2017年8月4日グローバルナレッジネットワークセミナー＜今さら聞けない！ Windows Server 2016 Active Directory ドメインサービス入門＞資料

1. 今さら聞けない！
Windows Server 2016
Active Directoryドメインサービス入門
グローバルナレッジネットワーク株式会社
横山 哲也

2. 自己紹介
横山 哲也 (グローバルナレッジネットワーク株式会社)
http://www.globalknowledge.co.jp/
1994年～ ITプロ向けWindows関連教育
2003年～ マイクロソフトMVP (Directory Services)
（2012年のみVirtual Machines)
好きなWindowsサービス
Active Directoryドメインサービス
最近の著書・雑誌記事
 ひと目でわかるAzure基本から学ぶサーバー&ネットワーク構築(著)
日経BP
 プロが教えるWindows Server 2012システム管理(監修・共著)
アスキーメディアワークス
 グループポリシー逆引きリファレンス厳選92(監修・共著)日経BP
ソーシャルメディア
ブログ： ヨコヤマ企画 http://yp.g20k.jp/
2

3. アジェンダ
1. Active Directoryドメインサービスとは
2. Active Directoryドメインサービスの基本構造
3. Active Directoryドメインサービスの構築
3

4. Active Directoryドメインサービスとは
いわゆる「Active Directory」
各種情報の一元管理 = ディレクトリ サービス
情報の格納と検索…LDAP
認証…Kerberos
グループポリシー…実はActive Directoryではない
Active Directoryでない環境(ワークグループ)
コンピューターごとに固有のユーザー/グループを登録
データはSAMデータベースに保存…実体はレジストリ
（Security Account Manager)
SAM
User A
User B
Yamada
Yamada
SAM
User A
User B
×
4
コンピューターごとにユーザー登録

5. Active Directoryドメインサービスとは: 情報の検索
属性を指定して検索
5
DEMO

6. Active Directoryドメインサービスとは: ディレクトリデータベース
Active Directory環境(ドメイン)
サーバー上に共通のユーザー/グループを登録
データはActive Directoryデータベースに保存(NTDS.dit)
データベースを保持するサーバー
→ドメインコントローラー(ドメインサーバー)
6
NTDS
User A
User B
Yamada
Yamada
ドメイン
コントローラー

7. Active Directoryドメインサービスとは: オブジェクト
格納する情報…オブジェクト
ユーザー…ユーザーが持つさまざまな情報
氏名、部署、パスワード、セキュリティIDなど
グループ…複数のユーザーをまとめる
グループ名、セキュリティIDなど
コンピューター…コンピューターを識別
共有フォルダー…共有フォルダーの検索用
共有プリンター…共有プリンターの検索用
組織単位(OU)
登録情報を分類
管理権限の委任(パスワードリセットの権利など)
構成の一元管理(グループポリシー)
7

8. Active Directoryドメインサービスとは: 最近の主な新機能
Windows Server 2012の主な新機能
Active Directoryドメインサービス役割の追加
(ウィザードなどの変更)
仮想マシン上のドメインコントローラのサポート
PowerShellのActive Directory関連コマンドレット追加
ダイナミック アクセス制御
Windows Server 2016の主な新機能
Azure ADサポートの強化
Microsoft Windows Helloのサポート
(Microsoft Passport )
8

9. Active Directoryドメインサービスとは: 最近廃止された主な機能
Windows Server 2003機能レベル
新規に機能レベルを設定できない
既存の機能レベルには接続可能
早いうちになるべく大きな値に昇格すること
(Windows Server 2012以上はあまり変わらない)
FRS(ファイル複製サービス)
2008以前に、2003以下の機能レベルで作った場合
Windows Server 2016でも動作
早いうちにDFSへ移行すること
https://blogs.technet.microsoft.com/jpntsblog/200
9/12/04/frs-dfsr-sysvol/
9
やること: FRSからDFSに移行する
やること: 機能レベルを上げる

10. Active Directoryドメインサービスとは: 最近廃止された主な機能
ドメインコントローラーへの昇格画面
10

11. Active Directoryドメインサービスの基本構造: ドメイン階層
Active Directory ドメインの論理構造
DNSを利用
ドメイン
ツリー
フォレスト
ルート
jp
trainocate
corp
sales
フォレスト
ツリー
ツリー
ドメイン
11

12. Active Directoryドメインサービスの基本構造: ドメイン名
DNSを利用
インターネット接続不要
推奨: インターネットドメイン名のサブドメイン
例: corp.trainocate.jp
非推奨: 独自トップレベルドメイン
例: trainocate.internal
注意
.localはマルチキャストDNSで使用(RFC6762)
MacintoshがマルチキャストDNSを使用
12
インターネットドメイン名サブドメイン
独自トップレベルドメイン
ドメイン名変更は面倒で高リスク → 間違えるとフォレスト破壊

13. Active Directoryドメインサービスの基本構造: 論理構造と物理構造
論理構造
ドメイン
コンテナ
組織単位(OU)
- 管理上の単位
- グループポリシーなど
物理構造
ドメインコントローラー
サイト
- ネットワークの単位
- 複製の最適化
- ログオンの最適化
営業
東京
大阪
サイト サイト
13
「LAN環境 = サイト」が一般的
サイトを設定しなくても運用は可能

14. Active Directoryドメインサービスの構築: 構築の手順
Active Directoryドメインサービスの構築
→ドメインコントローラーの構築(昇格)
構築の手順
1. Active Directoryドメインサービス役割の追加
- サーバーマネージャー
- PowerShell コマンドレット
Install-WindowsFeature –name AD-Domain-Services
2. Active Directoryドメインサービス構成ウィザード
- 詳細インストールオプションの廃止(2012から)
- PowerShell コマンドレット
14

15. Active Directoryドメインサービスの構築: 構築ツール
無人インストール
PowerShellコマンドレットでオプションを指定
構成ウィザードの出力も同様
応答ファイルを使った無人インストールも可能
DCPROMO.exe コマンドの廃止
対話的操作は不可
サーバーマネージャまたはPowerShellで昇格
無人インストールは可能(互換性のため)
15

16. Active Directoryドメインサービスの構築: DCの配置
ドメインコントローラーの配置場所
新規フォレストの新規ドメインの1台目DC
既存ドメインの追加DC
既存フォレストに追加した子ドメインの1台目DC
PowerShell コマンドレット
新規フォレスト: Install-ADDSForest コマンドレット
新規ドメイン: Install-ADDSDomain コマンドレット
追加DC: Install-ADDSDomainControllerコマンドレット
16

17. Active Directoryドメインサービスの構築: 機能レベル
機能レベル
旧DCとの互換性維持→Active Directoryの新機能を制限
フォレストの機能レベル ≦ ドメインの機能レベル
ドメイン作成時に指定するか、作成後に上げる
→原則として下げることはできない
17
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
この辺になると
ほとんど違いがない
(少しは違う)

18. Active Directoryドメインサービスの構築:ドメイン機能レベル
ドメインの機能レベル
ドメインコントローラーのOSバージョンを制限
ドメインコントローラーのOS ≧ ドメインの機能レベル
18
ドメイン
コントローラ
ドメイン
機能レベル
Windows Server
2003 2008 2008R2 2012 2012R2 2016
Windows Server 2003 ○ ○ ○ ○ ○ ○
Windows Server 2008 ○ ○ ○ ○ ○
Windows Server 2008 R2 ○ ○ ○ ○
Windows Server 2012 ○ ○ ○
Windows Server 2012 R2 ○ ○
Windows Server 2016 ○
たいていの場合、機能レベルは可能な限り上げればよい

19. Active Directoryドメインサービスの構築: フォレスト機能レベル
フォレストの機能レベル
ドメインの機能レベルを制限
ドメインの機能レベル ≧ フォレストの機能レベル
19
ドメイン
機能レベル
フォレスト
機能レベル
Windows Server
2003 2008 2008R2 2012 2012R2 2016
Windows Server 2003 ○ ○ ○ ○ ○ ○
Windows Server 2008 ○ ○ ○ ○ ○
Windows Server 2008 R2 ○ ○ ○ ○
Windows Server 2012 ○ ○ ○
Windows Server 2012 R2 ○ ○
Windows Server 2016 ○
たいていの場合、機能レベルは可能な限り上げればよい

20. Active Directoryドメインサービスの構築: グローバルカタログ
グローバルカタログ(GC)
フォレスト内にある全情報のサブセット
他のドメインから
よく参照される情報を収集
追加・変更が可能
ベストプラクティス
ドメイン
★
GC
20
シングルドメインでは
全DCをGCにする

21. Active Directoryドメインサービスの構築: マルチマスター複製
読み書き可能なドメインコントローラー(RWDC)
相互複製(マルチマスターレプリケーション)
どのDCが破損しても機能障害にならない
衝突を避ける仕組み
属性単位の複製
同一サイト内では変更をトリガーに複製(15秒待機)
衝突の自動解消
属性の衝突
1. バージョン(変更回数)
2. 更新時刻
3. GUID
 コンテナ削除とオブジェクト作成…LostAndFound移動
 同一名オブジェクトの同時作成…一方が名前変更
21
LostAndFound

22. Active Directoryドメインサービスの構築: RODCの選択
読み取り専用ドメインコントローラー(RODC)
他のRWDCからデータベースを複製
指定したアカウントだけパスワードを保存=盗難対策
ドメインとサーバーの管理者を分離=未経験管理者対策
多くの制約
サイトに1台
非対応アプリケーションあり
その他
読み書き可能
(RWDC)
読み書き可能
(RWDC)
読み取り専用
(RODC)
複製
複製
複製
22
RODCの本来の目的は物理セキュリティリスクと未経験管理者対応

23. Active Directoryドメインサービスの構築: DCの停止
ドメインコントローラーの停止
ディレクトリサービス復元モードで起動
- ユーザー名: Administrator
- パスワード: ディレクトリサービス復元モード用
- バックアップからのデーターベースのリストアなど
再起動可能なドメインコントローラー
Active Directoryドメインサービスの停止
NET STOP NTDS
- データベースファイルのメンテナンス・移動など
23
サーバーの再起動なしにデータベース保守が可能
DEMO

24. Active Directoryドメインサービスの構築: フォルダーの場所
データベース…Active Directoryデータベース
C:¥Windows¥NTDS
ログ…障害から回復するために使用
C:¥Windows¥NTDS
SYSVOL…グループポリシーで使用するファイル
C:¥Windows¥SYSVOL
24
データベースとログの移動はNTDSUTILツールを利用
Active Directoryデータベースのあるディスク装置は
キャッシュが無効化されるので、専用ディスクに配置

25. Active Directoryドメインサービスの構築: アカウント作成
 ユーザー…原則として管理者が作成
 3種類の名前
- 識別名(DN: Distinguished Name)
- 表示名
- ログオン名(SAMアカウント名およびUPN)
 パスワード…既定では複雑なパスワード
- 英大文字、英小文字、数字、記号から3種類以上
- ユーザー名を含まない
 コンピューター…ドメイン参加時に自動生成
 4種類の名前
- 識別名(DN)
- 表示名
- DNS名
- NetBIOS名
25
DEMO

26. まとめ
1. Active Directoryドメインサービスとは
情報(オブジェクト)の一元管理
2. Active Directoryドメインサービスの基本構造
ドメイン、ドメインツリー、フォレスト
コンテナ、OU
ドメインコントローラー、サイト
3. Active Directoryドメインサービスの構築
ウィザード、PowerShell コマンドレット
機能レベル
グローバルカタログサーバー
マルチマスター複製とRODC
フォルダーの場所
アカウント管理
26

27. グローバルナレッジネットワークのサービス紹介
http://www.globalknowledge.co.jp/
Active Directory関連のコース
Active Directory最小構成実践
Windows Server 2012 Active Directoryの実装と管理
Windows Server 2012関連のコース
Windows Server 2012システム管理基礎(前編)
Windows Server 2012システム管理基礎(後編)
Windows 環境マイグレーション実践
マイクロソフト認定コース(MSU)
 Windows Server 2012のインストールおよび構成(#23410)
 Windows Server 2012の管理(#23411)
 高度なWindows Server 2012サービスの構成(#23412)
27

28. 28

29. 新ブランド "TRAINOCATE"
アジアでのブランド名を変更
TRAINOCATE (トレノケート)
人材育成 “Training” + 提唱者 "Advocate“
 日本国内は当面の間「グローバルナレッジネットワーク株式会社」
としての営業を継続