Active Directory Domain Services の基礎
>100 Views
May 24, 24
スライド概要
Active Directory 勉強会 #2 (2024-05-24) の登壇資料です。
Active Directory Domain Services の基礎的な概念について解説しています。初学者向けです。
インフラエンジニア
関連スライド
各ページのテキスト
Active Directory Domain Services の基礎 Active Directory 勉強会 #2 2024-05-24 Kazuki Takai
自己紹介 • たかい (Kazuki Takai) // X(旧 Twitter)@zhuky7 • 会社員 (某ISP勤務) • サービス基盤開発、技術開発、ライセンス関連 • 普段は Windows Server / Microsoft 製品だけでなく、Linux や VMware、OSS のインフラ系ソフトウェアなど幅広く • ユーザーオブジェクトよりコンピューターオブジェクトのほうが多いような環境 • wSCUGJ (Windows Server & System Center User Group Japan) • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Microsoft Azure / Cloud and Datacenter Management
お話しすること • Active Directory Domain Services の基本 • Active Directory Domain Services とは? • 基本的な概念、用語 • ツール
お話ししないこと • Active Directory Domain Services の運用 • バックアップとリカバリー • パフォーマンスチューニング • 監視の設計と実装 • 運用設計や運用タスクとその実装
今日はお話ししませんが… • 以下 Topic は、直近の SCUGJ 勉強会でお話ししています • Windows Server 最新情報 • Windows Server 2025 の新機能紹介(2023年12月時点) • Windows Server 2025 Active Directory の新機能 • 以下 Topic は、前回の Active Directory 勉強会でお話し しています • Active Directory 構築面でのお話
Notice • 本セッションで説明する内容は、 個人の見解です • 間違っている、古い情報があれば ぜひ教えてください
今日お伝えしたいこと • Simple is the best. • Active Directory は(作るだけ、使うだ けなら)そんなに難しくない • Active Directory はセキュリティの要 • Active Directory で重要なのは運用
勉強会中アンケート https://forms.office.com/r/fnpTF3kNZL • 立場 • 経験歴
Active Directory
Active Directory Services • Active Directory Domain Services • Active Directory Lightweight Directory Services • Active Directory Certificate Services • Active Directory Rights Management Services • Active Directory Federation Services
サーバーマネージャー
役割と機能の追加(ウィザード)
役割と機能の追加(ウィザード)
役割と機能の追加(ウィザード)
サーバーの役割(Server Role)
サーバーの役割 – Active Directory
サーバーの役割と機能(PowerShell)
Active Directory Services • Windows Server で利用可能な 5 つの役割サービス • Active Directory Domain Services(AD DS) • Active Directory Lightweight Directory Services (AD LDS) • Active Directory Certificate Services (AD CS) • Active Directory Rights Management Services (AD RMS) • Active Directory (AD FS) ※省略形で表記した場合、スペースが入らない場合もある
AD DS (Domain Services) • Windows Server で利用可能な(Windows 環境で広く 利用されている)ディレクトリサービス • Active Directory ドメインを構成 • 組織内(ドメイン内)のリソースを一元管理 • ユーザー、コンピューター、プリンター、アプリケーション等 • 認証、アクセスコントロール、オブジェクトの管理、ポ リシーの管理と適用(配布)等の機能を提供 • サービスを提供するサーバー = ドメインコントローラー
AD LDS (Lightweight Directory Services) • シンプルなディレクトリサービス • Active Directory ドメインや、ドメインコントローラー、AD DS 固有の管理機構(グループポリシー等)が無い • アプリケーション向けのディレクトリサービス • 独立したデータベース、ディレクトリツリー • (AD DS から)独立したデータベースやディレクトリツリーを 使用してデータを保存 • 単一サーバー上でのマルチインスタンスが可能 • インスタンス名、サービスポート番号の指定が可能
(余談)ADAM • ADAM – Active Directory Application Mode • (ざっくり言うと)AD LDS の昔の名称 • 今でも、各所に名残が…
(余談)AD LDS の構成
(余談)AD LDS の構成
(余談)AD LDS の構成
(余談)AD LDS の構成
(余談)AD LDS の構成
AD CS (Certificate Services) • 公開鍵基盤(PKI)を提供 • プライベート認証局(Certificate Authority)を構成 • 証明書の発行と管理が可能 • 2種類の構成 • スタンドアロン CA • AD DS とは切り離されて(独立して)動作し、一般的な CA の機能を提供 • オフライン構成が可能 • エンタープライズ CA • AD DS と連携して動作し、証明書の自動配布等が可能 • 構成パーティションにデータを保持 • cf. Cloud PKI(Intune Suite)– クラウドベースの PKI
AD RMS (Rights Management Services) • Information Rights Management (IRM) の機能を提供 • 電子メールやドキュメントへのアクセス(参照)、編集を制限 • 特定の電子メールやドキュメントを暗号化 • オペレーション(印刷、コピー、転送等)の制限 • Core CAL 以外に RMS CAL が必要 • サービスを利用するユーザー又はデバイスごと • EMS E3/E5, Microsoft 365 E3/E5/F1/F3 の有効なライセンス がアサインされているユーザーは、CAL 不要 • cf. Microsoft Purview Information Protection
AD RMS
AD FS (Federation Services) • ID とアクセス管理のフェデレーションを実現 • Active Directory ドメイン境界や、ネットワークの境界を越え た ID 連携 • OpenID Connect, OAuth, SAML 等を用いて、組織外のリソー スプロバイダーに対して認証情報(認証結果)を提供したり、 組織外で認証されたユーザーに対して組織のリソースへのアク セス制御を実施 • ID データベースとしては AD DS を利用
AD FS (Federation Services) • AD FS はクローズしていく方向 • Microsoft Entra ID 及び関連サービスを組み合わせて利用
AD FS (Federation Services) ID インフラストラクチャのモダン化 より引用
IdP と RP • IdP (Identity Provider) • ユーザーの認証とトークンの発行を行うプロバイダー • ユーザーの認証結果と追加情報(属性)を返す • RP (Relying Party) • 外部の IdP から提供される ID 情報を利用する立場 • IdP から発行されたトークンを利用し、その内容に応じてアク セスコントロールを実施
IdP と RP(例) • IdP (Identity Provider) • Google (Google アカウント) • Microsoft (Microsoft Account / 組織アカウント) • Apple (Apple ID) • X(Twitter) (X アカウント) • RP (Relying Party) • Connpass • Slide Share
AD Domain Services
(再掲)AD DS (Domain Services) • Windows Server で利用可能な(Windows 環境で広く 利用されている)ディレクトリサービス • Active Directory ドメインを構成 • 組織内(ドメイン内)のリソースを一元管理 • ユーザー、コンピューター、プリンター、アプリケーション等 • 認証、アクセスコントロール、オブジェクトの管理、ポ リシーの管理と適用(配布)等の機能を提供 • サービスを提供するサーバー = ドメインコントローラー
AD DS と Microsoft Entra ID • Active Directory Domain Services と Microsoft Entra ID(旧 Azure Active Directory – AAD)は同じもの? ユーザーの一元管理や認証、セキュリティ 境界を提供するが、提供する機能や認証方 式は完全に別
AD DS は何ができる?何をしてくれる? • 組織内のユーザーの一元的な管理 ユーザーの一元的な管理 • ユーザーアカウントの管理 • 組織内の PC やサーバー、プリンターの管理 • コンピューターアカウント(等)の管理 • 組織内のアカウントの認証 アカウントの認証 • 組織内のアカウントに対する設定の適用 アカウントに対する設定の適用 • 組織内のアカウントに対するポリシーの適用・強制 アカウントに対するポリシーの適用・強制 • リソースに対するアクセス認可
AD DS のセキュリティ境界 • AD DS は組織の中で以下を提供 • ID 管理と 認証 • リソース管理 • アクセス制御 • 設定とその他のポリシーの管理、適用(強制) • 管理対象 • 組織 = 内部ネットワークで接続されている範囲 • AD DS における内部と外部を分ける境界 = ドメイン • 場合によってはフォレスト • cf. Microsoft Entra ID テナント
Active Directory ドメイン • AD DS における(狭い意味での)セキュリティ境界 • ネットワーク上でリソースを一元管理し、アクセスコン トロールを行う単位 • 一つの大きなポリシーに則って管理運用される単位 • FQDN で表される • 親子関係を持つことが可能(ドメインツリー) • ドメインの管理は、ドメインコントローラー(AD DS の 役割が構成されたサーバー)が中心的な役割を果たす
Active Directory フォレスト • AD DS におけるセキュリティ境界 • 一つ以上のドメインで構成 • フォレスト内のドメイン間は、自動的に信頼される • 双方向の推移的な信頼関係 • ディレクトリのスキーマやグローバル カタログを共有
「信頼する」とは? • 信頼する = 信頼した相手が認証したものを受け入れる • 「お店」が「クレジットカード(国際ブランド)」を信頼す る • 「お店」自身は、お客さん(Aさん)のことを知らない • 「クレジットカード(国際ブランド)会社」は、A さんが誰かを認識 し、身元の保証(とある一定の権限)を与えている • 発行されたクレジットカードを持っている A さんは、「お店」の人 とは初対面でも、クレジットカードを使ってサービスの提供を受ける ことができる
「信頼する」とは? • ドメイン A が ドメイン B を信頼する • ドメイン B で認証されたアカウントは、ドメイン A のリ ソースへアクセスできる • 「信頼」は双方向である場合も片方向である場合もある 信頼 アクセス可能
Active Directory ドメインとフォレスト • シングルフォレスト シングルドメイン 構成 • 最もシンプルな構成(推奨) • フォレストもドメインも一つのみ • シングルフォレスト マルチドメイン 構成 • フォレストは一つだがドメインが複数存在 • レプリケーション範囲(データ)のコントロール • マルチフォレスト マルチドメイン 構成 • フォレストが複数存在し、それぞれのフォレストに一つ以上ドメイン が存在する • 境界分離
フォレストの構成例 図は フォレストの設計モデル より引用 ※あくまで例であり、必要が無ければシングルフォレスト シングルドメイン環境で問題ない 組織フォレスト モデル リソースフォレスト モデル 制限付きアクセスフォレスト モデル
信頼の推移性 • 信頼関係には推移性がある場合と無い場合がある • 推移性がある • 信頼している人が信頼している人は信頼できる! • 自分が信頼した相手が何かを信頼している場合、自分もその相手を 信頼する • 推移性が無い • 信頼している人は自分が明示的に信頼した人だけ! • 自分が信頼した相手が何かを信頼していても、自分には影響しない
信頼の種類 図は Active Directory におけるフォレストの信頼関係のしくみ より引用 • 外部信頼(External Trust) • (異なるフォレストの)ドメイン間で結ぶ信頼 • 信頼を結んだドメイン間でアクセスが可能 • 推移性なし • フォレスト信頼(Forest Trust) • フォレストレベルで信頼を確立 • (異なるフォレストの)フォレストルートドメイン間で結ぶことが可能 • 信頼関係を結んだ2つのフォレストに属するドメインの間で推移性がある • 複数のフォレスト信頼間での推移性はない
信頼の種類 • ショートカットの信頼(Shortcut Trust) • 既に推移的な信頼関係が存在するが、ホップ数が多い場合に経路 を短縮(ショートカット)する目的で結ぶ信頼 • 推移性なし • 領域信頼(Realm Trust) • Active Directory ではない Kerberos レルムとの間で結ぶ信頼
異なるフォレストのリソースへのアクセス • User1(europe.tailspintoys.com ドメイン)が FileServer1 (usa.wingtiptoys.com ドメイン)のファイルサービスへアクセスする場合 Active Directory におけるフォレストの信頼関係のしくみ より引用
Active Directory のトポロジー • 物理的(地理的・ネットワーク的)な構成を反映したもの • サイト • (もともとは)地理的なロケーションを表す概念 • IP アドレス範囲(サブネット)の集合 • サイトリンク • サイト間のネットワークを表す概念 • トランスポートは IP 又は SMTP(通常は IP リンク) • サイト間の通信コストや、レプリケーション間隔を設定可能
Active Directory サイトとサイトリンク DC03 DC04 IP コスト : 100 同期間隔 : 180 (min) Osaka 10.11.0.0/16 192.168.11.0/24 DC01 DC02 Tokyo 10.10.0.0/16 192.168.10.0/24 192.168.0.0/22 Computer01 10.10.1.5
Active Directory サイトとサイトリンク • クライアント(コンピューター)のトラフィックを制御 • 原則、同じサイトのドメインコントローラーへ優先的にアクセス • 既定では、同じサイトにドメインコントローラーが存在しない場合、 サイトリンクのコストは考慮されない(設定で変更可能) • レプリケーションのトラフィックを制御 • レプリケーションの間隔を指定 • レプリケーションの効率的なルーティングに利用
Active Directory サイトとサイトリンク • 逆に言うと… • 内部ネットワークが十分高速で、トラフィックがどのドメインコン トローラー、どの経路を利用されても問題が無いのであれば、複数 のサイトを構成する必要はない • サイト設定を利用することで、あえてトラフィックを偏らせる(物 理的な配置に関係なく、意図したルーティングを行う)ことも可能 • 複数サイトを構成し、かつサイト間の帯域が十分に確保され ている場合、レプリケーション間隔は調整したほうが良い (より短くする)
Active Directory のデータ • 大きく、以下の 2 か所に保存される • ディレクトリ データベース(NTDS データベース) • SYSVOL • 上記以外に、DNS レコードとして DNS のゾーンデータベー ス / ゾーンファイルに保持される情報もある • ドメインコントローラー / サービスの場所を見つけるための SRV レコード等 • Active Directory 統合ゾーンで DNS サーバーを運用した場合、こ れらの情報もディレクトリ データベースの中に…
ディレクトリ データベース • Active Directory のデータを保存しているデータベース • データベースファイル(ntds.dit) • 規定では C:¥Windows¥NTDS 配下 • データベース内で、複数 のパーティションを保持
ディレクトリ データベース パーティション • スキーマ パーティション • Active Directory で取り扱うオブジェクトのスキーマ情報を保持 • フォレスト内の全てのドメインコントローラーにレプリケート • 構成パーティション • Active Directory の構成や設定に関する情報を保持 • フォレスト内の全てのドメインコントローラーにレプリケート • ドメイン パーティション • ドメインに関する情報を保持 • ドメイン内の全てのドメインコントローラーにレプリケート • アプリケーション パーティション(Optional) • (任意の)Active Directory にデータを保存したいアプリケーションが利用 • アプリケーションで必要な情報を保持 • フォレスト内の任意のドメインコントローラーにレプリケート
Active Directory のオブジェクト • ユーザー、コンピューター、グループ • 他にも様々なオブジェクトが存在 • オブジェクトは DN(Distinguished Name)により識別 • LDAP 識別名 • オブジェクトは OU というコンテナーに入れて階層化可能 • Organization Unit • OU の階層化も可能 • オブジェクトは、単一の OU にしか所属できない (ツリー構造として一意のパスを持つ)
Active Directory ユーザーとコンピューター
(例)Active Directory のオブジェクト
ビルトイン オブジェクト
SYSVOL • ファイル共有 • グループポリシー等ファイル形式のリソースを保管 • ポリシーファイル • 管理用テンプレート(のセントラルストア) • ログオン スクリプト • DFS-R を用いてレプリケーション • 既定では C:¥Windows¥SYSVOL • アクセスを行う際は ¥¥<Domain FQDN>¥SYSVOL
SYSVOL
Active Directory におけるレプリケーション • Active Directory はマルチマスター構成 • FSMO 以外の機能(オペレーション)は、どのドメインコントロー ラーでも変更を書き込み可能 • ディレクトリ データベースの(変更)内容と SYSVOL に配 置されたファイルは、他のドメインコントローラーへ複製さ れる • ディレクトリ データベースと SYSVOL でレプリケーション のタイミング・利用されるテクノロジーが異なる
(参考)repadmin
FSMO • Flexible Single Master Operation (FSMO) • 特定の役割(操作)はマルチマスターで実行できないため、 単一のドメインコントローラーで処理される • SPF となるため、注意が必要 • いざとなったら、強制的に別サーバへ移行させることも可能だが…
FSMO • スキーマ マスター • ディレクトリ データベースのスキーマ パーティションに対する変 更を実施できる唯一のドメインコントローラー • フォレスト内で単一 • ドメイン名前付けマスター • ディレクトリ データベースにドメインを追加又は削除できる唯一 のドメインコントローラー • フォレスト内で単一
FSMO • RID マスター • RID プールの管理と割り当てを行うドメインコントローラー • SID の重複を防ぐ • ドメイン内で単一 • SID = Domain SID + RID • Domain SID はドメインごとに一意 • RID はドメインコントローラごとにプールを持ち、必要に応じてそこか らアサイン • RID のプールが足りなくなったら、RID マスターへ新しいプールを要求
FSMO • PDC エミュレーター • 時刻同期のソースとなる • パスワードの更新通知を優先的に受け取る • クライアントからの認証に失敗した際、要求が PDC エミュレーターに転 送されて処理される • アカウントのロックアウトを処理する • ドメイン内で単一 • インフラストラクチャー マスター • ドメイン内のオブジェクトから他のドメイン内のオブジェクトへの参照を 更新 • ごみ箱 機能が有効化されている場合は、ほぼ役割が無い
Active Directory で利用されるプロトコル • Kerberos • DNS • LDAP • NTP • MS-RPC • DFS-R
ツール等 • Active Directory 管理センター • Active Directory ユーザーとコンピューター • Active Directory サイトとサービス • Active Directory ドメインと信頼関係 • PowerShell • 各種コマンドラインツール • ldp.exe
Microsoft Entra ID
(再掲)AD DS と Microsoft Entra ID • Active Directory Domain Services と Microsoft Entra ID(旧 Azure Active Directory – AAD)は同じもの? ユーザーの一元管理や認証、セキュリティ 境界を提供するが、提供する機能や認証方 式は完全に別
AD DS と Microsoft Entra ID • Active Directory Domain Services (ADDS) • Windows Server の役割(Windows Server 上に独自構築) • オンプレミス、内部ネットワークの認証、リソース管理 • Kerberos / NTLM による認証 • Microsoft Entra ID • • • • 旧 Azure Active Directory (Azure AD; AAD) Microsoft が提供するマネージドサービス(クラウドサービス) オンプレミス、クラウド等、あらゆる環境における認証、管理 Web ベースの認証・認可(OAuth / OpenID Connect ベース) • Microsoft Entra Domain Services • • • • 旧 Azure AD Domain Services (AADDS) Microsoft が提供するマネージドサービス(クラウドサービス) 主に、Azure 仮想ネットワークに接続されたサーバー等での認証、管理 Kerberos / NTML による認証
AD DS と Microsoft Entra ID AD DS Entra Domain Services Entra ID 自分で構築・管理 サービス利用 サービス利用 サービスの管理 自分 Microsoft Microsoft データの管理 自分 自分 自分 内部ネットワーク 内部ネットワーク 内部・インターネット オンプレミス・クラウド (社内ネットワーク相当) Azure 仮想ネットワーク (社内ネットワーク相当) クラウド (インターネット) データアクセス LDAP(S) LDAP(S) HTTP(S) 認証プロトコル Kerberos, NTLM Kerberos, NTLM OpenID Connect 経路上の NAT NG NG OK 管理 Group Policy Group Policy MDM (Intune) Domain Admins 利用可能 権限無し - Enterprise Admins 利用可能 権限無し - スキーマ拡張 できる できない - 利用形態 サービス提供範囲 デプロイ
AD DS と Microsoft Entra ID • オブジェクトの同期 Microsoft Entra Domain Services とは(Microsoft Learn)より引用
まとめ • Active Directory に関連する用語や概念について お話ししました • 各種コマンドやツールの使い方、運用 Tips、監視 の勘所などは、また機会があれば…
アンケートにご協力 お願いいたします https://forms.office. com/r/czFnmqwZAy
参考資料(自己学習用 – Microsoft Learn) • Active Directory Domain Services の基礎 • Microsoft Learn の中で、Active Directory に関して特に基礎的な内容のモ ジュールをピックアップしています • 概念から確認したい人向け • Azure で Azure IaaS Active Directory ドメイン コントローラーを デプロイして管理する • ドメインコントローラーを作成したことが無い人向け • PowerShell コマンドレットを使用して Active Directory Domain Servicesを管理する • Active Directory のトラブルシューティング
- https://learn.microsoft.com/ja-jp/collections/qz03bmqxn7o2j2?wt.mc_id=AZ-MVP-5002274&sharingId=AZ-MVP-5002274
- https://learn.microsoft.com/ja-jp/training/modules/deploy-manage-azure-iaas-active-directory-domain-controllers-azure/?wt.mc_id=AZ-MVP-5002274
- https://learn.microsoft.com/ja-jp/training/modules/manage-active-directory-domain-services-use-powershell-cmdlets/?wt.mc_id=AZ-MVP-5002274
- https://learn.microsoft.com/ja-jp/training/modules/troubleshoot-active-directory/?wt.mc_id=AZ-MVP-5002274