SlideShare a Scribd company logo

Ad設計

Naoki Abe, profile picture
Naoki Abe

Active Directory 設計基礎

Technology
1 of 51
Downloaded 205 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Most read
18
19
20
21
22
23
24
25
26
Most read
27
28
29
30
31
32
33
34
Most read
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
Active DirectoyDomain Serviceの設計
ドメインとは? ドメインに登録するアカウント ・ユーザーアカウント ・グループアカウント ・コンピュータアカウント ユーザーアカウント グループアカウント コンピュータ アカウント ドメインは、 アカウントを登録して、 管理する単位 ドメイン 1 つのドメインに、 何万個ものアカウントを登録可能 Active Directory データベース
フォレストとは? ドメイン フォレスト 1つ以上のドメインで構成 1番大きな管理範囲 フォレスト内は推移的信頼関係 によりシングルサインインが可能 1番大きな認証範囲
AD設計指針 シングルフォレスト シングルドメイン シングルフォレストの特徴 全体を管別ドメインのリソースを利用者が検索・利 用可能 ADの制御情報(スキーマ、構成)の共有 フォレスト理可能な管理者が存在する 要件似合わない場合 マルチフォレスト
マルチドメインの選択基準 大規模環境でADデータベースサイズや複製トラフィックを最適化したい 分散管理 法的規制 専用のFRDを使用すると、Enterprise Admins,SchemaAdminsなどのフォレストレベルのサービス管理者グループを、ユーザー アカウントから論理的に分離できる ドメインサービスの管理者とフォレストレベルのサービス管理者の役割を 分離できる FRDは通常、構造の変更やドメイン名の変更などに結びつく組織の変 更の影響を受けない FSMOの戦略的な配置 FRDには、エンドユーザー、グループ、コンピューターオブジェクトは含ま れない FRD
マルチドメインのトポロジー フォレスト FRD サブドメイン サブドメイン 全体を管理 Enterprise Adminsグループ ユーザーは登録しない FRD(Forest Root Domain) 各ドメインの分散管理 Domain Adminsグループ サブドメイン FRD配下のサブドメインは、並列に配置する(階層を増やさない) 推移的認証のルートがすべてFRD経由となり1ドメインとなる
FRDのDNS設計 サブドメインのスタブソーンを作成する FRD配下のサブドメインは、委任ではなく、スタブゾーンを作成する スタブゾーンにすることにより、メンテナンスフリーとなる
スタブソーンの動作 west.contoso.com contoso.com north.contoso. com sales.north.contoso.com west.contoso.com のプライマリゾーン sales.north.contoso. comのスタブゾーン SOAsales.north.contoso.com NS dns.sales.north.contoso.com dnsA 192.168.1.100 sales.north.contoso.comの プライマリゾーン SOAsales.north.contoso.com NS dns.sales.north.contoso.com dnsA 192.168.1.100 file A 192.168.1.150 www A 192.168.1.160 ターゲット サーバー クエリ
スタブソーンの動作 相手のDNSサーバーを識別するために必要なレコードのみ(SOA、NS、 DNSサーバーのAレコード)をゾーン転送によりコピーする ルートサーバーを経由せずに、相手先のDNSサーバーにクエリを 送信できる
ADの機能レベルについて 機能レベルとは実現できる機能のレベル分け定義のことで、設定する機 能レベルによって、ドメイン内やフォレスト内で使用できる機能が異なる 機能レベルは自動的に上がらない 基本的に1度あげたら下げない
[補足]ドメインの機能レベル フォレストの機能レベル 有効な機能 WindowsServer2003 既定のActiveDirectoryの機能に加えて、以下の機能が有効 ・Netdomコマンドのサポート ・特定のサービスへのアクセスのみを許可することができる制約付き委任の構成 ・承認マネージャーによるADDSへの承認ポリシーの保存 WindowsServer2008 「WindowsServer2003」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効 ・SYSVOLに対するDFS-Rレプリケーション ・Kerberos認証におけるAES128およびAES256 ・細かい設定が可能なパスワードポリシー WindowsServer2008R2 「WindowsServer2008」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効 ・Kerberos認証におけるメカニズム認証 WindowsServer2012 「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効 ・ダイナミックアクセス制御とKerberos防御の制御 WindowsServer2012R2 「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効 ・ProtectedUsersグループ、および認証ポリシーとサイロによる認証セキュリティ
[補足]フォレストの機能レベル フォレストの機能レベル 有効な機能 WindowsServer2003 既定のActiveDirectoryの機能に加えて、以下の機能が有効 ・フォレストの信頼 ・ドメイン名の変更 ・WindowsServer2008以降の読み取り専用ドメインコントローラー (RODC)の展開 など(他にもあり) WindowsServer2008 追加機能はなし WindowsServer2008R2 フォレストの機能レベル「WindowsServer2008」の機能に加えて、以 下の機能が有効 ・ActiveDirectoryのごみ箱 WindowsServer2012 追加機能はなし WindowsServer2012R2 追加機能はなし
ドメイン機能レベル Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADDomainMode–DomainMode<機能レベル> -Identity <ドメイン名> Windows Server 2008 機能レベルをスタート地点として行き来できる フォレスト機能レベルと同等のレベルまで下げることが可能
フォレスト機能レベル Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADForestMode–ForestMode<機能レベル> -Identity <ドメイン名> Windows Server 2008 機能レベルをスタート地点として行き来できる ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能
ドメイン FSMO(操作マスター)とは FSMO:Flexible Single Master Operation フォレストルートドメイン(1台目のDC) マルチマスターレプリケーションの競合の課題を解決 ADにおける重要機能(シングルマスターレプリケーション) フォレスト スキーマ マスター ドメイン名前 付けマスター PDCエミュ レーター RIDマスター インフラストラ クチャマス ター
操作マスターの配置 既定では、 フォレストとドメインに、 最初にインストールした ドメインコントローラーが、 操作マスターの役割を持つ 1 ドメインにつき1 台 ・RIDマスター ・PDCエミュレーターマスター ・インフラストラクチャマスター DC DC DC DC 1 ドメインにつき1 台 ・RIDマスター ・PDCエミュレーターマスター ・インフラストラクチャマスター 1 フォレストにつき1 台 ・スキーママスター ・ドメイン名前付けマスター
FSMO(操作マスター)の用途 スキーママスター インフラストラクチャマスター フォレスト ドメイン名前付けマスター PDCエミュレーター RIDマスター ドメイン スキーマに対するすべての更新と変更 フォレスト内でのドメインの追加または削除、ドメインツリーの変更 ドメイン内の別のドメインコントローラーで変更されたパスワードの優先複製 時刻同期 グループポリシーのマスターコンピューター RID プールを、ドメインコントローラーに割り当てる グループメンバーのアカウント名の更新(外部参照オブジェクト) マルチドメイン構成においては、インフラストラクチャーマスターとGC を1 台で構成してはいけない
ドメインコントローラー •AD DSの役割を実行するサーバー •Active Directoryデータベース(ntds.dit)およびsysvolをホストする •ドメインコントローラー間でレプリケートする •Kerberosキー配布センター(KDC)認証 •ユーザーやコンピューターなどの認証を行う •ベストプラクティス •冗長性確保のため2台以上のDCが推奨される •ブランチサイトではセキュリティ確保のためRODCを提供
Active Directory データストア •AD DS のデーターベース •%systemroot%¥ntds¥ntds.dit •論理パーティション •スキーマ •属性やクラス •構成 •ドメイン、サービス、トポロジ •ドメイン •ユーザー、グループ、コンピューター •アプリケーション •DNS(AD統合モード) •Sysvol •%systemroot%¥sysvol •ログオンスクリプト •ポリシー アプリケーション ドメイン 構成 スキーマ ADDSデーターベース フォレスト 全体で共通 ドメインごと アプリケー ションごと
レプリケーション •レプリケーションとはDC間の情報交換のこと •マルチマスタレプリケーション •すべてのDC がマスタとなり、お互いにユーザー情報などをレプリケート •Sysvolの内容がレプリケートされる •FRSまたはDFSR •フォレスト内の異なるドメインのDC間でも制御情報をレプリケーション
SYSVOL •%systemroot%¥sysvol •以下のファイルを格納 •スクリプトファイル(ログオン、ログオフ、スタート、シャットダウン) •グループポリシーのファイル •グループポリシーテンプレート(GPT) •FRS(File Replication Service)またはDFSR(DFS Replication)を使 用して、同一ドメイン内のドメインコントローラー間で複製し合う •FRS は、従来のバージョンから使用しているサービス •DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス
SYSVOL フォルダーの複製サービス •Windows Server 2003 までは、 •File Replication サービス(FRS)のみ •Windows Server 2008 からは、 •FRS の他、DFS-Replicaiton(分散ファイルシステム)サービスも使用可能 SYSVOL フォルダー SYSVOL フォルダー FRS DFS-R または Windows 2012 R2 DC Windows 2012 R2 DC グループポリシーの 設定ファイル、ログオン スクリプトなどを格納 しているフォルダー 2 台目の Windows Server 2012 R2 DC を 追加
FRS とDFS-R サービス •FRS(File Replication Service)サービス •Active Directoryインストール時のドメイン機能レベルが 「Windows Server 2003」以下の場合、FRS を使用する •DFS-Replicaitonサービス •Active Directoryインストール時のドメイン機能レベルが 「Windows Server 2008」以上の場合、既定でDFS-R を使用する •ただし、Active Directoryインストール時のドメイン機能レベルが 「Windows Server 2003」で、後から「Windows Server 2008」以上に 上げた場合は、FRS からDFS-Replication への切り替え作業が必要(手 動) Windows Server 2012 R2 では、FRS の使用は非推奨となっている
SYSVOL のレプリケーションプロトコルの変更 •FRS からDFSR へ移行 •DFSR では差分のみを複製する為、 ネットワークの負荷が削減される •DFSR はJournal Wrap Error から自動復旧できる •Dfsrmigコマンドを使用 •機能レベルを「Windows Server 2008」以上に上げてから、 DfsrMig.exeを実行 dfsrmig.exe /CreateGlobalObjects dfsrmig.exe /GetGlobalState dfsrmig.exe /SetGlobalState1 dfsrmig.exe /GetGlobalState dfsrmig.exe /SetGlobalState2 dfsrmig.exe /GetGlobalState dfsrmig.exe /SetGlobalState3 dfsrmig.exe /GetGlobalStateコマンドを 実行することにより、各状態が正常に移行できた かを確認する FRS からDFSR への移行(SYSVOL) http://blogs.technet.com/b/jpntsblog/archive/2009/12/04/frs-dfsr-sysvol.aspx
サイト Tokyo Osaka Nagoya サイトは、Active Directory における論理的なネットワーク境界 物理ネットワークに合わせて構成する(通常は同一LAN で構成) サイトを構成すると、ログオントラフィックとレプリケーショントラフィックを最適化できる Default-First-Site-Name
AD DSサイトのモデル 単一サイトモデル すべてのコンピューターが1つの物理的な場所に存 在する 複数の物理的な場所が高速リンクで接続されてい る ドメインコントローラーが1つだけ存在する 複数サイトモデル 物理的な場所が複数存在する 場所間のリンクが低速で信頼性が低い 物理的な場所ごとに1つ以上のドメインコントロー ラーが存在する サイト設計モデルの選択がレプリケーションの動作に大きく影響する
サイト内レプリケーション 接続 オブジェクト 変更 発生 変更通知 15秒後 次は3秒後 変更通知 15秒後 変更通知 ほぼリアルタイムで、複製パートナーに通知する 3ホップ以内で伝達されるように、各DCのKCCにより接続オブジェクトが作成される (15分間隔でチェック) レプリケーションデータは、圧縮されない
サイトを構成する目的 レプリケーショントラフィックの制御 ログオントラフィックの封じ込め アプリケーション(DFS、Exchangeなど)
サイト間レプリケーション サイトリンク ブリッジヘッド サーバー ブリッジヘッド サーバー ブリッジヘッド サーバー レプリケーションデータは、圧縮される ログオントラフィックが最適化される レプリケーショントラフィックが最適化される(スケジューリング、間隔) ブリッジヘッドサーバーがサイト間のレプリケーションを行う サイト間トポロジジェネレータ(ISTG)が、ブリッジヘッドサーバーを指定する
レプリケーショントポロジの種類 リングトポロジ 特徴 物理的なネットワークトポロジがリング 型トポロジと似ている場合はリング型ト ポロジにする
レプリケーショントポロジの種類 ハブアンドスポークトポロジ 特徴 1つのサイトをハブに指定し、他のサイ トをスポークとしてハブに接続する 大規模なコンピューティングハブどうしを 接続する高速ネットワークと、各支社 を接続する低速リンクが混在している WAN
レプリケーショントポロジの種類 フルメッシュトポロジ 特徴 どのサイトも他のすべてのサイトに接続 する あるサイトのDC上で変化が生じると、 それ以外のサイトのすべてのサーバー に直接その変更がレプリケートされる 全て1ホップで複製 5つ以上のサイト構成には非推奨
レプリケーショントポロジの種類 複合トポロジ
レプリケーショントポロジのベストプラクティス 物理ネットワークに適したトポロジ作成 コスト値は物理ネットワークを参考に サイト間のコスト値が適切に割り当てられることで、最適なサイト間レプリ ケーショントポロジが算出される
サイトの構成手順 Default-First-Site-Name ネットワークの構成などに合 わせて、サイトを構成する 既定の状態 サイトを作成する サブネットを作成し、各サイトに関連付ける サイトリンクを作成し、結ぶサイトを選択する サイトリンクを構成する コスト値 スケジューリング 間隔 ドメインコントローラを適切なサイトに移動する
Active Directory ログオンプロセス DNSサーバ ドメインコントローラ ①ドメインコントローラは? (SRVリソースレコード) ④ログオン(認証)要求 ②応答 GC ③ユニバーサルグループ の問い合わせ Active Directoryでは、DNSが必須 DCの情報をクライアントに提示する
各サイトにグローバルカタログサーバーを配置しない場合 DC+GC DC アクセストークンを 作成 ログオン UGのメン バーシップの 確認 本社サイト 支社サイト DC ユニバーサルグループのメンバーシップ確認のために、毎回グローバルカタログサーバーに 問い合わせを行う
グローバルカタログの役割 フォレスト全体でのオブジェクトの検索を提供する ユニバーサルグループのメンバーシップを提供する UPNログオン名を管理する シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定 を行うことにより検索のパフォーマンスが上がる
グローバルカタログサーバー ドメイン ドメイン ドメイン 構成 スキーマ ドメイン 構成 スキーマ ドメイン ドメイン ドメイン 構成 スキーマ ドメイン 構成 スキーマ DC GC DC DC フォレスト内の 全てのドメインの ドメインパーティションの サマリーコピーを持つDC ドメインパーティ ションの重要な部 分のみをコピー ドメイン 構成 スキーマ DC DC DC
サイト設計まとめ サイトごとにDC,DNS,GCを配置 ユニバーサルグループメンバーシップキャッシュは使用しない ブリッジヘッドサーバー、サイトリンクブリッジは自動にお任せ サイトを作成する目的を明確にする
DCのインストール(Install From Media) インストールメディアの作成 Ntdsutil Activate Instance Ntds Ifm Create sysvolfull c:¥ifm オフラインでデータを取得 [AD DS インストールウィザード]を詳細モードで実行 し、インストールメディアのパスを指定する ローカルデータからADデータベースを作成する
RODCのシナリオ DC+GC ログオン 本社サイト 支社サイト DC 支社サイトのユーザーは、本社サイトのDCにログオンするためログオン認証が遅い 支社にDCを置き、支社内で認証を完結させたい
支社にDCを配置する際の課題 DC+GC ログオン 本社サイト 支社サイト DC 支社にはサーバールーム(物理セキュリティ)が確保できない 盗難にあった場合、パスワードクラックなどが行われる可能性がある 支社にはサーバー管理者がいない(Domain Admins) 支社サイトで変更した操作は組織全体に影響する DC
RODCの特徴 DC+GC ログオン 本社サイト 支社サイト DC 読み取り専用ドメインコントローラー 一方向のレプリケーション RODC専用管理者(Domain Adminsの必要なし) 設定したユーザー・コンピューターのみパスワードをキャッシュする RODC
グループポリシーの保存場所 •DC 上のSYSVOL 共有に作成されるファイル群 ⇒%windir%¥SYSVOL¥sysvol¥<ドメイン名> ¥Policies フォルダー •管理者がグループポリシーエディターでの設定した 各設定値を保存 •FRS(File Replication Service)またはDFS(DFS Replication)によって同じドメインのDC に複製 グループ ポリシー •ADDS にオブジェクトとして保存 ⇒ドメインパーティションのSystem¥Policy コンテナー •リンクやバージョン番号などの基本属性 •管理者がグループポリシーエディターで設定した各 設定値は保存されない。 •AD DS レプリケーションによって同じドメインの DC に複製 グループポリシーコンテナーオブ ジェクト(GPC) グループポリシー テンプレート(GPT)
ADM ファイル(~Windows Server 2003) SYSVOL 共有フォルダー ADM ファイル Policies コピー レプリケーション GPO1 GPO2 GPO3 C:¥Windows¥infフォルダー SYSVOL 共有フォルダー GPO1 GPO2 GPO3 DC 追加のADM ファイル インポート DC 1つ1つの GPOのフォル ダーが大きくなる カスタマイズが困難 GPOを作成する度に、すべてのGPOにコピーされるため、 SYSVOLフォルダーが肥大化する ADMファイルを追加するには、GPOにインポートする
ADMX/ADML ファイル(Windows Server 2008~) SYSVOL 共有フォルダー ADMX/ADML ファイル Policies DC 参照 レプリケーション 追加の ADMX/ADML ファイル GPO1 GPO2 GPO3 C:¥Windows¥PolicyDefinitions フォルダー SYSVOL 共有フォルダー ADMX/ADML ファイル 参照 GPO1 GPO2 GPO3 C:¥Windows¥PolicyDefinitions フォルダー DC 47 XMLファイルなので、編集しやすい ADMファイルと異なり、GPOを作成してもADMX/ADMLファイルをコピーしない ADMX/ADMLファイルを追加するには、PolicyDefinitionsフォルダーに格納する
セントラルストア •ADMX/ADMLファイルを1か所にまとめて管理するために作成する •GPOは、セントラルストアに配置されたADMX/ADMLファイルを参照する •セントラルストアは、SYSVOL共有フォルダー内に作成する SYSVOL 共有フォルダー ADMX/ADML ファイル セントラルストア Policies DC 参照 SYSVOL フォルダー レプリケーション SYSVOL共有フォルダー内の<ドメイン名> ¥Policiesフォルダーの下に、PolicyDefinitions フォルダーをサブフォルダーごとコピーする SYSVOLフォルダーの配下は、自動的 にすべてのDCに複製される 追加の ADML/ADMX ファイル GPO1 GPO2 GPO3
きめ細やかなパスワードポリシー ドメイン内のユーザーやグループに対して、個別にパスワードルールを適用できる機能 パスワード設定オブジェクト(PSO) を作成し、管理者や監査担当者など、その人 の職務や立場に応じて、パスワードルールを厳しく設定することができる Windows Server 2012 からGUI が提供された [Active Directory 管理センター] (ADAC) を使用する 監査グループ 管理者 ヘルプデスク グループ 期限:30 日 履歴:5 回記録 期限:60 日 履歴:4 回記録 一般社員 期限:90 日 履歴:3 回記録
Active Directory のごみ箱 ユーザー オブジェクト グループ オブジェクト コンピューター オブジェクト 削除 復元 削除 復元 削除 復元 “ごみ箱” には、属性情報を持ったままのオブジェクトが入る 削除したオブジェクトを、属性を維持したまま簡単に復元できる機能 Windows Server 2012 からGUI が提供された [Active Directory 管理センター] (ADAC) を使用する
共存環境でのログオントラブル •Windows Server 2012 R2 およびWindows Server 2003 のド メインコントローラーが共存環境にある場合、コンピューターパスワードの変 更が発生するとログオンできなくなる場合がある。 •対処方法 •HOTFIXの適用 •http://support.microsoft.com/kb/2989971/ja It turns out that weird things can happen when you mix Windows Server 2003 and Windows Server 2012 R2 domain controllershttp://blogs.technet.com/b/askds/archive/2014/07/23/it-turns-out-that-weird- things-can-happen-when-you-mix-windows-server-2003-and-windows-server-2012- r2-domain-controllers.aspx

More Related Content

PPTX
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Michio Koyama
 
PPTX
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
 
PPTX
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Shinya Yamaguchi
 
PDF
初心者でもわかるActive directoryの基本
Sho Okada
 
PPTX
Office365導入時のDNS設定の注意点
Shu Yamada
 
PPTX
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
 
PPTX
Data Factory V2 新機能徹底活用入門
Keisuke Fujikawa
 
PDF
Sql server エンジニアに知ってもらいたい!! sql server チューニングアプローチ
Masayuki Ozawa
 
Active Directoryドメインを作ってみよう ~フォレストに新しいツリーのドメインを追加~
Michio Koyama
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Shinya Yamaguchi
 
初心者でもわかるActive directoryの基本
Sho Okada
 
Office365導入時のDNS設定の注意点
Shu Yamada
 
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
 
Data Factory V2 新機能徹底活用入門
Keisuke Fujikawa
 
Sql server エンジニアに知ってもらいたい!! sql server チューニングアプローチ
Masayuki Ozawa
 

What's hot (20)

PDF
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
PDF
仕組みがわかるActive Directory
Suguru Kunii
 
PDF
Azure AD DSドメインに仮想マシンを参加させる
Tetsuya Yokoyama
 
PDF
M08_あなたの知らない Azure インフラの世界 [Microsoft Japan Digital Days]
日本マイクロソフト株式会社
 
PDF
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
 
PDF
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
オラクルエンジニア通信
 
PDF
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Genki WATANABE
 
PDF
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
de:code 2017
 
PPTX
Azure active directory
Raju Kumar
 
PDF
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
 
PPTX
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Tetsuya Yokoyama
 
PDF
Active Directory_グループポリシー基礎
F DANKI
 
PDF
MySQL Administrator 2021 - 네오클로바
NeoClova
 
PPTX
Azure Active Directory 利用開始への第一歩
Yusuke Kodama
 
PDF
スマートフォン向けサービスにおけるサーバサイド設計入門
Hisashi HATAKEYAMA
 
PPTX
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Tetsuya Yokoyama
 
PDF
今さら聞けない!Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
 
PDF
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
 
PDF
[Cloud OnAir] Google Cloud とつなぐ色々な方法 〜 つなぐ方法をゼロからご紹介します〜 2019年1月31日 放送
Google Cloud Platform - Japan
 
PDF
COD2012 九州会場 Active Directory 障害対策
wintechq
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
仕組みがわかるActive Directory
Suguru Kunii
 
Azure AD DSドメインに仮想マシンを参加させる
Tetsuya Yokoyama
 
M08_あなたの知らない Azure インフラの世界 [Microsoft Japan Digital Days]
日本マイクロソフト株式会社
 
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
 
あなたのクラウドは大丈夫?NRI実務者が教えるセキュリティの傾向と対策 (Oracle Cloudウェビナーシリーズ: 2021年11月24日)
オラクルエンジニア通信
 
Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)
Genki WATANABE
 
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
de:code 2017
 
Azure active directory
Raju Kumar
 
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Tetsuya Yokoyama
 
Active Directory_グループポリシー基礎
F DANKI
 
MySQL Administrator 2021 - 네오클로바
NeoClova
 
Azure Active Directory 利用開始への第一歩
Yusuke Kodama
 
スマートフォン向けサービスにおけるサーバサイド設計入門
Hisashi HATAKEYAMA
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Tetsuya Yokoyama
 
今さら聞けない!Active Directoryドメインサービス入門
Trainocate Japan, Ltd.
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
 
[Cloud OnAir] Google Cloud とつなぐ色々な方法 〜 つなぐ方法をゼロからご紹介します〜 2019年1月31日 放送
Google Cloud Platform - Japan
 
COD2012 九州会場 Active Directory 障害対策
wintechq
 
Ad

Viewers also liked (20)

PDF
AD設計の基礎から読み解くIaaS On AD
Naoki Abe
 
PDF
Hyper vを理解する
Naoki Abe
 
PDF
Digitization-software is eating the world
Kenji Hiranabe
 
PDF
160625 cloud samurai_adds_migration_160625
wintechq
 
PDF
Rdra in 東京
Zenji Kanzaki
 
PDF
デザイン・制作をはじめる前に
取り組む事
kenji goto
 
PDF
メガネ型デバイスの未来について考える
Sho Okada
 
PDF
新規ビジネスデザイン研修 DYA2  テキスト<サンプル版>
Satoru Itabashi
 
PDF
ピクト図解®メソッド【入門A】テキスト
Satoru Itabashi
 
PDF
Jenkins実践入門 第二版 What's New
Masanori Satoh
 
PPSX
Rdra4越境アジャイル
Zenji Kanzaki
 
PDF
ピクト図解(R)表記ルールver1.0
PICTO ZUKAI
 
PDF
CSS設計とデザインとの距離
Manabu Yasuda
 
PDF
Hyper-V仮想マシンをAzureへV2C移行
wintechq
 
PDF
.Netのwebプログラマーに贈るサーバーインフラの比較的かんたんなお話
Sho Okada
 
PDF
CloudSpiral 2014年度 Webアプリ講義(1日目)
Shin Matsumoto
 
PDF
CloudSpiral 2014年度 Webアプリ講義(2日目)
Shin Matsumoto
 
PDF
Jenkins Bootcamp Premiumのご紹介 in デブサミ2016冬
Masanori Satoh
 
PDF
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
Trainocate Japan, Ltd.
 
PDF
Managing your Docker image continuously with Concourse CI
Toshiaki Maki
 
AD設計の基礎から読み解くIaaS On AD
Naoki Abe
 
Hyper vを理解する
Naoki Abe
 
Digitization-software is eating the world
Kenji Hiranabe
 
160625 cloud samurai_adds_migration_160625
wintechq
 
Rdra in 東京
Zenji Kanzaki
 
デザイン・制作をはじめる前に
取り組む事
kenji goto
 
メガネ型デバイスの未来について考える
Sho Okada
 
新規ビジネスデザイン研修 DYA2  テキスト<サンプル版>
Satoru Itabashi
 
ピクト図解®メソッド【入門A】テキスト
Satoru Itabashi
 
Jenkins実践入門 第二版 What's New
Masanori Satoh
 
Rdra4越境アジャイル
Zenji Kanzaki
 
ピクト図解(R)表記ルールver1.0
PICTO ZUKAI
 
CSS設計とデザインとの距離
Manabu Yasuda
 
Hyper-V仮想マシンをAzureへV2C移行
wintechq
 
.Netのwebプログラマーに贈るサーバーインフラの比較的かんたんなお話
Sho Okada
 
CloudSpiral 2014年度 Webアプリ講義(1日目)
Shin Matsumoto
 
CloudSpiral 2014年度 Webアプリ講義(2日目)
Shin Matsumoto
 
Jenkins Bootcamp Premiumのご紹介 in デブサミ2016冬
Masanori Satoh
 
今さら聞けない! Windows Server 2012 R2 Active Directory入門【グローバルナレッジ無料セミナー資料】
Trainocate Japan, Ltd.
 
Managing your Docker image continuously with Concourse CI
Toshiaki Maki
 
Ad

Similar to Ad設計 (20)

PDF
Active directory の移行 (2011年6月の資料)
wintechq
 
PDF
[AWSマイスターシリーズ] Amazon Route53
Amazon Web Services Japan
 
PPTX
2014年12月04日 ヒーロー島 Azureスペシャル
Daiyu Hatakeyama
 
PDF
CloudStack User Inferface
Kimihiko Kitase
 
PDF
WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)
Shinichiro Isago
 
PPTX
PHP on Cloud
Akio Katayama
 
PDF
active directory-slideshare
Trainocate Japan, Ltd.
 
PDF
[ウェビナー] Build 2018 アップデート ~ データ プラットフォーム/IoT編 ~
Naoki (Neo) SATO
 
PDF
SQL Server 2008/2008 R2/ 2012(/ 2014) 新機能
Koichiro Sasaki
 
PPTX
20120822_dstn技術交流会_dstnのご紹介と最新技術情報
dstn
 
PDF
オトナのService Fabric~マイクロサービス編
Tatsuaki Sakai
 
PDF
VisualStudio2010ReadyDay Azureセッション資料
Shinichiro Isago
 
PDF
Tech Ed 2010 Japan T1-303 Exchange Server 2010 と次世代 Exchange Online の共存
kumo2010
 
PDF
Microsoft Share Point on AWS
Amazon Web Services Japan
 
PDF
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
Takamasa Maejima
 
PDF
Windows Server 2012 のストレージ強化とエンタープライズへの活用
Daichi Ogawa
 
PDF
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
Amazon Web Services Japan
 
PDF
AWSマイスターシリーズReloaded(AWS Beanstalk)
Akio Katayama
 
PDF
Software Defined Storage を実現する次期 Windows Server のストレージ機能 (Microsoft de:code 2...
Takamasa Maejima
 
PDF
[Japan Tech summit 2017] CLD 007
Microsoft Tech Summit 2017
 
Active directory の移行 (2011年6月の資料)
wintechq
 
[AWSマイスターシリーズ] Amazon Route53
Amazon Web Services Japan
 
2014年12月04日 ヒーロー島 Azureスペシャル
Daiyu Hatakeyama
 
CloudStack User Inferface
Kimihiko Kitase
 
WindowsAzureの長所を活かすクラウド アプリ開発(PDF版)
Shinichiro Isago
 
PHP on Cloud
Akio Katayama
 
active directory-slideshare
Trainocate Japan, Ltd.
 
[ウェビナー] Build 2018 アップデート ~ データ プラットフォーム/IoT編 ~
Naoki (Neo) SATO
 
SQL Server 2008/2008 R2/ 2012(/ 2014) 新機能
Koichiro Sasaki
 
20120822_dstn技術交流会_dstnのご紹介と最新技術情報
dstn
 
オトナのService Fabric~マイクロサービス編
Tatsuaki Sakai
 
VisualStudio2010ReadyDay Azureセッション資料
Shinichiro Isago
 
Tech Ed 2010 Japan T1-303 Exchange Server 2010 と次世代 Exchange Online の共存
kumo2010
 
Microsoft Share Point on AWS
Amazon Web Services Japan
 
Horizon Cloud on Microsoft Azure 概要 (2018年12月版)
Takamasa Maejima
 
Windows Server 2012 のストレージ強化とエンタープライズへの活用
Daichi Ogawa
 
20120416 aws meister-reloaded-aws-elasticbeanstalk-public
Amazon Web Services Japan
 
AWSマイスターシリーズReloaded(AWS Beanstalk)
Akio Katayama
 
Software Defined Storage を実現する次期 Windows Server のストレージ機能 (Microsoft de:code 2...
Takamasa Maejima
 
[Japan Tech summit 2017] CLD 007
Microsoft Tech Summit 2017
 

Recently uploaded (10)

PPTX
2025_7_25_吉祥寺_設計ナイト_ADR運用におけるデータ利活用の考え方.pptx
ssuserfcafd1
 
PPTX
baserCMS『カスタムコンテンツ』徹底活用術〜あなただけの管理画面を自由自在に〜
Ryuji Egashira
 
PDF
20250726_Devinで変えるエンプラシステム開発の未来
Masaki Yamakawa
 
PDF
TaketoFujikawa_ComicComputing12th_inKumamoto
Matsushita Laboratory
 
PDF
VMUG Japan book vsan 20250515 CPU/Memory vSAN
Kazuhiro Sota
 
PDF
20250729_Devin-for-Enterprise
Masaki Yamakawa
 
PDF
【学会聴講報告】CVPR2025からみるVision最先端トレンド / CVPR2025 report
Sony - Neural Network Libraries
 
PDF
20250730_QiitaBash_LT登壇資料_PDC_Kurashina.pdf
pdckurashina
 
PDF
第三世代 ウェザーステーションキット v3 ー WSC3-L 日本語カタログ
CRI Japan, Inc.
 
PDF
MahiroYoshida_セリフに着目したキャラクタロール推定に関する基礎検討_sigcc12th2025
Matsushita Laboratory
 
2025_7_25_吉祥寺_設計ナイト_ADR運用におけるデータ利活用の考え方.pptx
ssuserfcafd1
 
baserCMS『カスタムコンテンツ』徹底活用術〜あなただけの管理画面を自由自在に〜
Ryuji Egashira
 
20250726_Devinで変えるエンプラシステム開発の未来
Masaki Yamakawa
 
TaketoFujikawa_ComicComputing12th_inKumamoto
Matsushita Laboratory
 
VMUG Japan book vsan 20250515 CPU/Memory vSAN
Kazuhiro Sota
 
20250729_Devin-for-Enterprise
Masaki Yamakawa
 
【学会聴講報告】CVPR2025からみるVision最先端トレンド / CVPR2025 report
Sony - Neural Network Libraries
 
20250730_QiitaBash_LT登壇資料_PDC_Kurashina.pdf
pdckurashina
 
第三世代 ウェザーステーションキット v3 ー WSC3-L 日本語カタログ
CRI Japan, Inc.
 
MahiroYoshida_セリフに着目したキャラクタロール推定に関する基礎検討_sigcc12th2025
Matsushita Laboratory
 

Ad設計

  • 2. ドメインとは? ドメインに登録するアカウント ・ユーザーアカウント ・グループアカウント ・コンピュータアカウント ユーザーアカウント グループアカウント コンピュータ アカウント ドメインは、 アカウントを登録して、 管理する単位 ドメイン 1 つのドメインに、 何万個ものアカウントを登録可能 Active Directory データベース
  • 3. フォレストとは? ドメイン フォレスト 1つ以上のドメインで構成 1番大きな管理範囲 フォレスト内は推移的信頼関係 によりシングルサインインが可能 1番大きな認証範囲
  • 4. AD設計指針 シングルフォレスト シングルドメイン シングルフォレストの特徴 全体を管別ドメインのリソースを利用者が検索・利 用可能 ADの制御情報(スキーマ、構成)の共有 フォレスト理可能な管理者が存在する 要件似合わない場合 マルチフォレスト
  • 5. マルチドメインの選択基準 大規模環境でADデータベースサイズや複製トラフィックを最適化したい 分散管理 法的規制 専用のFRDを使用すると、Enterprise Admins,SchemaAdminsなどのフォレストレベルのサービス管理者グループを、ユーザー アカウントから論理的に分離できる ドメインサービスの管理者とフォレストレベルのサービス管理者の役割を 分離できる FRDは通常、構造の変更やドメイン名の変更などに結びつく組織の変 更の影響を受けない FSMOの戦略的な配置 FRDには、エンドユーザー、グループ、コンピューターオブジェクトは含ま れない FRD
  • 6. マルチドメインのトポロジー フォレスト FRD サブドメイン サブドメイン 全体を管理 Enterprise Adminsグループ ユーザーは登録しない FRD(Forest Root Domain) 各ドメインの分散管理 Domain Adminsグループ サブドメイン FRD配下のサブドメインは、並列に配置する(階層を増やさない) 推移的認証のルートがすべてFRD経由となり1ドメインとなる
  • 8. スタブソーンの動作 west.contoso.com contoso.com north.contoso. com sales.north.contoso.com west.contoso.com のプライマリゾーン sales.north.contoso. comのスタブゾーン SOAsales.north.contoso.com NS dns.sales.north.contoso.com dnsA 192.168.1.100 sales.north.contoso.comの プライマリゾーン SOAsales.north.contoso.com NS dns.sales.north.contoso.com dnsA 192.168.1.100 file A 192.168.1.150 www A 192.168.1.160 ターゲット サーバー クエリ
  • 11. [補足]ドメインの機能レベル フォレストの機能レベル 有効な機能 WindowsServer2003 既定のActiveDirectoryの機能に加えて、以下の機能が有効 ・Netdomコマンドのサポート ・特定のサービスへのアクセスのみを許可することができる制約付き委任の構成 ・承認マネージャーによるADDSへの承認ポリシーの保存 WindowsServer2008 「WindowsServer2003」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効 ・SYSVOLに対するDFS-Rレプリケーション ・Kerberos認証におけるAES128およびAES256 ・細かい設定が可能なパスワードポリシー WindowsServer2008R2 「WindowsServer2008」ドメインの機能レベルで有効な機能すべてに加え、以下の機能が 有効 ・Kerberos認証におけるメカニズム認証 WindowsServer2012 「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効 ・ダイナミックアクセス制御とKerberos防御の制御 WindowsServer2012R2 「WindowsServer2008R2」ドメインの機能レベルで有効な機能すべてに加え、以下の機能 が有効 ・ProtectedUsersグループ、および認証ポリシーとサイロによる認証セキュリティ
  • 12. [補足]フォレストの機能レベル フォレストの機能レベル 有効な機能 WindowsServer2003 既定のActiveDirectoryの機能に加えて、以下の機能が有効 ・フォレストの信頼 ・ドメイン名の変更 ・WindowsServer2008以降の読み取り専用ドメインコントローラー (RODC)の展開 など(他にもあり) WindowsServer2008 追加機能はなし WindowsServer2008R2 フォレストの機能レベル「WindowsServer2008」の機能に加えて、以 下の機能が有効 ・ActiveDirectoryのごみ箱 WindowsServer2012 追加機能はなし WindowsServer2012R2 追加機能はなし
  • 13. ドメイン機能レベル Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADDomainMode–DomainMode<機能レベル> -Identity <ドメイン名> Windows Server 2008 機能レベルをスタート地点として行き来できる フォレスト機能レベルと同等のレベルまで下げることが可能
  • 14. フォレスト機能レベル Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADForestMode–ForestMode<機能レベル> -Identity <ドメイン名> Windows Server 2008 機能レベルをスタート地点として行き来できる ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能
  • 15. ドメイン FSMO(操作マスター)とは FSMO:Flexible Single Master Operation フォレストルートドメイン(1台目のDC) マルチマスターレプリケーションの競合の課題を解決 ADにおける重要機能(シングルマスターレプリケーション) フォレスト スキーマ マスター ドメイン名前 付けマスター PDCエミュ レーター RIDマスター インフラストラ クチャマス ター
  • 16. 操作マスターの配置 既定では、 フォレストとドメインに、 最初にインストールした ドメインコントローラーが、 操作マスターの役割を持つ 1 ドメインにつき1 台 ・RIDマスター ・PDCエミュレーターマスター ・インフラストラクチャマスター DC DC DC DC 1 ドメインにつき1 台 ・RIDマスター ・PDCエミュレーターマスター ・インフラストラクチャマスター 1 フォレストにつき1 台 ・スキーママスター ・ドメイン名前付けマスター
  • 17. FSMO(操作マスター)の用途 スキーママスター インフラストラクチャマスター フォレスト ドメイン名前付けマスター PDCエミュレーター RIDマスター ドメイン スキーマに対するすべての更新と変更 フォレスト内でのドメインの追加または削除、ドメインツリーの変更 ドメイン内の別のドメインコントローラーで変更されたパスワードの優先複製 時刻同期 グループポリシーのマスターコンピューター RID プールを、ドメインコントローラーに割り当てる グループメンバーのアカウント名の更新(外部参照オブジェクト) マルチドメイン構成においては、インフラストラクチャーマスターとGC を1 台で構成してはいけない
  • 18. ドメインコントローラー •AD DSの役割を実行するサーバー •Active Directoryデータベース(ntds.dit)およびsysvolをホストする •ドメインコントローラー間でレプリケートする •Kerberosキー配布センター(KDC)認証 •ユーザーやコンピューターなどの認証を行う •ベストプラクティス •冗長性確保のため2台以上のDCが推奨される •ブランチサイトではセキュリティ確保のためRODCを提供
  • 19. Active Directory データストア •AD DS のデーターベース •%systemroot%¥ntds¥ntds.dit •論理パーティション •スキーマ •属性やクラス •構成 •ドメイン、サービス、トポロジ •ドメイン •ユーザー、グループ、コンピューター •アプリケーション •DNS(AD統合モード) •Sysvol •%systemroot%¥sysvol •ログオンスクリプト •ポリシー アプリケーション ドメイン 構成 スキーマ ADDSデーターベース フォレスト 全体で共通 ドメインごと アプリケー ションごと
  • 20. レプリケーション •レプリケーションとはDC間の情報交換のこと •マルチマスタレプリケーション •すべてのDC がマスタとなり、お互いにユーザー情報などをレプリケート •Sysvolの内容がレプリケートされる •FRSまたはDFSR •フォレスト内の異なるドメインのDC間でも制御情報をレプリケーション
  • 21. SYSVOL •%systemroot%¥sysvol •以下のファイルを格納 •スクリプトファイル(ログオン、ログオフ、スタート、シャットダウン) •グループポリシーのファイル •グループポリシーテンプレート(GPT) •FRS(File Replication Service)またはDFSR(DFS Replication)を使 用して、同一ドメイン内のドメインコントローラー間で複製し合う •FRS は、従来のバージョンから使用しているサービス •DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス
  • 22. SYSVOL フォルダーの複製サービス •Windows Server 2003 までは、 •File Replication サービス(FRS)のみ •Windows Server 2008 からは、 •FRS の他、DFS-Replicaiton(分散ファイルシステム)サービスも使用可能 SYSVOL フォルダー SYSVOL フォルダー FRS DFS-R または Windows 2012 R2 DC Windows 2012 R2 DC グループポリシーの 設定ファイル、ログオン スクリプトなどを格納 しているフォルダー 2 台目の Windows Server 2012 R2 DC を 追加
  • 23. FRS とDFS-R サービス •FRS(File Replication Service)サービス •Active Directoryインストール時のドメイン機能レベルが 「Windows Server 2003」以下の場合、FRS を使用する •DFS-Replicaitonサービス •Active Directoryインストール時のドメイン機能レベルが 「Windows Server 2008」以上の場合、既定でDFS-R を使用する •ただし、Active Directoryインストール時のドメイン機能レベルが 「Windows Server 2003」で、後から「Windows Server 2008」以上に 上げた場合は、FRS からDFS-Replication への切り替え作業が必要(手 動) Windows Server 2012 R2 では、FRS の使用は非推奨となっている
  • 24. SYSVOL のレプリケーションプロトコルの変更 •FRS からDFSR へ移行 •DFSR では差分のみを複製する為、 ネットワークの負荷が削減される •DFSR はJournal Wrap Error から自動復旧できる •Dfsrmigコマンドを使用 •機能レベルを「Windows Server 2008」以上に上げてから、 DfsrMig.exeを実行 dfsrmig.exe /CreateGlobalObjects dfsrmig.exe /GetGlobalState dfsrmig.exe /SetGlobalState1 dfsrmig.exe /GetGlobalState dfsrmig.exe /SetGlobalState2 dfsrmig.exe /GetGlobalState dfsrmig.exe /SetGlobalState3 dfsrmig.exe /GetGlobalStateコマンドを 実行することにより、各状態が正常に移行できた かを確認する FRS からDFSR への移行(SYSVOL) http://blogs.technet.com/b/jpntsblog/archive/2009/12/04/frs-dfsr-sysvol.aspx
  • 25. サイト Tokyo Osaka Nagoya サイトは、Active Directory における論理的なネットワーク境界 物理ネットワークに合わせて構成する(通常は同一LAN で構成) サイトを構成すると、ログオントラフィックとレプリケーショントラフィックを最適化できる Default-First-Site-Name
  • 26. AD DSサイトのモデル 単一サイトモデル すべてのコンピューターが1つの物理的な場所に存 在する 複数の物理的な場所が高速リンクで接続されてい る ドメインコントローラーが1つだけ存在する 複数サイトモデル 物理的な場所が複数存在する 場所間のリンクが低速で信頼性が低い 物理的な場所ごとに1つ以上のドメインコントロー ラーが存在する サイト設計モデルの選択がレプリケーションの動作に大きく影響する
  • 27. サイト内レプリケーション 接続 オブジェクト 変更 発生 変更通知 15秒後 次は3秒後 変更通知 15秒後 変更通知 ほぼリアルタイムで、複製パートナーに通知する 3ホップ以内で伝達されるように、各DCのKCCにより接続オブジェクトが作成される (15分間隔でチェック) レプリケーションデータは、圧縮されない
  • 29. サイト間レプリケーション サイトリンク ブリッジヘッド サーバー ブリッジヘッド サーバー ブリッジヘッド サーバー レプリケーションデータは、圧縮される ログオントラフィックが最適化される レプリケーショントラフィックが最適化される(スケジューリング、間隔) ブリッジヘッドサーバーがサイト間のレプリケーションを行う サイト間トポロジジェネレータ(ISTG)が、ブリッジヘッドサーバーを指定する
  • 30. レプリケーショントポロジの種類 リングトポロジ 特徴 物理的なネットワークトポロジがリング 型トポロジと似ている場合はリング型ト ポロジにする
  • 31. レプリケーショントポロジの種類 ハブアンドスポークトポロジ 特徴 1つのサイトをハブに指定し、他のサイ トをスポークとしてハブに接続する 大規模なコンピューティングハブどうしを 接続する高速ネットワークと、各支社 を接続する低速リンクが混在している WAN
  • 32. レプリケーショントポロジの種類 フルメッシュトポロジ 特徴 どのサイトも他のすべてのサイトに接続 する あるサイトのDC上で変化が生じると、 それ以外のサイトのすべてのサーバー に直接その変更がレプリケートされる 全て1ホップで複製 5つ以上のサイト構成には非推奨
  • 34. レプリケーショントポロジのベストプラクティス 物理ネットワークに適したトポロジ作成 コスト値は物理ネットワークを参考に サイト間のコスト値が適切に割り当てられることで、最適なサイト間レプリ ケーショントポロジが算出される
  • 35. サイトの構成手順 Default-First-Site-Name ネットワークの構成などに合 わせて、サイトを構成する 既定の状態 サイトを作成する サブネットを作成し、各サイトに関連付ける サイトリンクを作成し、結ぶサイトを選択する サイトリンクを構成する コスト値 スケジューリング 間隔 ドメインコントローラを適切なサイトに移動する
  • 36. Active Directory ログオンプロセス DNSサーバ ドメインコントローラ ①ドメインコントローラは? (SRVリソースレコード) ④ログオン(認証)要求 ②応答 GC ③ユニバーサルグループ の問い合わせ Active Directoryでは、DNSが必須 DCの情報をクライアントに提示する
  • 37. 各サイトにグローバルカタログサーバーを配置しない場合 DC+GC DC アクセストークンを 作成 ログオン UGのメン バーシップの 確認 本社サイト 支社サイト DC ユニバーサルグループのメンバーシップ確認のために、毎回グローバルカタログサーバーに 問い合わせを行う
  • 38. グローバルカタログの役割 フォレスト全体でのオブジェクトの検索を提供する ユニバーサルグループのメンバーシップを提供する UPNログオン名を管理する シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定 を行うことにより検索のパフォーマンスが上がる
  • 39. グローバルカタログサーバー ドメイン ドメイン ドメイン 構成 スキーマ ドメイン 構成 スキーマ ドメイン ドメイン ドメイン 構成 スキーマ ドメイン 構成 スキーマ DC GC DC DC フォレスト内の 全てのドメインの ドメインパーティションの サマリーコピーを持つDC ドメインパーティ ションの重要な部 分のみをコピー ドメイン 構成 スキーマ DC DC DC
  • 40. サイト設計まとめ サイトごとにDC,DNS,GCを配置 ユニバーサルグループメンバーシップキャッシュは使用しない ブリッジヘッドサーバー、サイトリンクブリッジは自動にお任せ サイトを作成する目的を明確にする
  • 41. DCのインストール(Install From Media) インストールメディアの作成 Ntdsutil Activate Instance Ntds Ifm Create sysvolfull c:¥ifm オフラインでデータを取得 [AD DS インストールウィザード]を詳細モードで実行 し、インストールメディアのパスを指定する ローカルデータからADデータベースを作成する
  • 42. RODCのシナリオ DC+GC ログオン 本社サイト 支社サイト DC 支社サイトのユーザーは、本社サイトのDCにログオンするためログオン認証が遅い 支社にDCを置き、支社内で認証を完結させたい
  • 43. 支社にDCを配置する際の課題 DC+GC ログオン 本社サイト 支社サイト DC 支社にはサーバールーム(物理セキュリティ)が確保できない 盗難にあった場合、パスワードクラックなどが行われる可能性がある 支社にはサーバー管理者がいない(Domain Admins) 支社サイトで変更した操作は組織全体に影響する DC
  • 44. RODCの特徴 DC+GC ログオン 本社サイト 支社サイト DC 読み取り専用ドメインコントローラー 一方向のレプリケーション RODC専用管理者(Domain Adminsの必要なし) 設定したユーザー・コンピューターのみパスワードをキャッシュする RODC
  • 45. グループポリシーの保存場所 •DC 上のSYSVOL 共有に作成されるファイル群 ⇒%windir%¥SYSVOL¥sysvol¥<ドメイン名> ¥Policies フォルダー •管理者がグループポリシーエディターでの設定した 各設定値を保存 •FRS(File Replication Service)またはDFS(DFS Replication)によって同じドメインのDC に複製 グループ ポリシー •ADDS にオブジェクトとして保存 ⇒ドメインパーティションのSystem¥Policy コンテナー •リンクやバージョン番号などの基本属性 •管理者がグループポリシーエディターで設定した各 設定値は保存されない。 •AD DS レプリケーションによって同じドメインの DC に複製 グループポリシーコンテナーオブ ジェクト(GPC) グループポリシー テンプレート(GPT)
  • 46. ADM ファイル(~Windows Server 2003) SYSVOL 共有フォルダー ADM ファイル Policies コピー レプリケーション GPO1 GPO2 GPO3 C:¥Windows¥infフォルダー SYSVOL 共有フォルダー GPO1 GPO2 GPO3 DC 追加のADM ファイル インポート DC 1つ1つの GPOのフォル ダーが大きくなる カスタマイズが困難 GPOを作成する度に、すべてのGPOにコピーされるため、 SYSVOLフォルダーが肥大化する ADMファイルを追加するには、GPOにインポートする
  • 47. ADMX/ADML ファイル(Windows Server 2008~) SYSVOL 共有フォルダー ADMX/ADML ファイル Policies DC 参照 レプリケーション 追加の ADMX/ADML ファイル GPO1 GPO2 GPO3 C:¥Windows¥PolicyDefinitions フォルダー SYSVOL 共有フォルダー ADMX/ADML ファイル 参照 GPO1 GPO2 GPO3 C:¥Windows¥PolicyDefinitions フォルダー DC 47 XMLファイルなので、編集しやすい ADMファイルと異なり、GPOを作成してもADMX/ADMLファイルをコピーしない ADMX/ADMLファイルを追加するには、PolicyDefinitionsフォルダーに格納する
  • 48. セントラルストア •ADMX/ADMLファイルを1か所にまとめて管理するために作成する •GPOは、セントラルストアに配置されたADMX/ADMLファイルを参照する •セントラルストアは、SYSVOL共有フォルダー内に作成する SYSVOL 共有フォルダー ADMX/ADML ファイル セントラルストア Policies DC 参照 SYSVOL フォルダー レプリケーション SYSVOL共有フォルダー内の<ドメイン名> ¥Policiesフォルダーの下に、PolicyDefinitions フォルダーをサブフォルダーごとコピーする SYSVOLフォルダーの配下は、自動的 にすべてのDCに複製される 追加の ADML/ADMX ファイル GPO1 GPO2 GPO3
  • 49. きめ細やかなパスワードポリシー ドメイン内のユーザーやグループに対して、個別にパスワードルールを適用できる機能 パスワード設定オブジェクト(PSO) を作成し、管理者や監査担当者など、その人 の職務や立場に応じて、パスワードルールを厳しく設定することができる Windows Server 2012 からGUI が提供された [Active Directory 管理センター] (ADAC) を使用する 監査グループ 管理者 ヘルプデスク グループ 期限:30 日 履歴:5 回記録 期限:60 日 履歴:4 回記録 一般社員 期限:90 日 履歴:3 回記録
  • 50. Active Directory のごみ箱 ユーザー オブジェクト グループ オブジェクト コンピューター オブジェクト 削除 復元 削除 復元 削除 復元 “ごみ箱” には、属性情報を持ったままのオブジェクトが入る 削除したオブジェクトを、属性を維持したまま簡単に復元できる機能 Windows Server 2012 からGUI が提供された [Active Directory 管理センター] (ADAC) を使用する
  • 51. 共存環境でのログオントラブル •Windows Server 2012 R2 およびWindows Server 2003 のド メインコントローラーが共存環境にある場合、コンピューターパスワードの変 更が発生するとログオンできなくなる場合がある。 •対処方法 •HOTFIXの適用 •http://support.microsoft.com/kb/2989971/ja It turns out that weird things can happen when you mix Windows Server 2003 and Windows Server 2012 R2 domain controllershttp://blogs.technet.com/b/askds/archive/2014/07/23/it-turns-out-that-weird- things-can-happen-when-you-mix-windows-server-2003-and-windows-server-2012- r2-domain-controllers.aspx