次の方法で共有

サービス接続ポイントを作成する場所

  • [アーティクル]

Active Directory Domain Services のインスタンスがインストールされると、サービス インストーラーによってサービス接続ポイント オブジェクト (SCP) が Active Directory Domain Services に作成されます。 主な目的は、レプリケーション トラフィックを最小限に抑え、オブジェクトを効率的に管理およびメンテナンスできるようにすることです。

クライアント アプリケーションは、SCP 内のキーワードのディレクトリを検索することで SCP を見つけることに注意してください。 SCP の keywords 属性はグローバル カタログに含まれています。クライアントはグローバル カタログを検索して、フォレスト内の SCP を見つけることができます。 このため、クライアントは SCP を発行する場所に影響を与えません。

レプリケーション トラフィックの最小化

レプリケーション トラフィックを最小限に抑えるには、サービス ホスト コンピュータのドメインのドメイン パーティションに SCP を作成します。 たとえば、サービスがインストールされているコンピューター オブジェクトの子オブジェクトとして SCP を作成できます。 ドメイン名前付けコンテキストとも呼ばれる Active Directory Domain Services のドメイン パーティションには、ドメインのユーザーやコンピュータのオブジェクトなど、ドメイン固有のオブジェクトが含まれています。 ドメイン パーティション内のすべてのオブジェクトの完全なレプリカは、ドメインのすべてのドメイン コントローラー (DC) にレプリケートされますが、他のドメインの DC にはレプリケートされません。

構成パーティションへの変更はフォレスト内のすべての DC にレプリケートされるため、構成パーティション (別名: 構成名前付けコンテキスト) には SCP を作成しないでください。 上述したように、フォレスト全体のクライアントはグローバル カタログに対してクエリを実行してフォレスト内の任意の場所で SCP を見つけることができるため、構成パーティションに SCP を作成してもクライアントから SCP が見えやすくなるわけではなく、より多くのレプリケーション トラフィックのみが生成されます。

管理の容易さ

オブジェクト管理の次のガイドラインを考慮してください。

  • サービス固有のオブジェクトを、管理者がポリシーと継承されたアクセス許可を使用してアクセスを制御できる場所に配置します。
  • 管理者が簡単に見つけることができる場所にオブジェクトを配置します。

両方の目標を満たす適切な既定の場所は、各サービス インスタンスのホスト コンピューターのコンピューター オブジェクトの下に SCP とその他のサービス固有のオブジェクトを作成することです。 詳しくは、「コンピューター オブジェクトでの発行」を参照してください。

1 つのホストに関連付けられていないサービスのための別の方法として、ドメイン パーティション内のシステム コンテナーの下にサービス オブジェクトのコンテナーを作成することをお勧めします。 詳細については、「ドメイン システム コンテナーでの発行」 を参照してください。

次の図は、ドメイン パーティションの既定のコンテナー階層の一部を示しています。

default domain partition container hierarchy

この図は、Active Directory Domain Services に含まれる既定のドメイン階層を示しています。 しかし、多くの企業では、組織単位 (OU) コンテナーの階層を作成して、ユーザーやコンピューターなどのオブジェクト クラスを管理目的でグループ化しています。 管理者は、ポリシーと継承可能なアクセス制御エントリ (ACE) を OU に適用して、OU 内のオブジェクトの管理権限を委任できます。 これにより、管理者は企業を効率的に管理できますが、サービス プログラマーにはいくつかの影響があります。

  • 図に示すように、サービス ホストのコンピューター オブジェクトが Computers コンテナーにない可能性があります。 ローカル コンピューターのコンピューター オブジェクトを検索する方法について詳しくは、「コンピューター オブジェクトに発行する」を参照してください。
  • 管理者は、組織のニーズの変化に応じてオブジェクトを移動できます。 つまり、固定の場所に残っているオブジェクトに依存することはできず、サービスがオブジェクトの識別名が同じままであることに依存することはできません。 その代わりに、オブジェクトが移動または名前変更されても変更されない objectGUID 属性を使用します。 詳細と、SCP を作成してその objectGUID を保存し、そしてその objectGUID を取得して SCP にバインドするコード例については、「サービス接続ポイントの作成と維持」を参照してください。
  • すべての標準サービス関連オブジェクト クラス、およびこれらのクラスのサブクラスは、コンピューター クラスと organizationalUnit クラスの有効な子です。 独自のサービス固有のクラスを定義するためにスキーマを拡張する場合は、コンピューター クラスと organizationalUnit クラスが possible superiors に含まれていることを確認してください。
  • サービス インストーラーは、SCP を作成するための既定の場所を決定します。 管理者がサービスをインストールして代替インストール パスを指定できるようにすることができます。

サービス固有のオブジェクトは、次の領域に作成しないでください。

  • サービスは、ドメイン パーティションの Users または Computers コンテナにオブジェクトを直接発行したり、これらのコンテナ内に新しいコンテナを作成しないでください。 ただし、コンピューター オブジェクトが Computers コンテナーに格納されているかどうかに関係なく、サービスはオブジェクトをコンピューター オブジェクトの子オブジェクトとして発行できます。
  • Windows ソケットの登録と解決 (RnR) または RPC ネーム サービス (RpcN) API を使用して自身をアドバタイズするサービスは、ドメイン パーティションのシステム コンテナーにある WinsockServices コンテナーと RpcServices コンテナーに適切なオブジェクトを作成します。 これらのコンテナーにオブジェクトを明示的に作成しないでください。 そのようにしても直接的な害はありませんが、管理者にとって混乱を招く可能性があります。