Active Directory Domain Services のインスタンスがインストールされると、サービス インストーラーによって Active Directory Domain Services にサービス接続ポイント オブジェクト (SCP) が作成されます。 主な目的は、レプリケーション トラフィックを最小限に抑え、オブジェクトの効率的な管理とメンテナンスを可能にすることです。
クライアント アプリケーションは、SCP 内のキーワードをディレクトリで検索して、SCP を見つけることに注意してください。 SCP の キーワード 属性はグローバル カタログに含まれています。クライアントはグローバル カタログを検索して、フォレスト内の SCP を検索できます。 このため、クライアントは SCP を発行する場所には影響しません。
レプリケーション トラフィックを最小限に抑える
レプリケーション トラフィックを最小限に抑えるには、サービス ホスト コンピューターのドメインのドメイン パーティションに SCP を作成します。 たとえば、サービスがインストールされているコンピューター オブジェクトの子オブジェクトとして SCP を作成できます。 ドメインの名前付けコンテキストとも呼ばれる Active Directory Domain Services のドメイン パーティションには、ドメインのユーザーやコンピューターのオブジェクトなどのドメイン固有のオブジェクトが含まれます。 ドメイン パーティション内のすべてのオブジェクトの完全なレプリカは、ドメインのすべてのドメイン コントローラー (DC) にレプリケートされますが、他のドメインの DC にはレプリケートされません。
構成パーティションへの変更はフォレスト内のすべての DC にレプリケートされるため、構成パーティション (構成名前付けコンテキストとも呼ばれます) に SCP を作成しないでください。 前述のように、フォレスト全体のクライアントはグローバルカタログにクエリを実行して、フォレスト内の任意の場所でSCPを検索できます。このため、構成パーティションにSCPを作成しても、クライアントからより見えやすくなるわけではありません。ただし、レプリケーショントラフィックが増加するだけです。
管理の容易さ
オブジェクト管理の次のガイドラインを考慮してください。
- 管理者がポリシーと継承されたアクセス許可を使用してアクセスを制御できるサービス固有のオブジェクトを配置します。
- 管理者が簡単に見つけることができる場所にオブジェクトを配置します。
両方の目標を満たす適切な既定の場所は、各サービス インスタンスのホスト コンピューターのコンピューター オブジェクトの下に SCP とその他のサービス固有のオブジェクトを作成することです。 詳細については、「コンピュータオブジェクトの下での発行」を参照してください。
1 つのホストに関連付けられていないサービスの代わりに、ドメイン パーティションのシステム コンテナーの下にサービス オブジェクトのコンテナーを作成することをお勧めします。 詳細については、ドメイン システム コンテナでの発行を参照してください。
次の図は、ドメイン パーティションの既定のコンテナー階層の一部を示しています。
この図は、Active Directory Domain Services に含まれる既定のドメイン階層を示しています。 ただし、多くの企業では、組織単位 (OU) コンテナーの階層を作成して、ユーザーやコンピューターなどのオブジェクト クラスを管理目的でグループ化します。 管理者は、ポリシーと継承可能なアクセス制御エントリ (ACE) を OU に適用して、OU 内のオブジェクトの管理権限を委任できます。 これにより、管理者は企業を効率的に管理できますが、サービス プログラマにはいくつかの影響があります。
- 図に示すように、サービス ホストのコンピューター オブジェクトが Computers コンテナーの下にない可能性があります。 ローカル コンピューターのコンピューター オブジェクトを検索する方法の詳細については、「コンピューター オブジェクトの下での発行」を参照してください。
- 管理者は、組織のニーズの変化に応じてオブジェクトを移動できます。 これは、固定された場所に残っているオブジェクトに依存できないことを意味します。つまり、サービスは、同じままのオブジェクト識別名に依存できません。 代わりに、オブジェクトの objectGUID 属性を使用します。これは、オブジェクトが移動または名前変更されても変更されません。 詳細および SCP を作成するコード例は、その objectGUIDを格納し、後で SCP にバインドする objectGUID を取得します。「サービス接続ポイント の作成と保守」を参照してください。
- これらのクラスのすべての標準サービス関連のオブジェクトクラス、およびそれらのクラスのサブクラスは、コンピューター クラスおよび 組織単位 クラスの有効な子です。 スキーマを拡張して独自のサービス固有のクラスを定義する場合は、コンピューターの クラスと organizationUnit クラスが、可能な上司に含まれていることを確認してください。
- サービス インストーラーは、SCP を作成するための既定の場所を決定します。 管理者がサービスをインストールして代替インストール パスを指定できるようにすることができます。
サービス固有のオブジェクトは、次の領域に作成しないでください。
- サービスは、ドメイン パーティションの Users コンテナーまたは Computers コンテナーにオブジェクトを直接発行したり、これらのコンテナーに新しいコンテナーを作成したりしないでください。 ただし、コンピューター オブジェクトが Computers コンテナーに格納されているかどうかに関係なく、サービスはオブジェクトをコンピューター オブジェクトの子オブジェクトとして発行できます。
- Windows ソケットの登録と解決 (RnR) または RPC ネーム サービス (RpcN) API を使用して自身をアドバタイズするサービスは、ドメイン パーティションのシステム コンテナーの下にある WinsockServices コンテナーと RpcServices コンテナーに適切なオブジェクトを作成します。 これらのコンテナーにオブジェクトを明示的に作成しないでください。 そうしても直接的な損害は生じませんが、管理者にとって混乱を招く可能性があります。