今回、物流センターのAD半壊に伴い、復旧ついでにActiveDirectoryの本領を発揮して貰おうと思い、本部<>拠点間AD統合を実戦してみました。

正直ActiveDirectoryを本格的にちゃんと使おうと思えば、それなりに知識やスキルが必要で、今のレベルの知識では怒られそうなもんですが、そんなに難しい設定しなくても動きそうなのと、9月の異動も踏まえて最悪は元に戻せば良いので挑戦してみました。

結論から言うと、案外あっさり動きます。まだ細かい調整は必要ですが・・・

一番引っかかるのは、拠点毎に違うセグメントになっているネットワークで、どうやって本社のドメインを認識させるか・・・通常はネットワークアドレスが違うのでそのままでは認識しない。

Softetherの様な単純なダイアルアップの様なVPNで繋いでしまうのも手ではあるけど、そもそもこれだと本社のネットワークアドレスで認識してしまうはずなので、サイトの設定が旨く行かない様な気がする。

それぞれのネットワークアドレスを維持したままドメインを認識させるには、DNSで名前解決が出来ればいいとの事なので、単純に仮設定でDNSサーバーを本社DCのアドレスで設定すれば良いという、至極真っ当な少し考えれば当たり前の手法であっさり認識します。

一度認識して追加DCとなってしまえば、DNS設定を元に戻してもちゃんと動くようです。DNSの方もキチンと両方の端末が登録されていて、今まで以上に安定して双方の共有資源にアクセス出来る様になりました。

おそらくこれが本来のActiveDirectoryの運用なのだなぁと実感。

ただし、統合すると拠点毎に変えないと行けない設定(グループポリシーとか)もあるので、事前にサイトの設定やOUの設定、OU毎のグループポリシーの設定などは必要です。

でないと、マイドキュメントなどをフォルダリダイレクトでファイルサーバーにしている場合など、思わぬ所にリダイレクトされてしまったりするので。

ただ、こういった統合による副作用もありますが、ユーザーアカウントの一元管理や、異動時の端末設定などが飛躍的に楽になるので、統合できるなら統合したほうがメリットが大きいように感じました。

しかしながらこれ、便利な反面、サーバー入れ替え時のFSMOやGCの管理などはしっかりしないと影響が大きく一歩間違えてディレクトリを破壊してしまったりすると、影響範囲が広くなるので危険ですね。