OpenLDAPからActive Directoryへ移行せよ――(1)
Active Directoryを導入するメリットとは?本稿では、中小規模の企業において、OpenLDAPを導入している企業がActive Directoryシステムへ移行する際のポイントを解説する。本記事は、筆者が行った移行作業をベースにしているので、実際の移行作業のノウハウをお伝えできると思う。
Active Directoryなら管理作業が楽になる!
先日、筆者はオープンソースのディレクトリ・サービスである「OpenLDAP」で構築された社内システムの運用・管理業務を引き継ぐことになった。引き継いだ社内システムは、IDは管理できていたが、リソースやベースラインなどのシステム管理はできていなかった。
システム管理者は筆者一人なので、できるだけ簡単かつ短期間にシステムを改修するために、中小規模の企業において運用管理における作業負担の軽減が期待できるWindows Serverをベースにして社内システムを再構築することにした。
今回、移行の前提となった社内システムは、次のような構成になっている。
■移行元となるシステムの構成
- OpenLDAPを使った認証基盤
- sambaを使ったファイル共有やプリンタの共有
- サーバは10台前後
- クライアントPCは約100台
■移行先となるシステムの構成(予定)
- Active Directoryドメインサービスを使った認証基盤
- グループポリシーを使ったクライアントの構成管理
- WSUSを使った更新プログラムの管理
- Windows Server 2008 R2をベースとしたファイル/プリンタ共有環境
- 64ビットOSの特性を生かしたサーバの仮想化
なお、Active Directoryの主な機能に関しては「【解説】Active Directoryドメインサービスの7つの強化ポイント」を参考にしてほしい。
筆者が務めているような中小規模の企業では、専任のシステム管理者がいない、専門の知識を持つ人が少ないなどの条件により、運用・管理作業がうまくいかないことが多い。
今回、システムの移行先としたWindows Server 2008 R2は、クライアントOSであるWindows VistaやWindows 7とほぼ同じ操作性であることや、管理ツールやレポーティング機能など、システム管理業務をサポートするさまざまな機能を標準で備えている。
■Windows Server 2008 R2 ホーム [URL]http://www.microsoft.com/japan/windowsserver2008/R2/default.mspx
Windows Server 2008 R2を利用する具体的なメリットとしては、次のようなことがあげられる。
[メリット1]グループポリシーが利用できる
「グループポリシー」とは、会社で定めた運用ルールをポリシーというテンプレートとしてサーバ側で管理し、社内ネットワーク上のコンピュータに対してポリシーに基づいた設定を適用する仕組みだ(画面1)。
設定できる項目は、管理するWindowsのバージョンによって異なるが、Windows Server 2008 R2には3,000を超える設定項目が用意されているので、社内のコンピュータをきめ細かく管理できる。
[メリット2]WSUSが利用できる
システム管理者にとって、セキュリティへの対応は非常に重要だ。セキュリティ管理には、ソフトウェアの脆弱性の排除が最も有効である。このソフトウェアの脆弱性の排除を、社内のサーバで独自に管理できる仕組みが「Windows Server Update Services(WSUS)」だ。
システム管理者は、脆弱性を排除するための更新プログラムの適用方法を指定したり、レポーティング機能を使って更新プログラムの適用状況を視覚的に把握したりできる。
なお、グループポリシーによるコンピュータの構成管理やWSUSによる更新プログラムの統合管理は、Active Directoryドメインサービスが構成されていないと実現することができない。
[メリット3]レポーティング機能が利用できる
Windows Serverのファイルサーバでは、Active Directoryドメインサービスを利用したアクセス権管理だけではなく、ディスク使用量の制限、使用状況の把握、ファイルの自動分類機能といった、ファイルサーバがどのように使用されているかを確認、管理することができる。
さらに、「分散ファイルシステムレプリケーション(DFS-R)」を利用することで、簡単にファイルサーバを冗長構成にすることも可能だ。DFS-Rは使い方によって、分散されているデータを集約し、効率よくバックアップを行えるようにすることができる。
[メリット4]Power Shellが利用できる
システム運用では、ユーザーアカウントの登録/削除/修正も重要な仕事になる。何十件とあるユーザーアカウント情報を、ウィザードを使って登録していたのでは非効率的だ。特に組織変更など、大規模なユーザーの移動がある場合はウィザードを使っていては、どんなに時間があっても足りない。
また、これまでのWindowsでは、DOSコマンドやスクリプトを駆使してユーザーアカウントをメンテナンスしていたかもしれないが、実際の作業は非常にめんどうだ。この点、コマンドでサーバを操作できるLinuxのほうが効率的だったかもしれない。
ここで「だった」と書いたのは、Windows Server 2008以降では「Windows Power Shell」という、管理作業に重点を置いた新しいスクリプト言語が用意されたからだ。Windows PowerShellは、.NET Frameworkをベースに設計されており、システム管理業務効率を向上させる(画面2)。
今回は、OpenLDAPに登録されているオブジェクトを移行するときに非常に威力を発揮した。今後は、移行時に使ったスクリプトを修正し、ID管理に役立てていく予定だ。
仮想環境を利用して、システム再構築を効率的に進める
今回の社内システムの再構築は、短期間で行う必要があった。そのため、効率よく再構築作業を進めるために、仮想環境を利用することにした。仮化環境では、物理マシンの状況によらず、環境が構築できることが最大のメリットだからだ。
例えば、今までは、物理サーバ上でなければ本番環境を構築できなかったが、仮想環境さえ準備できれば、物理サーバ以外の場所で本番サーバを構築し、実稼働の時に物理サーバへ移動するということができ、効率的な環境構築が可能となった。
.gif)
