web-dev-qa-db-ja.com

Active Directoryドメインサービスとは何ですか。

これは、Active Directoryドメインサービス(AD DS)についての 標準的な質問 です。

Active Directoryとは何ですか?それは何をし、どのように機能しますか?

Active Directoryの構成方法:フォレスト、子ドメイン、ツリー、サイト、またはO


私は自分が想定していることのいくつかは、ほぼ毎日それについての常識であると説明しています。この質問は、うまくいけば、最も基本的なActive Directoryの質問に対する標準的な質問と回答になります。この質問の回答を改善できると思われる場合は、編集してください。

149
MDMarra

Active Directoryとは何ですか?

Active Directoryドメインサービスは、MicrosoftのDirectory Serverです。認証と承認のメカニズム、および他の関連サービス(AD証明書サービス、ADフェデレーションサービスなど)を展開できるフレームワークを提供します。 [〜#〜] ldap [〜#〜] オブジェクトを含む準拠データベースです。最も一般的に使用されるオブジェクトは、ユーザー、コンピューター、およびグループです。これらのオブジェクトは、論理的またはビジネス上の必要に応じて、組織単位(OU)に編成できます。 グループポリシーオブジェクト(GPO) をOUにリンクして、組織全体のさまざまなユーザーまたはコンピューターの設定を一元化できます。

人々が「Active Directory」と言うとき、彼らは通常「Active Directoryドメインサービス」を指しています。証明書サービス、フェデレーションサービス、ライトウェイトディレクトリサービス、Rights Managementサービスなど、他のActive Directoryの役割/製品があることに注意することが重要です。この回答は、特にActive Directoryドメインサービスについて言及しています。

ドメインとは何ですか?フォレストとは何ですか?

フォレストはセキュリティの境界です。個別のフォレスト内のオブジェクトは、個別のフォレストの管理者がその間に trust を作成しない限り、相互に対話できません。たとえば、通常、フォレストの最も特権的なアカウントであるdomain1.comのエンタープライズ管理者アカウントは、domain2.comという名前の2番目のフォレストでは、それらのフォレストが信頼関係がない限り、同じLAN。

複数の独立したビジネスユニットがある場合、または個別のセキュリティ境界が必要な場合は、複数のフォレストが必要です。

ドメインは管理境界です。ドメインはフォレストの一部です。フォレストの最初のドメインは、フォレストルートドメインと呼ばれます。多くの中小規模の組織(および一部の大規模な組織)では、単一のフォレストに単一のドメインしかありません。フォレストルートドメインは、フォレストの既定の名前空間を定義します。たとえば、新しいフォレストの最初のドメインの名前がdomain1.comの場合、それはフォレストルートドメインです。たとえばシカゴの支社など、子ドメインのビジネスニーズがある場合は、子ドメインにchiという名前を付けることができます。子ドメインの [〜#〜] fqdn [〜#〜]chi.domain1.comになります。子ドメインの名前がフォレストルートドメインの名前の前に付加されていたことがわかります。これが通常の動作方法です。同じフォレストに互いに素な名前空間を設定することもできますが、それはまったく別のワームの缶です。

ほとんどの場合、単一のADドメインを持つために可能な限りのことをしようとするでしょう。管理が簡素化され、ADの最新バージョンでは、OUに基づく制御の委任が非常に簡単になり、子ドメインの必要性が少なくなります。

ドメインには好きな名前を付けることができますよね?

あんまり。 dcpromo.exe、DCへのサーバーの昇格を処理するツールは、ばかではありません。それはあなたがあなたの命名で悪い決定をすることを許します、それであなたが確信がないならばこのセクションに注意を払ってください。 (編集: dcpromo is deprecated in Server2012。Install-ADDSForest PowerShellコマンドレットを使用するか、サーバーマネージャーからAD DSをインストールしてください。)

まず第一に、.local、.lan、.corp、または他のがらくたのような構成されたTLDを使用しないでください。それらのTLDは予約されていません。 ICANNは現在TLDを販売しているため、今日使用しているmycompany.corpは、実際には明日の誰かのものである可能性があります。 mycompany.comを所有している場合は、内部AD名にinternal.mycompany.comad.mycompany.comなどを使用するのが賢明です。 mycompany.comを外部で解決可能なWebサイトとして使用する場合は、スプリットブレインDNSになるため、内部のAD名としても使用しないでください。

ドメインコントローラーとグローバルカタログ

認証または承認の要求に応答するサーバーは、ドメインコントローラー(DC)です。ほとんどの場合、ドメインコントローラーは グローバルカタログ のコピーを保持します。グローバルカタログ(GC)は、フォレスト内のallドメインにあるオブジェクトの部分的なセットです。これは直接検索できます。つまり、通常、ターゲットドメインのDCへの参照を必要とせずに、GCでクロスドメインクエリを実行できます。 DCがポート3268(SSLを使用している場合は3269)でクエリされると、GCがクエリされます。ポート389(SSLを使用する場合は636)が照会されると、標準のLDAPクエリが使用され、他のドメインに存在するオブジェクトには referral が必要になる場合があります。

ユーザーがAD資格情報を使用してADに参加しているコンピューターにログインしようとすると、ソルトとハッシュされたユーザー名とパスワードの組み合わせが、ユーザーアカウントとコンピューターアカウントの両方のDCに送信されます。ログインします。はい、コンピュータもログインします。 ADのコンピューターアカウントに何かが発生した場合、誰かがアカウントをリセットしたり削除したりすると、コンピューターとドメインの間に信頼関係が存在しないというエラーが表示される可能性があるため、これは重要です。ネットワークの資格情報は問題ありませんが、コンピューターはドメインへのログインを信頼されていません。

ドメインコントローラーの可用性の懸念

「プライマリドメインコントローラー(PDC)を使用していて、バックアップドメインコントローラー(BDC)をインストールしたい」と思っていることがよくあります。 PDCとBDCの概念は、Windows NT4で廃止されました。 PDCの最後の要塞は、NT4 DCがまだ存在するWindows 2000移行型混合モードADでした。基本的に、アップグレードされていない15年以上前のインストールをサポートしていない限り、PDCまたはBDCはなく、ドメインコントローラーは2つしかありません。

複数のDCは、異なるユーザーおよびコンピューターからの認証要求に同時に応答できます。 1つが失敗した場合、他のユーザーは、NT4日のように "プライマリ"を作成しなくても、認​​証サービスを提供し続けます。ドメインごとに少なくとも2つのDCを持つことがベストプラクティスです。これらのDCはどちらもGCのコピーを保持する必要があり、両方がドメインのActive Directory統合DNSゾーンのコピーを保持するDNSサーバーでもある必要があります。

FSMOの役割

「それでは、PDCがない場合、単一のPDCのみが持つことのできるDCロールがあるのはなぜですか?」

よく耳にします。 PDC Emulatorの役割があります。 PDCとは異なります。実際、 5フレキシブルシングルマスターオペレーションロール(FSMO) があります。これらは、操作マスターの役割とも呼ばれます。 2つの用語は交換可能です。彼らは何であり、彼らは何をしますか?良い質問! 5つの役割とその機能は次のとおりです。

ドメイン名前付けマスター-フォレストごとにドメイン名前付けマスターは1つだけです。ドメイン名前付けマスターは、新しいドメインがフォレストに追加されたときに一意であることを確認します。この役割を保持するサーバーがオフラインの場合、新しい子ドメインの追加などのADネームスペースを変更することはできません。

スキーママスター-フォレストにはスキーマ操作マスターが1つだけあります。 Active Directoryスキーマの更新を担当します。これを必要とするタスク(DCとして機能する新しいバージョンのWindows ServerのADの準備やExchangeのインストールなど)では、スキーマの変更が必要です。これらの変更は、スキーママスターから行う必要があります。

インフラストラクチャマスター-ドメインごとに1つのインフラストラクチャマスターがあります。フォレスト内にドメインが1つしかない場合、それについて心配する必要はありません。複数のフォレストがある場合、フォレスト内のすべてのDCがGCでない限り、このロールがGCホルダーでもあるサーバーによって保持されていないことを確認する必要があります。インフラストラクチャマスターは、クロスドメイン参照が適切に処理されるようにする責任があります。あるドメインのユーザーが別のドメインのグループに追加された場合、問題のドメインのインフラストラクチャマスターは、適切に処理されることを確認します。このロールがグローバルカタログにある場合、このロールは正しく機能しません。

RIDマスター-相対IDマスター(RIDマスター)は、RIDプールをDCに発行します。ドメインごとに1つのRIDマスターがあります。 ADドメイン内のオブジェクトには、一意の セキュリティ識別子(SID) があります。これは、ドメイン識別子と相対識別子の組み合わせで構成されています。特定のドメイン内のすべてのオブジェクトは同じドメイン識別子を持っているため、相対識別子がオブジェクトを一意にします。各DCには使用する相対IDのプールがあるため、そのDCが新しいオブジェクトを作成すると、まだ使用していないRIDが追加されます。 DCは重複しないプールで発行されるため、各RIDはドメインの存続​​期間中は一意のままである必要があります。 DCがプールに残っているRIDが最大100個になると、RIDマスターに新しいプールを要求します。 RIDマスターが長期間オフラインの場合、オブジェクトの作成に失敗することがあります。

PDCエミュレータ-最後に、それらすべての中で最も広く誤解されている役割であるPDCエミュレータの役割に到達します。ドメインごとに1つのPDCエミュレータがあります。認証に失敗した場合は、PDCエミュレータに転送されます。 PDCエミュレーターは、パスワードが1つのDCで更新され、まだ他のユーザーに複製されていない場合、「タイブレーカー」として機能します。 PDCエミュレータは、ドメイン全体の時刻同期を制御するサーバーでもあります。他のすべてのDCは、PDCエミュレータから時間を同期します。すべてのクライアントは、ログインしたDCから時刻を同期します。すべてが互いに5分以内に留まることが重要です。それ以外の場合は、Kerberosが機能しなくなり、それが発生すると誰もが泣きます。

覚えておくべき重要なことは、これらのロールが実行されるサーバーは不確定なものではないということです。通常、これらの役割を移動するのは簡単です。そのため、一部のDCは他のDCよりもわずかに多く機能しますが、短時間ダウンすると、通常はすべて正常に機能します。それらが長期間ダウンしている場合、役割を透過的に転送するのは簡単です。 NT4 PDC/BDC時代よりずっといいので、古い名前でDCを呼ぶのをやめてください。 :)

DCが互いに独立して機能できる場合、DCはどのように情報を共有するのでしょうか。

もちろん複製 。デフォルトでは、同じサイトの同じドメインに属するDCは、15秒間隔でデータを相互に複製します。これにより、すべてが比較的最新の状態になります。

即時レプリケーションをトリガーするいくつかの「緊急」イベントがあります。これらのイベントは次のとおりです。ログインが失敗した回数が多すぎると、アカウントがロックアウトされ、ドメインパスワードまたはロックアウトポリシーが変更され、LSAシークレットが変更され、DCのコンピューターアカウントでパスワードが変更され、またはRIDマスターの役割が転送されます。新しいDCに。これらのイベントはいずれも、即時のレプリケーションイベントをトリガーします。

パスワードの変更は緊急と非緊急の中間にあり、一意に処理されます。ユーザーのパスワードがDC01で変更され、レプリケーションが発生する前にユーザーがDC02に対して認証しているコンピューターにログインしようとした場合、これは失敗するはずですよね?幸い、それは起こりません。ここには、DCエミュレーターの役割を保持するDC03と呼ばれる3番目のPDCもあるとします。 DC01がユーザーの新しいパスワードで更新されると、その変更はすぐにDC03にも複製されます。 DC02での認証の試行が失敗すると、DC02はその認証の試行をDC03に転送します。これにより、認証が実際に適切であり、ログオンが許可されていることが確認されます。

DNSについて話しましょう

DNSは、ADが正しく機能するために不可欠です。公式のマイクロソフトパーティーラインでは、適切に設定されていれば、どのDNSサーバーでも使用できます。 BINDを使用してADゾーンをホストしようとする場合は、問題はありません。真剣に。 AD統合DNSゾーンの使用に固執し、必要に応じて他のゾーンに条件付きフォワーダーまたはグローバルフォワーダーを使用します。クライアントはすべてAD DNSサーバーを使用するように構成する必要があるため、ここに冗長性を持たせることが重要です。 2つのDCがある場合は、両方でDNSを実行し、名前解決に両方を使用するようにクライアントを構成します。

また、複数のDCがある場合、それらがDCをDNS解決のために最初にリストしないことを確認する必要があります。これにより、それらが "レプリケーションアイランド" 上にあり、残りのADレプリケーショントポロジから切断され、回復できない状況が発生する可能性があります。 2つのサーバーDC01 - 10.1.1.1DC02 - 10.1.1.2がある場合、それらのDNSサーバーリストは次のように構成する必要があります。

サーバー:DC01(10.1.1.1)
プライマリDNS-10.1.1.2
セカンダリDNS-127.0.0.1

サーバー:DC02(10.1.1.2)
プライマリDNS-10.1.1.1
セカンダリDNS-127.0.0.1

OK、これは複雑に思えます。なぜADを使用したいのですか?

自分が何をしているかがわかれば、人生は限りなく良くなるからです。 ADでは、ユーザーとコンピューターの管理を一元化できるだけでなく、リソースのアクセスと使用を一元化できます。オフィスに50人のユーザーがいる状況を想像してみてください。各ユーザーに各コンピューターへの独自のログインを許可する場合は、各PCで50個のローカルユーザーアカウントを構成する必要があります。 ADでは、ユーザーアカウントを1度作成するだけで、デフォルトでドメイン上の任意のPCにログインできます。セキュリティを強化したい場合は、50回行う必要があります。悪夢のようなものですよね?また、それらのユーザーの半分だけがアクセスできるようにするファイル共有があるとします。 ADを使用していない場合は、ユーザー名とパスワードをサーバーで手動で複製してシームレスなアクセスを許可するか、共有アカウントを作成して各ユーザーにユーザー名とパスワードを与える必要があります。 1つの方法は、ユーザーのパスワードを知っている(そして常に更新する必要がある)ことを意味します。もう1つの方法は、監査証跡がないことを意味します。良くないですよね?

ADを設定している場合は、グループポリシーを使用することもできます。グループポリシーは、OUにリンクされているオブジェクトのセットであり、OU内のユーザーやコンピューターの設定を定義します。たとえば、「シャットダウン」が500のラボPCのスタートメニューに表示されないようにする場合は、グループポリシーの1つの設定でそれを行うことができます。手作業で適切なレジストリエントリを構成するために数時間または数日を費やす代わりに、グループポリシーオブジェクトを一度作成し、それを正しいOUにリンクすれば、再度考える必要はありません。構成可能なGPOは数百にも及び、グループポリシーの柔軟性は、Microsoftがエンタープライズ市場で非常に支配的である主な理由の1つです。

158
MDMarra

注:この回答は、フォレスト、子ドメイン、ツリー、サイト、およびOUの違いについて尋ねた別の質問からのこの質問にマージされました。これはもともと、この特定の質問に対する回答として書かれたものではありません。


森林

セキュリティ境界が必要な場合は、新しいフォレストを作成します。たとえば、ADで管理したい境界ネットワーク(DMZ)があるが、セキュリティ上の理由から、境界ネットワークで内部ADを使用したくない場合があります。この場合、そのセキュリティゾーンの新しいフォレストを作成する必要があります。相互に信頼しない複数のエンティティがある場合も、この分離が必要になる場合があります。たとえば、独立して動作する個々のビジネスを包含するシェル企業などです。この場合、各エンティティに独自のフォレストを設定します。


子ドメイン

本当に、これらはもう必要ありません。子ドメインが必要になる場合の良い例はほとんどありません。従来の理由は、異なるパスワードポリシー要件によるものですが、Server 2008以降で使用できる細かい設定が可能なパスワードポリシーがあるため、これは無効になりました。子ドメインが本当に必要なのは、信じられないほど貧弱なネットワーク接続がある領域があり、レプリケーショントラフィックを大幅に削減する-衛星付きのクルーズ船WAN接続が良い例です。この場合、各クルーズ船は独自の子ドメインになり、比較的自己完結型になります。同じ会社の他のドメインと同じフォレストにいることの利点を引き続き利用できます。


これは変なボールです。新しいツリーは、単一のフォレストの管理上の利点を維持したいが、新しいDNS名前空間にドメインがある場合に使用されます。たとえば、corp.example.comはフォレストルートである可能性がありますが、新しいツリーを使用して同じフォレストにad.mdmarra.comを含めることができます。子ドメインと同じルールと推奨事項がここに適用されます-慎重に使用してください。それらは通常、現代のADでは必要ありません。


地点

サイトは、ネットワーク内の物理的または論理的な境界を表す必要があります。たとえば、ブランチオフィス。サイトは、さまざまな領域のドメインコントローラーのレプリケーションパートナーをインテリジェントに選択するために使用されます。サイトを定義しない場合、すべてのDCは同じ物理的な場所にあるかのように扱われ、メッシュトポロジで複製されます。実際には、ほとんどの組織はハブアンドスポークで論理的に構成されているため、サイトとサービスはこれを反映するように構成する必要があります。

他のアプリケーションもサイトとサービスを使用します。 DFSは、名前空間の紹介とレプリケーションパートナーの選択にこれを使用します。 ExchangeとOutlookはこれを使用して、照会する「最も近い」グローバルカタログを見つけます。ドメインに参加しているコンピューターは、これを使用して、認証する「最も近い」DCを見つけます。これがないと、レプリケーションと認証のトラフィックはワイルドウェストのようになります。


組織ユニット

これらは、アクセス許可の委任とグループポリシーの適用に対する組織のニーズを反映する方法で作成する必要があります。 GPOのように適用するため、サイトごとに1つのOUを持っています。これはばかげています。サイトとサービスからサイトにGPOを適用できるため、他の組織は部門または機能によってOUを分離しています。これは多くの人にとって理にかなっていますが、実際にはOUの設計はニーズを満たし、かなり柔軟である必要があります。それを行う「方法」はありません。

多国籍企業は、North AmericaEuropeAsiaSouth AmericaAfricaのトップレベルのOUを持っている場合があるため、管理者権限に基づいて委任できます大陸で。他の組織には、Human ResourcesAccountingSalesなどのトップレベルのOUがある場合があります。他の組織では、最小限のポリシーニーズがあり、Employee UsersEmployee Computersのみの「フラット」レイアウトを使用しています。ここには正解はありません。会社のニーズを満たすものは何でもあります。

20
MDMarra