今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
2.3K Views
July 10, 17
スライド概要
updated by https://www.slideshare.net/yokoyamatetsuya/active-directory-155996027
トレノケート株式会社主催の無料セミナー「今さら聞けない!Active Directoryドメインサービス入門」に若干のアップデートを加えたものです。
(https://www.slideshare.net/GKJ_PR/active-directory-77695672)
トレノケート株式会社で、Windows ServerとAzureを中心に技術者向けトレーニングを担当
関連スライド
各ページのテキスト
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門 トレノケート株式会社 横山 哲也
横山 哲也 (トレノケート株式会社) 1994年~ ITプロ向けWindows関連教育 2003年~ マイクロソフトMVP だいたいDirectory Servicesで受賞 2017年はCloud and Datacenter Management 最近の著書・雑誌記事(いずれも日経BP) ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版 グループポリシー逆引きリファレンス厳選98(監修・共著) 日経クラウドファースト 「業務システムで役立つ Azureのコア知識」 ソーシャルメディア ブログ: ヨコヤマ企画 http://yp.g20k.jp/ 2
新ブランド "TRAINOCATE" 「グローバルナレッジネットワーク」から名実共に独立 TRAINOCATE (トレノケート) 人材育成 “Training” + 提唱者 "Advocate“
アジェンダ 1. Active Directoryドメインサービスとは 2. Active Directoryドメインサービスの基本構造 3. Active Directoryドメインサービスの構築 4
Active Directoryとは IDおよびアクセス管理機能に対するブランド 米国の商標は形容詞(固有形容詞) 従来のActive Directory = Active Directory Domain Services (ADDS) Window NT以前 Windows NT LAN Manager Window 2000~2003 Active Directory Window Server 2008 Active Directory Domain Services Active Directory なんとかサービス 5
Active Directoryドメインサービスとは いわゆる「Active Directory」 各種情報の一元管理 = ディレクトリ サービス 情報の格納と検索…LDAP 認証…Kerberos グループポリシー…実はActive Directoryではない Active Directoryでない環境(ワークグループ) コンピューターごとに固有のユーザー/グループを登録 データはSAMデータベースに保存…実体はレジストリ (Security Account Manager) SAM User A User B × Yamada コンピューターごとにユーザー登録 SAM User A User B Yamada 6
Active Directoryドメインサービスとは: 情報の検索 属性を指定して検索 DEMO 7
Active Directoryドメインサービスとは: ディレクトリデータベース Active Directory環境(ドメイン) サーバー上に共通のユーザー/グループを登録 データはActive Directoryデータベースに保存(NTDS.dit) データベースを保持するサーバー →ドメインコントローラー(ドメインサーバー) ドメイン コントローラー Yamada NTDS User A User B Yamada 8
Active Directoryドメインサービスとは: オブジェクト 格納する情報…オブジェクト ユーザー…ユーザーが持つさまざまな情報 氏名、部署、パスワード、セキュリティIDなど グループ…複数のユーザーをまとめる グループ名、セキュリティIDなど コンピューター…コンピューターを識別 共有フォルダー…共有フォルダーの検索用 共有プリンター…共有プリンターの検索用 組織単位(OU) 登録情報を分類 管理権限の委任(パスワードリセットの権利など) 構成の一元管理(グループポリシー) 9
Active Directoryドメインサービスとは: 最近の主な新機能 Windows Server 2012の主な新機能 Active Directoryドメインサービス役割の追加 (ウィザードなどの変更) 仮想マシン上のドメインコントローラのサポート PowerShellのActive Directory関連コマンドレット追加 ダイナミック アクセス制御 Windows Server 2016の主な新機能 Azure ADサポートの強化 Microsoft Windows Helloのサポート (Microsoft Passport ) 10
Active Directoryドメインサービスとは: 最近廃止された主な機能 Windows Server 2003機能レベル 新規に機能レベルを設定できない 既存の機能レベルには接続可能 早いうちになるべく大きな値に昇格すること (Windows Server 2012以上はあまり変わらない) やること: 機能レベルを上げる FRS(ファイル複製サービス) 2008以前に、2003以下の機能レベルで作った場合 Windows Server 2016でも動作 早いうちにDFSへ移行すること https://blogs.technet.microsoft.com/jpntsblog/2009/12/04/frs-dfsr-sysvol/ やること: FRSからDFSに移行する 11
Active Directoryドメインサービスとは: 最近廃止された主な機能 ドメインコントローラーへの昇格画面 12
Active Directoryドメインサービスの基本構造: ドメイン階層 Active Directory ドメインの論理構造 ルート DNSを利用 ドメイン ツリー フォレスト ドメイン jp trainocate corp sales ツリー ツリー フォレスト 13
Active Directoryドメインサービスの基本構造: ドメイン名 DNSを利用 インターネット接続不要 ドメイン名変更は面倒で高リスク → 間違えるとフォレスト破壊 推奨: インターネットドメイン名のサブドメイン 例: corp.trainocate.jp サブドメイン インターネットドメイン名 非推奨: 独自トップレベルドメイン 例: trainocate.internal 注意 独自トップレベルドメイン .localはマルチキャストDNSで使用(RFC6762) MacintoshがマルチキャストDNSを使用 14
Active Directoryドメインサービスの基本構造: 論理構造と物理構造 論理構造 ドメイン コンテナ 組織単位(OU) 営業 東京 - 管理上の単位 - グループポリシーなど 大阪 物理構造 ドメインコントローラー サイト - ネットワークの単位 - 複製の最適化 - ログオンの最適化 サイト サイト 「LAN環境 = サイト」が一般的 サイトを設定しなくても運用は可能 15
Active Directoryドメインサービスの構築: 構築の手順 Active Directoryドメインサービスの構築 →ドメインコントローラーの構築(昇格) 構築の手順 1. Active Directoryドメインサービス役割の追加 - サーバーマネージャー - PowerShell コマンドレット Install-WindowsFeature –name AD-Domain-Services 2. Active Directoryドメインサービス構成ウィザード - 詳細インストールオプションの廃止(2012から) - PowerShell コマンドレット 16
Active Directoryドメインサービスの構築: 構築ツール 無人インストール PowerShellコマンドレットでオプションを指定 構成ウィザードの出力も同様 応答ファイルを使った無人インストールも可能 DCPROMO.exe コマンドの廃止 対話的操作は不可 サーバーマネージャまたはPowerShellで昇格 無人インストールは可能(互換性のため) 17
Active Directoryドメインサービスの構築: DCの配置 ドメインコントローラーの配置場所 新規フォレストの新規ドメインの1台目DC 既存ドメインの追加DC 既存フォレストに追加した子ドメインの1台目DC PowerShell コマンドレット 新規フォレスト: Install-ADDSForest コマンドレット 新規ドメイン: Install-ADDSDomain コマンドレット 追加DC: Install-ADDSDomainControllerコマンドレット 18
Active Directoryドメインサービスの構築: 機能レベル 機能レベル 旧DCとの互換性維持→Active Directoryの新機能を制限 フォレストの機能レベル ≦ ドメインの機能レベル ドメイン作成時に指定するか、作成後に上げる →原則として下げることはできない Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 この辺になると ほとんど違いがない (少しは違う) Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 19
Active Directoryドメインサービスの構築:ドメイン機能レベル ドメインの機能レベル ドメインコントローラーのOSバージョンを制限 ドメインコントローラーのOS ≧ ドメインの機能レベル ドメイン コントローラ ドメイン 機能レベル Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2003 2008 2008R2 2012 2012R2 2016 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ たいていの場合、機能レベルは可能な限り上げればよい 20
Active Directoryドメインサービスの構築: フォレスト機能レベル フォレストの機能レベル ドメインの機能レベルを制限 ドメインの機能レベル ≧ フォレストの機能レベル ドメイン 機能レベル フォレスト 機能レベル Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2003 2008 2008R2 2012 2012R2 2016 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ たいていの場合、機能レベルは可能な限り上げればよい 21
Active Directoryドメインサービスの構築: グローバルカタログ グローバルカタログ(GC) フォレスト内にある全情報のサブセット 他のドメインから よく参照される情報を収集 追加・変更が可能 ドメイン ベストプラクティス シングルドメインでは 全DCをGCにする GC ★ 22
Active Directoryドメインサービスの構築: マルチマスター複製 読み書き可能なドメインコントローラー(RWDC) 相互複製(マルチマスターレプリケーション) どのDCが破損しても機能障害にならない 衝突を避ける仕組み 属性単位の複製 同一サイト内では変更をトリガーに複製(15秒待機) 衝突の自動解消 属性の衝突 LostAndFound 1. バージョン(変更回数) 2. 更新時刻 3. GUID コンテナ削除とオブジェクト作成…LostAndFound移動 同一名オブジェクトの同時作成…一方が名前変更 23
Active Directoryドメインサービスの構築: RODCの選択 読み取り専用ドメインコントローラー(RODC) 他のRWDCからデータベースを複製 指定したアカウントだけパスワードを保存=盗難対策 ドメインとサーバーの管理者を分離=未経験管理者対策 多くの制約 サイトに1台 非対応アプリケーションあり その他 複製 複製 複製 読み書き可能 (RWDC) 読み書き可能 (RWDC) 読み取り専用 (RODC) RODC本来の目的は物理セキュリティリスクと未経験管理者対応 24
Active Directoryドメインサービスの構築: DCの停止 ドメインコントローラーの停止 DEMO ディレクトリサービス復元モードで起動 - ユーザー名: Administrator - パスワード: ディレクトリサービス復元モード用 - バックアップからのデーターベースのリストアなど 再起動可能なドメインコントローラー Active Directoryドメインサービスの停止 NET STOP NTDS - データベースファイルのメンテナンス・移動など サーバーの再起動なしにデータベース保守が可能 25
Active Directoryドメインサービスの構築: フォルダーの場所 データベース…Active Directoryデータベース C:\Windows\NTDS ログ…障害から回復するために使用 C:\Windows\NTDS SYSVOL…グループポリシーで使用するファイル C:\Windows\SYSVOL Active Directoryデータベースのあるディスク装置は キャッシュが無効化されるので、専用ディスクに配置 データベースとログの移動はNTDSUTILツールを利用 26
Active Directoryドメインサービスの構築: アカウント作成 ユーザー…原則として管理者が作成 3種類の名前 - DEMO 識別名(DN: Distinguished Name) 表示名 ログオン名(SAMアカウント名およびUPN) パスワード…既定では複雑なパスワード - 英大文字、英小文字、数字、記号から3種類以上 ユーザー名を含まない コンピューター…ドメイン参加時に自動生成 4種類の名前 - 識別名(DN) 表示名 DNS名 NetBIOS名 27
まとめ 1. Active Directoryドメインサービスとは 情報(オブジェクト)の一元管理 2. Active Directoryドメインサービスの基本構造 ドメイン、ドメインツリー、フォレスト コンテナ、OU ドメインコントローラー、サイト 3. Active Directoryドメインサービスの構築 ウィザード、PowerShell コマンドレット 機能レベル グローバルカタログサーバー マルチマスター複製とRODC フォルダーの場所 アカウント管理 28
付録: Azure ADとADDS Azure AD 目的…Azure上でのID管理 アクセス許可…ロールベース 認証プロトコル OAuth 2.0 OpenID Connect 1.0 ADDS (Active Directory Domain Services) 目的…オンプレミスのID管理と認証 アクセス許可…ロールベース(グループを流用) 認証プロトコル NTLMv2 Kerberos v5 29
付録: Azure ADとAzure ADDS Azure AD Azureのディレクトリサービスの基本 Azureユーザーの管理 認証プロトコル OAuth 2.0 OpenID Connect 1.0 Azure ADDS Azureのディレクトリサービスのオプション AzureユーザーとAzure ADDSの自動同期 認証プロトコル NTLMv2 Kerberos v5 30
付録: ADDSとAzure ADDS ADDS オンプレミス Azure ADへ同期可能 (AD Connect経由) Azure ADDS Azureのディレクトリサービスのオプション Azure ADから同期可能(標準機能) ドメイン管理・フォレスト管理不可(OU以下の管理可能) 共通機能 認証プロトコル NTLMv2 Kerberos v5 グループポリシー Azure ADDS 標準機能 Azure AD ADDS AD Connect
付録: Azure ADDSの用途 Azure上で一般的なドメイン機能が欲しい フェールオーバークラスターの構築 複数サーバーの統合管理 Windows Server構築インフラとして必要 仮想マシンは高い(ドメインコントローラーを持ちたくない) 社内システムを安価に構築したい ただし、Azureとの高速ネットワークは高価 32
トレノケートのサービス紹介 http://www.trainocate.co.jp/ Active Directory関連のコース Active Directory最小構成実践 Windows 環境マイグレーション実践 Windows Server 2016関連のコース(4月以降) Windows Server 2016システム管理基礎(前編) Windows Server 2016システム管理基礎(後編) マイクロソフト認定コース(MSU) Windows Server 2016 のインストール、ストレージとコンピュート(#23740) Windows Server 2016 のネットワーク (#23741) Windows Server 2016 の ID (#23742) 33
参考図書 プロが教える Windows Server 2012システム管理(監修・共著) アスキーメディアワークス(Kindle版あり) グループポリシー逆引きリファレンス厳選98(監修・共著) 日経BP 実践Active Directory逆引きリファレンス(監修・共著) (Windowsサーバ構築ガイドシリーズ) 毎日コミュニケーションズ(版元品切) ひと目でわかる Active Directory Windows Server 2016版 (Yokota Lab.)日経BP 34
フォローすべき人 国井傑さん 伊藤将人さん 小鮒通成さん Yokota Lab. 35
36