DenmarkSweden Ireland Holland Czech Rep Germany England Belgium Austria France Switzerland Spain Hungary Italy Portugal Turkey Greece Israel Morocco Egypt UAE Data Center Korea Japan China Taiwan Hong New Delhi KongPhilippines Bombay Thailand Bangalore Kuala Lumpur Singapore Data Center Redmond Data Center Bismarck Boston Oregon Tucson Charlotte Dallas Smyrna Puerto Rico Mexico BogotaVenezuela Medellin Ecuador Peru Indonesia Australia New Zealand Ivory Coast Kenya Brazil Chile Uruguay Argentina South Africa マイクロソフト社内事例(情シ部門の考察) 展開時の課題 DCインストール時の複製時間 ネイティブモードログオン時のGCアクセスの影響 サイト数増大にともなう管理負担の増加 複製によるグループメンバー衝突の可能性 GC格納属性の変更による完全複製 アップグレード時のドメインコントローラへの負荷集中 スキーマクラス・属性の再定義が困難 ドメイン名の変更不可 管理面での課題 DCコンピュータ名の変更不可 管理ツールの操作性 コマンドラインによる管理ツールの不足 (参考) Windows Server 2003での改良 ※ 2003年第一四半期リリース予定 柔軟性の向上 ドメイン名変更と構造の再構築 スキーマの無効化 フォレスト間の信頼関係 コンソールの強化 ネットワークの利用効率の改善 ユニバーサルグループキャッシング グループ複製メカニズムの改善 移行と展開の簡易化 オブジェクト移行ツールの改善 メディアからの複製インストール
© Copyright 2024 ExpyDoc
