>100 Views
August 23, 24
スライド概要
Active Directory 勉強会 #3 (2024-08-23) の登壇資料です。
Active Directory Domain Services の各種ツールについて概要を説明します。初学者向けです。
インフラエンジニア
Active Directory Domain Services の 基礎 関連ツール編 Active Directory 勉強会 #3 2024-08-23 Kazuki Takai
自己紹介 • たかい (Kazuki Takai) // X(旧 Twitter)@zhuky7 • 会社員 (某ISP勤務) • サービス基盤開発、技術開発、ライセンス関連 • 普段は Windows Server / Microsoft 製品だけでなく、Linux や VMware、OSS のインフラ系ソフトウェアなど幅広く • ユーザーオブジェクトよりコンピューターオブジェクトのほうが多いような環境 • wSCUGJ (Windows Server & System Center User Group Japan) • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Microsoft Azure / Cloud and Datacenter Management
お話しすること • Active Directory Domain Services の基本 • Active Directory Domain Services とは? • 基本的な概念、用語 • ツール
今日はお話ししませんが… • 以下 Topic は、直近の SCUGJ 勉強会でお話ししています • Windows Server 最新情報 • Windows Server 2025 の新機能紹介(2023年12月時点) • Windows Server 2025 Active Directory の新機能 • 以下 Topic は、過去の Active Directory 勉強会でお話し しています • Active Directory 構築面でのお話 • Active Directory Domain Services の基礎
Notice • 本セッションで説明する内容は、 個人の見解です • 間違っている、古い情報があれば ぜひ教えてください
今日お伝えしたいこと • Active Directory Domain Services を 管理・運用する際に利用できる様々な ツールを紹介 • 普段はあまり使わないものも • 何かあった時に思い出して / 調べて使う
勉強会中アンケート https://forms.office.com/r/RM1zccwhA5 • 立場 • 経験歴
AD Domain Services
(再掲)AD DS (Domain Services) • Windows Server で利用可能な(Windows 環境で広く 利用されている)ディレクトリサービス • Active Directory ドメインを構成 • 組織内(ドメイン内)のリソースを一元管理 • ユーザー、コンピューター、プリンター、アプリケーション等 • 認証、アクセスコントロール、オブジェクトの管理、ポ リシーの管理と適用(配布)等の機能を提供 • サービスを提供するサーバー = ドメインコントローラー
ツール等 • サーバー マネージャー • Active Directory 管理センター • Microsoft 管理コンソール • Active Directory ユーザーとコンピューター • Active Directory ドメインと信頼関係 • Active Directory サイトとサービス • ADSI エディター • グループポリシーの管理 • PowerShell • 各種コマンドラインツール • ldp.exe
サーバー マネージャー • Windows Server 全般を管理する管理ツール • デフォルトでは、ログオン時に自動的に起動 • 各種役割・機能の追加と削除 • インストールされている役割・機能に応じた管理メニュー
Active Directory 管理センター • Active Directory の統合管理ツール • オブジェクトの参照 • ごみ箱の有効化 • ドメインとフォレストの機能レベル変更 • 細かなパスワードポリシー • 管理操作の PowerShell 履歴 • https://learn.microsoft.com/windows-server/identity/adds/get-started/adac/introduction-to-active-directoryadministrative-center-enhancements--level-100-
Active Directory 管理センター
Active Directory 管理センター
Active Directory のごみ箱 • Active Directory のオブジェクトを削除した後に復元可能 • フォレスト機能レベル Windows Server 2008 R2 以降で利用可能 • 事前に(個別に)機能の有効化が必要 • 一度有効化すると、機能の無効化はできない • 機能の有効化 • Active Directory 管理センター • PowerShell Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target ‘example.jp'
PowerShell 履歴 – ADAC
Microsoft 管理コンソール • Microsoft Management Console (mmc.exe) • 各種スナップインを追加することで、様々な項目を管理
Active Directory ユーザーとコンピューター • ユーザーやグループ、コンピューターなどのオブジェクトを 管理 • 管理の委任 • 操作マスターの変更 • dsa.msc
Active Directory ユーザーとコンピューター • フィルター • 条件によるフィルター • 表示数上限の変更
Active Directory ユーザーとコンピューター • 接続先ドメイン・ドメインコントローラーの変更
Active Directory ユーザーとコンピューター • 管理の委任
Active Directory ユーザーとコンピューター • 操作マスターの変更 • 以下の操作マスター(FSMO)について、役割を担うサーバーを変 更することが可能 • RID マスター • PDC エミュレーター • インフラストラクチャ マスター ※ドメイン名前付けマスターについては、「Active Directory ドメインと信頼 関係」管理コンソールから変更可能 • 変更先(転送先)のサーバーに接続したうえで操作を実施
Active Directory ユーザーとコンピューター
Active Directory ドメインと信頼関係 • フォレスト、ドメインと信頼関係に関する設定を実施 • 信頼関係の設定 • フォレストの機能レベル変更 • ドメインの機能レベル変更 • ドメイン名前付けマスターの転送(役割を担うサーバーを変更) • domain.msc
Active Directory ドメインと信頼関係 • 信頼関係の設定 • ドメインのプロパティから操作
Active Directory ドメインと信頼関係 • フォレスト機能レベルの変更
Active Directory ドメインと信頼関係 • ドメイン機能レベルの変更
機能レベルの変更 – PowerShell • Set-ADForestMode • フォレストの機能レベル変更 Set-ADForestMode -ForestMode Windows2008Forest -Identity example.jp • Set-ADDomainMode • ドメインの機能レベル変更 Set-ADDomainMode -DomainMode Windows2008Domain -Identity example.jp • 機能レベルを下げることも可能(基本的にはやらない) • 機能レベルに依存した機能を使用している場合は、ダウン不可 • 参考 : ディレクトリ サービス コンポーネントの更新
Active Directory ドメインと信頼関係 • ドメイン名前付け操作マスターの変更 • 変更先(新しくドメイン名前付けマスターにしたいサーバー)に接 続したうえで操作を実施
FSMO の転送 – PowerShell • Move-ADDirectoryServerOperationMasterRole • パラメーターとして転送先のサーバーと転送するロールを指定 • 転送先のサーバーに接続して操作を行う必要は無い • -Force スイッチを付与することで、強制転送(seizure)が可能 • Force スイッチを付与しても、通常転送がまず試行され、通常の転送ができ ない場合に強制的な転送が行われる •例 Move-ADDirectoryServerOperationMasterRole -Identity "DC1" -OperationMasterRole PDCEmulator,SchemaMaster
Active Directory サイトとサービス • Active Directory サイトやサイト間通信に関する設定を管理 • サイトの作成・管理 • サイトリンクの作成・管理 • サブネットの作成・管理 • ドメインコントローラーがどのサイトに属するかの設定 • ブリッジヘッドサーバーの設定 • dssite.msc
Active Directory サイトとサービス
Active Directory サイトとサービス • サイトの作成・管理
Active Directory サイトとサービス • サイトリンクの作成・管理
Active Directory サイトとサービス • サブネットの作成・管理
Active Directory サイトとサービス • ドメインコントローラーがどのサイトに属するかの設定
Active Directory サイトとサービス • 優先ブリッジヘッドサーバーの設定 • ドメインコントローラーのプロパティから設定
ADSI エディター • LDAP エディター • Active Directory のオブジェクトやその属性を管理・編集可能
ADSI エディター
ADSI エディター • LDAP エディター • Active Directory のオブジェクトやその属性を管理・編集可能
PowerShell • コマンドライン シェル • スクリプト言語 • 自動化のためのプラットフォーム • Automation • Configuration Management / IaC • 最近のバージョン(6.x 以降)はクロスプラットフォーム • Windows, Linux, macOS
PowerShell • コマンドライン シェル • スクリプト言語 • 自動化のためのプラットフォーム • Automation • Configuration Management / IaC • 最近のバージョン(6.x 以降)はクロスプラットフォーム • Windows, Linux, macOS
2種類の PowerShell • PowerShell は2種類存在 • Windows PowerShell (バージョン 5 系まで) • PowerShell (バージョン 6 以降) • 別物 • サイドロード可能(共存可能)
Windows PowerShell • Windows PowerShell (バージョン 5 系まで) • Windows にビルトインされている PowerShell • 古いバージョンの Windows では、Windows Management Framework と して後からインストールも可能 • .Net Framework に依存 • サポートは固定ライフサイクル ポリシー(OSと同じ) • powershell.exe
PowerShell Core • PowerShell (バージョン 6 以降) • 以前は PowerShell Core と呼ばれていたもの • .Net (.Net Core) に依存 • クロスプラットフォーム • Windows で利用する場合も、個別にインストールが必要 • サポートはモダン ライフサイクル ポリシー(.Net Core と同じ) • pwsh.exe
PowerShell を使う上での注意点 • Windows PowerShell と PowerShell Core は、一部のモジュー ルの互換性が無い • PowerShell 7 module compatibility in Windows Server 2022 • PowerShell 7 で PowerShell 5.1 でしか動作しないコマンドを 実行した場合、互換レイヤーによって(自動的に)PowerShell 5.1 の実行環境が生成され、実行結果が PowerShell 7 側に返さ れる • ので、一応動くはず • 基本的に、オンプレミス Active Directory の管理には Windows PowerShell を利用したほうがトラブルは少ない
Active Directory 管理関連のモジュール • ActiveDirectory • ADDSDeployment • DFSR • DnsServer • GroupPolicy • KDS • LAPS
gpupdate / gpresult • gpupdate.exe • グループポリシーを取得し適用 • C:¥WINDOWS¥system32¥gpupdate.exe • 例: gpupdate /force • その他、必要な場合にログオフや再起動を実施することが可能 • gpresult.exe • グループポリシーの適用結果を出力 • C:¥WINDOWS¥system32¥gpresult.exe • 例: gpresult /H .¥report.html
PowerShell でポリシーの適用を管理 • GroupPolicy モジュールのインポートが必要 • モジュールが既定のパスに配置されていれば自動でロードされる • Invoke-GPUpdate • グループポリシーを取得し適用 • https://learn.microsoft.com/powershell/module/grouppolicy/invok e-gpupdate • Get-GPResultantSetOfPolicy • グループポリシーの適用結果を出力 • https://learn.microsoft.com/powershell/module/grouppolicy/getgpresultantsetofpolicy
PowerShell でポリシーの適用を管理 • GroupPolicy Module
コマンドラインツール等 • ドメインコントローラ(DC)の正常性の確認方法について • https://jpwinsup.github.io/blog/2023/03/30/ActiveDirectory/ PromotionAndDemotion/domain-controller-health-check/ • dcdiag.exe • repadmin.exe
(例)Active Directory のオブジェクト
repadmin
まとめ • Active Directory に関連するツールについてお話 ししました • 運用 Tips、監視の勘所などは、また機会があれば …
アンケートにご協力 お願いいたします https://forms.office. com/r/rw5UkyRBGD
参考資料(自己学習用 – Microsoft Learn) • Active Directory Domain Services の基礎 • Microsoft Learn の中で、Active Directory に関して特に基礎的な内容のモ ジュールをピックアップしています • 概念から確認したい人向け • Azure で Azure IaaS Active Directory ドメイン コントローラーを デプロイして管理する • ドメインコントローラーを作成したことが無い人向け • PowerShell コマンドレットを使用して Active Directory Domain Servicesを管理する • Active Directory のトラブルシューティング