サイトの設計

サイトの設計を行うには、Active Directoryの持つ機能について理解しておく必要がある。

グローバルカタログ（GC)とは何か

Active Directoryにおいては、フォレストという単に中に複数のドメインが信頼関係を結んでいることは先に説明したとおりである。　これらのドメインのドメインコントローラ（DC)にはそれぞれでドメイン内のユーザ情報やマシン情報に関するデータが保持されている。
フォレスト内では他のドメイン間と信頼関係を結ぶことで、他のドメインユーザ情報を使って認証が行えるようになっているが、そのためにはフォレストという単位ですべてのドメインのデータを保持するサーバーが必要となってくる。
これを行う役割の DC の事をグローバルカタログ（GC）サーバーと呼ぶ。
GCは通常最初にフォレストとして構成したActive Directory（DC）サーバーが受け持っている。（つまりドメインが１つしか無いAD環境でも必ず1台はGCサーバーが存在する）
なお、GCで保持する他のドメインのデータは、頻繁に利用されるユーザ名やユーザIDなど一部のデータだけとなっている。
GCに障害が発生すると、ユーザ認証に失敗してログインできないといった現象が発生するため、通常、GCは2台以上用意して運用することになる。

操作マスタ

Active Directoryでは、同一ドメイン内なあるドメインコントローラ（DC)は基本的に同等の役割をサポートしていて、それぞれが同じデータを保持している。
しかし、役割の中には一部、同時に動作するとデータの不整合が発生する可能性をもとものがあるため、これらについては同一ドメインないの1台のDCでも稼働させているいるものがあり、このドメインコントローラの事をFSMO（FSMO：Flexible Single Master Operation）と呼ぶ。
FSMOは役割の機能を受け持っているだけで、その結果としてのデータはすべてのDCで同期が取られるため違いは発生しない。
FSMOでは以下の機能を受け持っている：

・ドメイン名前付けマスタ（フォレストに対して１つ存在）：
フォレストでのドメインの追加や削除を管理する。

・スキーマ・マスタ（フォレストに対して１つ存在）：
Active Directoryデータベースのスキーマの変更を管理する。

・RIDマスター（ドメインに対して１つ存在）：
RIDは、SID（セキュアID）を構成する要素の一つで、ドメイン内で管理するオブジェクトを一意に識別させる為のIDとして使われる。 RIDマスターは、各ドメインコントローラにRIDをブロックで割り当てる（デフォルトで500づつ）割り当てと管理を実行する。各DCは、割り当てられたRIDを使い切ると、追加のRIDブロックをRIDマスターに依頼する事で新たなRIDプールを確保する。

・PDCエミュレータ（ドメインに対して１つ存在）：
Active Directory以前のNT認証やBDC（バックアップドメインコントローラ）に対するPDC（プライマリドメインコントローラ）の役割を行います。　また、マスターブラウザの機能を請け負います。認証モードの順に従い、ネイティブモードでの認証ができなかった場合（同期前のDCでの認証等）にクライアントはこのサーバに認証を確認します。

・インフラストラクチャ・マスタ（ドメインに対して１つ存在）：
ドメイン内のユーザとコンピュータをグループ名とマッピングを管理します。ユーザ名が変更された場合、グループ内のメンバー表示を変更するのはこの役割の機能です。

サイト設計

GCや操作マスタについて理解できると、サイト設計をどうすれば良いか判ってくることでしょう。　ユーザ認証では、出来るだけ認証されるPCと認証するDCの間が近い方が認証速度において有利です。　また、複数のドメインで構成されるフォレストでは、各ドメイン内にGCサーバーが配置する事が望ましくなります。　操作マスタについては、できるだけネットワーク間を経由しないでアクセスできる場所が望ましくなります。
例えば、札幌、東京、大阪に営業所で大阪にサーバ室を持つ企業が次のようなドメイン（フォレストは同じ）と接続でされるとします。
AD環境を構築する場合、ADの配置は次のようになるでしょう。

このとき、単に各場所にサーバーを配置しただけでは、クライアントが実際にどのサーバーをアクセスするかは予測できません。なぜなら、ADではそれぞれのサーバーは基本同じ機能となっており、デフォルトでは優先度的なものが無いからです。各場所のクライアントで最寄りのサーバーへアクセスさせるには、「サイト」としてそれぞれの場所とサーバーを登録する必要があります。　

なお、サイトの設定を行った場合の注意が1点あります。　サイトの設定を行わない場合、すべてのDCは Default-First-Site-Name という名前のサイトに属している状態になります。 DCにおける登録データの同期（レプリカ）は、同じサイトにある DC 間ではほぼリアルタイムに実行されます。例えばADにユーザを追加すると追加されたユーザの情報は直ちに他のDCにレプリカされますが、サイトを分けた場合には一定間隔毎での同期となり、リアルタイムでは無くなります。　Active Directroyのサイトの設定は以下の手順で行います。
まず、スタートメニューから [Windows 管理ツール] － [Active Directoryサイトとサービス]をクリックします。

[Site] を右クリックして [新しいサイト] を選択します。

サイトの名前を指定しサイトリンクを選び[OK]をクリックします。　サイトリンクは、サイト間の通信に使う通信用オブジェクトです。ここでは、"DEFAULTSITELINK"しかまだ無いのでこれを選びます。　
他のサイトの分も同じようにすべて登録します。

次に作成したサイトが使っているサブネットを定義します。　[Subnet] を右クリックして [新しいサブネット] を選択します。

サブネットの範囲のアドレスを指定して、この範囲のサブネットを所持する先ほど定義したサイトを選び [OK] をクリックします。
これを各サブネット分繰り返します。

次に各サイト間の接続方法を定義するサイトリンクを定義します。[Site] － [Inter-Site Transports] の [IP] を右クリックして [新しいサイトリンク] を選択します。

各サイト間を結ぶサイトリンク名を入力して、このサイトリンクを利用するサイトを選択します。
サイト間の数だけサイトリンクを定義します。

各サイト間の同期はデフォルトで毎日、3時間（180分）に1回行われるようになっています。　もし同期間隔や同期する曜日を特定の曜日だけにしたい場合にには作成したサイトリンクのプロパティを修正します。　

サイト間の同期間隔は利用している回線の帯域を考慮して決定してください。　Active Directoryに登録されるユーザやPCの情報を頻繁に同期させる必要がないのであれば、まずはデフォルトの間隔で運用するのが良いでしょう。

グローバルカタログ（GC)の設定

多くのファイルを持った複数のドメインがあるフォレストの場合には、各サイトおよびドメイン単位でGCサーバーを用意すると良いでしょう。　どのADサーバをGCにするかは、Active Directoryサイトとサービスの設定で、[Default-Firest-Site-Name] － [Servers] に登録されているADサーバーを展開して表示される [NTDS Settings] を右クリックして [プロパティ]を選択します。

ポリシー画面にある[グローバルカタログ] にチェックを入れればこのサーバーはGCとして機能するようになります。