NTドメイン(エヌティー ドメイン)とは | 意味や読み方など丁寧でわかりやすい用語解説

NTドメインは、マイクロソフトのWindows NT Serverオペレーティングシステムにおいて利用された、ネットワーク上のユーザーアカウント、コンピュータ、リソースを一元的に管理し、認証を行うためのセキュリティモデルおよびその管理基盤を指す。これは、現在の企業ネットワークで広く利用されているActive Directoryサービスの前身にあたる技術であり、1990年代から2000年代初頭にかけて多くの企業で採用されていた。NTドメインの主な目的は、ネットワーク上の複数のコンピュータやサービスに対するユーザーの認証を集中管理することで、ユーザーが一度のログオンで複数のリソースにアクセスできるシングルサインオン環境を実現し、システム管理者の負担を軽減することにあった。また、ファイルサーバーやプリンターなどの共有リソースに対するアクセス権限もドメインコントローラ上で一元的に管理され、セキュリティポリシーの適用が容易になるメリットがあった。

NTドメインは、少なくとも一台のドメインコントローラと呼ばれる特別なサーバーを核として構築される。ドメインコントローラは、ドメイン内のすべてのユーザーアカウント、コンピュータアカウント、セキュリティグループの情報を格納したデータベース（SAM: Security Account Manager）を保持し、ユーザーがネットワークにログオンする際の認証処理を担当する。具体的には、ユーザーが自身のユーザー名とパスワードを入力してログオンを試みると、その要求はドメインコントローラに送信され、ドメインコントローラがSAMデータベースに保存されている情報と照合して、ユーザーの正当性を検証する。認証が成功すると、ユーザーにはセキュリティ識別子（SID）を含むアクセストークンが発行され、これによってユーザーはドメイン内の共有リソースへのアクセスを許可される。

NTドメイン環境では、ドメインコントローラにはPrimary Domain Controller（PDC）とBackup Domain Controller（BDC）という役割が存在した。PDCはSAMデータベースのマスターコピーを保持し、データベースへの変更（ユーザーの追加やパスワード変更など）はすべてPDCで行われる。BDCはPDCのSAMデータベースのレプリカ（複製）を保持し、PDCが利用できない場合や、ネットワークの負荷分散のために認証要求を処理する役割を担った。BDCはPDCから定期的にデータベースの更新を受け取るため、PDCに障害が発生した場合でもサービスを継続できる可用性を提供したが、データベースの更新はPDCからBDCへの一方向同期であり、複数台のドメインコントローラ間でマスターデータベースが分散されることはなかった。このPDCとBDCのアーキテクチャは、その後のActive Directoryにおけるマルチマスターレプリケーションモデルとは大きく異なる点である。

NTドメインの管理ツールとしては、「ユーザーマネージャ for ドメイン」や「サーバーマネージャ for ドメイン」などが提供され、これらを用いてユーザーアカウントの作成、パスワードのリセット、グループメンバーシップの変更、共有フォルダの管理などを行った。しかし、これらのツールは機能が限定的であり、GUIベースの操作が中心であったため、大規模な環境での効率的な管理には限界があった。また、ドメイン内のオブジェクト（ユーザーやコンピュータなど）はフラットな構造で管理され、組織の階層構造を表現するようなディレクトリサービスとしては機能しなかった。

複数のNTドメインが存在する大規模な組織においては、ドメイン間でリソースを共有したり、異なるドメインのユーザーが相互に認証を受けるために、「信頼関係（Trust Relationship）」を設定する必要があった。信頼関係は、あるドメインのユーザーが別のドメインのリソースにアクセスできるようにするためのメカニズムで、一方向または双方向で設定された。例えば、ドメインAがドメインBを信頼する場合、ドメインBのユーザーはドメインAのリソースにアクセスできるが、ドメインAのユーザーはドメインBのリソースにアクセスできない。双方向の信頼関係を設定すれば、両ドメインのユーザーが互いのリソースにアクセス可能になる。しかし、複数のドメインが複雑に絡み合う大規模な環境では、この信頼関係の設定と管理は非常に複雑になり、スケーラビリティの課題を抱えていた。

NTドメインが抱えていたこれらの課題、特にディレクトリ構造の欠如、単一障害点となりうるPDC、大規模環境でのスケーラビリティと管理の複雑さ、そしてUNIX系システムで広く使われていたLDAP（Lightweight Directory Access Protocol）のような標準プロトコルへの非対応といった点が、Active Directoryへの進化を促した背景にある。Active DirectoryはWindows 2000 Serverで初めて導入され、NTドメインの多くの制約を克服した。Active Directoryは、LDAPに準拠した階層的なディレクトリサービスを提供し、DNS（Domain Name System）と密接に連携することで、インターネット技術との親和性を高めた。また、複数台のドメインコントローラがそれぞれマスターコピーを保持し、変更が自動的に同期されるマルチマスターレプリケーションを採用したため、可用性とスケーラビリティが大幅に向上した。さらに、グループポリシーという強力な機能により、ユーザーやコンピュータの設定を一元的に細かく制御できるようになった。

現在、NTドメインの技術はほぼ完全にActive Directoryに置き換えられており、新規でNTドメインが構築されることはない。しかし、一部の非常に古いレガシーシステムにおいては、既存のNTドメイン環境が維持されているケースも稀に存在するかもしれない。システムエンジニアを目指す者にとって、NTドメインは過去の技術ではあるものの、現在のActive Directoryの設計思想や機能の背景を理解するためには、その前身であるNTドメインの限界や課題を知ることが非常に有益である。NTドメインの知識は、現在のディレクトリサービスや認証技術がどのように進化してきたかを理解するための重要な出発点となる。