3.1.2.3.Active Directory を支える技術

Active Directory はインターネットで標準とされる技術を組み合わせて、実装されています。 ここでは、Active Directory を支えるインターネット標準の主立った技術について簡単に解説します。

DNS（ Domain Name System ）

インターネットおよびTCP/IPネットワーク環境において、ホスト名とIPアドレスの対応付けを行うサービスです。 対応付けの情報は、DNSサーバの保持するゾーンデータベースにレコードとして登録されています。 Active Directory では、ドメインの階層やドメインコントローラを検索するためにDNSサーバを使用します。 このため、Active Directory においてはDNSサーバが必須となります。

X.500

ITU-Tと呼ばれる国際機関によって標準化されているディレクトリサービスで、これを「X.500」と呼びます。 ディレクトリの概念やその階層構造、サービスやオブジェクトの定義などが含まれています。 X.500では、ディレクトリの利用者であるDUA（ Directory User Agent ）が、ディレクトリサービスを提供するDSA（ Directory System Agent ）へ検索の要求を送り、その結果を受け取るという仕組みになっています。

X.500は、実際には非常に複雑で扱いにくいことや、X.500へのアクセスプロトコル（ DAP：Directory Access Protocol ）が非常に負荷がかかるためあまり普及していません。 X.500は、ディレクトリサービスのモデルとなる理論になります。

DSA（ Directory System Agent：ディレクトリシステムエージェント ）

ディレクトリシステムエージェントは、サーバ上で動作するプログラムで、ディレクトリデータベースの管理とユーザからのディレクトリデータベースへの検索要求を処理する役割を持っています。

DUA（ Directory User Agent：ディレクトリユーザエージェント ）

ディレクトリユーザエージェントは、クライアントで動作するプログラムで、ユーザやアプリケーションからのディレクトリデータベースへの検索の要求をディレクトリシステムエージェントに送り、その結果を受け取る役割を持っています。

LDAP（ Lightweight Directory Access Protocol ）

X.500では、DUAがDSAを使用してディレクトリデータベース内の情報を検索する際に、DAPと呼ばれるプロトコルを使用しています。 しかし、インターネットで使用するには、負荷がかかるため、不向きです。 そこで、インターネット上で使用できるような通信プロトコルが必要になります。これがLDAPです。 LDAPはインターネット標準のディレクトリアクセスプロトコルで、Active Directory へのアクセスに使用されています。

Kerberos

Kerberosとは、マサチューセッツ工科大学（ MIT ）のAthenaプロジェクトで開発されたネットワーク上で利用することを目的としたユーザ認証システムのことです。 ユーザ認証には、ユーザIDとパスワードが必要になりますが、Kerberosは盗聴に強く、ユーザIDやパスワードがクライアントに残る危険性も最低限にとどめられています。 Active Directory では、KerberosプロトコルのVersion 5.0に基づくユーザ認証システムがサポートされています。

機能のまとめ

Active Directory では、大きく２つのサーバ機能、「 DNSサーバ 」と「 ドメインコントローラ 」が必要です。 ドメインコントローラは Active Directory のサービスを提供する中核となる機能で、ユーザやPCの情報を一元管理するためのサーバです。 またDNSサーバは、ユーザがログオンする際に、各クライアントがドメインコントローラのIPアドレスを知るために必要です。

このようにActive Directory は、複数のサービスの集合体になります。