14 15 移行シナリオ - Active Directory (AD)移行によって得られるメリット- Windows Server 2012のADは、仮想化機能が強化されており、セキュリティ面や管理操作性などADの機能も強化されています。 Windows Server 2003からWindows Server 2012へADを移行することによって多くの課題を解決することができます。 ドメインコントローラ編 Windows Server 2003 →Windows Server 2012 へドメインコントローラー(DC )の移行メリット 企業における事業活動や組織変更などによって、システム構築や統廃合が行われることがよくあります。各 サービスにアクセスするために専用ID/パスワードが必要とされ、それらの管理は、ユーザ自身にゆだねられ ることがほとんどです。その結果、管理しきれないID/パスワードが乱立し、ユーザの業務効率を低下させてし まいます。 Windows Server 2012への移行をきっかけに社内に乱立したドメイン環境を統制の取れたドメインに 整理し、運用管理をシンプルかつ効率化することができます。そして、標準実装されたActive Directory Federation Service (ADFS)によって、社内システムのみならず、クラウドサービスへのシングルサインオン が可能になります。 富士通のクラウドプラットフォームのひとつであるFUJITSU Cloud PaaS A5 for Windows Azure上のさま ざまなアプリケーションにも社内からアクセスすることができ、外部アプリケーションとシームレスな連携が でき、生産性が向上します。 さまざまなID/パスワードが存在し、管理が大変 シングルサインオンで社内、社外のリソースにもアクセス可能 課題❸ 解決! DC間の整合性はUpdate sequence number (USN)というデータベースの更新バージョンで保たれます。 VMのスナップショットによりDCを以前の状態に戻すと、 USNが以前のバージョンに戻り、他のDCと整合性が 取れなくなる問題がありました。また、仮想マシン上のDC運用は他にも留意点もあり、運用が複雑という課 題がありました。 Windows Server 2012のADは、仮想化運用向けに強化されており、仮想マシン上のDCの安全性を向上し ています。仮想マシン上のDC運用時にVMのスナップショットに適用できない問題についても修正されてお り、仮想環境でより安全な運用が可能になります。 また、 Windows Server 2012のDCでは、仮想ハードディスクのコピーによる展開がサポートされました。こ れによって仮想マシン上にDC展開が容易にでき、ドメインの規模を拡大できます。 (注)仮想環境では、仮想マシン上のOS時刻がずれる現象が発生します。 このためドメイン内で時刻同期元となるPDCエミュレータの役割を仮想 マシンに配置した場合、ドメイン全体の時刻がずれてしまう可能性あるた め、環境内に必ず1つの物理DCを導入してください。 仮想マシン上のDC運用は考慮点があり、運用が複雑 課題❶ 仮想マシン上のDCの容易な運用、展開が可能 解決! 従来のアクセス制御では、ファイルの所有者がアクセスの許可を自由に設定できたため、統制の面で課題が あり、セキュリティも万全ではありませんでした。 Windows Server 2012 のADにファイルへアクセス許可の集中制御を行うDynamic Access Control機能 が追加され、管理者が定義したポリシーに基づいて、従来のフォルダ単位(Access Control List) のアクセス 制御に加え、より強固なセキュリティを実現できます。 ファイルアクセス権の統制が不完全でセキュリティ面に不安 課題❷ ADによるファイルアクセスの統制と強固なセキュリティを実現 解決! 新DC 従来のDC 物理DC コピー 移行 仮想DC (コピー元) 仮想DC (コピー先) 一般ユーザ 従来のアクセス管理 一般ユーザ AD連携したアクセス管理 DC ファイル所有者 アクセス権 を設定 アクセス権 を設定 移行 ポリシー サーバ 管理者 移行 ID パスワード ID パスワード ID パスワード ID パスワード ID パスワード ID パスワード 既存環境 Windows Server 2012 パブリック クラウド Windows Azure Active Directory ADFS FUJITSU Cloud PaaS A5 for Windows Azure