AD設計の基礎から読み解くIaaS On AD

AD設計の基礎から読み解くIaaSAD

今日のお話は・・・
レプリケーション
2
ドメインコントローラー
オンプレミス
Azure AD
Office 365
Google Apps
Salesforce
Windows Intune
VPN
Microsoft Azure
Windows Server AD
Azure AD

ドメインとは?
ドメインに登録するアカウント
・ユーザーアカウント
・グループアカウント
・コンピュータアカウントユーザーアカウントグループアカウントコンピュータアカウント
ドメインは、
アカウントを登録して、管理する単位
ドメイン
1 つのドメインに、何万個ものアカウントを登録可能
Active Directory
データベース

フォレストとは?
ドメイン
フォレスト
1つ以上のドメインで構成
1番大きな管理範囲
フォレスト内は推移的信頼関係によりシングルサインインが可能
1番大きな認証範囲

AD設計指針
シングルフォレスト
シングルドメイン
シングルフォレストの特徴
全体を別ドメインのリソースを利用者が検索・利用可能
ADの制御情報（スキーマ、構成）の共有
フォレスト管理可能な管理者が存在する
要件似合わない場合
マルチフォレスト

マルチドメインの選択基準
大規模環境でADデータベースサイズや複製トラフィックを最適化したい
分散管理
法的規制
専用のFRDを使用すると、Enterprise Admins,SchemaAdminsなどのフォレストレベルのサービス管理者グループを、ユーザーアカウントから論理的に分離できる
ドメインサービスの管理者とフォレストレベルのサービス管理者の役割を分離できる
FRDは通常、構造の変更やドメイン名の変更などに結びつく組織の変更の影響を受けない
FSMOの戦略的な配置
FRDには、エンドユーザー、グループ、コンピューターオブジェクトは含まれない
FRD

マルチドメインのトポロジー
フォレスト
FRD
サブドメイン
サブドメイン
全体を管理 Enterprise Adminsグループ
ユーザーは登録しない
FRD(Forest Root Domain)
各ドメインの分散管理 Domain Adminsグループ
サブドメイン
FRD配下のサブドメインは、並列に配置する（階層を増やさない）
推移的認証のルートがすべてFRD経由となり1ドメインとなる

FRDのDNS設計
サブドメインのスタブソーンを作成する
FRD配下のサブドメインは、委任ではなく、スタブゾーンを作成する
スタブゾーンにすることにより、メンテナンスフリーとなる

スタブソーンの動作
west.contoso.com
contoso.com
north.contoso.
com
sales.north.contoso.com
west.contoso.com
のプライマリゾーン
sales.north.contoso.
comのスタブゾーン
SOAsales.north.contoso.com
NS dns.sales.north.contoso.com
dnsA 192.168.1.100
sales.north.contoso.comのプライマリゾーン
SOAsales.north.contoso.com
NS dns.sales.north.contoso.com
dnsA 192.168.1.100
file A 192.168.1.150
www A 192.168.1.160
ターゲット
サーバー
クエリ

スタブソーンの動作
相手のDNSサーバーを識別するために必要なレコードのみ(SOA、NS、 DNSサーバーのAレコード)をゾーン転送によりコピーする
ルートサーバーを経由せずに、相手先のDNSサーバーにクエリを送信できる

ADの機能レベルについて
機能レベルとは実現できる機能のレベル分け定義のことで、設定する機能レベルによって、ドメイン内やフォレスト内で使用できる機能が異なる
機能レベルは自動的に上がらない
基本的に1度あげたら下げない

[補足]ドメインの機能レベル
フォレストの機能レベル
有効な機能
WindowsServer2003
既定のActiveDirectoryの機能に加えて、以下の機能が有効
・Netdomコマンドのサポート
・特定のサービスへのアクセスのみを許可することができる制約付き委任の構成
・承認マネージャーによるADDSへの承認ポリシーの保存
WindowsServer2008
「WindowsServer2003」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効
・SYSVOLに対するDFS-Rレプリケーション
・Kerberos認証におけるAES128およびAES256
・細かい設定が可能なパスワードポリシー
WindowsServer2008R2
「WindowsServer2008」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効
・Kerberos認証におけるメカニズム認証
WindowsServer2012
「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効
・ダイナミックアクセス制御とKerberos防御の制御
WindowsServer2012R2
「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が有効
・ProtectedUsersグループ、および認証ポリシーとサイロによる認証セキュリティ

[補足]フォレストの機能レベル
フォレストの機能レベル
有効な機能
WindowsServer2003
既定のActiveDirectoryの機能に加えて、以下の機能が有効
・フォレストの信頼
・ドメイン名の変更
・WindowsServer2008以降の読み取り専用ドメインコントローラー（RODC）の展開
など（他にもあり）
WindowsServer2008
追加機能はなし
WindowsServer2008R2
フォレストの機能レベル「WindowsServer2008」の機能に加えて、以下の機能が有効
・ActiveDirectoryのごみ箱
WindowsServer2012
WindowsServer2012R2

ドメイン機能レベル
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012R2
Set-ADDomainMode–DomainMode<機能レベル> -Identity <ドメイン名>
Windows Server 2008 機能レベルをスタート地点として行き来できる
フォレスト機能レベルと同等のレベルまで下げることが可能

フォレスト機能レベル
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012R2
Set-ADForestMode–ForestMode<機能レベル> -Identity <ドメイン名>
Windows Server 2008 機能レベルをスタート地点として行き来できる
ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能

ドメイン
FSMO（操作マスター）とは
FSMO：Flexible Single Master Operation
フォレストルートドメイン（1台目のDC）
マルチマスターレプリケーションの競合の課題を解決
ADにおける重要機能（シングルマスターレプリケーション）
フォレスト
スキーママスター
ドメイン名前付けマスター
PDCエミュレーター
RIDマスター
インフラストラクチャマスター

FSMO（操作マスター）の用途
スキーママスター
インフラストラクチャマスター
フォレスト
ドメイン名前付けマスター
PDCエミュレーター
RIDマスター
ドメイン
スキーマに対するすべての更新と変更
フォレスト内でのドメインの追加または削除、ドメインツリーの変更
ドメイン内の別のドメインコントローラーで変更されたパスワードの優先複製
時刻同期
グループポリシーのマスターコンピューター
RID プールを、ドメインコントローラーに割り当てる
グループメンバーのアカウント名の更新(外部参照オブジェクト）
マルチドメイン構成においては、インフラストラクチャーマスターとGC を1 台で構成してはいけない

•AD DSの役割を実行するサーバー
•Active Directoryデータベース（ntds.dit）およびsysvolをホストする
•ドメインコントローラー間でレプリケートする
•Kerberosキー配布センター（KDC）認証
•ユーザーやコンピューターなどの認証を行う
•ベストプラクティス
•冗長性確保のため2台以上のDCが推奨される
•ブランチサイトではセキュリティ確保のためRODCを提供

Active Directory データストア
•AD DS のデーターベース
•%systemroot%¥ntds¥ntds.dit
•論理パーティション
•スキーマ
•属性やクラス
•構成
•ドメイン、サービス、トポロジ
•ドメイン
•ユーザー、グループ、コンピューター
•アプリケーション
•DNS（AD統合モード）
•Sysvol
•%systemroot%¥sysvol
•ログオンスクリプト
•ポリシー
アプリケーション
ドメイン
構成
スキーマ
ADDSデーターベース
フォレスト
全体で共通
ドメインごと
アプリケーションごと

レプリケーション
•レプリケーションとはDC間の情報交換のこと
•マルチマスタレプリケーション
•すべてのDC がマスタとなり、お互いにユーザー情報などをレプリケート
•Sysvolの内容がレプリケートされる
•FRSまたはDFSR
•フォレスト内の異なるドメインのDC間でも制御情報をレプリケーション

SYSVOL
•%systemroot%¥sysvol
•以下のファイルを格納
•スクリプトファイル（ログオン、ログオフ、スタート、シャットダウン）
•グループポリシーのファイル
•グループポリシーテンプレート（GPT）
•FRS（File Replication Service）またはDFSR（DFS Replication）を使用して、同一ドメイン内のドメインコントローラー間で複製し合う
•FRS は、従来のバージョンから使用しているサービス
•DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス

サイト
Tokyo
Osaka
Nagoya
サイトは、Active Directory における論理的なネットワーク境界
物理ネットワークに合わせて構成する（通常は同一LAN で構成）
サイトを構成すると、ログオントラフィックとレプリケーショントラフィックを最適化できる
Default-First-Site-Name

AD DSサイトのモデル
単一サイトモデル
すべてのコンピューターが1つの物理的な場所に存在する
複数の物理的な場所が高速リンクで接続されている
ドメインコントローラーが1つだけ存在する
複数サイトモデル
物理的な場所が複数存在する
場所間のリンクが低速で信頼性が低い
物理的な場所ごとに1つ以上のドメインコントローラーが存在する
サイト設計モデルの選択がレプリケーションの動作に大きく影響する

サイト内レプリケーション
接続
オブジェクト
変更
発生
変更通知
15秒後
次は3秒後
変更通知
15秒後
変更通知
ほぼリアルタイムで、複製パートナーに通知する
3ホップ以内で伝達されるように、各DCのKCCにより接続オブジェクトが作成される（15分間隔でチェック）
レプリケーションデータは、圧縮されない

サイトを構成する目的
レプリケーショントラフィックの制御
ログオントラフィックの封じ込め
アプリケーション（DFS、Exchangeなど）

サイト間レプリケーションサイトリンクブリッジヘッドサーバーブリッジヘッドサーバーブリッジヘッドサーバー
レプリケーションデータは、圧縮される
ログオントラフィックが最適化される
レプリケーショントラフィックが最適化される（スケジューリング、間隔）
ブリッジヘッドサーバーがサイト間のレプリケーションを行う
サイト間トポロジジェネレータ（ISTG）が、ブリッジヘッドサーバーを指定する

レプリケーショントポロジのベストプラクティス
物理ネットワークに適したトポロジ作成
コスト値は物理ネットワークを参考に
サイト間のコスト値が適切に割り当てられることで、最適なサイト間レプリケーショントポロジが算出される

サイトの構成手順
Default-First-Site-Name
ネットワークの構成などに合わせて、サイトを構成する
既定の状態
サイトを作成する
サブネットを作成し、各サイトに関連付ける
サイトリンクを作成し、結ぶサイトを選択する
サイトリンクを構成する
コスト値
スケジューリング
間隔
ドメインコントローラを適切なサイトに移動する

Active Directory ログオンプロセス
DNSサーバ
ドメインコントローラ
①ドメインコントローラは？
（SRVリソースレコード）
④ログオン（認証）要求
②応答
GC
③ユニバーサルグループの問い合わせ
Active Directoryでは、DNSが必須
DCの情報をクライアントに提示する

各サイトにグローバルカタログサーバーを配置しない場合
DC+GC
DC
アクセストークンを作成
ログオン UGのメンバーシップの確認
本社サイト
支社サイト
DC
ユニバーサルグループのメンバーシップ確認のために、毎回グローバルカタログサーバーに問い合わせを行う

グローバルカタログの役割
フォレスト全体でのオブジェクトの検索を提供する
ユニバーサルグループのメンバーシップを提供する
UPNログオン名を管理する
シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定を行うことにより検索のパフォーマンスが上がる

サイト設計まとめ
サイトごとにDC,DNS,GCを配置
ユニバーサルグループメンバーシップキャッシュは使用しない
ブリッジヘッドサーバー、サイトリンクブリッジは自動にお任せ
サイトを作成する目的を明確にする

RODCのシナリオ
DC+GC
ログオン
本社サイト
支社サイト
DC
支社サイトのユーザーは、本社サイトのDCにログオンするためログオン認証が遅い
支社にDCを置き、支社内で認証を完結させたい

支社にDCを配置する際の課題
DC+GC
ログオン
本社サイト
支社サイト
DC
支社にはサーバールーム（物理セキュリティ）が確保できない
盗難にあった場合、パスワードクラックなどが行われる可能性がある
支社にはサーバー管理者がいない（Domain Admins）
支社サイトで変更した操作は組織全体に影響する
DC

RODCの特徴
DC+GC
ログオン
本社サイト
支社サイト
DC
読み取り専用ドメインコントローラー
一方向のレプリケーション
RODC専用管理者（Domain Adminsの必要なし）
設定したユーザー・コンピューターのみパスワードをキャッシュする
RODC

ガイドラインから検討する
http://msdn.microsoft.com/en-us/library/azure/jj156090.aspx

IaaSon AD のシナリオ
企業フォレスト（オンプレミス環境）とは分離したフォレスト
オンプレミス環境との結合
オンプレミス環境のバックアップ
障害対策サイト
他のIaaSアプリケーションの認証
海外拠点のドメイン

前提条件は？
オンプレミス環境
Microsoft Azure
VPN
AD DS 1号機
AD DS 2号機
VPN接続
サイト設計（それぞれのサイト、サイトリンクによる制御）

こんなシナリオもできます！
Microsoft Azure
VPN
AD DS
AD DS 兼AD FS ×2
可用性セット
ディレクトリ同期
WAP
WEB
Internet

IaaSでAD（DC）を配置する際の考慮点
Microsoft Azure
VPN
AD DS 1号機
File
AD DS 2号機
Azureとの接続がなくなるとDCにアクセス不可

このトポロジーなら大丈夫・・・だけどAzure必要か？
Microsoft Azure
VPN
AD DS
VPN
AD DS

海外拠点のドメインシナリオパターン1
オンプレミス環境（JP）
Microsoft Azure（JP）
VPN
DC
オンプレミス環境（US）
VPN
Microsoft Azure（US）
VPN
DC

海外拠点のドメインシナリオパターン2
Microsoft Azure（US）
VPN
AD DS
VPN
DC

海外拠点のドメインシナリオ3（普通に考えると）
VPN
DC
VPN
RODC
DC

送信トラフィックの制御
VPN
DC
DC
Microsoft Azure は、出力方向にのみ課金する（データ転送料）
Microsoft Azure が受信するトラフィックは、課金されない
出力方向（有料）
入力方向（無料）

その手法は
サイトおよびサイトリンクのコスト調整（GCも含む）
RODCによる一方向のレプリケーション
VPN
AD DS
RODC

RODCは万能ではない（カスタマイズ必須）
デフォルトの状態ではローカルにパスワードを保存しない
管理者のパスワードは保存しない
VPN
AD DS
RODC

IaaSon AD の得意なシナリオは
オンプレミス環境のバックアップDC
障害対策サイト（DC含む）

独断と偏見で点数をつけると
オンプレミス環境のバックアップDC
障害対策サイト（DC含む）
100点
80点
80点
100点
20点

私ならどうするか？
DCに対する特別な送信トラフィックの制御は行わない
通常のDCの動作内のトラフィック量が発生することを認識する
Azure にDC を配置するならコストがかかります。

AD設計の基礎から読み解くIaaS On AD

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to AD設計の基礎から読み解くIaaS On AD

Similar to AD設計の基礎から読み解くIaaS On AD (20)

Recently uploaded

Recently uploaded (16)

AD設計の基礎から読み解くIaaS On AD