Download as PDF, PPTX
![[補足]ドメインの機能レベル
フォレストの機能レベル
有効な機能
WindowsServer2003
既定のActiveDirectoryの機能に加えて、以下の機能が有効
・Netdomコマンドのサポート
・特定のサービスへのアクセスのみを許可することができる制約付き委任の構成
・承認マネージャーによるADDSへの承認ポリシーの保存
WindowsServer2008
「WindowsServer2003」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効
・SYSVOLに対するDFS-Rレプリケーション
・Kerberos認証におけるAES128およびAES256
・細かい設定が可能なパスワードポリシー
WindowsServer2008R2
「WindowsServer2008」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効
・Kerberos認証におけるメカニズム認証
WindowsServer2012
「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効
・ダイナミックアクセス制御とKerberos防御の制御
WindowsServer2012R2
「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効
・ProtectedUsersグループ、および認証ポリシーとサイロによる認証セキュリティ](https://image.slidesharecdn.com/20141129-adiaasonad-141129013530-conversion-gate01/85/AD-IaaS-On-AD-13-320.jpg)
![[補足]フォレストの機能レベル
フォレストの機能レベル
有効な機能
WindowsServer2003
既定のActiveDirectoryの機能に加えて、以下の機能が有効
・フォレストの信頼
・ドメイン名の変更
・WindowsServer2008以降の読み取り専用ドメインコントローラー (RODC)の展開
など(他にもあり)
WindowsServer2008
追加機能はなし
WindowsServer2008R2
フォレストの機能レベル「WindowsServer2008」の機能に加えて、以 下の機能が有効
・ActiveDirectoryのごみ箱
WindowsServer2012
追加機能はなし
WindowsServer2012R2
追加機能はなし](https://image.slidesharecdn.com/20141129-adiaasonad-141129013530-conversion-gate01/85/AD-IaaS-On-AD-14-320.jpg)
More Related Content
![[SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能!](https://cdn.slidesharecdn.com/ss_thumbnails/pr25-190409082439-thumbnail.jpg?width=640&height=640&fit=bounds)
![M08_あなたの知らない Azure インフラの世界 [Microsoft Japan Digital Days]](https://cdn.slidesharecdn.com/ss_thumbnails/m08azure-211027131016-thumbnail.jpg?width=640&height=640&fit=bounds)
AD設計の基礎から読み解くIaaS On AD
- 1.
- 2. 今日のお話は・・・ レプリケーション 2 ドメインコントローラー オンプレミス ドメインコントローラー Azure AD Office 365 Google Apps Salesforce Windows Intune VPN Microsoft Azure Windows Server AD Azure AD
- 3.
- 4. ドメインとは? ドメインに登録するアカウント ・ユーザーアカウント ・グループアカウント ・コンピュータアカウント ユーザーアカウント グループアカウント コンピュータ アカウント ドメインは、 アカウントを登録して、 管理する単位 ドメイン 1 つのドメインに、 何万個ものアカウントを登録可能 Active Directory データベース
- 5. フォレストとは? ドメイン フォレスト 1つ以上のドメインで構成 1番大きな管理範囲 フォレスト内は推移的信頼関係 によりシングルサインインが可能 1番大きな認証範囲
- 6. AD設計指針 シングルフォレスト シングルドメイン シングルフォレストの特徴 全体を別ドメインのリソースを利用者が検索・利用 可能 ADの制御情報(スキーマ、構成)の共有 フォレスト管理可能な管理者が存在する 要件似合わない場合 マルチフォレスト
- 7. マルチドメインの選択基準 大規模環境でADデータベースサイズや複製トラフィックを最適化したい 分散管理 法的規制 専用のFRDを使用すると、Enterprise Admins,SchemaAdminsなどのフォレストレベルのサービス管理者グループを、ユーザー アカウントから論理的に分離できる ドメインサービスの管理者とフォレストレベルのサービス管理者の役割を 分離できる FRDは通常、構造の変更やドメイン名の変更などに結びつく組織の変 更の影響を受けない FSMOの戦略的な配置 FRDには、エンドユーザー、グループ、コンピューターオブジェクトは含ま れない FRD
- 8. マルチドメインのトポロジー フォレスト FRD サブドメイン サブドメイン 全体を管理 Enterprise Adminsグループ ユーザーは登録しない FRD(Forest Root Domain) 各ドメインの分散管理 Domain Adminsグループ サブドメイン FRD配下のサブドメインは、並列に配置する(階層を増やさない) 推移的認証のルートがすべてFRD経由となり1ドメインとなる
- 9. FRDのDNS設計 サブドメインのスタブソーンを作成する FRD配下のサブドメインは、委任ではなく、スタブゾーンを作成する スタブゾーンにすることにより、メンテナンスフリーとなる
- 10. スタブソーンの動作 west.contoso.com contoso.com north.contoso. com sales.north.contoso.com west.contoso.com のプライマリゾーン sales.north.contoso. comのスタブゾーン SOAsales.north.contoso.com NS dns.sales.north.contoso.com dnsA 192.168.1.100 sales.north.contoso.comの プライマリゾーン SOAsales.north.contoso.com NS dns.sales.north.contoso.com dnsA 192.168.1.100 file A 192.168.1.150 www A 192.168.1.160 ターゲット サーバー クエリ
- 11. スタブソーンの動作 相手のDNSサーバーを識別するために必要なレコードのみ(SOA、NS、 DNSサーバーのAレコード)をゾーン転送によりコピーする ルートサーバーを経由せずに、相手先のDNSサーバーにクエリを 送信できる
- 12. ADの機能レベルについて 機能レベルとは実現できる機能のレベル分け定義のことで、設定する機 能レベルによって、ドメイン内やフォレスト内で使用できる機能が異なる 機能レベルは自動的に上がらない 基本的に1度あげたら下げない
- 13. [補足]ドメインの機能レベル フォレストの機能レベル 有効な機能 WindowsServer2003 既定のActiveDirectoryの機能に加えて、以下の機能が有効 ・Netdomコマンドのサポート ・特定のサービスへのアクセスのみを許可することができる制約付き委任の構成 ・承認マネージャーによるADDSへの承認ポリシーの保存 WindowsServer2008 「WindowsServer2003」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効 ・SYSVOLに対するDFS-Rレプリケーション ・Kerberos認証におけるAES128およびAES256 ・細かい設定が可能なパスワードポリシー WindowsServer2008R2 「WindowsServer2008」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効 ・Kerberos認証におけるメカニズム認証 WindowsServer2012 「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効 ・ダイナミックアクセス制御とKerberos防御の制御 WindowsServer2012R2 「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効 ・ProtectedUsersグループ、および認証ポリシーとサイロによる認証セキュリティ
- 14. [補足]フォレストの機能レベル フォレストの機能レベル 有効な機能 WindowsServer2003 既定のActiveDirectoryの機能に加えて、以下の機能が有効 ・フォレストの信頼 ・ドメイン名の変更 ・WindowsServer2008以降の読み取り専用ドメインコントローラー (RODC)の展開 など(他にもあり) WindowsServer2008 追加機能はなし WindowsServer2008R2 フォレストの機能レベル「WindowsServer2008」の機能に加えて、以 下の機能が有効 ・ActiveDirectoryのごみ箱 WindowsServer2012 追加機能はなし WindowsServer2012R2 追加機能はなし
- 15. ドメイン機能レベル Windows Server2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADDomainMode–DomainMode<機能レベル> -Identity <ドメイン名> Windows Server 2008 機能レベルをスタート地点として行き来できる フォレスト機能レベルと同等のレベルまで下げることが可能
- 16. フォレスト機能レベル Windows Server2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADForestMode–ForestMode<機能レベル> -Identity <ドメイン名> Windows Server 2008 機能レベルをスタート地点として行き来できる ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能
- 17. ドメイン FSMO(操作マスター)とは FSMO:FlexibleSingle Master Operation フォレストルートドメイン(1台目のDC) マルチマスターレプリケーションの競合の課題を解決 ADにおける重要機能(シングルマスターレプリケーション) フォレスト スキーマ マスター ドメイン名前 付けマスター PDCエミュ レーター RIDマスター インフラストラ クチャマス ター
- 18. FSMO(操作マスター)の用途 スキーママスター インフラストラクチャマスター フォレスト ドメイン名前付けマスター PDCエミュレーター RIDマスター ドメイン スキーマに対するすべての更新と変更 フォレスト内でのドメインの追加または削除、ドメインツリーの変更 ドメイン内の別のドメインコントローラーで変更されたパスワードの優先複製 時刻同期 グループポリシーのマスターコンピューター RID プールを、ドメインコントローラーに割り当てる グループメンバーのアカウント名の更新(外部参照オブジェクト) マルチドメイン構成においては、インフラストラクチャーマスターとGC を1 台で構成してはいけない
- 19. ドメインコントローラー •AD DSの役割を実行するサーバー •Active Directoryデータベース(ntds.dit)およびsysvolをホストする •ドメインコントローラー間でレプリケートする •Kerberosキー配布センター(KDC)認証 •ユーザーやコンピューターなどの認証を行う •ベストプラクティス •冗長性確保のため2台以上のDCが推奨される •ブランチサイトではセキュリティ確保のためRODCを提供
- 20. Active Directory データストア •AD DS のデーターベース •%systemroot%¥ntds¥ntds.dit •論理パーティション •スキーマ •属性やクラス •構成 •ドメイン、サービス、トポロジ •ドメイン •ユーザー、グループ、コンピューター •アプリケーション •DNS(AD統合モード) •Sysvol •%systemroot%¥sysvol •ログオンスクリプト •ポリシー アプリケーション ドメイン 構成 スキーマ ADDSデーターベース フォレスト 全体で共通 ドメインごと アプリケー ションごと
- 21. レプリケーション •レプリケーションとはDC間の情報交換のこと •マルチマスタレプリケーション •すべてのDC がマスタとなり、お互いにユーザー情報などをレプリケート •Sysvolの内容がレプリケートされる •FRSまたはDFSR •フォレスト内の異なるドメインのDC間でも制御情報をレプリケーション
- 22. SYSVOL •%systemroot%¥sysvol •以下のファイルを格納 •スクリプトファイル(ログオン、ログオフ、スタート、シャットダウン) •グループポリシーのファイル •グループポリシーテンプレート(GPT) •FRS(File Replication Service)またはDFSR(DFS Replication)を使 用して、同一ドメイン内のドメインコントローラー間で複製し合う •FRS は、従来のバージョンから使用しているサービス •DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス
- 23. サイト Tokyo Osaka Nagoya サイトは、Active Directory における論理的なネットワーク境界 物理ネットワークに合わせて構成する(通常は同一LAN で構成) サイトを構成すると、ログオントラフィックとレプリケーショントラフィックを最適化できる Default-First-Site-Name
- 24. AD DSサイトのモデル 単一サイトモデル すべてのコンピューターが1つの物理的な場所に存 在する 複数の物理的な場所が高速リンクで接続されてい る ドメインコントローラーが1つだけ存在する 複数サイトモデル 物理的な場所が複数存在する 場所間のリンクが低速で信頼性が低い 物理的な場所ごとに1つ以上のドメインコントロー ラーが存在する サイト設計モデルの選択がレプリケーションの動作に大きく影響する
- 25. サイト内レプリケーション 接続 オブジェクト 変更 発生 変更通知 15秒後 次は3秒後 変更通知 15秒後 変更通知 ほぼリアルタイムで、複製パートナーに通知する 3ホップ以内で伝達されるように、各DCのKCCにより接続オブジェクトが作成される (15分間隔でチェック) レプリケーションデータは、圧縮されない
- 26. サイトを構成する目的 レプリケーショントラフィックの制御 ログオントラフィックの封じ込め アプリケーション(DFS、Exchangeなど)
- 27. サイト間レプリケーション サイトリンク ブリッジヘッドサーバー ブリッジヘッド サーバー ブリッジヘッド サーバー レプリケーションデータは、圧縮される ログオントラフィックが最適化される レプリケーショントラフィックが最適化される(スケジューリング、間隔) ブリッジヘッドサーバーがサイト間のレプリケーションを行う サイト間トポロジジェネレータ(ISTG)が、ブリッジヘッドサーバーを指定する
- 28. レプリケーショントポロジのベストプラクティス 物理ネットワークに適したトポロジ作成 コスト値は物理ネットワークを参考に サイト間のコスト値が適切に割り当てられることで、最適なサイト間レプリ ケーショントポロジが算出される
- 29. サイトの構成手順 Default-First-Site-Name ネットワークの構成などに合わせて、サイトを構成する 既定の状態 サイトを作成する サブネットを作成し、各サイトに関連付ける サイトリンクを作成し、結ぶサイトを選択する サイトリンクを構成する コスト値 スケジューリング 間隔 ドメインコントローラを適切なサイトに移動する
- 30. Active Directory ログオンプロセス DNSサーバ ドメインコントローラ ①ドメインコントローラは? (SRVリソースレコード) ④ログオン(認証)要求 ②応答 GC ③ユニバーサルグループ の問い合わせ Active Directoryでは、DNSが必須 DCの情報をクライアントに提示する
- 31. 各サイトにグローバルカタログサーバーを配置しない場合 DC+GC DC アクセストークンを 作成 ログオン UGのメン バーシップの 確認 本社サイト 支社サイト DC ユニバーサルグループのメンバーシップ確認のために、毎回グローバルカタログサーバーに 問い合わせを行う
- 32. グローバルカタログの役割 フォレスト全体でのオブジェクトの検索を提供する ユニバーサルグループのメンバーシップを提供する UPNログオン名を管理する シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定 を行うことにより検索のパフォーマンスが上がる
- 33. サイト設計まとめ サイトごとにDC,DNS,GCを配置 ユニバーサルグループメンバーシップキャッシュは使用しない ブリッジヘッドサーバー、サイトリンクブリッジは自動にお任せ サイトを作成する目的を明確にする
- 34. RODCのシナリオ DC+GC ログオン 本社サイト 支社サイト DC 支社サイトのユーザーは、本社サイトのDCにログオンするためログオン認証が遅い 支社にDCを置き、支社内で認証を完結させたい
- 35. 支社にDCを配置する際の課題 DC+GC ログオン 本社サイト 支社サイト DC 支社にはサーバールーム(物理セキュリティ)が確保できない 盗難にあった場合、パスワードクラックなどが行われる可能性がある 支社にはサーバー管理者がいない(Domain Admins) 支社サイトで変更した操作は組織全体に影響する DC
- 36. RODCの特徴 DC+GC ログオン 本社サイト 支社サイト DC 読み取り専用ドメインコントローラー 一方向のレプリケーション RODC専用管理者(Domain Adminsの必要なし) 設定したユーザー・コンピューターのみパスワードをキャッシュする RODC
- 37.
- 38.
- 39. IaaSon AD のシナリオ 企業フォレスト(オンプレミス環境)とは分離したフォレスト オンプレミス環境との結合 オンプレミス環境のバックアップ 障害対策サイト 他のIaaSアプリケーションの認証 海外拠点のドメイン
- 40. 前提条件は? オンプレミス環境 MicrosoftAzure VPN AD DS 1号機 AD DS 2号機 VPN接続 サイト設計(それぞれのサイト、サイトリンクによる制御)
- 41. こんなシナリオもできます! オンプレミス環境 MicrosoftAzure VPN AD DS AD DS 兼AD FS ×2 可用性セット ディレクトリ同期 WAP WEB Internet
- 42. IaaSでAD(DC)を配置する際の考慮点 オンプレミス環境 MicrosoftAzure VPN AD DS 1号機 File AD DS 2号機 Azureとの接続がなくなるとDCにアクセス不可
- 43. このトポロジーなら大丈夫・・・だけどAzure必要か? オンプレミス環境 MicrosoftAzure VPN AD DS オンプレミス環境 VPN AD DS
- 44. 海外拠点のドメインシナリオパターン1 オンプレミス環境(JP) MicrosoftAzure(JP) VPN DC オンプレミス環境(US) VPN Microsoft Azure(US) VPN DC
- 45. 海外拠点のドメインシナリオパターン2 オンプレミス環境(JP) MicrosoftAzure(US) VPN AD DS オンプレミス環境(US) VPN DC
- 46. 海外拠点のドメインシナリオ3(普通に考えると) オンプレミス環境(JP) MicrosoftAzure(JP) VPN DC オンプレミス環境(US) VPN RODC DC
- 47. 送信トラフィックの制御 オンプレミス環境(JP) MicrosoftAzure(JP) VPN DC DC Microsoft Azure は、出力方向にのみ課金する(データ転送料) Microsoft Azure が受信するトラフィックは、課金されない 出力方向(有料) 入力方向(無料)
- 48. その手法は サイトおよびサイトリンクのコスト調整(GCも含む) RODCによる一方向のレプリケーション オンプレミス環境(JP) Microsoft Azure(JP) VPN AD DS 入力方向(無料) RODC
- 49. RODCは万能ではない(カスタマイズ必須) デフォルトの状態ではローカルにパスワードを保存しない 管理者のパスワードは保存しない オンプレミス環境(JP) Microsoft Azure(JP) VPN AD DS 入力方向(無料) RODC
- 50. IaaSon AD の得意なシナリオは 企業フォレスト(オンプレミス環境)とは分離したフォレスト オンプレミス環境との結合 オンプレミス環境のバックアップDC 障害対策サイト(DC含む) 他のIaaSアプリケーションの認証 海外拠点のドメイン
- 51. 独断と偏見で点数をつけると 企業フォレスト(オンプレミス環境)とは分離したフォレスト オンプレミス環境との結合 オンプレミス環境のバックアップDC 障害対策サイト(DC含む) 他のIaaSアプリケーションの認証 海外拠点のドメイン 100点 80点 80点 100点 20点
- 52. 私ならどうするか? DCに対する特別な送信トラフィックの制御は行わない 通常のDCの動作内のトラフィック量が発生することを認識する Azure にDC を配置するならコストがかかります。