Active Directoryとは何ですか?
Active Directoryドメインサービスは、Microsoftのディレクトリサーバーです。これは、認証および承認のメカニズムと、他の関連サービスを展開できるフレームワーク(AD証明書サービス、ADフェデレーションサービスなど)を提供します。これは、あるLDAPオブジェクトを含む準拠のデータベース。最も一般的に使用されるオブジェクトは、ユーザー、コンピューター、およびグループです。これらのオブジェクトは、論理的またはビジネス上のニーズに応じて組織単位(OU)に編成できます。その後、グループポリシーオブジェクト(GPO)をOUにリンクして、組織全体のさまざまなユーザーまたはコンピューターの設定を一元化できます。
人々が「Active Directory」と言うとき、彼らは通常「Active Directoryドメインサービス」を指しています。証明書サービス、フェデレーションサービス、ライトウェイトディレクトリサービス、権利管理サービスなど、他のActive Directoryロール/製品があることに注意することが重要です。この回答は、特にActive Directoryドメインサービスに関するものです。
ドメインとは、フォレストとは何ですか?
フォレストはセキュリティの境界です。個別のフォレスト内のオブジェクトは、各個別のフォレストの管理者がそれらの間に信頼を作成しない限り、相互に対話できません。たとえば、のエンタープライズ管理者アカウントはdomain1.com、通常、フォレストの最も特権のあるアカウントでdomain2.comあり、信頼が確立されていない限り、同じLAN内にそれらのフォレストが存在する場合でも、という名前の2番目のフォレストにはアクセス許可がありません。
複数の独立したビジネスユニットがある場合、または個別のセキュリティ境界が必要な場合は、複数のフォレストが必要です。
ドメインは管理境界です。ドメインはフォレストの一部です。フォレストの最初のドメインは、フォレストルートドメインと呼ばれます。多くの中小組織(および大規模な組織も含む)では、1つのフォレスト内に1つのドメインしかありません。フォレストルートドメインは、フォレストの既定の名前空間を定義します。たとえば、新しいフォレストの最初のドメインの名前がのdomain1.com場合、それはフォレストルートドメインです。たとえば、シカゴの支社など、子ドメインのビジネスニーズがある場合は、子ドメインに名前を付けることができますchi。子ドメインのFQDNは次のようになりますchi.domain1.com。子ドメインの名前がフォレストルートドメインの名前の先頭に追加されたことがわかります。通常、これがどのように機能するかです。同じフォレスト内で互いに独立した名前空間を持つことができますが、それは異なる時間のワームの完全に別個の缶です。
ほとんどの場合、単一のADドメインを持つためにあらゆることを試してみてください。管理が簡素化され、ADの最新バージョンでは、OUに基づいた制御の委任が非常に簡単になり、子ドメインの必要性が少なくなります。
ドメインには好きな名前を付けることができますよね?
あんまり。dcpromo.exe、サーバーのDCへの昇格を処理するツールはばかではありません。ネーミングに関して誤った決定を下す可能性があるため、不明な場合はこのセクションに注意してください。(編集:dcpromoは Server 2012では非推奨です。PowerShellInstall-ADDSForestコマンドレットを使用するか、サーバーマネージャーからAD DSをインストールします。)
まず、.local、.lan、.corp、またはその他のがらくたのような構成されたTLDを使用しないでください。これらのTLDは予約されていません。ICANNは現在TLDを販売mycompany.corpしているので、今日使用しているあなたのTLD は実際には明日誰かに属している可能性があります。あなたが所有している場合mycompany.comは、実行するスマートなことのようなものを使用されinternal.mycompany.comたりad.mycompany.com、あなたの内部のAD名を。mycompany.com外部で解決可能なWebサイトとして使用する場合、スプリットブレインDNSになってしまうため、内部AD名としても使用しないでください。
ドメインコントローラーとグローバルカタログ
認証または承認の要求に応答するサーバーは、ドメインコントローラー(DC)です。ほとんどの場合、ドメインコントローラーはグローバルカタログのコピーを保持します。グローバルカタログ(GC)は、フォレスト内のすべてのドメイン内のオブジェクトの部分的なセットです。直接検索可能であるため、通常、ターゲットドメインのDCへの参照を必要とせずに、GCでクロスドメインクエリを実行できます。DCがポート3268(SSLを使用している場合は3269)で照会された場合、GCが照会されています。ポート389(SSLを使用している場合は636)が照会されると、標準のLDAPクエリが使用され、他のドメインに存在するオブジェクトにはreferralが必要になる場合があります。
ユーザーがAD資格情報を使用してADに参加しているコンピューターにログインしようとすると、ソルトおよびハッシュされたユーザー名とパスワードの組み合わせが、ログインしているユーザーアカウントとコンピューターアカウントの両方のDCに送信されます。コンピューターもログインします。これは重要です。ADのコンピューターアカウントに何かが発生した場合(誰かがアカウントをリセットまたは削除した場合など)、コンピューターとドメインの間に信頼関係が存在しないというエラーが表示される可能性があるためです。ネットワーク資格情報は問題ありませんが、コンピューターはドメインへのログインを信頼されなくなりました。
ドメインコントローラの可用性に関する懸念
「プライマリドメインコントローラー(PDC)があり、バックアップドメインコントローラー(BDC)をインストールしたい」と頻繁に耳にします。PDCおよびBDCの概念は、Windows NT4で消滅しました。PDCの最後の要塞は、まだNT4 DCが存在していたWindows 2000の過渡的な混合モードADでした。基本的に、アップグレードされたことのない15年以上前のインストールをサポートしていない限り、実際にはPDCまたはBDCはなく、2つのドメインコントローラーしかありません。
複数のDCは、異なるユーザーとコンピューターからの認証要求に同時に応答できます。1つが失敗した場合、他のユーザーは、NT4でやらなければならなかったような1つの「プライマリ」を作成することなく、認証サービスを提供し続けます。ドメインごとに少なくとも 2つのDC を持つことがベストプラクティスです。これらのDCは両方ともGCのコピーを保持し、ドメインのActive Directory統合DNSゾーンのコピーも保持するDNSサーバーである必要があります。
FSMOの役割
「だから、PDCがない場合、単一のDCだけが持つことができるPDCの役割があるのはなぜですか?」
これはよく耳にします。あるPDCエミュレータの役割は。PDCであることとは異なります。実際、5つのフレキシブルシングルマスターオペレーションロール(FSMO)があります。これらは、操作マスターの役割とも呼ばれます。2つの用語は交換可能です。彼らは何であり、何をしますか?良い質問!5つの役割とその機能は次のとおりです。
ドメイン名前付けマスター -フォレストごとに1つのドメイン名前付けマスターのみがあります。ドメイン名前付けマスターは、新しいドメインがフォレストに追加されたときに一意であることを確認します。この役割を保持するサーバーがオフラインの場合、新しい子ドメインの追加などを含むAD名前空間を変更できません。
スキーママスタ -フォレストにはスキーマ操作マスタが1つしかありません。Active Directoryスキーマの更新を担当します。DCとして機能するWindows Serverの新しいバージョンやExchangeのインストール用にADを準備するなど、これを必要とするタスクには、スキーマの変更が必要です。これらの変更は、スキーママスターから行う必要があります。
インフラストラクチャマスタ -ドメインごとに1つのインフラストラクチャマスタがあります。フォレストにドメインが1つしかない場合は、実際に心配する必要はありません。複数のフォレストがある場合、フォレスト内のすべてのDCがGCでない限り、この役割がGCホルダーでもあるサーバーによって保持されていないことを確認する必要があります。インフラストラクチャマスターは、クロスドメイン参照が適切に処理されるようにする責任があります。あるドメインのユーザーが別のドメインのグループに追加された場合、問題のドメインのインフラストラクチャマスターは、それが適切に処理されることを確認します。このロールは、グローバルカタログ上にある場合、正しく機能しません。
RIDマスター -相対IDマスター(RIDマスター)は、DCにRIDプールを発行する役割を果たします。ドメインごとに1つのRIDマスターがあります。ADドメイン内のオブジェクトには、一意のセキュリティ識別子(SID)があります。これは、ドメイン識別子と相対識別子の組み合わせで構成されています。特定のドメイン内のすべてのオブジェクトは同じドメイン識別子を持っているため、相対識別子がオブジェクトを一意にします。各DCには使用する相対IDのプールがあるため、そのDCは新しいオブジェクトを作成するときに、まだ使用していないRIDを追加します。DCは重複しないプールとして発行されるため、各RIDはドメインの存続期間中一意である必要があります。DCがそのプールに〜100個のRIDを残すと、RIDマスターに新しいプールを要求します。RIDマスターが長期間オフラインの場合、オブジェクトの作成が失敗する場合があります。
PDCエミュレーター -最後に、それらすべての最も広く誤解されている役割、PDCエミュレーターの役割に到達します。ドメインごとに1つのPDCエミュレーターがあります。認証に失敗した場合、PDCエミュレーターに転送されます。1つのDCでパスワードが更新され、まだ他のDCに複製されていない場合、PDCエミュレーターは「タイブレーカー」として機能します。PDCエミュレーターは、ドメイン全体の時刻同期を制御するサーバーでもあります。他のすべてのDCは、PDCエミュレーターから時刻を同期します。すべてのクライアントは、ログインしたDCから時刻を同期します。すべてが互いに5分以内にとどまることが重要です。そうしないと、Kerberosが破損し、それが起こると全員が泣きます。
覚えておくべき重要なことは、これらのロールが実行されるサーバーが明確に設定されていないことです。通常、これらの役割を移動するのは簡単です。そのため、一部のDCは他のDCよりもわずかに多くの処理を行いますが、短時間停止すると、すべてが通常どおり機能します。長期間停止している場合は、役割を透過的に転送するのは簡単です。NT4 PDC / BDCの時代よりもずっといいので、古い名前でDCを呼び出すのをやめてください。:)
それで、ええと... DCは互いに独立して機能できる場合、どのように情報を共有しますか?
もちろん複製。既定では、同じサイト内の同じドメインに属するDCは、15秒間隔でデータを相互に複製します。これにより、すべてが比較的最新であることを確認できます。
即時複製をトリガーする「緊急」イベントがいくつかあります。これらのイベントは次のとおりです。ログインの失敗が多すぎるためにアカウントがロックアウトされる、ドメインパスワードまたはロックアウトポリシーが変更される、LSAシークレットが変更される、DCのコンピューターアカウントでパスワードが変更される、またはRIDマスターの役割が転送される新しいDCに。これらのイベントはいずれも、即時の複製イベントをトリガーします。
パスワードの変更は、緊急と非緊急の間にあり、一意に処理されます。ユーザーのパスワードが変更されDC01、DC02レプリケーションが発生する前にユーザーが認証中のコンピューターにログインしようとすると、これは失敗するはずですよね?幸いなことにそれは起こりません。ここにDC03はPDCエミュレーターの役割を保持する3番目のDCもあると仮定します。ときにDC01、ユーザーの新しいパスワードで更新され、その変更はすぐに複製されDC03また。認証の試行がDC02失敗すると、DC02その認証の試行をに転送します。DC03これにより、それが実際に適切であり、ログオンが許可されていることが検証されます。
DNSについて話しましょう
DNSは、適切に機能するADにとって重要です。公式のMicrosoftパーティーラインでは、適切に設定されていれば、どのDNSサーバーでも使用できます。BINDを使用してADゾーンをホストしようとすると、あなたは高くなります。真剣に。AD統合DNSゾーンの使用に固執し、必要に応じて他のゾーンに条件付きまたはグローバルフォワーダーを使用します。クライアントはすべてAD DNSサーバーを使用するように構成する必要があるため、ここで冗長性を確保することが重要です。2つのDCがある場合は、両方でDNSを実行し、名前解決に両方を使用するようにクライアントを構成します。
また、複数のDCがある場合、DNS解決のために最初にリストされないことを確認する必要があります。これにより、ADレプリケーショントポロジの残りの部分から切断され、回復できない「レプリケーションアイランド」にいる状況が発生する可能性があります。2台のサーバーDC01 - 10.1.1.1とDC02 - 10.1.1.2がある場合、DNSサーバーリストは次のように構成する必要があります。
サーバー:DC01(10.1.1.1)
プライマリDNS-10.1.1.2
セカンダリDNS-127.0.0.1
サーバー:DC02(10.1.1.2)
プライマリDNS-10.1.1.1
セカンダリDNS-127.0.0.1
OK、これは複雑に思えます。なぜADを使用したいのですか?
何をしているのかがわかれば、あなたの人生は無限に良くなるからです。ADを使用すると、ユーザーとコンピューターの管理を一元化でき、リソースへのアクセスと使用を一元化できます。オフィスに50人のユーザーがいる状況を想像してください。各ユーザーに各コンピューターへの独自のログインを許可する場合は、各PCで50個のローカルユーザーアカウントを構成する必要があります。ADでは、ユーザーアカウントを1回作成するだけで、デフォルトでドメイン上の任意のPCにログインできます。セキュリティを強化したい場合、50回行う必要があります。悪夢のようなものですよね?また、それらのユーザーの半分だけがアクセスできるようにするファイル共有があるとします。ADを使用していない場合は、サーバー上でユーザー名とパスワードを手作業で複製して、見かけのないアクセスを許可するか、d共有アカウントを作成し、各ユーザーにユーザー名とパスワードを与える必要があります。1つの方法は、ユーザーのパスワードを知っている(常に更新する必要がある)ことを意味します。もう1つの方法は、監査証跡がないことを意味します。良くないですよね?
ADがセットアップされている場合、グループポリシーを使用することもできます。グループポリシーは、OUにリンクされているオブジェクトのセットであり、OU内のユーザーやコンピューターの設定を定義するOUにリンクされています。たとえば、500台のラボPCの[スタート]メニューに[シャットダウン]が表示されないようにする場合は、グループポリシーの1つの設定で行うことができます。手作業で適切なレジストリエントリを構成するために数時間または数日を費やす代わりに、グループポリシーオブジェクトを1回作成し、それを正しいOUにリンクするだけで、再度考える必要はありません。構成できるGPOは数百あり、グループポリシーの柔軟性は、Microsoftがエンタープライズ市場で非常に支配的である主な理由の1つです。