今さら聞けない!Active Directoryドメインサービス入門
5 likes9,545 views
2017年7月10日グローバルナレッジネットワークセミナー「今さら聞けない!Active Directoryドメインサービス入門」資料
今さら聞けない!Active Directoryドメインサービス入門
- 2. アジェンダ 1. Active Directoryドメインサービスとは 2. Active Directoryドメインサービスの基本構造 3. Active Directoryドメインサービスの構築 1
- 3. Active Directoryドメインサービスとは いわゆる「Active Directory」 各種情報の一元管理 = ディレクトリ サービス 情報の格納と検索…LDAP 認証…Kerberos グループポリシー…実はActive Directoryではない Active Directoryでない環境(ワークグループ) コンピューターごとに固有のユーザー/グループを登録 データはSAMデータベースに保存…実体はレジストリ (Security Account Manager) SAM User A User B Yamada Yamada SAM User A User B × 2 コンピューターごとにユーザー登録
- 5. Active Directoryドメインサービスとは: ディレクトリデータベース Active Directory環境(ドメイン) サーバー上に共通のユーザー/グループを登録 データはActive Directoryデータベースに保存(NTDS.dit) データベースを保持するサーバー →ドメインコントローラー(ドメインサーバー) 4 NTDS User A User B Yamada Yamada ドメイン コントローラー
- 7. Active Directoryドメインサービスとは: 最近の主な新機能 Windows Server 2012の主な新機能 Active Directoryドメインサービス役割の追加 (ウィザードなどの変更) 仮想マシン上のドメインコントローラのサポート PowerShellのActive Directory関連コマンドレット追加 ダイナミック アクセス制御 Windows Server 2016の主な新機能 Azure ADサポートの強化 Microsoft Windows Helloのサポート (Microsoft Passport ) 6
- 8. Active Directoryドメインサービスとは: 最近廃止された主な機能 Windows Server 2003機能レベル 新規に機能レベルを設定できない 既存の機能レベルには接続可能 早いうちになるべく大きな値に昇格すること (Windows Server 2012以上はあまり変わらない) FRS(ファイル複製サービス) 2008以前に、2003以下の機能レベルで作った場合 Windows Server 2016でも動作 早いうちにDFSへ移行すること https://blogs.technet.microsoft.com/jpntsblog/200 9/12/04/frs-dfsr-sysvol/ 7 やること: FRSからDFSに移行する やること: 機能レベルを上げる
- 10. Active Directoryドメインサービスの基本構造: ドメイン階層 Active Directory ドメインの論理構造 DNSを利用 ドメイン ツリー フォレスト ルート jp trainocate corp sales フォレスト ツリー ツリー ドメイン 9
- 11. Active Directoryドメインサービスの基本構造: ドメイン名 DNSを利用 インターネット接続不要 推奨: インターネットドメイン名のサブドメイン 例: corp.trainocate.jp 非推奨: 独自トップレベルドメイン 例: trainocate.internal 注意 .localはマルチキャストDNSで使用(RFC6762) MacintoshがマルチキャストDNSを使用 10 インターネットドメイン名サブドメイン 独自トップレベルドメイン ドメイン名変更は面倒で高リスク → 間違えるとフォレスト破壊
- 12. Active Directoryドメインサービスの基本構造: 論理構造と物理構造 論理構造 ドメイン コンテナ 組織単位(OU) - 管理上の単位 - グループポリシーなど 物理構造 ドメインコントローラー サイト - ネットワークの単位 - 複製の最適化 - ログオンの最適化 営業 東京 大阪 サイト サイト 11 「LAN環境 = サイト」が一般的 サイトを設定しなくても運用は可能
- 13. Active Directoryドメインサービスの構築: 構築の手順 Active Directoryドメインサービスの構築 →ドメインコントローラーの構築(昇格) 構築の手順 1. Active Directoryドメインサービス役割の追加 - サーバーマネージャー - PowerShell コマンドレット Install-WindowsFeature –name AD-Domain-Services 2. Active Directoryドメインサービス構成ウィザード - 詳細インストールオプションの廃止(2012から) - PowerShell コマンドレット 12
- 14. Active Directoryドメインサービスの構築: 構築ツール 無人インストール PowerShellコマンドレットでオプションを指定 構成ウィザードの出力も同様 応答ファイルを使った無人インストールも可能 DCPROMO.exe コマンドの廃止 対話的操作は不可 サーバーマネージャまたはPowerShellで昇格 無人インストールは可能(互換性のため) 13
- 15. Active Directoryドメインサービスの構築: DCの配置 ドメインコントローラーの配置場所 新規フォレストの新規ドメインの1台目DC 既存ドメインの追加DC 既存フォレストに追加した子ドメインの1台目DC PowerShell コマンドレット 新規フォレスト: Install-ADDSForest コマンドレット 新規ドメイン: Install-ADDSDomain コマンドレット 追加DC: Install-ADDSDomainControllerコマンドレット 14
- 16. Active Directoryドメインサービスの構築: 機能レベル 機能レベル 旧DCとの互換性維持→Active Directoryの新機能を制限 フォレストの機能レベル ≦ ドメインの機能レベル ドメイン作成時に指定するか、作成後に上げる →原則として下げることはできない 15 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 この辺になると ほとんど違いがない (少しは違う)
- 17. Active Directoryドメインサービスの構築:ドメイン機能レベル ドメインの機能レベル ドメインコントローラーのOSバージョンを制限 ドメインコントローラーのOS ≧ ドメインの機能レベル 16 ドメイン コントローラ ドメイン 機能レベル Windows Server 2003 2008 2008R2 2012 2012R2 2016 Windows Server 2003 ○ ○ ○ ○ ○ ○ Windows Server 2008 ○ ○ ○ ○ ○ Windows Server 2008 R2 ○ ○ ○ ○ Windows Server 2012 ○ ○ ○ Windows Server 2012 R2 ○ ○ Windows Server 2016 ○ たいていの場合、機能レベルは可能な限り上げればよい
- 18. Active Directoryドメインサービスの構築: フォレスト機能レベル フォレストの機能レベル ドメインの機能レベルを制限 ドメインの機能レベル ≧ フォレストの機能レベル 17 ドメイン 機能レベル フォレスト 機能レベル Windows Server 2003 2008 2008R2 2012 2012R2 2016 Windows Server 2003 ○ ○ ○ ○ ○ ○ Windows Server 2008 ○ ○ ○ ○ ○ Windows Server 2008 R2 ○ ○ ○ ○ Windows Server 2012 ○ ○ ○ Windows Server 2012 R2 ○ ○ Windows Server 2016 ○ たいていの場合、機能レベルは可能な限り上げればよい
- 20. Active Directoryドメインサービスの構築: マルチマスター複製 読み書き可能なドメインコントローラー(RWDC) 相互複製(マルチマスターレプリケーション) どのDCが破損しても機能障害にならない 衝突を避ける仕組み 属性単位の複製 同一サイト内では変更をトリガーに複製(15秒待機) 衝突の自動解消 属性の衝突 1. バージョン(変更回数) 2. 更新時刻 3. GUID コンテナ削除とオブジェクト作成…LostAndFound移動 同一名オブジェクトの同時作成…一方が名前変更 19 LostAndFound
- 22. Active Directoryドメインサービスの構築: DCの停止 ドメインコントローラーの停止 ディレクトリサービス復元モードで起動 - ユーザー名: Administrator - パスワード: ディレクトリサービス復元モード用 - バックアップからのデーターベースのリストアなど 再起動可能なドメインコントローラー Active Directoryドメインサービスの停止 NET STOP NTDS - データベースファイルのメンテナンス・移動など 21 サーバーの再起動なしにデータベース保守が可能 DEMO
- 23. Active Directoryドメインサービスの構築: フォルダーの場所 データベース…Active Directoryデータベース C:¥Windows¥NTDS ログ…障害から回復するために使用 C:¥Windows¥NTDS SYSVOL…グループポリシーで使用するファイル C:¥Windows¥SYSVOL 22 データベースとログの移動はNTDSUTILツールを利用 Active Directoryデータベースのあるディスク装置は キャッシュが無効化されるので、専用ディスクに配置
- 24. Active Directoryドメインサービスの構築: アカウント作成 ユーザー…原則として管理者が作成 3種類の名前 - 識別名(DN: Distinguished Name) - 表示名 - ログオン名(SAMアカウント名およびUPN) パスワード…既定では複雑なパスワード - 英大文字、英小文字、数字、記号から3種類以上 - ユーザー名を含まない コンピューター…ドメイン参加時に自動生成 4種類の名前 - 識別名(DN) - 表示名 - DNS名 - NetBIOS名 23 DEMO
- 25. まとめ 1. Active Directoryドメインサービスとは 情報(オブジェクト)の一元管理 2. Active Directoryドメインサービスの基本構造 ドメイン、ドメインツリー、フォレスト コンテナ、OU ドメインコントローラー、サイト 3. Active Directoryドメインサービスの構築 ウィザード、PowerShell コマンドレット 機能レベル グローバルカタログサーバー マルチマスター複製とRODC フォルダーの場所 アカウント管理 24
- 26. グローバルナレッジネットワークのサービス紹介 Active Directory関連のコース Active Directory最小構成実践 Windows Server 2012 Active Directoryの実装と管理 Windows Server 2012関連のコース Windows Server 2012システム管理基礎(前編) Windows Server 2012システム管理基礎(後編) Windows 環境マイグレーション実践 マイクロソフト認定コース(MSU) Windows Server 2012のインストールおよび構成(#23410) Windows Server 2012の管理(#23411) 高度なWindows Server 2012サービスの構成(#23412) 25