Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ad設計

8,551 views

Published on

Active Directory 設計基礎

Published in: Technology
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { https://urlzs.com/UABbn }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • If you want to download or read this book, copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m77EgH } .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • If you want to download or read this book, Copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://urlzs.com/UABbn } ......................................................................................................................... Download Full EPUB Ebook here { https://urlzs.com/UABbn } ......................................................................................................................... ...................................ALL FOR EBOOKS................................................. Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • -- DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT -- ......................................................................................................................... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... (Unlimited)
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Ad設計

  1. 1. Active DirectoyDomain Serviceの設計
  2. 2. ドメインとは? ドメインに登録するアカウント ・ユーザーアカウント ・グループアカウント ・コンピュータアカウント ユーザーアカウント グループアカウント コンピュータ アカウント ドメインは、 アカウントを登録して、 管理する単位 ドメイン 1 つのドメインに、 何万個ものアカウントを登録可能 Active Directory データベース
  3. 3. フォレストとは? ドメイン フォレスト 1つ以上のドメインで構成 1番大きな管理範囲 フォレスト内は推移的信頼関係 によりシングルサインインが可能 1番大きな認証範囲
  4. 4. AD設計指針 シングルフォレスト シングルドメイン シングルフォレストの特徴 全体を管別ドメインのリソースを利用者が検索・利 用可能 ADの制御情報(スキーマ、構成)の共有 フォレスト理可能な管理者が存在する 要件似合わない場合 マルチフォレスト
  5. 5. マルチドメインの選択基準 大規模環境でADデータベースサイズや複製トラフィックを最適化したい 分散管理 法的規制 専用のFRDを使用すると、Enterprise Admins,SchemaAdminsなどのフォレストレベルのサービス管理者グループを、ユーザー アカウントから論理的に分離できる ドメインサービスの管理者とフォレストレベルのサービス管理者の役割を 分離できる FRDは通常、構造の変更やドメイン名の変更などに結びつく組織の変 更の影響を受けない FSMOの戦略的な配置 FRDには、エンドユーザー、グループ、コンピューターオブジェクトは含ま れない FRD
  6. 6. マルチドメインのトポロジー フォレスト FRD サブドメイン サブドメイン 全体を管理 Enterprise Adminsグループ ユーザーは登録しない FRD(Forest Root Domain) 各ドメインの分散管理 Domain Adminsグループ サブドメイン FRD配下のサブドメインは、並列に配置する(階層を増やさない) 推移的認証のルートがすべてFRD経由となり1ドメインとなる
  7. 7. FRDのDNS設計 サブドメインのスタブソーンを作成する FRD配下のサブドメインは、委任ではなく、スタブゾーンを作成する スタブゾーンにすることにより、メンテナンスフリーとなる
  8. 8. スタブソーンの動作 west.contoso.com contoso.com north.contoso. com sales.north.contoso.com west.contoso.com のプライマリゾーン sales.north.contoso. comのスタブゾーン SOAsales.north.contoso.com NS dns.sales.north.contoso.com dnsA 192.168.1.100 sales.north.contoso.comの プライマリゾーン SOAsales.north.contoso.com NS dns.sales.north.contoso.com dnsA 192.168.1.100 file A 192.168.1.150 www A 192.168.1.160 ターゲット サーバー クエリ
  9. 9. スタブソーンの動作 相手のDNSサーバーを識別するために必要なレコードのみ(SOA、NS、 DNSサーバーのAレコード)をゾーン転送によりコピーする ルートサーバーを経由せずに、相手先のDNSサーバーにクエリを 送信できる
  10. 10. ADの機能レベルについて 機能レベルとは実現できる機能のレベル分け定義のことで、設定する機 能レベルによって、ドメイン内やフォレスト内で使用できる機能が異なる 機能レベルは自動的に上がらない 基本的に1度あげたら下げない
  11. 11. [補足]ドメインの機能レベル フォレストの機能レベル 有効な機能 WindowsServer2003 既定のActiveDirectoryの機能に加えて、以下の機能が有効 ・Netdomコマンドのサポート ・特定のサービスへのアクセスのみを許可することができる制約付き委任の構成 ・承認マネージャーによるADDSへの承認ポリシーの保存 WindowsServer2008 「WindowsServer2003」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効 ・SYSVOLに対するDFS-Rレプリケーション ・Kerberos認証におけるAES128およびAES256 ・細かい設定が可能なパスワードポリシー WindowsServer2008R2 「WindowsServer2008」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効 ・Kerberos認証におけるメカニズム認証 WindowsServer2012 「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効 ・ダイナミックアクセス制御とKerberos防御の制御 WindowsServer2012R2 「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効 ・ProtectedUsersグループ、および認証ポリシーとサイロによる認証セキュリティ
  12. 12. [補足]フォレストの機能レベル フォレストの機能レベル 有効な機能 WindowsServer2003 既定のActiveDirectoryの機能に加えて、以下の機能が有効 ・フォレストの信頼 ・ドメイン名の変更 ・WindowsServer2008以降の読み取り専用ドメインコントローラー (RODC)の展開 など(他にもあり) WindowsServer2008 追加機能はなし WindowsServer2008R2 フォレストの機能レベル「WindowsServer2008」の機能に加えて、以 下の機能が有効 ・ActiveDirectoryのごみ箱 WindowsServer2012 追加機能はなし WindowsServer2012R2 追加機能はなし
  13. 13. ドメイン機能レベル Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADDomainMode–DomainMode<機能レベル> -Identity <ドメイン名> Windows Server 2008 機能レベルをスタート地点として行き来できる フォレスト機能レベルと同等のレベルまで下げることが可能
  14. 14. フォレスト機能レベル Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADForestMode–ForestMode<機能レベル> -Identity <ドメイン名> Windows Server 2008 機能レベルをスタート地点として行き来できる ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能
  15. 15. ドメイン FSMO(操作マスター)とは FSMO:Flexible Single Master Operation フォレストルートドメイン(1台目のDC) マルチマスターレプリケーションの競合の課題を解決 ADにおける重要機能(シングルマスターレプリケーション) フォレスト スキーマ マスター ドメイン名前 付けマスター PDCエミュ レーター RIDマスター インフラストラ クチャマス ター
  16. 16. 操作マスターの配置 既定では、 フォレストとドメインに、 最初にインストールした ドメインコントローラーが、 操作マスターの役割を持つ 1 ドメインにつき1 台 ・RIDマスター ・PDCエミュレーターマスター ・インフラストラクチャマスター DC DC DC DC 1 ドメインにつき1 台 ・RIDマスター ・PDCエミュレーターマスター ・インフラストラクチャマスター 1 フォレストにつき1 台 ・スキーママスター ・ドメイン名前付けマスター
  17. 17. FSMO(操作マスター)の用途 スキーママスター インフラストラクチャマスター フォレスト ドメイン名前付けマスター PDCエミュレーター RIDマスター ドメイン スキーマに対するすべての更新と変更 フォレスト内でのドメインの追加または削除、ドメインツリーの変更 ドメイン内の別のドメインコントローラーで変更されたパスワードの優先複製 時刻同期 グループポリシーのマスターコンピューター RID プールを、ドメインコントローラーに割り当てる グループメンバーのアカウント名の更新(外部参照オブジェクト) マルチドメイン構成においては、インフラストラクチャーマスターとGC を1 台で構成してはいけない
  18. 18. ドメインコントローラー •AD DSの役割を実行するサーバー •Active Directoryデータベース(ntds.dit)およびsysvolをホストする •ドメインコントローラー間でレプリケートする •Kerberosキー配布センター(KDC)認証 •ユーザーやコンピューターなどの認証を行う •ベストプラクティス •冗長性確保のため2台以上のDCが推奨される •ブランチサイトではセキュリティ確保のためRODCを提供
  19. 19. Active Directory データストア •AD DS のデーターベース •%systemroot%¥ntds¥ntds.dit •論理パーティション •スキーマ •属性やクラス •構成 •ドメイン、サービス、トポロジ •ドメイン •ユーザー、グループ、コンピューター •アプリケーション •DNS(AD統合モード) •Sysvol •%systemroot%¥sysvol •ログオンスクリプト •ポリシー アプリケーション ドメイン 構成 スキーマ ADDSデーターベース フォレスト 全体で共通 ドメインごと アプリケー ションごと
  20. 20. レプリケーション •レプリケーションとはDC間の情報交換のこと •マルチマスタレプリケーション •すべてのDC がマスタとなり、お互いにユーザー情報などをレプリケート •Sysvolの内容がレプリケートされる •FRSまたはDFSR •フォレスト内の異なるドメインのDC間でも制御情報をレプリケーション
  21. 21. SYSVOL •%systemroot%¥sysvol •以下のファイルを格納 •スクリプトファイル(ログオン、ログオフ、スタート、シャットダウン) •グループポリシーのファイル •グループポリシーテンプレート(GPT) •FRS(File Replication Service)またはDFSR(DFS Replication)を使 用して、同一ドメイン内のドメインコントローラー間で複製し合う •FRS は、従来のバージョンから使用しているサービス •DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス
  22. 22. SYSVOL フォルダーの複製サービス •Windows Server 2003 までは、 •File Replication サービス(FRS)のみ •Windows Server 2008 からは、 •FRS の他、DFS-Replicaiton(分散ファイルシステム)サービスも使用可能 SYSVOL フォルダー SYSVOL フォルダー FRS DFS-R または Windows 2012 R2 DC Windows 2012 R2 DC グループポリシーの 設定ファイル、ログオン スクリプトなどを格納 しているフォルダー 2 台目の Windows Server 2012 R2 DC を 追加
  23. 23. FRS とDFS-R サービス •FRS(File Replication Service)サービス •Active Directoryインストール時のドメイン機能レベルが 「Windows Server 2003」以下の場合、FRS を使用する •DFS-Replicaitonサービス •Active Directoryインストール時のドメイン機能レベルが 「Windows Server 2008」以上の場合、既定でDFS-R を使用する •ただし、Active Directoryインストール時のドメイン機能レベルが 「Windows Server 2003」で、後から「Windows Server 2008」以上に 上げた場合は、FRS からDFS-Replication への切り替え作業が必要(手 動) Windows Server 2012 R2 では、FRS の使用は非推奨となっている
  24. 24. SYSVOL のレプリケーションプロトコルの変更 •FRS からDFSR へ移行 •DFSR では差分のみを複製する為、 ネットワークの負荷が削減される •DFSR はJournal Wrap Error から自動復旧できる •Dfsrmigコマンドを使用 •機能レベルを「Windows Server 2008」以上に上げてから、 DfsrMig.exeを実行 dfsrmig.exe /CreateGlobalObjects dfsrmig.exe /GetGlobalState dfsrmig.exe /SetGlobalState1 dfsrmig.exe /GetGlobalState dfsrmig.exe /SetGlobalState2 dfsrmig.exe /GetGlobalState dfsrmig.exe /SetGlobalState3 dfsrmig.exe /GetGlobalStateコマンドを 実行することにより、各状態が正常に移行できた かを確認する FRS からDFSR への移行(SYSVOL) http://blogs.technet.com/b/jpntsblog/archive/2009/12/04/frs-dfsr-sysvol.aspx
  25. 25. サイト Tokyo Osaka Nagoya サイトは、Active Directory における論理的なネットワーク境界 物理ネットワークに合わせて構成する(通常は同一LAN で構成) サイトを構成すると、ログオントラフィックとレプリケーショントラフィックを最適化できる Default-First-Site-Name
  26. 26. AD DSサイトのモデル 単一サイトモデル すべてのコンピューターが1つの物理的な場所に存 在する 複数の物理的な場所が高速リンクで接続されてい る ドメインコントローラーが1つだけ存在する 複数サイトモデル 物理的な場所が複数存在する 場所間のリンクが低速で信頼性が低い 物理的な場所ごとに1つ以上のドメインコントロー ラーが存在する サイト設計モデルの選択がレプリケーションの動作に大きく影響する
  27. 27. サイト内レプリケーション 接続 オブジェクト 変更 発生 変更通知 15秒後 次は3秒後 変更通知 15秒後 変更通知 ほぼリアルタイムで、複製パートナーに通知する 3ホップ以内で伝達されるように、各DCのKCCにより接続オブジェクトが作成される (15分間隔でチェック) レプリケーションデータは、圧縮されない
  28. 28. サイトを構成する目的 レプリケーショントラフィックの制御 ログオントラフィックの封じ込め アプリケーション(DFS、Exchangeなど)
  29. 29. サイト間レプリケーション サイトリンク ブリッジヘッド サーバー ブリッジヘッド サーバー ブリッジヘッド サーバー レプリケーションデータは、圧縮される ログオントラフィックが最適化される レプリケーショントラフィックが最適化される(スケジューリング、間隔) ブリッジヘッドサーバーがサイト間のレプリケーションを行う サイト間トポロジジェネレータ(ISTG)が、ブリッジヘッドサーバーを指定する
  30. 30. レプリケーショントポロジの種類 リングトポロジ 特徴 物理的なネットワークトポロジがリング 型トポロジと似ている場合はリング型ト ポロジにする
  31. 31. レプリケーショントポロジの種類 ハブアンドスポークトポロジ 特徴 1つのサイトをハブに指定し、他のサイ トをスポークとしてハブに接続する 大規模なコンピューティングハブどうしを 接続する高速ネットワークと、各支社 を接続する低速リンクが混在している WAN
  32. 32. レプリケーショントポロジの種類 フルメッシュトポロジ 特徴 どのサイトも他のすべてのサイトに接続 する あるサイトのDC上で変化が生じると、 それ以外のサイトのすべてのサーバー に直接その変更がレプリケートされる 全て1ホップで複製 5つ以上のサイト構成には非推奨
  33. 33. レプリケーショントポロジの種類 複合トポロジ
  34. 34. レプリケーショントポロジのベストプラクティス 物理ネットワークに適したトポロジ作成 コスト値は物理ネットワークを参考に サイト間のコスト値が適切に割り当てられることで、最適なサイト間レプリ ケーショントポロジが算出される
  35. 35. サイトの構成手順 Default-First-Site-Name ネットワークの構成などに合 わせて、サイトを構成する 既定の状態 サイトを作成する サブネットを作成し、各サイトに関連付ける サイトリンクを作成し、結ぶサイトを選択する サイトリンクを構成する コスト値 スケジューリング 間隔 ドメインコントローラを適切なサイトに移動する
  36. 36. Active Directory ログオンプロセス DNSサーバ ドメインコントローラ ①ドメインコントローラは? (SRVリソースレコード) ④ログオン(認証)要求 ②応答 GC ③ユニバーサルグループ の問い合わせ Active Directoryでは、DNSが必須 DCの情報をクライアントに提示する
  37. 37. 各サイトにグローバルカタログサーバーを配置しない場合 DC+GC DC アクセストークンを 作成 ログオン UGのメン バーシップの 確認 本社サイト 支社サイト DC ユニバーサルグループのメンバーシップ確認のために、毎回グローバルカタログサーバーに 問い合わせを行う
  38. 38. グローバルカタログの役割 フォレスト全体でのオブジェクトの検索を提供する ユニバーサルグループのメンバーシップを提供する UPNログオン名を管理する シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定 を行うことにより検索のパフォーマンスが上がる
  39. 39. グローバルカタログサーバー ドメイン ドメイン ドメイン 構成 スキーマ ドメイン 構成 スキーマ ドメイン ドメイン ドメイン 構成 スキーマ ドメイン 構成 スキーマ DC GC DC DC フォレスト内の 全てのドメインの ドメインパーティションの サマリーコピーを持つDC ドメインパーティ ションの重要な部 分のみをコピー ドメイン 構成 スキーマ DC DC DC
  40. 40. サイト設計まとめ サイトごとにDC,DNS,GCを配置 ユニバーサルグループメンバーシップキャッシュは使用しない ブリッジヘッドサーバー、サイトリンクブリッジは自動にお任せ サイトを作成する目的を明確にする
  41. 41. DCのインストール(Install From Media) インストールメディアの作成 Ntdsutil Activate Instance Ntds Ifm Create sysvolfull c:¥ifm オフラインでデータを取得 [AD DS インストールウィザード]を詳細モードで実行 し、インストールメディアのパスを指定する ローカルデータからADデータベースを作成する
  42. 42. RODCのシナリオ DC+GC ログオン 本社サイト 支社サイト DC 支社サイトのユーザーは、本社サイトのDCにログオンするためログオン認証が遅い 支社にDCを置き、支社内で認証を完結させたい
  43. 43. 支社にDCを配置する際の課題 DC+GC ログオン 本社サイト 支社サイト DC 支社にはサーバールーム(物理セキュリティ)が確保できない 盗難にあった場合、パスワードクラックなどが行われる可能性がある 支社にはサーバー管理者がいない(Domain Admins) 支社サイトで変更した操作は組織全体に影響する DC
  44. 44. RODCの特徴 DC+GC ログオン 本社サイト 支社サイト DC 読み取り専用ドメインコントローラー 一方向のレプリケーション RODC専用管理者(Domain Adminsの必要なし) 設定したユーザー・コンピューターのみパスワードをキャッシュする RODC
  45. 45. グループポリシーの保存場所 •DC 上のSYSVOL 共有に作成されるファイル群 ⇒%windir%¥SYSVOL¥sysvol¥<ドメイン名> ¥Policies フォルダー •管理者がグループポリシーエディターでの設定した 各設定値を保存 •FRS(File Replication Service)またはDFS(DFS Replication)によって同じドメインのDC に複製 グループ ポリシー •ADDS にオブジェクトとして保存 ⇒ドメインパーティションのSystem¥Policy コンテナー •リンクやバージョン番号などの基本属性 •管理者がグループポリシーエディターで設定した各 設定値は保存されない。 •AD DS レプリケーションによって同じドメインの DC に複製 グループポリシーコンテナーオブ ジェクト(GPC) グループポリシー テンプレート(GPT)
  46. 46. ADM ファイル(~Windows Server 2003) SYSVOL 共有フォルダー ADM ファイル Policies コピー レプリケーション GPO1 GPO2 GPO3 C:¥Windows¥infフォルダー SYSVOL 共有フォルダー GPO1 GPO2 GPO3 DC 追加のADM ファイル インポート DC 1つ1つの GPOのフォル ダーが大きくなる カスタマイズが困難 GPOを作成する度に、すべてのGPOにコピーされるため、 SYSVOLフォルダーが肥大化する ADMファイルを追加するには、GPOにインポートする
  47. 47. ADMX/ADML ファイル(Windows Server 2008~) SYSVOL 共有フォルダー ADMX/ADML ファイル Policies DC 参照 レプリケーション 追加の ADMX/ADML ファイル GPO1 GPO2 GPO3 C:¥Windows¥PolicyDefinitions フォルダー SYSVOL 共有フォルダー ADMX/ADML ファイル 参照 GPO1 GPO2 GPO3 C:¥Windows¥PolicyDefinitions フォルダー DC 47 XMLファイルなので、編集しやすい ADMファイルと異なり、GPOを作成してもADMX/ADMLファイルをコピーしない ADMX/ADMLファイルを追加するには、PolicyDefinitionsフォルダーに格納する
  48. 48. セントラルストア •ADMX/ADMLファイルを1か所にまとめて管理するために作成する •GPOは、セントラルストアに配置されたADMX/ADMLファイルを参照する •セントラルストアは、SYSVOL共有フォルダー内に作成する SYSVOL 共有フォルダー ADMX/ADML ファイル セントラルストア Policies DC 参照 SYSVOL フォルダー レプリケーション SYSVOL共有フォルダー内の<ドメイン名> ¥Policiesフォルダーの下に、PolicyDefinitions フォルダーをサブフォルダーごとコピーする SYSVOLフォルダーの配下は、自動的 にすべてのDCに複製される 追加の ADML/ADMX ファイル GPO1 GPO2 GPO3
  49. 49. きめ細やかなパスワードポリシー ドメイン内のユーザーやグループに対して、個別にパスワードルールを適用できる機能 パスワード設定オブジェクト(PSO) を作成し、管理者や監査担当者など、その人 の職務や立場に応じて、パスワードルールを厳しく設定することができる Windows Server 2012 からGUI が提供された [Active Directory 管理センター] (ADAC) を使用する 監査グループ 管理者 ヘルプデスク グループ 期限:30 日 履歴:5 回記録 期限:60 日 履歴:4 回記録 一般社員 期限:90 日 履歴:3 回記録
  50. 50. Active Directory のごみ箱 ユーザー オブジェクト グループ オブジェクト コンピューター オブジェクト 削除 復元 削除 復元 削除 復元 “ごみ箱” には、属性情報を持ったままのオブジェクトが入る 削除したオブジェクトを、属性を維持したまま簡単に復元できる機能 Windows Server 2012 からGUI が提供された [Active Directory 管理センター] (ADAC) を使用する
  51. 51. 共存環境でのログオントラブル •Windows Server 2012 R2 およびWindows Server 2003 のド メインコントローラーが共存環境にある場合、コンピューターパスワードの変 更が発生するとログオンできなくなる場合がある。 •対処方法 •HOTFIXの適用 •http://support.microsoft.com/kb/2989971/ja It turns out that weird things can happen when you mix Windows Server 2003 and Windows Server 2012 R2 domain controllershttp://blogs.technet.com/b/askds/archive/2014/07/23/it-turns-out-that-weird- things-can-happen-when-you-mix-windows-server-2003-and-windows-server-2012- r2-domain-controllers.aspx

×