ドメインコントローラは、Active DirectoryドメインADの基本要素であり、Active DirectoryドメインADに不慣れな多くの友人はどこから始めればいいのかわからないActive Directoryドメインコントローラとはどういう意味ですか?用途は何ですか?新しいドメインコントローラを作成する方法プライマリドメインコントローラと追加のドメインコントローラの違いは何ですか?ドメインコントローラのデバイス構成を復元するにはどうすればよいですか? Active DirectoryドメインADの初心者には多くの問題が発生しています「ドメインコントローラ」という記事は、Active DirectoryドメインADドメイン制御の開始方法を説明したMicrosoft Active DirectoryドメインAD操作ガイドのチュートリアルに由来しています。この装置は一般的な知識を持っています。
ドメインコントローラ
組織内に最初のドメインコントローラを作成すると、最初のドメイン、最初のフォレスト、最初のサイト、およびActive Directoryも作成されます。 Windows Server 2003を実行しているドメインコントローラは、ディレクトリデータを格納し、ユーザーのログインプロセス、認証、ディレクトリ検索など、ユーザーとドメインのやり取りを管理します。ドメインコントローラは、Active Directoryのインストールウィザードを使用して作成されます。詳細については、「Active Directoryのインストールウィザードを使用する」を参照してください。
注
Windows Server 2003、Web Editionを実行しているコンピュータにActive Directoryをインストールすることはできませんが、Active Directoryドメインのメンバサーバーとしてコンピュータを参加させることはできます。 Windows Server 2003 Web Editionの詳細については、「Windows Server 2003 Web Editionの概要」を参照してください。
組織でドメインコントローラを使用する場合は、必要なドメインコントローラの数、それらのドメインコントローラの物理的なセキュリティ、およびドメインデータのバックアップとドメインコントローラのアップグレードを計画する必要があります。
必要なドメインコントローラの数を決定する
高可用性とフォールトトレランスを実現するために、単一のローカルエリアネットワーク(LAN)を使用する小規模な組織では、2つのドメインコントローラを持つ1つのドメインしか必要ない場合があります。複数のネットワークロケーションを持つ大規模な組織では、高可用性とフォールトトレランスを実現するために各サイトに1つ以上のドメインコントローラが必要です。
ネットワークが複数のサイトに分割されている場合は、通常、ネットワークパフォーマンスを向上させるために各サイトに少なくとも1つのドメインコントローラを構成することをお勧めします。ユーザがネットワークにログインするとき、彼らはログインプロセスの一部としてドメインコントローラに連絡しなければなりません。顧客が別のサイトのドメインコントローラに接続する必要がある場合は、ログインプロセスに時間がかかることがあります。詳しくは、サイト間の複製を参照してください。
各サイトにドメインコントローラを作成することで、サイト内でより効率的にユーザーログインを実行できます。追加のドメインコントローラを作成する方法については、「追加のドメインコントローラを作成する」を参照してください。
ネットワーク通信を最適化するために、オフピーク時にのみディレクトリ複製の更新を受信するようにドメインコントローラを構成することもできます。サイト複製をスケジュールする方法については、「サイトリンク複製の可用性を構成する」を参照してください。
サイトのドメインコントローラもグローバルにカタログ化されている場合、ネットワークのパフォーマンスは最も高くなります。このようにして、サーバーはフォレスト全体でオブジェクトクエリを実行できます。ただし、グローバルカタログとして複数のドメインコントローラを使用すると、ネットワークの複製トラフィックが増加する可能性があります。グローバルカタログの詳細については、「グローバルカタログの役割」を参照してください。グローバルカタログをサイトに追加する方法の詳細については、「グローバルカタログとサイト」を参照してください。
インフラストラクチャマスタの役割を担うドメインコントローラは、複数のドメインコントローラを持つドメインでグローバルカタログとして使用することはできません。詳細については、「操作マスタの役割」を参照してください。
物理的セキュリティ
ドメインコントローラへの物理的アクセスは、悪意のあるユーザーに暗号化パスワードへの不正アクセスを提供します。そのため、組織内のすべてのドメインコントローラを安全な部屋にロックして、制限されたパブリックアクセスのみを許可することをお勧めします。ドメインコントローラをさらに保護するために、追加のセキュリティ対策(Syskeyなど)をとることができます。 Syskeyの詳細については、システムキーユーティリティを参照してください。
バックアップドメインコントローラ
バックアップツール(Windows Server 2003ファミリに含まれています)を使用して、ドメイン内の任意のドメインコントローラからドメインディレクトリパーティションデータおよびその他のディレクトリパーティションデータをバックアップできます。ドメインコントローラでバックアップツールを使用すると、次のことができます。
ドメインコントローラがオンラインのときにActive Directoryをバックアップする。
Active Directoryをバックアップするには、バッチファイルコマンドを使用します。
Active Directoryをリムーバブルメディア、使用可能なネットワークドライブ、またはファイルにバックアップします。
他のシステムとデータファイルをバックアップします。
ドメインコントローラでバックアップツールを使用すると、Active Directoryが依存するすべてのシステムコンポーネントとすべての分散サービスが自動的にバックアップされます。 Active Directoryを含むこの関連データは、まとめてシステム状態データと呼ばれます。
Windows Server 2003を実行しているドメインコントローラでは、システム状態データに、システムスタートアップファイル、システムレジストリ、COM +のクラス登録データベース(コンポーネントオブジェクトモデルの拡張子)、SYSVOLディレクトリ、およびCertificate Servicesデータベース(インストールされている場合は、ドメインネームシステム(インストールされている場合)、クラスタサービス(インストールされている場合)、およびActive Directory。定期的にシステム状態データをバックアップすることをお勧めします。
システム状態データの一般情報については、システムステータスデータを参照してください。システム状態データをバックアップする方法の詳細については、「システム状態データのバックアップ」を参照してください。システム状態のバックアップを復元する方法の詳細については、「システム状態データの復元」を参照してください。
Windows Server 2003を実行しているサーバーからActive Desktopを使用して、Windows Server 2003を実行しているサーバーにActive Directoryをインストールできます。詳細については、「追加のドメインコントローラを作成する」を参照してください。
ドメインコントローラをアップグレードする
Windows NT 4.0を実行しているドメインコントローラでドメインを正常にアップグレードするには、まずプライマリドメインコントローラ(PDC)をアップグレードする必要があります。 PDCをアップグレードした後、バックアップドメインコントローラ(BDC)をアップグレードできます。詳細については、「Windows NTドメインからアップグレードする」を参照してください。
現在、Windows Server 2003ドメインコントローラを実行していないWindows 2000フォレストがある場合は、Windows 2000を実行しているドメインコントローラをアップグレードする前に、フォレストとターゲットドメインを準備する必要があります。詳細については、Windows 2000ドメインからのアップグレードを参照してください。
zh-CN"],null,[1],zh-TW"]]]