Open棟梁Project - マイクロソフト系技術情報 Wiki
...工事中...
目次 †
DNS †
- 必須のインフラストラクチャ
- Active Directory統合ゾーン
ドメイン サービス (AD DS) †
ディレクトリ・サービス †
登録できるオブジェクト †
- 種類
- 組織単位(OU)
- コンピュータ
- グループ
- ユーザ
- 連絡先
- プリンタ
- 共有フォルダ
アカウントの種類 †
- ユーザ・アカウント
- グループ・アカウント
- コンピュータ・アカウント
グループ・アカウントの種類 †
- セキュリティ・グループ
- ユニバーサル・グループ
- グローバル・グループ(人事用グループ)
- ドメインローカル・グループ(リソース用グループ)
- グループのタイプとして、セキュリティ・グループのほかに「配布グループ」というものが使えるようになった。
- セキュリティ・グループでは、Microsoft Exchange 5.5 Serverで使用する「配布リスト」の機能も持っている。
- 配布リストでは、Exchangeのセキュリティ機能を持っているが、実際の運用においてはセキュリティ機能を持たせない配布リストを作りたいことがある。
- 例えば、社外ユーザに一度に多量のDMを送信する場合など、社内ではログオンする必然性がないユーザをグループ化したいときに使えるのが「配布グループ」だ。
グローバル・カタログ †
- フォレスト内の全ドメインの全オブジェクトから、
検索で、頻繁に利用される頻度が高い属性
(デフォルトではユーザ名やログオン名など)
のみを抽出し、ドメイン間でレプリケーション、保存されている。
- 異なるドメインがある場合のみレプリケーションが発生する。
- ドメイン・コントローラ間のレプリケーションとは別である。
- 他のドメインの頻繁に利用される頻度が高い属性のみレプリケーションされる。
- 従って、シングルドメインの場合は、グローバル・カタログのレプリケーションは発生しない。
- 異なるドメインのオブジェクトでも、ローカルで一括して検索できる。
- ログオン時の所属グループの確認や、オブジェクト検索に利用される。
- グローバル・カタログ・サーバ
- グローバル・カタログは、フォレスト内のグローバル・カタログ・サーバが保持する。
- グローバル・カタログ・サーバは、ドメイン・コントローラの持つ役割の1つ。
ドメイン・ネットワーク(ワークグループ・ネットワークを拡張) †
- ユーザ認証(Kerberos認証)
- ユーザ、コンピュータ情報
- 共有フォルダ、プリンタ
セキュリティ †
セキュリティ・ポリシー †
ミラーアカウントからADのアカウントに移行することでIDの集中管理が可能
- Windowsログオン認証
- Kerberos、NTLM
- シングル・サインオン
- ワンタイムパスワード
- スマートカードログオン
- WSUS連携
- 更新プログラム入手の完全管理
- ネットワーク内のPCに更新プログラムを配布
- GPOと連携
グループ・ポリシー †
ローカル・ポリシーからグループ・ポリシーに移行することで
ポリシー設定、クライアント環境の集中管理が可能
レプリケーション †
ディレクトリサービスに登録できる情報を「オブジェクト」と呼び、
電話番号や住所、所属しているグループなどが格納できる。
このようなオブジェクトが持つ情報を「属性」または「プロパティ」と呼ぶ。
- NTドメインのPDCとBDC間の複製はオブジェクト単位で行われているのに対し、
Active Directoryの各DCではプロパティ単位で複製される。
- トラフィックの観点からすると、
● オブジェクト単位よりは
● プロパティ単位のほうが
交信するデータ量は少なくなる。
- NTドメインの場合、ユーザ・アカウントは1024bytesであるが、
Active Directoryでは3600bytesと倍以上に増えている。
このようにサイズが増えた理由は、オブジェクトごとに
住所や所属部署などのプロパティがより細かく入力できるようになったためである。
マルチマスタ・レプリケーション †
- ドメイン内に複数存在するDCのうちのいずれかに接続して
Active Directory情報を更新することができる。
- DCはアカウントが更新されると、5分後に同じドメインのDCにアナウンスメントを行う。
- マルチマスターにおける複製は複数のDC同士がアカウントを情報交換するため、
アカウントの複製が完了するまでは、まったく同じ情報をもつことはない。
- DCの複製は同一ドメイン内でだいたい15分程度で完了する。
サイト、サイトリンク †
- 認証トラフィック・複製トラフィックを軽減するため、
回線の帯域が狭い遠隔地との複製を円滑に行うために、「サイト」という概念も採用されている。
- サイト組織内の物理的なネットワーク接続を示すためのオブジェクトである。
- サイト同士は、「サイトリンク」と呼ぶ仮想のコネクタで接続する。
最適化(複製間隔を制御したり、複製データを圧縮したりできる)するために導入された。
- 認証トラフィック
ログオン認証時に、同一サイト内のドメイン・コントローラを優先して使用する。
- 複製トラフィック
サイト間でのディレクトリ・データベースを複製するためのトラフィックを
- スケジューリング(複製を行う時間帯を限定)し、
他のネットワーク・トラフィックへの影響を抑える。
また、通信料金が安くトラフィックが少ない
時間帯に複製を行うように設定することもできる。
- 圧縮する(限られたネットワーク帯域を有効的に利用する)。
- DCの複製の時間は、
- サイトリンクのデフォルト値の3時間に
- ドメイン内のDC間の複製時間をプラスするので、
約3時間半程度で複製が完了する。
対象 †
- ディレクトリ・データベース
- DNS(Active Directory統合ゾーン)
- グローバル・カタログ
操作マスタ(FSMO) †
フォレスト、ドメイン内で特定の役割をするDC
以下、FSMOの各役割は、
- フォレスト、ドメインに最初に導入したDCが担当しているが、
- ADの管理ツールを使って、ほかのDCに移すこともできる。
Insider's Computer Dictionary [FSMO] - @IT
http://www.atmarkit.co.jp/icd/root/95/97784195.html
特定の機能や操作については、複数のDCからのアップデートの競合による矛盾などを避けるために、あらかじめ決められた1台のDCだけが処理を担当することになっていて、その他のDCが肩代わりすることはない。この特定の機能(役割)のことを操作マスタ(FSMO)役割と呼び、以下の5つのものがある。
フォレスト単位 †
各フォレストごとに1台必要
- スキーマ マスタ
- ADに格納されているディレクトリ・データベースのスキーマの変更を担当するマスタ。
- ADDBのスキーマはすべてのDCから参照されるが、これを変更できるのはスキーマ マスタだけ。
- ドメイン名前付けマスタ
- フォレストへのドメインの追加や削除を担当するマスタ。
ドメイン単位 †
各ドメインごとに1台必要。
- PDCエミュレータ
- NTドメインのPDCのエミュレーションを担当する。
- ADクライアントを導入していないWindows 9x/NTなどのクライアントに対して
PDCの役目を果たしたり、ディレクトリの変更情報をBDCに伝達したりする。
- RID(Relative ID)プール マスタ
- SID(各ユーザやグループなどを区別するための、内部的な、ユニークな番号)
を作るために使われるRID(Relative ID)のプールの作成を担当するマスタ。
- SIDは、ドメインごとに固定した値を持つ部分(ドメインSID)と、
各ドメイン内でユニークな値を持つ部分(RID)の、2つの部分から構成されている。
- RIDプール マスタは、ドメインのDCが使用するRIDの範囲を管理し重複を防いでいる。
- インフラ ストラクチャ マスタ
- ドメインAのグループに属するドメインBのユーザの情報(名前など)の変更結果を、
ドメイン間(ドメインA-ドメインB間)を跨いで通知、複製する役割を担当する。
読み取り専用ドメイン・コントローラ(RODC) †
管理者のいない小規模拠点用(2008から)
- セキュリティの脅威に脅かされることが無い。
- オブジェクトの削除ができない。
- 特定の資格情報の実をキャッシュする。
- RODCで認証要求を処理できる。
- DCを盗んで、パスワードを解析するといったことができない。
- 一方向のレプリケーション(負荷軽減)
- 読み取り専用のDNS(動的更新要求には他のDNSを紹介)
ライトウェイト ディレクトリ サービス (AD LDS) †
- ディレクトリ・サービス
- LDAP(Lightweight Directory Access Protocol)
RFC2251で定義されているX.500準拠のディレクトリ・サービスにアクセスするためのプロトコルである。Active Directoryでは、ディレクトリ情報の検索や更新の際に使われる。X.500ディレクトリ・サービスで定義されるDAP(Directory Access Protocol)は複雑であったため、DAPをベースにして軽量化したLDAPがディレクトリ・サービス・プロトコルの標準となっている(「軽量」とは、仕組みが簡単で、プロトコルを利用したり、実装したりする手間が少なくて済むということ)。
証明書サービス (AD CS) †
フェデレーション サービス (AD FS) †
Rights Management Services (AD RMS) †
関係する機能 †
移動ユーザプロファイル †
分散ファイル システム (DFS) †