UJP - 技術情報

信頼関係を利用したドメインモデル

０．改定履歴

1997.09.25　初版
1998.03.16　HTML化と加筆
1999.11.24　会社名が入っていたので消した

１．ドメインモデルとは？

　Microsoftでは，WindowsNTで構築するドメインには，４つの方法を提案している．　小規模なネットワークから大規模なネットワーク環境を想定している．

　ここでいう小規模とか大規模というのは，ドメインの数が多いか少ないかをあらわしている．

２．シングルドメインモデル

　ネットワーク上に１つのドメインしか存在しない場合のモデルで，一番シンプルで最小規模といえる．

　ユーザが多くなったりセグメントが分かれているネットワーク上にユーザが存在する場合には，BDCを設置することによってPDCの負荷分散を図れるモデルである．　これについてはドキュメント「トラフィック軽減計画〜BDC設置による軽減〜」を参照の事．

３．マスタドメインモデル

　１つのドメインを“マスタドメイン”として位置付け，そのドメインでユーザアカウントを一元管理するモデルである．

　そのほかのドメインからは信頼関係を結ばれることで確立できる．

シングルマスタドメインの例

　この事によって，複数のドメインにてそれぞれにユーザアカウントを作成する必要はなく，マスタドメインとなるDomain Aにてアカウントの集中管理が可能になる．

　そして，Domain Aにあるアカウントで，Domain BやDomain DなどDomain Aを信頼しているドメインへのアクセスが可能となる．(当然アクセス権限が必要)

４．マルチマスタドメインモデル

　これは名称とおり“マスタドメイン”が複数存在するモデルであり，大規模なネットワークに適しているとされる．

　ネットワーク上の全てのユーザアカウントは，いずれかのマスタドメインで作成する．　マスタドメインは，それぞれ他の全てのマスタドメインと信頼関係を結ぶ事で実現する．

　マスタドメイン以外のドメイン同士の信頼関係は，そのネットワークでのニーズによる．

　この図で説明すると，Domain AとDomain Gはそれぞれ信頼されたマスタドメインモデルを確立している．　そしてさらにDomain AとDomain Gが相互に信頼関係を結ぶことによって，たとえばDomain GからDomain Bへのアクセスを行なうことが出来る．

５．完全信頼モデル

　ネットワーク上の各ドメインは，別の全ての止め印との間に双方向に信頼関係をもつモデルである．

３つのドメインで相互に信頼(完全信頼)

　メインの管理者は，自分のドメインにユーザおよびグループを作成して保守すれば良いが，それらは他の全てのドメインで利用できることになる．

　ただし，ドメイン数が増えてくると複雑な関係を作成しなければならなくなり，管理が難しくなる．

複数の信頼関係モデル

６．ネットワーク設計プラン

　ここでは実際の設置についての場合分けにてドメインモデルの適用方針を考える．

６．１．初めてNTを導入してユーザが50人程度

　その場所に初めてNTを設置する場合には１つのドメインを作成して管理するのが管理・運用上，一番楽である．

　承認プロセスはサーバ負荷がかかるものとされているが，50ユーザ程度が使う程度であれば１つ程度のサーバアプリケーションが稼動していても問題ない．　また，ユーザクライアントの管理面でも問題ない．

　つまり，“シングルドメインモデル”を適用する．

　気をつけなければならないのは，バックアップドメインコントローラを必ず設置することである．　なぜならば，プライマリドメインコントローラの情報が壊れた場合，バックアップテープなどからデータを戻したとしてもユーザアカウントの作成やアクセス権限の設定変更に問題があるためである．　

６．２．シングルマスタドメインの検討

　たとえば，今までは１つのチームで１つのシングルドメインを形成したドメインが存在したとする．　そして，そのようなチームが数個あり，１つの部署で複数のドメインが存在しているような状況と仮定する．

　部署内でも，仕事上，他のドメインへのアクセス権限の設置を行なわなければならない様なことが発生した場合に，それぞれのドメインへのアカウントの設定などを行なっていると，複雑になり，(かなりマメな管理者がいない限り)いつか破綻する．

　よって，この様な場合には，適切な時期に幾つかの段階を経てシングルマスタドメインへと移行するようにする．　つまり，次のようにプランニングする．

部署内でアカウントを集中管理するドメイン(シングルマスタドメインサーバ)を決める
既存の他のドメインからは，シングルマスタドメインサーバを信頼する
段階的に，既存のアカウントをシングルマスタドメインサーバへ移行する

　この場合，シングルマスタドメインのプライマリコントローラは，その専用サーバとして設置することを推奨する．　それは管理処理が多くなるからである．　しかし，専用サーバといっても，たとえばデータベースのような処理が重いアプリケーションが稼動していなければあまり考えることはないだろうと思われる．(この辺りは該当サーバの処理能力や搭載メモリなどを考慮する必要がある)　あるいは，ネットワークがセグメントに分割されているのであれば，ドキュメント「トラフィック軽減計画〜BDC設置による軽減〜」のように考えても良いかと思われる．

６．３．マルチマスタドメインの検討

　マルチマスタドメインを適用する例としては，たとえば１つの会社が１つのビルの複数のフロアに別れているような場合を検討すればよいかと思われる．

　この場合，１つのフロアを１つの部署として見た場合，各フロアにシングルマスタドメインモデルかシングルドメインモデルにてネットワークが構成されているはずである．

　これらの部署(フロア)をまたがってアクセスしたいようなニーズがある場合もあるだろう．　たとえば営業さんがフロアの違う開発チームにアクセスしたいような場合．　この時にマルチマスタドメインモデルを構成すればよい．

６．４．完全信頼モデルの検討

　このモデルを適用するのは，既存の数個のシングルドメインモデルで形成された小規模なネットワーク構成にてユーザアクセスを統合したいような場合である．　つまり，既に幾つかのシングルドメインが稼動しているネットワークで，シングルマスタドメインへの移行が出来ない，あるいは将来的にそこまでネットワークを拡張する必要がない場合である．

　具体的には，３〜５つ程度の既存のシングルドメインを統合する為にはこの方法が簡単である．　しかし，それ以上になると複雑なネットワーク形成となるので，予めシングルマスタドメインへ移行しておいた方が無難であると思われる．

７．まとめ

　NTはファイル＆プリントサーバとして最初に導入されたケースが多いかと思われる．　そして，将来的にネットワークがどの様な形態になるかまでは計算出来ないので，適当なドメイン構成をとっていた事も多いと思われる．

　このドキュメントでは，それぞれのドメインモデルについて実際の適用について考えてみたが，最後にこれから導入する場合の方針としてあまり間違っていない結論を出そうかと思う．

部署だけで完結する場合
- シングルマスタドメインを作成する．
全社規模でネットワークを構築する場合
- 部署単位でシングルマスタドメインを形成し，部署間はマルチマスタでリンクさせる．
プロジェクトで完結する，あるいは拡張性不要なネットワーク
- シングルドメインモデル
既存の数個のシングルドメインを統合する場合
- 完全信頼

　管理業務の複雑化の問題からは，“完全信頼”は出来ればさけた方が良いと思われれ，たとえば１万人規模の会社全体の管理を行なう事にでもならない限りはマルチマスタドメインも不要である．　部署単位で管理業務を簡素化・統合するためには，シングルマスタドメインが最適であると考えられる．