【AD基礎】ドメインコントローラーが管理するデータ構成について

2022年9月22日
2023年6月8日
AD DS

AD DS

Active Directory ドメインサービスとは、組織でシステム管理者が、組織内のユーザーやリソースを管理するためのサービスです。Active Directory ドメインサービスに関する仕組みの概要については、以下の記事で紹介しています。

ドメインコントローラーのデータ構成

Windows Server OS に “Active Directory ドメインサービス” の役割をインストールして、ドメインコントローラーに昇格すると、その端末でドメイン内のリソースを管理できるようになります。ドメインコントローラーに昇格すると、以下の 2 つのデータ保存領域が自動生成され、ドメイン内のリソースに関するデータを保持します。

AD データベース
SYSVOL

AD データベースと SYSVOL の各データ保存領域にて、管理されるドメインのデータは異なります。

Windows Server OS がワークグループの時は、ローカルユーザーやグループの情報を保持しています。ただし、端末をドメインコントローラーへ昇格させた後は、ローカルデータベースは削除され、これまでローカルで管理していたローカルユーザーやグループも存在しなくなります。

その代わりに、AD データベースが作成され、その中にドメインユーザーやその他のオブジェクトが生成されるという動作になります。ドメインコントローラーへログオンする時は、ドメインコントローラーにはローカルユーザーは存在しないため、昇格後にはドメインユーザーでログオンするという動作になります。(※注：最初の 1 台目のドメインコントローラーの昇格においては、ローカルユーザーとグループと同じ名前をもつドメインユーザーとグループが自動で作成された上で、ローカルデータベースが削除されます)

AD データベースと SYSVOL

ドメインコントローラーには “AD データベース” と “SYSVOL” という 2 つのデータを保管する領域が作成され、各データではそれぞれ以下のようなデータを管理しております。

ドメインコントローラーに昇格すると、既定で C:\Windows\NTDS というフォルダに AD データベース (ntds.dit) が作成されます。この AD データベース上に、ドメインユーザーやグループ、コンピューターアカウントなど、ドメインの管理に必要な各種オブジェクトの情報が管理されています。また、同じフォルダ(C:\Windows\NTDS) に、AD データベースのログファイルも保存されます。

また、ドメインコントローラーに昇格した時に、既定で C:\Windows\SYSVOL というフォルダに、SYSVOL(Domain System Volume の略)が作成されます。SYSVOL には、グループポリシーと呼ばれる、ドメインに参加している各コンピューター端末にシステム設定を配布する設定情報に関するデータが管理されています。この SYSVOL フォルダは共有フォルダとして公開されており、ドメインに参加している各コンピューター端末は \\<ドメイン名>\SYSVOL の共有パスにアクセスすることにより、設定を参照して自身の端末に設定を反映します。

Windows OS では、ローカルのシステム設定を行える、ローカルグループポリシー(LGPO)が存在します。LGPO はあくまで、そのコンピューター端末のみの設定を変更するためのポリシーとなり、ポリシーの保存場所は C:\Windows\System32\SYSVOL となります。こちらは、ドメイングループポリシーとは別物となり、Windows Server OS の端末をドメインコントローラーに昇格したとしても、その端末の個別のシステム設定を行うポリシーとして残り続けます。

ドメインコントローラー間のデータ複製について

ドメインコントローラーはドメインを管理する大切な役割を担っているサーバーであるため、ドメイン内に複数のドメインコントローラーを構築して冗長性をもたせることができます。もし、何らかの障害によって一部のドメインコントローラーが利用不可な状態となってしまったとしても、ドメインとしての機能を維持することが可能です。

ドメインコントローラーはドメインを管理するコンピューターであるため、複数台のドメインコントローラーが構築されているドメイン環境において、全てのドメインコントローラーにおいて、同じデータを保持している状態である必要があります。

そのため、ドメインコントローラーの間では AD データベース、SYSVOL のそれぞれのデータを複製し、全てのドメインコントローラーが同じデータを保持しておけるように、ドメインコントローラー間でデータを複製しております。ドメインコントローラーで管理するデータ(AD データベース/SYSVOL)の複製の仕組みは「マルチマスターレプリケーション」で行われます。

マルチマスターレプリケーションとは？

　マルチマスターレプリケーションとは、どの端末でもデータの更新を行える構成のことを指します。

マスター/スレーブ構成のような、マスターとなる特定の 1 台の端末のみでデータ更新を行え、残りのスレーブとなる端末はマスターの端末からマスターデータを複製してくる仕組みではありません。各ドメインコントローラーにはマスター/スレーブのような関係はなく、全てのドメインコントローラーにて AD データベースや SYSVOL に格納されているデータを更新することができるため、この複製の仕組みはマルチマスターと呼ばれます。ドメインコントローラー間で AD データベースや SYSVOL のデータを複製し合い、基本的にどのドメインコントローラーも同じデータを保持しています。

Windows Server 2008 より、RODC(Read Only Domain Controller) という書き込み不可のドメインコントローラーを構築できるようになっています。RODC として構築されたドメインコントローラー上では、データの更新を行うことはできません。

AD データベースのパーティション

AD データベースでは「パーティション」と呼ばれる単位で、データの格納領域が区切られています。AD データベースをパーティションで区切って、管理するデータを分けている理由は、データの複製範囲を分けるためです。

AD データベースには以下のようなパーティションが存在していますが、各パーティションの複製範囲はそれぞれ異なります。

パーティション名	複製範囲
ドメインパーティション	ドメイン内のすべてのドメインコントローラー
構成パーティション	フォレスト内のすべてのドメインコントローラー
スキーマパーティション	フォレスト内のすべてのドメインコントローラー
アプリケーションパーティション	アプリケーションパーティションを利用するアプリケーションの実装に依存
グローバルカタログ	グローバルカタログの役割をもったドメインコントローラー

上記の通り、ドメイン内のドメインコントローラーでしかデータを複製しないパーティションもあれば、ドメインが異なっていたとしても、フォレスト内の全てのドメインコントローラーでデータを複製するパーティションもあります。これは、ドメイン固有の情報であれば、ドメイン内でのみ情報を共有していれば問題なく、逆に、フォレスト全体で共有しておいた方がよい情報は、フォレスト単位で情報を共有する方がよいためです。つまり、AD で管理されるデータの性質によって、そのデータが管理されるパーティションが異なってきます。

各パーティションについて詳細を説明します。

ドメインパーティション

ドメイン固有の情報を管理するパーティションで、そのドメインのドメインコントローラーのみでデータが複製されます。同じフォレストであったとしても、ドメインが異なるドメインコントローラーには複製されません。ドメインパーティションには、ユーザーやグループ、コンピューターアカウントなど、ドメイン固有の情報が管理されています。

構成パーティション

フォレスト内の全てのドメインにて保持しておくべき情報を管理するパーティションで、フォレスト内の全てのドメインのドメインコントローラーでデータが複製されます。例えば、パーティションの最大のデータの複製範囲はフォレスト単位であるため、データの複製に関する情報はフォレスト内で共有される必要があるため、データの複製に必要な各情報は構成パーティションで管理されます。また、Active Directory 証明書サービスで構築するエンタープライズ CA など、フォレスト内の全てのドメインで利用できるサービスに関する情報も構成パーティションで管理されます。

スキーマパーティション

AD で管理するデータの構造を決めたスキーマの情報を管理するパーティションで、フォレスト内の全てのドメインコントローラーでデータが複製されます。スキーマの情報はフォレスト内で共有されるため、同じフォレスト内のドメインであれば、同じ型(クラス)で作成されたデータの構造は同じとなります。

アプリケーションパーティション

Active Directory と連携するアプリケーションが利用する情報を格納するパーティションです。そのため、アプリケーションの実装に依存して、データが複製される範囲は異なります。

ただし、実際のところ、アプリケーションパテーションを利用するアプリケーションは、基本的にはドメインコントローラー昇格時に一緒にインストールされる DNS サーバーのみであることがほとんどです。ドメインコントローラー昇格時に DNS サーバーをインストールすると、DNS サーバーか管理するドメインの DNS ゾーンやレコードは、AD データベースのアプリケーションパテーション上に保存される構成になります。(AD データベース上に保存されているゾーンのことを、AD 統合ゾーンと呼びます。)

Windows Server 2003 以降の OS の端末にて、ドメインコントローラーを構築すると ForestDnsZones と DomainDnsZones という 2 つのパーティションが自動で作成されます。各パーティションの複製範囲は以下の通りです。

パーティション名	複製範囲
ForestDnsZones	フォレスト内の DNS が構築された全てのドメインコントローラー
DomainDnsZones	ドメイン内の DNS が構築された全てのドメインコントローラー

フォレストルートドメインが構築されたタイミングにて、ForestDnsZones のパーティションに _msdcs.<フォレストルートドメイン名> という名前のゾーンが作成されます。また、DomainDnsZones のパーティションに、ドメイン名の名前のゾーンが作成されます。

Windows 2000 Server の時は、Active Directory サービスでアプリケーションパーティションは実装されていません。DNS の AD 統合ゾーンはドメインパーティションに保存されていました。

グローバルカタログ

グローバルカタログ (Global Catalog。GC と表記されることが多いです)は、他のドメインのドメインパーティションの一部の情報を保持しているドメインコントローラーのことです。グローバルカタログは、ドメインコントローラーの構築時のウィザードの [ドメインコントローラーオプション] にて、[グローバルカタログ] のオプションを有効にした状態で構築したドメインコントローラーとなります。

グローバルカタログの情報は、グローバルカタログの役割をもつ同じドメインのドメインコントローラー間で複製されます。

補足：グローバルカタログとは？

グローバルカタログの役割をもつドメインコントローラーでは、他のドメインのドメインパーティションの一部の情報を保持しています。

例えば、フォレスト内にドメイン A、ドメイン B、ドメイン C が存在する環境において、グローバルカタログの役割をもつドメイン A のドメインコントローラーでは、ドメイン B、ドメイン C のドメインパーティションの一部の情報を保持しています。

そもそも、ドメインパーティションにはドメイン固有の情報が保持されているのに、なぜ他のドメインのドメインコントローラーが一部の情報を保持する必要があるのでしょうか？これでは、ドメインパーティションとして分けてある意味がないように思えるかもしれません。

わざわざグローバルカタログが用意されている理由は、ドメイン固有の情報といっても、他のドメインから参照される可能性があるためです。そのため、他のドメインから参照される可能性がある情報を抽出して、必要な一部の情報のみをグローバルカタログのパーティションに保存する仕組みになっています。

グローバルカタログが利用される例として、フォレスト内から、ある名前をもつユーザーを検索したいというシナリオで利用されます。グローバルカタログの仕組みにより、フォレスト内にある全てのドメインコントローラーに接続して、ユーザーの検索をする必要はなく、自ドメインのグローバルカタログの役割をもつドメインコントローラーに接続すれば、フォレスト内の全てのドメインを対象にユーザー検索をすることができます。

各ドメインコントローラーが保持するパーティション

ここまで紹介した通り、パーティションごとに複製される対象のドメインコントローラーが異なってきます。

contoso.com という名前のフォレストの中に、contoso.com というルートドメイン、sub.contoso.com、child.contoso.com という子ドメインが存在したとします。その環境における各ドメインが保持するパーティションの情報は以下の通りです。

contoso.com の DC	構成パーティションスキーマパーティション contoso.com のドメインパーティション
contoso.com の DC / GC	構成パーティションスキーマパーティション contoso.com のドメインパーティション sub.contoso.com のドメインパーティションの一部 child.contoso.com のドメインパーティションの一部
contoso.com の DC / DNS	構成パーティションスキーマパーティション contoso.com のドメインパーティション ForestDnsZones のアプリケーションパーティション contoso.com の DomainDnsZones のアプリケーションパーティション
contoso.com の DC / GC / DNS	構成パーティションスキーマパーティション contoso.com のドメインパーティション sub.contoso.com のドメインパーティションの一部 child.contoso.com のドメインパーティションの一部 ForestDnsZones のアプリケーションパーティション contoso.com の DomainDnsZones のアプリケーションパーティション
sub.contoso.com の DC	構成パーティションスキーマパーティション sub.contoso.com のドメインパーティション
sub.contoso.com の DC / GC	構成パーティションスキーマパーティション sub.contoso.com のドメインパーティション contoso.com のドメインパーティションの一部 child.contoso.com のドメインパーティションの一部
sub.contoso.com の DC / DNS	構成パーティションスキーマパーティション sub.contoso.com のドメインパーティション ForestDnsZones のアプリケーションパーティション sub.contoso.com の DomainDnsZones のアプリケーションパーティション
sub.contoso.com の DC / GC / DNS	構成パーティションスキーマパーティション sub.contoso.com のドメインパーティション contoso.com のドメインパーティションの一部 child.contoso.com のドメインパーティションの一部 ForestDnsZones のアプリケーションパーティション sub.contoso.com の DomainDnsZones のアプリケーションパーティション
child.contoso.com の DC	構成パーティションスキーマパーティション child.contoso.com のドメインパーティション
child.contoso.com の DC / GC	構成パーティションスキーマパーティション child.contoso.com のドメインパーティション contoso.com のドメインパーティションの一部 sub.contoso.com のドメインパーティションの一部
child.contoso.com の DC / DNS	構成パーティションスキーマパーティション child.contoso.com のドメインパーティション ForestDnsZones のアプリケーションパーティション child.contoso.com の DomainDnsZones のアプリケーションパーティション
child.contoso.com の DC / GC / DNS	構成パーティションスキーマパーティション child.contoso.com のドメインパーティション contoso.com のドメインパーティションの一部 sub.contoso.com のドメインパーティションの一部 ForestDnsZones のアプリケーションパーティション child.contoso.com の DomainDnsZones のアプリケーションパーティション