株式会社リクルートスタッフィングが運営するITSTAFFINGでは、弊社に派遣登録いただいている皆さまのスキル向上を支援するイベントを、定期的に開催しています。
2月2日に「今さら聞けない!Windows Server 2016 Active Directoryドメインサービス入門」を開催。トレノケート株式会社の横山哲也さんのセミナーは、ニーズに応じて、これまでも何度も実施しています。
■今回のポイントは
・Active Directoryドメインサービスの役割を知る
・Active Directoryドメインサービスの基本構造を理解する
・Active Directoryドメインサービスの構築についてデモを通じて学ぶ
前回のセミナーはこちら( https://www.r-staffing.co.jp/engineer/entry/20170630_2 )にレポートがアップされています。今回のレポートでは、前回レポートしきれなかった部分や、新しい機能について紹介します。
1994年より、ITプロ向けのWindows Server関連教育に携わる。2003年からマイクロソフトMVP。著書に『ひと目で分かるAzure基本から学ぶサーバー&ネットワーク構築』『プロが教えるWindows Server 2012システム管理』(監修・共著)『グループポリシー逆引きリファレンス厳選92』(監修・共著)がある。
Active Directoryとは各情報の一元管理を担う
講師の横山さんは、「会社などでActive Directoryがあり、管理ツールを使ったことのある人」を参加者に尋ねました。人数にして半分より少ないくらいでした。
「Active Directoryは何をするのでしょうか?一般的に『ディレクトリサービス』というと、案内状のことを指します。デパートの案内や、電話帳など。したがって、各情報の一元管理を担います」
前回のレポートにも記載している内容ですが、ここで復習しておきましょう。
Active Directoryは、以下の3つの要素から成り立っています。
・各情報の格納と検索・・・LDAP
・認証・・・Kerberos
・グループポリシー・・・実はActive Directoryではない
グループポリシーは、厳密にはActive Directoryの一部ではないものの、Active Directoryとセットで利用されるため、一緒に扱うことが多いのです。
Active Directoryの認証でトラブルがあったとき、「認証」と「グループポリシー」でトラブルシューティングが異なるので、別であることを知っておくとよいでしょう。
Active Directoryでない環境として、ワークグループがあります。家庭のネットワークなどで採用されています。コンピューターごとに固有のユーザーやグループを登録し、データはSAM(Security Account Manager)データベースに保存されています。この実体はレジストリです。
「企業などでコンピューターごとに登録すると、管理が面倒になります。10人を超えたらActive Directoryにしよう、と言われていますが、私の実感では3人を超えると大変になってきます」
Active Directoryは、ユーザーなどを検索することができます。ただ、検索している人は少ないそうです。ここで、デモとして検索画面をモニターに映し出しました。
エクスプローラーの「ネットワーク」タブに「Active Directoryの検索」があります。ダイアログが開くので、文字列で検索すると、属性にマッチしたものが出てきます。電話番号などの検索も可能です。
基本機能のおさらい
その後、前回のレポートにも一部あるように、基本機能の解説をしました。ここで、用語として復習と補足の解説をしておきます。
●ドメインコントローラー
データベースを保持するサーバーのこと。ドメインサーバーともいう。
●オブジェクト
Active Directoryに格納している情報のこと。「ユーザー」「グループ」「コンピューター」「共有フォルダ―」「共有プリンター」「組織単位(OU)」などがある。
●組織単位(OU)
登録情報の分類、管理権限の委任、構成の一元管理などを担う。
●ドメイン
名前を付けるときにDNSの名前を使う。これがドメイン名。ほかの会社とバッティングするようなドメイン名は避けるのが基本。
●ツリー
ドメインには階層構造を作れる。それをツリーと呼ぶ。
●フォレスト
階層の関係がなくても、関連性を持たせることができる。それをフォレストと呼ぶ。
●サイト
ネットワークの単位。拠点ごとに分けることが多い。
●グローバルカタログ
フォレスト内にある全情報のサブセットで、異なるドメインからよく参照される情報を部分的に収集しておく。
トラブルシューティング
複数のドメインコントローラーが存在する場合、お互いにデータベースを複製し合っています(マルチマスターレプリケーション)。どのドメインコントローラーが破損しても、機能障害にならないというメリットがあります。
ただし、基本的にはすべてのドメインコントローラーが読み書き可能なため、同時に書き込みや変更があるとデータの衝突が起こる可能性があります。異なる属性が変更された場合は問題ありません。属性ごとに複製をするので、情報の衝突は起こりません。
データを変更した場合、同一サイト内では、変更をトリガーとして、15秒待機してから複製が始まるので、ほぼリアルタイム。そのため、衝突が起こる可能性は非常に低いと言えます。サイトが異なる場合には、最短でも15分に1回しか複製しないため、比較的衝突が起こりやすいと言えるでしょう。その間に変更されたものがまとめて複製される仕組みです。
衝突が起きた場合、以下の項目を優先して複製します。
1.バージョン(変更回数)
2.更新時刻
3.GUID
GUIDはランダムな数字が付くので、どちらが優先されるかわかりません。
「他には、コンテナ(入れ物)の削除と、オブジェクト作成が衝突するケースがあります。オブジェクトを追加したら居場所がなくなった、ということ。その場合には『LostAndFound』というコンテナに格納されます。また、同一名オブジェクトを同時に作成したような場合は、片方が名前を変更され、勝手に削除されたりはしないようになっています。いずれの場合も管理者が発見して対処することになります」
通常のドメインコントローラーは読み書きができると説明しましたが、読み取り専用のドメインコントローラー(RODC:Read Only Domain Controller)も用意されています。間違って設定してしまう管理者が時々いるので、用途を知っておくとよいでしょう。
これは本来、物理的に盗まれるなどの脅威があるときに設定するものです。例えば、ごく少ない人数を管理している支店のようなケース。RODCには、その支店に勤務している一般社員のパスワードだけを保存します。物理的に盗まれたことがわかったら、RODCに入っていたパスワードのリストがすぐにわかるようになっているので、他のドメインコントローラーから強制リセットができます。RODCを盗まれて解析されても、システム的にはさほどダメージがないというわけです。
ドメインコントローラーのメンテナンスとAzure AD
データベースの場所を変更するなど、ドメインコントローラーのメンテナンスをすることがときどきあります。その際の手順を説明しましょう。
「msconfig」というコマンドを実行し、「ブート」タブの「セーフブート」から「Active Directory修復」というメニューを選択します。設定を保存して再起動するとActive Directoryが停止した状態で起動しますが、少々手間がかかります。
Active Directoryだけを停止するには、「net stop ntds」コマンドを使います。その後、「ntdsutil」というコマンドでメンテナンスが可能。その後、再度「net start ntds」を実行して起動しましょう。
新機能として、Azure Active Directory(Azure AD)も知っておきましょう。クラウドのAzure上でのID管理のことで、認証プロトコルはOAuth 2.0またはOpenID Connect 1.0。ADDS(Active Directory Domain Service)の認証プロトコル(NTLMv2、Kerberos v5)とは異なります。
さらに、Azure ADDSというものもあり、オンプレミスのActive Directoryと同じプロトコルをインターネット上で使います。
「Azure ADDSの用途は、『Azure上で一般的なドメイン機能が欲しい』というニーズに応えるものです。フェールオーバークラスターの構築や、複数サーバーの統合管理、Windows Server構築インフラとして必要、などがあるでしょう。ドメインコントローラーを排除できるので安価に済ませられると考えられます」
Active Directoryドメインサービスは、ここ数年間で機能が大きくは変わっていません。だからこそ、今さらどうやって勉強しようか、悩んでいた方も少なくないでしょう。この機会にしっかりとマスターしておきたいですね。
