Tetsuya Yokoyama, profile picture
Uploaded byTetsuya Yokoyama
PPTX, PDF14,746 views

今さら聞けない! Active Directoryドメインサービス入門

Active Directory(Active Directory Domain Services)は、ネットワーク上の情報を一元管理するためのシステムです。 「Active Directoryという言葉は知っているが、具体的な内容は知らない」 「Active Directoryを使っているが、構築したことはない」 という方向けに、Active Directory概要をWindows Server 2016を使って紹介いたします。

Embed presentation

Downloaded 106 times
今さら聞けない! Active Directoryドメインサービス入門 トレノケート株式会社 横山 哲也
横山 哲也 (トレノケート株式会社) 2  1994年~ ITプロ向けWindows関連教育  1997年 Windows NTイントラネットソリューション  「Windows NT 5.0 Active Directory Serviceの紹介」  マイクロソフトMVP(2003年4月~2019年6月)  だいたいDirectory Servicesで受賞  最近の著書(いずれも日経BP)  ブログ: ヨコヤマ企画 http://yp.g20k.jp/  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版(著)  グループポリシー逆引きリファレンス厳選98 (監修・共著)
アジェンダ 3 1. Active Directoryドメインサービスとは 2. Active Directoryドメインサービスの基本構造 3. Active Directoryドメインサービスの構築
Active Directoryとは 4  IDおよびアクセス管理機能に対するブランド  米国の商標は形容詞(固有形容詞)  従来のActive Directory = Active Directory Domain Services (ADDS)  ADDSのサーバー = ドメインコントローラー (DC)  Azure ADとの直接の関係はない Windows NT LAN Manager Active Directory Active Directory Domain Services Window 2000~2003Window NT以前 Window Server 2008 Active Directory なんとかサービス
Active Directoryドメインサービスとは 5  いわゆる「Active Directory」  各種情報の一元管理 = ディレクトリ サービス  情報の格納と検索…LDAP  認証…Kerberos  グループポリシー…実はActive Directoryではない  Active Directoryでない環境(ワークグループ)  コンピューターごとに固有のユーザー/グループを登録  データはSAMデータベースに保存…実体はレジストリ (Security Account Manager) SAM User A User B Yamada Yamada SAM User A User B × コンピューターごとにユーザー登録
Active Directoryドメインサービスとは: 情報の検索 6  属性を指定して検索  属性を指定して検索 DEMO
Active Directoryドメインサービスとは: ディレクトリデータベー ス 7  Active Directory環境(ドメイン)  サーバー上に共通のユーザー/グループを登録  データはActive Directoryデータベースに保存(NTDS.dit)  データベースを保持するサーバー →ドメインコントローラー(ドメインサーバー) NTDS User A User B Yamada Yamada ドメイン コントローラー
Active Directoryドメインサービスとは: オブジェクト 8  格納する情報…オブジェクト  ユーザー…ユーザーが持つさまざまな情報  氏名、部署、パスワード、セキュリティIDなど  グループ…複数のユーザーをまとめる  グループ名、セキュリティIDなど  コンピューター…コンピューターを識別  組織単位(OU)  登録情報を分類  管理権限の委任(パスワードリセットの権利など)  構成の一元管理(グループポリシー)  共有フォルダー…共有フォルダーの検索用  共有プリンター…共有プリンターの検索用
Active Directoryドメインサービスとは: 最近の主な新機能 9  Windows Server 2012/2012 R2の主な新機能  インストールウィザードの大幅変更  仮想マシン上のドメインコントローラの正式サポート  PowerShellコマンドレット追加  ダイナミック アクセス制御(NTFS)  Windows Server 2016の数少ない新機能  Azure ADサポートの強化  Microsoft Windows Helloのサポート (Microsoft Passport )  Windows Server 2019の新機能  なし
Active Directoryドメインサービスとは: Windows Server 2019 10  新機能なし  機能レベルも増えていない  Windows Server 2008~2016
Active Directoryドメインサービスとは: 最近廃止された機能 11  Windows Server 2003機能レベル  新規に機能レベルを設定できない  既存の機能レベルには接続可能(2019不可)  早いうちになるべく大きな値に昇格すること (Windows Server 2012以上はあまり変わらない)  FRS(ファイル複製サービス)  2008以前に、2003以下の機能レベルで作った場合  Windows Server 2016でも動作(2019不可)  早いうちにDFSへ移行すること  https://blogs.technet.microsoft.com/jpntsblog/2009/12/04/frs-dfsr-sysvol/ やること: FRSからDFSに移行する やること: 機能レベルを上げる
Active Directoryドメインサービスとは: 最近廃止された主な機 能 12  ドメインコントローラーへの昇格画面(Win 2016)
Active Directoryドメインサービスの基本構造: ドメイン階層 13  Active Directory ドメインの論理構造  DNSを利用  ドメイン  ツリー  フォレスト ルート jp trainocate corp sales フォレスト ツリー ツリー ドメイン
Active Directoryドメインサービスの基本構造: ドメイン名 14  DNSを利用  インターネット接続不要  推奨: インターネットドメイン名のサブドメイン  例: corp.trainocate.jp  非推奨: 独自トップレベルドメイン  例: trainocate.internal  注意  .localはマルチキャストDNSで使用(RFC6762)  Macintosh/Windows 10がマルチキャストDNSを使用 インターネットドメイン名サブドメイン 独自トップレベルドメイン ドメイン名変更は面倒で高リスク → 間違えるとフォレスト破壊
Active Directoryドメインサービスの基本構造: 論理構造と物理構 造 15  論理構造  ドメイン  コンテナ  組織単位(OU) - 管理上の単位 - グループポリシーなど  物理構造  ドメインコントローラー  サイト - 最小単位はサブネット - 複製の最適化 - ログオンの最適化 営業 東京 大阪 サイト サイト 「LAN接続環境 = サイト」が一般的 サイトを設定しなくても運用は可能
Active Directoryドメインサービスの構築: 構築の手順 16  Active Directoryドメインサービスの構築 →ドメインコントローラーの構築(昇格)  構築の手順 1. Active Directoryドメインサービス役割の追加 以下のいずれか - サーバーマネージャー - PowerShell コマンドレット Install-WindowsFeature –name AD-Domain-Services 2. Active Directoryドメインサービス構成ウィザード 以下のいずれか - DC昇格ウィザード 詳細インストールオプションの廃止(2012から) - PowerShell コマンドレット
Active Directoryドメインサービスの構築: 構築ツール 17  無人インストール  PowerShellコマンドレットでオプションを指定  構成ウィザードの出力も同様  DCPROMO.exe コマンドの廃止  対話的操作は不可  サーバーマネージャまたはPowerShellで昇格  無人インストールは可能(互換性のため)
Active Directoryドメインサービスの構築: 機能レベル 18  機能レベル  旧DCとの互換性維持→Active Directoryの新機能を制限  フォレストの機能レベル ≦ ドメインの機能レベル  ドメイン作成時に指定するか、作成後に上げる →原則として下げることはできない Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 この辺になると ほとんど違いがない (少しは違う)
Active Directoryドメインサービスの構築:ドメイン機能レベル 19  ドメインの機能レベル  ドメインコントローラーのOSバージョンを制限 ドメインコントローラーのOS ≧ ドメインの機能レベル ドメイン コントローラ ドメイン 機能レベル Windows Server 2003 2008 2008R2 2012 2012R2 2016 Windows Server 2003 ○ ○ ○ ○ ○ ○ Windows Server 2008 ○ ○ ○ ○ ○ Windows Server 2008 R2 ○ ○ ○ ○ Windows Server 2012 ○ ○ ○ Windows Server 2012 R2 ○ ○ Windows Server 2016 ○ たいていの場合、機能レベルは可能な限り上げればよい
Active Directoryドメインサービスの構築: フォレスト機能レベ ル 20  フォレストの機能レベル  ドメインの機能レベルを制限 ドメインの機能レベル ≧ フォレストの機能レベル ドメイン 機能レベル フォレスト 機能レベル Windows Server 2003 2008 2008R2 2012 2012R2 2016 Windows Server 2003 ○ ○ ○ ○ ○ ○ Windows Server 2008 ○ ○ ○ ○ ○ Windows Server 2008 R2 ○ ○ ○ ○ Windows Server 2012 ○ ○ ○ Windows Server 2012 R2 ○ ○ Windows Server 2016 ○ たいていの場合、機能レベルは可能な限り上げればよい
Active Directoryドメインサービスの構築: グローバルカタログ 21  グローバルカタログ(GC)  フォレスト内にある全情報のサブセット  他のドメインから よく参照される情報を収集  追加・変更が可能  ベストプラクティス ドメイン ★ GC シングルドメインでは 全DCをGCにする
Active Directoryドメインサービスの構築: GC検索 22  検索先の指定 検索先の指定  ドメインを指定して検索  GCを使った検索 DEMO
Active Directoryドメインサービスの構築: マルチマスター複製 23  読み書き可能なドメインコントローラー(RWDC)  相互複製(マルチマスターレプリケーション)  どのDCが破損しても機能障害にならない  衝突を避ける仕組み  属性単位の複製  同一サイト内では変更をトリガーに複製(15秒待機)  衝突の自動解消  属性の衝突 1. バージョン(変更回数) 2. 更新時刻 3. GUID  コンテナ削除とオブジェクト作成…LostAndFound移動  同一名オブジェクトの同時作成…一方が名前変更 LostAndFound
Active Directoryドメインサービスの構築: RODCの選択 24  読み取り専用ドメインコントローラー(RODC)  他のRWDCからデータベースを複製  指定したアカウントだけパスワードを保存=盗難対策  ドメインとサーバーの管理者を分離=未経験管理者対策  多くの制約  サイトに1台  非対応アプリケーションあり 読み書き可能 (RWDC) 読み書き可能 (RWDC) 読み取り専用 (RODC) 複製 複製 複製 RODC本来の目的は物理セキュリティリスクと未経験管理者対応 例:Exchange
Active Directoryドメインサービスの構築: DCの停止 25  ドメインコントローラーの停止  ディレクトリサービス復元モードで起動 - ユーザー名: Administrator - パスワード: ディレクトリサービス復元モード用 - バックアップからのデーターベースのリストアなど  再起動可能なドメインコントローラー  Active Directoryドメインサービスの停止 NET STOP NTDS - データベースファイルのメンテナンス・移動など サーバーの再起動なしにデータベース保守が可能  ディレクトリデータベースの保守 DEMO
Active Directoryドメインサービスの構築: フォルダーの場所 26  データベース…Active Directoryデータベース  C:WindowsNTDS  ログ…障害から回復するために使用  C:WindowsNTDS  SYSVOL…グループポリシーで使用するファイル  C:WindowsSYSVOL データベースとログの移動はNTDSUTILツールを利用 Active Directoryデータベースのあるディスク装置は キャッシュが無効化されるので、専用ディスクに配置
Active Directoryドメインサービスの構築: ユーザー 27  ユーザーアカウント  管理者が作成  3種類の名前  識別名(DN)  表示名  ログオン名 - UPN - SAMアカウント名  プロパティ変更  識別名変更 DEMO
Active Directoryドメインサービスの構築: コンピューター 28  コンピューターアカウント  ドメイン参加時に自動生成  4種類の名前  識別名(DN)  表示名  NetBIOS名  DNS名
Active Directoryドメインサービスの構築: パスワードポリシー 29  原則はドメインに1種類  複雑なパスワード - 英大文字、英小文字、数字、記号から3種類以上 - ユーザー名を含まない  7文字以上  パスワード有効期限の既定値は変更の予定予定 - 現行: 42日 - 将来: なし  変更禁止期間…1日 →0:禁止期間なし  パスワード履歴…24回 →0:履歴なし  きめ細かなパスワードポリシー  Windows Server 2008以降  グローバルグループまたはユーザー単位
まとめ 30 1. Active Directoryドメインサービスとは  情報(オブジェクト)の一元管理 2. Active Directoryドメインサービスの基本構造  ドメイン、ドメインツリー、フォレスト  コンテナ、OU  ドメインコントローラー、サイト 3. Active Directoryドメインサービスの構築  ウィザード、PowerShell コマンドレット  機能レベル  グローバルカタログサーバー  マルチマスター複製とRODC  フォルダーの場所  アカウント管理
付録: Azure AD・ADDS・Azure ADDS 31
付録: Azure ADとADDS 32  目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 Azure AD ADDS (Active Directory Domain Services)
付録: Azure ADとAzure ADDS 33  Azureのディレクトリサービスの基本  Azureユーザーの管理  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  Azureのディレクトリサービスのオプション  AzureユーザーとAzure ADDSの自動同期  認証プロトコル  NTLMv2  Kerberos v5 Azure AD Azure ADDS
付録: ADDSとAzure ADDS  オンプレミス  Azure ADへ同期可能 (AD Connect経由)  Azureのディレクトリサービスのオプション  Azure ADから同期可能(標準機能)  ドメイン・フォレスト管理不可(OU管理可能)  認証プロトコル  NTLMv2  Kerberos v5  グループポリシー ADDS Azure ADDS 共通機能 ADDSAzure ADAzure ADDS AD Connect標準機能
付録: Azure ADDSの用途 35  Azure上でADDSドメイン機能が欲しい  フェールオーバークラスターの構築  複数サーバーの統合管理  Windows Server構築インフラとして必要  仮想マシンは高い (ドメインコントローラーを持ちたくない)  社内システムを安価に構築したい  ただし、Azureとの高速ネットワークは高価
参考資料 36
トレノケートのサービス紹介 37  http://www.trainocate.co.jp/  Active Directory関連のコース  Active Directory最小構成実践  Windows Server 2016関連のコース  Windows Server 2016システム管理基礎(前編)  Windows Server 2016システム管理基礎(後編)  マイクロソフト認定コース(MSU)  Windows Server 2016 のインストール、ストレージと コンピュート(#23740)  Windows Server 2016 のネットワーク (#23741)  Windows Server 2016 の ID (#23742)
参考図書 38  プロが教えるWindows Server 2012システム管理 横山哲也 監修・共著 アスキーメディアワークス(Kindle版あり)  グループポリシー逆引きリファレンス厳選98 横山哲也 監修・共著 日経BP(Kindle版あり)  ひと目でわかるActive Directory Windows Server 2016版 Yokota Lab.著 日経BP(Kindle版あり)  実践Active Directory逆引きリファレンス (Windowsサーバ構築ガイドシリーズ) 横山哲也 監修・共著 毎日コミュニケーションズ(版元品切)
39

More Related Content

PDF
初心者でもわかるActive directoryの基本
bySho Okada
 
PPTX
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
PPTX
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
byNTT DATA Technology & Innovation
 
PDF
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
byAmazon Web Services Japan
 
PDF
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
byAmazon Web Services Japan
 
PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
初心者でもわかるActive directoryの基本
bySho Okada
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
byShinya Yamaguchi
 
NTTデータ流Infrastructure as Code~ 大規模プロジェクトを通して考え抜いた基盤自動化の新たな姿~(NTTデータ テクノロジーカンフ...
byNTT DATA Technology & Innovation
 
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
byAmazon Web Services Japan
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
byAmazon Web Services Japan
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 

What's hot

PPTX
Zabbix概論2018
by真乙 九龍
 
PPTX
Sql server のバックアップとリストアの基礎
byMasayuki Ozawa
 
PDF
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
byde:code 2017
 
PDF
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
byAmazon Web Services Japan
 
PDF
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
byAmazon Web Services Japan
 
PDF
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
byAmazon Web Services Japan
 
PDF
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
byAtsushi Tanaka
 
PDF
MySQLアーキテクチャ図解講座
byMikiya Okuno
 
PDF
Always on 可用性グループ 構築時のポイント
byMasayuki Ozawa
 
PDF
Infrastructure as Code (IaC) 談義 2022
byAmazon Web Services Japan
 
PPTX
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
byOhyama Masanori
 
PDF
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
byAmazon Web Services Japan
 
PPTX
PostgreSQLモニタリングの基本とNTTデータが追加したモニタリング新機能(Open Source Conference 2021 Online F...
byNTT DATA Technology & Innovation
 
PDF
あなたの知らないPostgreSQL監視の世界
byYoshinori Nakanishi
 
PDF
Re: ゼロから始める監視設計
byMasahito Zembutsu
 
PPTX
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 
PDF
AWS Well-Architected Security とベストプラクティス
byAmazon Web Services Japan
 
PDF
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
byAmazon Web Services Japan
 
PDF
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
byNTT DATA Technology & Innovation
 
PPTX
あなたのところに専用線が届くまで
byTomohiro Sakamoto(Onodera)
 
Zabbix概論2018
by真乙 九龍
 
Sql server のバックアップとリストアの基礎
byMasayuki Ozawa
 
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
byde:code 2017
 
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
byAmazon Web Services Japan
 
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
byAmazon Web Services Japan
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
byAmazon Web Services Japan
 
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
byAtsushi Tanaka
 
MySQLアーキテクチャ図解講座
byMikiya Okuno
 
Always on 可用性グループ 構築時のポイント
byMasayuki Ozawa
 
Infrastructure as Code (IaC) 談義 2022
byAmazon Web Services Japan
 
監査要件を有するシステムに対する PostgreSQL 導入の課題と可能性
byOhyama Masanori
 
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
byAmazon Web Services Japan
 
PostgreSQLモニタリングの基本とNTTデータが追加したモニタリング新機能(Open Source Conference 2021 Online F...
byNTT DATA Technology & Innovation
 
あなたの知らないPostgreSQL監視の世界
byYoshinori Nakanishi
 
Re: ゼロから始める監視設計
byMasahito Zembutsu
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
byShinya Yamaguchi
 
AWS Well-Architected Security とベストプラクティス
byAmazon Web Services Japan
 
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
byAmazon Web Services Japan
 
PostgreSQLレプリケーション10周年!徹底紹介!(PostgreSQL Conference Japan 2019講演資料)
byNTT DATA Technology & Innovation
 
あなたのところに専用線が届くまで
byTomohiro Sakamoto(Onodera)
 

Similar to 今さら聞けない! Active Directoryドメインサービス入門

PDF
active directory-slideshare
byTrainocate Japan, Ltd.
 
PPTX
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
byTetsuya Yokoyama
 
PDF
今さら聞けない!Active Directoryドメインサービス入門
byTrainocate Japan, Ltd.
 
PDF
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
byTrainocate Japan, Ltd.
 
PDF
Windows Server 2016 Active Directoryドメインサービス入門
byTrainocate Japan, Ltd.
 
PPTX
Active Directoryドメインを作る準備 ~AD DSとDNSサーバーのインストール~
byMichio Koyama
 
PDF
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
byTrainocate Japan, Ltd.
 
PPTX
Active Directoryドメインを作ってみよう ~ドメインの作成とDNSサーバーの設定~
byMichio Koyama
 
PDF
Active directory の移行 (2011年6月の資料)
bywintechq
 
PDF
おさらいActive directory 130330
bywintechq
 
PDF
20240412_HCCJP での Windows Server 2025 Active Directory
byosamut
 
PDF
ドラフト版 COD2012 九州会場 Active Directory 障害対策
bywintechq
 
PDF
160625 cloud samurai_adds_migration_160625
bywintechq
 
PDF
AWS Black Belt Techシリーズ AWS Directory Service
byAmazon Web Services Japan
 
PPTX
Active Directoryドメインを作ってみよう ~ドメインコントローラー追加後の設定~
byMichio Koyama
 
PDF
COD2012 九州会場 Active Directory 障害対策
bywintechq
 
PPTX
Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~
byMichio Koyama
 
PPTX
Active Directoryドメインを作ってみよう ~ドメインコントローラーの追加~
byMichio Koyama
 
PDF
AD設計の基礎から読み解くIaaS On AD
byNaoki Abe
 
PPT
CLR/H No.2 .NET & Directory Service
byYoshiyuki Nakamura
 
active directory-slideshare
byTrainocate Japan, Ltd.
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
byTetsuya Yokoyama
 
今さら聞けない!Active Directoryドメインサービス入門
byTrainocate Japan, Ltd.
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
byTrainocate Japan, Ltd.
 
Windows Server 2016 Active Directoryドメインサービス入門
byTrainocate Japan, Ltd.
 
Active Directoryドメインを作る準備 ~AD DSとDNSサーバーのインストール~
byMichio Koyama
 
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
byTrainocate Japan, Ltd.
 
Active Directoryドメインを作ってみよう ~ドメインの作成とDNSサーバーの設定~
byMichio Koyama
 
Active directory の移行 (2011年6月の資料)
bywintechq
 
おさらいActive directory 130330
bywintechq
 
20240412_HCCJP での Windows Server 2025 Active Directory
byosamut
 
ドラフト版 COD2012 九州会場 Active Directory 障害対策
bywintechq
 
160625 cloud samurai_adds_migration_160625
bywintechq
 
AWS Black Belt Techシリーズ AWS Directory Service
byAmazon Web Services Japan
 
Active Directoryドメインを作ってみよう ~ドメインコントローラー追加後の設定~
byMichio Koyama
 
COD2012 九州会場 Active Directory 障害対策
bywintechq
 
Active Directoryドメインを作ってみよう ~ユーザーやグループの作成とPCのドメイン参加~
byMichio Koyama
 
Active Directoryドメインを作ってみよう ~ドメインコントローラーの追加~
byMichio Koyama
 
AD設計の基礎から読み解くIaaS On AD
byNaoki Abe
 
CLR/H No.2 .NET & Directory Service
byYoshiyuki Nakamura
 

More from Tetsuya Yokoyama

PPTX
マイクロソフト認定技術者試験(MCP) Microsoft Azure
byTetsuya Yokoyama
 
PPTX
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
byTetsuya Yokoyama
 
PDF
Azure AD DSドメインに仮想マシンを参加させる
byTetsuya Yokoyama
 
PDF
Hyper-V、オンプレミスでもコンテナを
byTetsuya Yokoyama
 
PPTX
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
byTetsuya Yokoyama
 
PDF
Microsoft Azureを使ったバックアップの基礎
byTetsuya Yokoyama
 
PDF
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
byTetsuya Yokoyama
 
PDF
Windows Server 2012 R2による ガバナンス強化
byTetsuya Yokoyama
 
マイクロソフト認定技術者試験(MCP) Microsoft Azure
byTetsuya Yokoyama
 
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
byTetsuya Yokoyama
 
Azure AD DSドメインに仮想マシンを参加させる
byTetsuya Yokoyama
 
Hyper-V、オンプレミスでもコンテナを
byTetsuya Yokoyama
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
byTetsuya Yokoyama
 
Microsoft Azureを使ったバックアップの基礎
byTetsuya Yokoyama
 
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
byTetsuya Yokoyama
 
Windows Server 2012 R2による ガバナンス強化
byTetsuya Yokoyama
 

今さら聞けない! Active Directoryドメインサービス入門

  • 1.
  • 2.
    横山 哲也 (トレノケート株式会社) 2 1994年~ ITプロ向けWindows関連教育  1997年 Windows NTイントラネットソリューション  「Windows NT 5.0 Active Directory Serviceの紹介」  マイクロソフトMVP(2003年4月~2019年6月)  だいたいDirectory Servicesで受賞  最近の著書(いずれも日経BP)  ブログ: ヨコヤマ企画 http://yp.g20k.jp/  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版(著)  グループポリシー逆引きリファレンス厳選98 (監修・共著)
  • 3.
    アジェンダ 3 1. Active Directoryドメインサービスとは 2.Active Directoryドメインサービスの基本構造 3. Active Directoryドメインサービスの構築
  • 4.
    Active Directoryとは 4  IDおよびアクセス管理機能に対するブランド 米国の商標は形容詞(固有形容詞)  従来のActive Directory = Active Directory Domain Services (ADDS)  ADDSのサーバー = ドメインコントローラー (DC)  Azure ADとの直接の関係はない Windows NT LAN Manager Active Directory Active Directory Domain Services Window 2000~2003Window NT以前 Window Server 2008 Active Directory なんとかサービス
  • 5.
    Active Directoryドメインサービスとは 5  いわゆる「ActiveDirectory」  各種情報の一元管理 = ディレクトリ サービス  情報の格納と検索…LDAP  認証…Kerberos  グループポリシー…実はActive Directoryではない  Active Directoryでない環境(ワークグループ)  コンピューターごとに固有のユーザー/グループを登録  データはSAMデータベースに保存…実体はレジストリ (Security Account Manager) SAM User A User B Yamada Yamada SAM User A User B × コンピューターごとにユーザー登録
  • 6.
    Active Directoryドメインサービスとは: 情報の検索 6 属性を指定して検索  属性を指定して検索 DEMO
  • 7.
    Active Directoryドメインサービスとは: ディレクトリデータベー ス 7 Active Directory環境(ドメイン)  サーバー上に共通のユーザー/グループを登録  データはActive Directoryデータベースに保存(NTDS.dit)  データベースを保持するサーバー →ドメインコントローラー(ドメインサーバー) NTDS User A User B Yamada Yamada ドメイン コントローラー
  • 8.
    Active Directoryドメインサービスとは: オブジェクト 8 格納する情報…オブジェクト  ユーザー…ユーザーが持つさまざまな情報  氏名、部署、パスワード、セキュリティIDなど  グループ…複数のユーザーをまとめる  グループ名、セキュリティIDなど  コンピューター…コンピューターを識別  組織単位(OU)  登録情報を分類  管理権限の委任(パスワードリセットの権利など)  構成の一元管理(グループポリシー)  共有フォルダー…共有フォルダーの検索用  共有プリンター…共有プリンターの検索用
  • 9.
    Active Directoryドメインサービスとは: 最近の主な新機能 9 Windows Server 2012/2012 R2の主な新機能  インストールウィザードの大幅変更  仮想マシン上のドメインコントローラの正式サポート  PowerShellコマンドレット追加  ダイナミック アクセス制御(NTFS)  Windows Server 2016の数少ない新機能  Azure ADサポートの強化  Microsoft Windows Helloのサポート (Microsoft Passport )  Windows Server 2019の新機能  なし
  • 10.
    Active Directoryドメインサービスとは: WindowsServer 2019 10  新機能なし  機能レベルも増えていない  Windows Server 2008~2016
  • 11.
    Active Directoryドメインサービスとは: 最近廃止された機能 11 Windows Server 2003機能レベル  新規に機能レベルを設定できない  既存の機能レベルには接続可能(2019不可)  早いうちになるべく大きな値に昇格すること (Windows Server 2012以上はあまり変わらない)  FRS(ファイル複製サービス)  2008以前に、2003以下の機能レベルで作った場合  Windows Server 2016でも動作(2019不可)  早いうちにDFSへ移行すること  https://blogs.technet.microsoft.com/jpntsblog/2009/12/04/frs-dfsr-sysvol/ やること: FRSからDFSに移行する やること: 機能レベルを上げる
  • 12.
    Active Directoryドメインサービスとは: 最近廃止された主な機 能 12 ドメインコントローラーへの昇格画面(Win 2016)
  • 13.
    Active Directoryドメインサービスの基本構造: ドメイン階層 13 Active Directory ドメインの論理構造  DNSを利用  ドメイン  ツリー  フォレスト ルート jp trainocate corp sales フォレスト ツリー ツリー ドメイン
  • 14.
    Active Directoryドメインサービスの基本構造: ドメイン名 14 DNSを利用  インターネット接続不要  推奨: インターネットドメイン名のサブドメイン  例: corp.trainocate.jp  非推奨: 独自トップレベルドメイン  例: trainocate.internal  注意  .localはマルチキャストDNSで使用(RFC6762)  Macintosh/Windows 10がマルチキャストDNSを使用 インターネットドメイン名サブドメイン 独自トップレベルドメイン ドメイン名変更は面倒で高リスク → 間違えるとフォレスト破壊
  • 15.
    Active Directoryドメインサービスの基本構造: 論理構造と物理構 造 15 論理構造  ドメイン  コンテナ  組織単位(OU) - 管理上の単位 - グループポリシーなど  物理構造  ドメインコントローラー  サイト - 最小単位はサブネット - 複製の最適化 - ログオンの最適化 営業 東京 大阪 サイト サイト 「LAN接続環境 = サイト」が一般的 サイトを設定しなくても運用は可能
  • 16.
    Active Directoryドメインサービスの構築: 構築の手順 16 Active Directoryドメインサービスの構築 →ドメインコントローラーの構築(昇格)  構築の手順 1. Active Directoryドメインサービス役割の追加 以下のいずれか - サーバーマネージャー - PowerShell コマンドレット Install-WindowsFeature –name AD-Domain-Services 2. Active Directoryドメインサービス構成ウィザード 以下のいずれか - DC昇格ウィザード 詳細インストールオプションの廃止(2012から) - PowerShell コマンドレット
  • 17.
    Active Directoryドメインサービスの構築: 構築ツール 17 無人インストール  PowerShellコマンドレットでオプションを指定  構成ウィザードの出力も同様  DCPROMO.exe コマンドの廃止  対話的操作は不可  サーバーマネージャまたはPowerShellで昇格  無人インストールは可能(互換性のため)
  • 18.
    Active Directoryドメインサービスの構築: 機能レベル 18 機能レベル  旧DCとの互換性維持→Active Directoryの新機能を制限  フォレストの機能レベル ≦ ドメインの機能レベル  ドメイン作成時に指定するか、作成後に上げる →原則として下げることはできない Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 この辺になると ほとんど違いがない (少しは違う)
  • 19.
    Active Directoryドメインサービスの構築:ドメイン機能レベル 19  ドメインの機能レベル ドメインコントローラーのOSバージョンを制限 ドメインコントローラーのOS ≧ ドメインの機能レベル ドメイン コントローラ ドメイン 機能レベル Windows Server 2003 2008 2008R2 2012 2012R2 2016 Windows Server 2003 ○ ○ ○ ○ ○ ○ Windows Server 2008 ○ ○ ○ ○ ○ Windows Server 2008 R2 ○ ○ ○ ○ Windows Server 2012 ○ ○ ○ Windows Server 2012 R2 ○ ○ Windows Server 2016 ○ たいていの場合、機能レベルは可能な限り上げればよい
  • 20.
    Active Directoryドメインサービスの構築: フォレスト機能レベ ル 20 フォレストの機能レベル  ドメインの機能レベルを制限 ドメインの機能レベル ≧ フォレストの機能レベル ドメイン 機能レベル フォレスト 機能レベル Windows Server 2003 2008 2008R2 2012 2012R2 2016 Windows Server 2003 ○ ○ ○ ○ ○ ○ Windows Server 2008 ○ ○ ○ ○ ○ Windows Server 2008 R2 ○ ○ ○ ○ Windows Server 2012 ○ ○ ○ Windows Server 2012 R2 ○ ○ Windows Server 2016 ○ たいていの場合、機能レベルは可能な限り上げればよい
  • 21.
    Active Directoryドメインサービスの構築: グローバルカタログ 21 グローバルカタログ(GC)  フォレスト内にある全情報のサブセット  他のドメインから よく参照される情報を収集  追加・変更が可能  ベストプラクティス ドメイン ★ GC シングルドメインでは 全DCをGCにする
  • 22.
    Active Directoryドメインサービスの構築: GC検索 22 検索先の指定 検索先の指定  ドメインを指定して検索  GCを使った検索 DEMO
  • 23.
    Active Directoryドメインサービスの構築: マルチマスター複製 23 読み書き可能なドメインコントローラー(RWDC)  相互複製(マルチマスターレプリケーション)  どのDCが破損しても機能障害にならない  衝突を避ける仕組み  属性単位の複製  同一サイト内では変更をトリガーに複製(15秒待機)  衝突の自動解消  属性の衝突 1. バージョン(変更回数) 2. 更新時刻 3. GUID  コンテナ削除とオブジェクト作成…LostAndFound移動  同一名オブジェクトの同時作成…一方が名前変更 LostAndFound
  • 24.
    Active Directoryドメインサービスの構築: RODCの選択 24 読み取り専用ドメインコントローラー(RODC)  他のRWDCからデータベースを複製  指定したアカウントだけパスワードを保存=盗難対策  ドメインとサーバーの管理者を分離=未経験管理者対策  多くの制約  サイトに1台  非対応アプリケーションあり 読み書き可能 (RWDC) 読み書き可能 (RWDC) 読み取り専用 (RODC) 複製 複製 複製 RODC本来の目的は物理セキュリティリスクと未経験管理者対応 例:Exchange
  • 25.
    Active Directoryドメインサービスの構築: DCの停止 25 ドメインコントローラーの停止  ディレクトリサービス復元モードで起動 - ユーザー名: Administrator - パスワード: ディレクトリサービス復元モード用 - バックアップからのデーターベースのリストアなど  再起動可能なドメインコントローラー  Active Directoryドメインサービスの停止 NET STOP NTDS - データベースファイルのメンテナンス・移動など サーバーの再起動なしにデータベース保守が可能  ディレクトリデータベースの保守 DEMO
  • 26.
    Active Directoryドメインサービスの構築: フォルダーの場所 26 データベース…Active Directoryデータベース  C:WindowsNTDS  ログ…障害から回復するために使用  C:WindowsNTDS  SYSVOL…グループポリシーで使用するファイル  C:WindowsSYSVOL データベースとログの移動はNTDSUTILツールを利用 Active Directoryデータベースのあるディスク装置は キャッシュが無効化されるので、専用ディスクに配置
  • 27.
    Active Directoryドメインサービスの構築: ユーザー 27 ユーザーアカウント  管理者が作成  3種類の名前  識別名(DN)  表示名  ログオン名 - UPN - SAMアカウント名  プロパティ変更  識別名変更 DEMO
  • 28.
    Active Directoryドメインサービスの構築: コンピューター 28 コンピューターアカウント  ドメイン参加時に自動生成  4種類の名前  識別名(DN)  表示名  NetBIOS名  DNS名
  • 29.
    Active Directoryドメインサービスの構築: パスワードポリシー 29 原則はドメインに1種類  複雑なパスワード - 英大文字、英小文字、数字、記号から3種類以上 - ユーザー名を含まない  7文字以上  パスワード有効期限の既定値は変更の予定予定 - 現行: 42日 - 将来: なし  変更禁止期間…1日 →0:禁止期間なし  パスワード履歴…24回 →0:履歴なし  きめ細かなパスワードポリシー  Windows Server 2008以降  グローバルグループまたはユーザー単位
  • 30.
    まとめ 30 1. Active Directoryドメインサービスとは 情報(オブジェクト)の一元管理 2. Active Directoryドメインサービスの基本構造  ドメイン、ドメインツリー、フォレスト  コンテナ、OU  ドメインコントローラー、サイト 3. Active Directoryドメインサービスの構築  ウィザード、PowerShell コマンドレット  機能レベル  グローバルカタログサーバー  マルチマスター複製とRODC  フォルダーの場所  アカウント管理
  • 31.
  • 32.
    付録: Azure ADとADDS 32 目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 Azure AD ADDS (Active Directory Domain Services)
  • 33.
    付録: Azure ADとAzureADDS 33  Azureのディレクトリサービスの基本  Azureユーザーの管理  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  Azureのディレクトリサービスのオプション  AzureユーザーとAzure ADDSの自動同期  認証プロトコル  NTLMv2  Kerberos v5 Azure AD Azure ADDS
  • 34.
    付録: ADDSとAzure ADDS オンプレミス  Azure ADへ同期可能 (AD Connect経由)  Azureのディレクトリサービスのオプション  Azure ADから同期可能(標準機能)  ドメイン・フォレスト管理不可(OU管理可能)  認証プロトコル  NTLMv2  Kerberos v5  グループポリシー ADDS Azure ADDS 共通機能 ADDSAzure ADAzure ADDS AD Connect標準機能
  • 35.
    付録: Azure ADDSの用途 35 Azure上でADDSドメイン機能が欲しい  フェールオーバークラスターの構築  複数サーバーの統合管理  Windows Server構築インフラとして必要  仮想マシンは高い (ドメインコントローラーを持ちたくない)  社内システムを安価に構築したい  ただし、Azureとの高速ネットワークは高価
  • 36.
  • 37.
    トレノケートのサービス紹介 37  http://www.trainocate.co.jp/  ActiveDirectory関連のコース  Active Directory最小構成実践  Windows Server 2016関連のコース  Windows Server 2016システム管理基礎(前編)  Windows Server 2016システム管理基礎(後編)  マイクロソフト認定コース(MSU)  Windows Server 2016 のインストール、ストレージと コンピュート(#23740)  Windows Server 2016 のネットワーク (#23741)  Windows Server 2016 の ID (#23742)
  • 38.
    参考図書 38  プロが教えるWindows Server2012システム管理 横山哲也 監修・共著 アスキーメディアワークス(Kindle版あり)  グループポリシー逆引きリファレンス厳選98 横山哲也 監修・共著 日経BP(Kindle版あり)  ひと目でわかるActive Directory Windows Server 2016版 Yokota Lab.著 日経BP(Kindle版あり)  実践Active Directory逆引きリファレンス (Windowsサーバ構築ガイドシリーズ) 横山哲也 監修・共著 毎日コミュニケーションズ(版元品切)
  • 39.

Editor's Notes

  • #2 http://download.microsoft.com/download/C/F/2/CF2F9D51-5D9E-45FE-B134-D0783220DCE8/Session3_Yamauchi.pdf http://download.microsoft.com/download/6/D/1/6D161672-320D-40E4-9807-59DA7D00E5F6/201309_Yamauchi.pdf http://technet.microsoft.com/ja-jp/windowsserver/dn308510.aspx#hyperV
  • #3 横山哲也(トレノケート株式会社)。1994年からWindows Serverトレーニングを担当、2003年から主にActive Directory分野でMicrosoft MVPを受賞(2017年はCloud and Datacenter Management)。最近の著書に「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版」「グループポリシー逆引きリファレンス厳選98」。