見出し画像

会社のITインフラ改革〜ADはあるけれど・・・〜

シリーズになった

会社なのに家レベル

十数年前の入社時は、大学院よりもITインフラ環境のレベルが低かった。会社用のエディション(Windows XP Professional)であったものの、それが活用されていない環境だった。利用するPCにユーザーを作成するという、ワークグループ環境。そのため、外出先の他の事業所のPCにログインできないと言う有様。これでいて、PCが600台程あったわけなので、PC交換時はとんでもない入れ替え作業が発生する状況になる。

しかしながら1点優秀な点もあった。拠点ごとにパソコン管理者がいて、パソコンのセットアップや交換を委託してもらっていた。必ずしもパソコンに詳しいとは限らないため、PC更新ごとにマニュアルを作成し、それを配布するという運用だ。当然、PC配布があれば回収もあるわけなので、回収時は必ずデータ抹消ソフトを利用して抹消をかけてもらった上で、リース会社委託の回収業者に回収してもらう、というフローが成り立っている。

この運用ルールは今日でも継続している。ただ従来と比べて相当楽になっているものと想像している。まぁ、既に私はPC担当ではないので、協力という立場になっている。

AD導入したがmDNS問題

2013年、AD (Active Directory) を導入した。ドメイン名は、xxx.localだ。これにより、PC個々にIDを登録するなどの作業がなくなり大分改善した。また、PCセットアップも基本バッチファイルで提供したため、拠点パソコン管理者による作業が軽減され、業務への負荷も削減された。

バッチによる自動処理が故に、パソコン管理者によるPC技術力が年々弱まる傾向にあり、ここがリスクと感じ、私が作業指導する場合には、あえてバッチでの処理は教えないという方針にしている。

mDNS問題

Windows 10 April 2018 Update(バージョン 1803)で、mDNS (multicast Domain Name Service)が有効となった。これによりマイクロソフトによる方針が一気に変更となった。これまでマイクロソフトのAD構築資料では、xxx.localをドメイン構築例として取り上げられていた。しかし、今ではADを構築する場合には、localドメインで構築すると障害が発生する恐れがあるため利用を避けるような書き方となっている。

localドメインを利用してはいけない背景には、Apple製のデバイスを自動的に検索して簡単に接続するためのアプリケーションBonjour(ボンジュール)で使用されているためという。言い換えると、Windowsネットワーク内にAppleやLinuxとかが接続されている環境の場合、それらの機器と正常にコネクトされない場合がある、というのだ。

最近では、AppleやLinuxに限らず、Azure AD Connect や office 365 (Microsoft 365) とかのディレクトリ同期に失敗する恐れがあるとかで、2013年にADを社内展開したにも関わらず、localを利用しないドメインへの切り替えを来年2023年に展開することを計画している。

mDNS対応に向けたAD再構築

AD再構築、これが面倒だった。現在利用中のADで設定したユーザーやグループをすべて、mDNS対応の新ADに作り直す必要があったためだ。また、ファイルサーバに対しても細かなアクセス制限を設けていることが分かり、2022年11月時点、7割程登録が完了した。

まぁ、現ADと新ADは、それぞれ相互にIDが引けるよう、信頼関係を結んでいる。結んだとしても、現ADのグループに新ADのIDの登録(その反対も)はできなかった。これができると楽だったんだけど。

ファイルサーバは拠点に散らばっており、まだ統合ができていない。そして、現ADに接続されているため、新ADに接続した上でユーザないしグループを登録せざるを得ない。さらに、フルアクセスで権限付与すると、属性が削除されるため、特殊なアクセスでの設定変更が必要だ。

ADユーザの移行というか登録し直し作業に、ZOHO JapanのAD Manager Plusを利用した。インポートして展開しエラーチェックが、このソフトでは簡単に行うことができた。まだ、localドメインを利用され、移行に苦労されている方は、このツールを参考にされてはいかがだろうか。非常に良いサポート体制を持っている。

作業は簡単だ。現ADからユーザー・グループを出力。Excelで修正し、仮パスワードを設定した状態で新ADにインポートするだけ。グループも同様だ。もちろん、OUとかも簡単に移行できた。

新ADへの切り替えタイミング

異常なく正常に動いている現ADを、いかに新ADに切り替えさせるかが現在課題となっている。現在、来年の3月に展開を考えているが、まだ戦略ができていない。さて、どうするか…。

人数が多い事業所においては、金曜日とかに各ユーザーに指定のパスワードに変更させた上で、土日に業者CEを使って、人海戦術で一気に新ADに切り替えた方が手間ないな、とか思っていたりする。

さいごに

ADは定着化している。しかし課題はWindows以外の機器との連携。情シスにとっては業務追加は考えたくないため、「Windows以外のOS」と、どうID連携をすべきか、というのが課題となっている。

また、勤務先の通信環境として、多くのPCがインターネットへの接続ができない環境だ。特に業務アプリへの接続には、完全閉域網のため、インターネット利用ができない。これが色々な問題として弊害を引き起こしている。例えば、個人データをOneDriveで保存すりゃいいのに接続できないため、ファイルサーバの社内設置が必要。ファイルサーバーの容量はどんどん増え続けてくる。クラウドは容量はでかいが、社内設置だと上限に制限がある。PowerAutomateで業務改善すりゃいいのに、業務環境からはOffice365すら接続できない。

それらの影響で、バラバラの管理になっている。社内でクラウドサービスが利用できない支障は、業務処理の品質低下と思っており、これはチャレンジとして、数年内に解消していければいいな、と感じている。

ちなみに、2013年にADを導入したわけですが、AD実現に5年ほどかかっている。すぐにシステムは導入できないもの。日頃の情報の積み重ね、検証の積み重ねが、後々チャンスになる。また、新ADについても、コロナ禍の影響で延期が続いていた。

まだまだやることが多い。

この記事が気に入ったらサポートをしてみませんか?