「会社のサーバールームに、絶対に止めてはいけない重要なサーバーがある」
「ドメインコントローラって聞いたことあるけど、何をしているの?」
企業のIT環境において、ドメインコントローラ(Domain Controller、略してDC)は、まさに「心臓」とも言える重要な存在です。
でも、普段目にすることはほとんどないため、どんな役割を果たしているのか分からない方も多いのではないでしょうか。実は、私たちが毎朝パソコンにログインできるのも、このドメインコントローラのおかげなんです。
この記事では、ドメインコントローラの基礎から、実際の運用方法、トラブル時の対処法まで、初心者の方にも分かりやすく解説していきます!
ドメインコントローラとは?基本を理解しよう
一言で説明すると
ドメインコントローラとは、Active Directoryのデータベースを保存・管理する専用サーバーです。
会社の「社員台帳」や「権限管理システム」が全て詰まっている、超重要なコンピュータだと考えてください。あなたが朝パソコンにログインする時、実はこのドメインコントローラに「私は〇〇です、パスワードは△△です」と確認を取っているんです。
図書館で例えると
ドメインコントローラの役割を、図書館に例えて理解してみましょう。
図書館司書 = ドメインコントローラ
- 誰が図書館の会員か記録している
- 貸し出しカードの確認をする
- どの本を誰が借りられるか管理している
- 本の返却期限を追跡している
利用者(社員)が図書館(会社のネットワーク)に入る時、司書(ドメインコントローラ)が会員証(ログイン情報)をチェックして、本(ファイルやアプリケーション)へのアクセスを許可しているイメージです。
ドメインコントローラの主な役割
1. 認証サービス
ユーザーのログイン認証を行います。
社員がパソコンにIDとパスワードを入力すると:
- 入力された情報がドメインコントローラに送信される
- ドメインコントローラがデータベースと照合
- 正しければログインを許可
- 間違っていればログインを拒否
この処理は数秒で完了し、私たちは気づかないうちに認証を受けています。
2. ディレクトリデータの保管
Active Directoryのデータベースを保存しています。
保存されている情報:
- 全社員のアカウント情報
- コンピュータの情報
- グループの構成
- セキュリティポリシー
- 組織構造(OU)
- アクセス権限の設定
この情報は「ntds.dit」というファイルに保存されており、企業の心臓部とも言えるデータです。
3. レプリケーション
複数のドメインコントローラ間でデータを同期する機能です。
例えば、東京本社のドメインコントローラでパスワードを変更すると、大阪支店のドメインコントローラにも自動的に情報が複製されます。これにより、どこの拠点でも最新の情報でログインできるんです。
4. グループポリシーの配信
会社全体のパソコンに対する設定を配布します。
配信される設定例:
- セキュリティ更新プログラム
- デスクトップの壁紙
- パスワードの複雑さの要件
- 使用できるアプリケーションの制限
- 画面ロックまでの時間
社員のパソコンは、定期的にドメインコントローラに接続して、最新のポリシーを取得しているんです。
5. DNSサービス
Active Directoryの正常な動作に必要な名前解決を提供します。
コンピュータ名をIPアドレスに変換する機能で、ドメインコントローラ自身がDNSサーバーとしても動作することが一般的です。
ドメインコントローラの種類
プライマリドメインコントローラとバックアップドメインコントローラ
実は、Windows Server 2000以降のActive Directoryでは、「プライマリ」と「バックアップ」という区別はありません。
マルチマスター方式という仕組みを採用しており、全てのドメインコントローラが対等な立場で動作します。どのドメインコントローラでも変更作業ができ、その変更は自動的に他のドメインコントローラに複製されるんです。
FSMO役割を持つドメインコントローラ
ただし、特定の作業だけは一台のドメインコントローラが担当する必要があります。これをFSMO(Flexible Single Master Operation)役割と呼びます。
5つのFSMO役割:
1. スキーママスター
Active Directoryの構造(設計図)を変更できる権限
2. ドメイン名前付けマスター
新しいドメインの追加や削除を管理
3. RIDマスター
ユーザーやグループに割り当てる番号を管理
4. PDCエミュレーター
- パスワード変更の優先処理
- 時刻同期の基準
- グループポリシーの編集
5. インフラストラクチャマスター
異なるドメイン間の参照情報を更新
これらの役割は通常、最初に設置したドメインコントローラに集中していますが、必要に応じて別のドメインコントローラに移動できます。
読み取り専用ドメインコントローラ(RODC)
Read-Only Domain Controller(RODC)は、名前の通り読み取り専用のドメインコントローラです。
特徴:
- データの読み取りのみ可能
- 変更はできない
- パスワード情報は限定的に保存
使用場面:
- セキュリティの低い拠点(小規模営業所など)
- 盗難リスクがある場所
- 管理者が常駐していない場所
万が一盗まれても、重要な情報が漏れにくい設計になっています。
ドメインコントローラの構築手順
必要な環境
ドメインコントローラを構築するには、以下が必要です。
ハードウェア要件:
- CPU:2コア以上推奨
- メモリ:4GB以上(実用的には8GB以上)
- ディスク:100GB以上の空き容量
- ネットワーク:固定IPアドレス
ソフトウェア要件:
- Windows Server(Standard版またはDatacenter版)
- DNS機能
- Active Directory Domain Services(AD DS)
基本的な構築手順
ステップ1:Windows Serverのインストール
まず、通常のWindows Serverをインストールします。この段階ではまだドメインコントローラではありません。
ステップ2:固定IPアドレスの設定
ドメインコントローラは固定IPアドレスで動作する必要があります。ネットワーク設定で静的IPを割り当てましょう。
ステップ3:AD DSの役割を追加
サーバーマネージャーから「Active Directory Domain Services」の役割を追加インストールします。
ステップ4:ドメインコントローラへの昇格
「このサーバーをドメインコントローラに昇格する」ウィザードを実行します。
設定する項目:
- 新しいフォレストかドメインかを選択
- ドメイン名の決定(例:company.local)
- ディレクトリサービス復元モードのパスワード設定
- DNS機能の追加
ステップ5:再起動
設定完了後、サーバーが自動的に再起動されます。再起動後、ドメインコントローラとして動作を開始します。
2台目以降のドメインコントローラ追加
冗長化のために2台目を追加する場合は:
- 同じようにWindows Serverをインストール
- AD DSの役割を追加
- 昇格時に「既存のドメインにドメインコントローラを追加する」を選択
- 既存ドメインの管理者アカウントで認証
これで自動的にレプリケーションが開始され、データが同期されます。
ドメインコントローラの冗長化
なぜ冗長化が必要なのか
ドメインコントローラが1台しかない状態で故障すると:
- 誰もログインできなくなる
- 新しいアカウントが作れない
- パスワード変更ができない
- グループポリシーが適用されない
- 最悪の場合、業務が完全停止
このような事態を避けるため、最低でも2台のドメインコントローラが必要です。
推奨される構成
小規模環境(社員50名以下):
- ドメインコントローラ:2台
- 設置場所:同じオフィス内
中規模環境(社員50〜200名):
- ドメインコントローラ:2〜3台
- 設置場所:本社に2台、主要拠点に1台
大規模環境(社員200名以上):
- ドメインコントローラ:3台以上
- 設置場所:各拠点に配置し、レプリケーショントポロジーを最適化
地理的な分散
理想的には、異なる場所にドメインコントローラを配置します。
メリット:
- 災害時の事業継続性向上
- 各拠点での認証速度向上
- ネットワーク障害への耐性
火災や地震などで本社が被災しても、支店のドメインコントローラがあれば業務を継続できます。
ドメインコントローラの監視とメンテナンス
日常的な監視項目
定期的にチェックすべきポイントがあります。
システムリソース:
- CPU使用率
- メモリ使用量
- ディスク空き容量
- ネットワーク帯域
Active Directory関連:
- レプリケーションの状態
- イベントログのエラー
- DNSの動作状況
- FSMO役割の稼働状況
重要なイベントログ
以下のイベントログには特に注意しましょう。
Directory Service(ディレクトリサービス):
Active Directory自体のログ
DNS Server:
DNS機能のログ
System:
サーバー全体のシステムログ
エラーや警告が記録されていたら、早めに対処が必要です。
レプリケーションの確認
複数のドメインコントローラ間でデータが正しく同期されているか確認します。
確認方法:
PowerShellで以下のコマンドを実行:
repadmin /replsummaryまたは:
Get-ADReplicationPartnerMetadata -Target "ドメインコントローラ名"エラーがないか、最終同期時刻が最近であるかをチェックしましょう。
よくあるトラブルと対処法
トラブル1:ログインが遅い
原因:
- ネットワークの遅延
- ドメインコントローラの負荷が高い
- DNSの設定ミス
対処法:
- クライアントのDNS設定を確認
- 拠点にドメインコントローラを追加
- ネットワーク帯域を確認
トラブル2:レプリケーションエラー
原因:
- ネットワーク障害
- ファイアウォールの設定問題
- 時刻のずれ
対処法:
- ドメインコントローラ間の通信を確認
- 必要なポートが開いているか確認(135、139、389、445、3268など)
- 時刻同期を確認
トラブル3:FSMOの問題
原因:
- FSMO役割を持つDCが停止
- ネットワーク分断
対処法:
- 別のDCにFSMO役割を移行(またはSEIZE)
- dcdiag コマンドで状態確認
- 必要に応じて強制的に奪取
トラブル4:Active Directoryデータベースの破損
原因:
- 予期しないシャットダウン
- ディスク障害
- ウイルス感染
対処法:
- システム状態のバックアップから復元
- ntdsutil を使ったデータベース修復
- 最悪の場合、DCを再構築してレプリケーション
セキュリティ対策
物理的なセキュリティ
ドメインコントローラは、物理的にも保護する必要があります。
推奨対策:
- 施錠されたサーバールームに設置
- 入退室管理の実施
- 監視カメラの設置
- 限られた人員のみアクセス許可
ネットワークセキュリティ
推奨設定:
- ファイアウォールで不要なポートを閉鎖
- 管理用のVLANを分離
- リモート管理には VPN 経由でアクセス
- 不要なサービスは無効化
アカウントセキュリティ
推奨対策:
- Domain Adminsグループの使用を最小限に
- 緊急時用の管理者アカウントを別途用意
- 定期的なパスワード変更
- 二要素認証の導入検討
監査とログ
有効化すべき監査:
- アカウントのログオン試行
- アカウント管理の変更
- ポリシー変更
- 特権の使用
不審なアクセスを早期に検知できます。
バックアップとリカバリ
バックアップの重要性
ドメインコントローラのバックアップは、会社の命綱です。
Active Directoryが失われると、全ての業務が停止する可能性があります。必ず定期的なバックアップを実施しましょう。
バックアップの種類
システム状態バックアップ:
Active Directoryデータベースを含む、DCの重要なコンポーネント全体をバックアップします。
完全バックアップ:
サーバー全体をバックアップします。復旧時間は長いですが、確実に復元できます。
バックアップのベストプラクティス
推奨設定:
- 毎日自動バックアップを実行
- 世代管理(最低7日分を保持)
- オフサイト(別の場所)への保管
- 定期的なリストアテスト
バックアップは取るだけでなく、実際に復元できることを確認するのが重要です。
復元手順
権限のある復元(Authoritative Restore):
削除されたオブジェクトを復活させたい場合に使用します。この復元データが他のDCに優先的にレプリケートされます。
非権限復元(Non-Authoritative Restore):
DCを以前の状態に戻すだけで、他のDCからレプリケーションで最新データを取得します。
状況に応じて適切な復元方法を選択することが大切です。
まとめ:ドメインコントローラは企業ITの要
ドメインコントローラについて、役割から運用まで詳しく解説してきました。
重要ポイントのおさらい:
- ドメインコントローラはActive Directoryの心臓部
認証、データ保管、ポリシー配信など重要な役割を担当 - 冗長化は必須
最低2台構成で、できれば地理的に分散配置 - 日常的な監視とメンテナンスが重要
レプリケーション状態、イベントログ、リソース使用率を確認 - セキュリティ対策を怠らない
物理的、ネットワーク的、アカウント的な多層防御 - バックアップは命綱
毎日実施し、定期的にリストアテストを実行
ドメインコントローラは、私たちが毎日当たり前のようにパソコンを使える環境を、陰で支えている縁の下の力持ちです。適切な設計と運用により、安定した業務環境を維持できるでしょう。
IT管理者の方も、これから学ぶ方も、この記事がドメインコントローラへの理解を深める助けになれば幸いです!
コメント