Open棟梁Project - マイクロソフト系技術情報 Wiki -[[戻る>ドメイン サービス (AD DS)]] * 目次 [#q0928576] #contents *一般 [#t302168c] **ドメイン、ドメイン・コントローラ、ドメイン・ツリー、フォレスト [#k9dc6004] -Active Directory関連用語集(前編) - @IT~ 1.ドメイン、ドメイン・コントローラ、ドメイン・ツリー、フォレスト~ http://www.atmarkit.co.jp/fwin2k/operation/adprimer003/adprimer003_01.html -Active Directoryの導入 - @IT~ 第7回 1.ウィザード(1)― ドメイン形態の選択~ http://www.atmarkit.co.jp/fwin2k/operation/adprimer007/adprimer007_01.html -エンタープライズ:「Windows 2000ネットワーク解剖~信頼関係と認証~」~ http://www.itmedia.co.jp/help/howto/win/win2000/0007trust/01/~ >>Active Directoryの構成要素には,ドメイン,ドメイン・ツリー,フォレストがある。 ***ドメイン [#i485cd9d] -同じディレクトリ・データベースを共有する範囲。 -1つ以上のドメイン・コントローラによって管理された領域であり,~ オブジェクトを複製したりセキュリティポリシーを設定したりするときの論理的な境界となる。 -ドメイン - Wikipedia~ http://ja.wikipedia.org/wiki/%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E5%90%8D ***ドメイン・コントローラ [#xae63b91] -Active Directoryのドメインを管理するサーバ。 -Active Directoryのディレクトリ・データベースを管理するサーバ。 -ドメインコントローラ - Wikipedia~ http://ja.wikipedia.org/wiki/%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%82%B3%E3%83%B3%E3%83%88%E3%83%AD%E3%83%BC%E3%83%A9 ***ドメイン・ツリー [#n657b54b] -1つ以上の連続するDNS名を備えたドメインの集合として定義される。 -ドメイン・ツリー内で最上位に位置するドメインのことを, 「ドメイン・ツリーのルート・ドメイン」と呼ぶ。 ***フォレスト [#o38a6292] -スキーマとグローバルカタログを共有するドメインとドメイン・ツリーが,それぞれ1つ以上含まれている。 -ドメイン・ツリーとは異なり,フォレストには連続していないDNSの名前空間に存在するドメインをも含むことができる。 -フォレストは,Active Directoryの信頼関係やスキーマの境界となる。 --ディレクトリ内のオブジェクトを検索したり表示したりするときの境界でもある。 --同一フォレスト内のドメイン・ツリーには、双方向の信頼関係が結ばれる。 -Active Directoryの操作範囲はフォレスト内に限られる。 **信頼関係、オブジェクトとスキーマ、組織単位(OU) [#leba03e5] Active Directory関連用語集(前編) - @IT~ 2.信頼関係、Active Directoryオブジェクトとスキーマ、組織単位(OU)~ http://www.atmarkit.co.jp/fwin2k/operation/adprimer003/adprimer003_02.html ***信頼関係 [#q0512342] -ドメインで管理している資源に対して、アクセス権を割り当てられる対象は、ドメインのユーザやグループである。通常、ドメイン以外のユーザやグループ、別ドメインのユーザやグループに対しては、アクセス権の割り当てなどはできない。しかし、同じ組織の中に複数のドメインが存在する場合、異なるドメインのユーザやグループにもアクセスの許可や拒否などを設定したい場合がある。その場合には、ドメイン間で「信頼関係」という関係を結ぶ必要がある。 -NTドメインでもドメイン間の信頼関係という機能が用意されていた。NTドメインでは、信頼関係を管理者が手動で設定しなければならなかったが、Active Directoryドメインでは同じフォレストに参加するドメインであれば自動で信頼関係が結ばれる。だがActive Directoryでは同一フォレストに参加するようにインストールすれば、それだけで双方向の推移する信頼関係が自動的に結ばれるため、管理作業が軽減される。 -「ドメイン・ツリー」とは、連続した名前空間を共有しているActive Directoryドメインの階層構造を意味している。Active Directoryのドメイン階層はDNSの名前階層を流用するため、DNSの規則に従って階層を構成する。つまり、子ドメインは親ドメインの名前を継承する。このとき、ツリーに参加するすべてのドメイン間には双方向の推移する信頼関係が結ばれる。 -「フォレスト」は1つ以上のツリーで構成された、Active Directoryにおける最も大きな管理単位である。組織内に異なる名前空間にしたいドメイン・ツリーが複数あり、それぞれのドメイン・ツリーから別ツリーのドメインの資源にアクセスするには、ドメイン間に信頼関係を結ぶ必要がある。しかしそれぞれのドメイン・ツリーのルート・ドメインが同じフォレストに参加するようにインストールすれば、双方向に推移する信頼関係が結ばれる(単一フォレスト複数ツリー)。そのため、ユーザはフォレストに参加するすべてのドメインの資源へアクセスが提供されるようになる。 ***オブジェクト [#df98ff87] -Active Directoryで管理される情報の最小単位のことである。 -ユーザやグループ、コンピュータなどがオブジェクトとして管理される。 --オブジェクトの中には、ユーザやコンピュータとは異なり、オブジェクトの内部に、さらに別のオブジェクトを含むことができるものがある。これを「コンテナ・オブジェクト」と呼ぶ。 -「コンテナ・オブジェクト」には2種類あり、 --非コンテナ・オブジェクトのみを含むことができる「コンテナ・オブジェクト」と、 --別の「コンテナ・オブジェクト」も含むことができる「コンテナ・オブジェクト」がある。 -管理者がActive Directory導入後に作成できるコンテナ・オブジェクトは、コンテナ・オブジェクトを含むことができる「組織単位(OU)」だけである。 -コンテナ・オブジェクトを含むことができないコンテナ・オブジェクトには、デフォルトで作成される「Computers」や「Users」といったコンテナがあるが、管理者がこれらを作成することはできない(デフォルトで作成されるコンテナ内にオブジェクトを追加することはできる)。 ***スキーマ [#o562bfc5] -Active Directoryのデータベース構造を定義したものである。 -スキーマには、コンピュータ、ユーザ、グループ、プリンタなどActive Directoryに格納されているオブジェクトすべての定義(テンプレート)が含まれる。 -Active Directoryでは、同一フォレストに1つのスキーマ・セットしか維持できない。 -スキーマの変更はフォレスト内の1台のドメイン・コントローラで行われる。 -一般に、Active Directoryでは、すべてのドメイン・コントローラが対等の役割を持つが、スキーマ変更は数少ない例外処理である。 -スキーマ変更の役割を担うドメイン・コントローラを「スキーマ・マスタ」と呼ぶ。 -スキーマ・マスタは後述する操作マスタの一種である。 ***組織単位(OU) [#r3ca5288] -Active Directoryで新たに採用された管理単位 -管理者がActive Directory導入後に作成できる唯一のコンテナ・オブジェクト -管理者が容易にドメインを管理できるようにすることを目的とする。 --内部にさらに別のOUを含むことができる。オブジェクトを組織化するために利用される。 --OUは地域別のオブジェクトや組織別オブジェクトなどを管理者が任意に格納できる。 --組織化する主な目的は以下の3つである。 ---OU単位で管理者を割り当てるために管理範囲をまとめる。 ---グループ・ポリシーを使い、OUの単位でコンピュータの利用環境の原則を定める。 ---管理者が分かりやすいようにオブジェクトを分類する。 --ユーザ・アカウント以外の共有リソースを管理することもできる。 ---コンピュータアカウント用OU ---プリンター専用OU ---共有フォルダ専用OU **1つしか無い系 [#u6e4c2a2] ***操作マスタ [#gc122309] [[機能一覧>Active Directory(機能一覧)#t57a7e74]]で説明済み ***グローバル・カタログ [#eb268e9f] [[機能一覧>Active Directory(機能一覧)#t57a7e74]]で説明済み **サイト [#fd161ed5] [[機能一覧>Active Directory(機能一覧)#z0123839]]で説明済み **モード [#eb84a1af] Active Directory関連用語集(後編) - @IT~ 第4回 2.Active Directoryのドメイン・モード、DNSのゾーン・モード~ http://www.atmarkit.co.jp/fwin2k/operation/adprimer004/adprimer004_02.html ***Active Directoryのドメイン・モード [#d0157a93] Active Directoryドメインには、「ネイティブ・モード(native mode)」と「混在モード(mixed mode)」という2種類のドメインの動作モードがある。 -ネイティブ・モード~ ドメインに参加しているドメイン・コントローラが、すべてWindows 2000のドメイン・コントローラで構成されたドメインの場合に設定できる(逆にいえば、NTドメインのドメイン・コントローラが存在する場合は、このモードにすることはできない)。ネイティブ・モードではActive Directoryのすべての機能がサポートされる。 -混在モード~ 機能の一部に制限がある代わりに、Windows NT 4.0のBDC(バックアップ・ドメイン・コントローラ)の混在をサポートする。これにより、NTドメインからActive Directoryドメインに移行した場合でも、いままで使っていたBDCをそのまま利用できる。ドメイン内のドメイン・コントローラに1台以上のNT BDCが存在する場合は、混在モードで運用しなければならない。混在モードの場合、Active Directoryのドメイン・コントローラは、NT BDCにもディレクトリ・データベースの内容を複製する必要がある(NT BDCもドメインのユーザ認証処理を担うため、データベース上にユーザ情報が必要である)。そのため複製データには、NT BDCが理解できるものしか含めることができない。 ***DNSのゾーン・モード [#r6d7d791] 「Active Directory統合ゾーン」は、Windows 2000のDNSサーバにおけるゾーンの管理タイプの一種である。Active Directory統合ゾーンは、ドメイン・コントローラとDNSサーバを同一のコンピュータで構成することにより提供される機能である。つまりゾーンの管理タイプの一種ではあるが、Active Directoryを構築していないと利用できない。Windows 2000のDNSサービスでは、3つのゾーン・タイプがサポートされている。1つは「標準プライマリ・ゾーン」であり、マスタのゾーン・ファイルを管理する役割になる。2つ目が「標準セカンダリ・ゾーン」である。これはプライマリ・ゾーンからのゾーン・ファイルの複製を保持する。セカンダリ・ゾーンはフォールト・トレランス(耐障害性)や負荷分散を実現するために構成する。ただし、セカンダリ・ゾーンではレコードの追加や編集はできない。 -標準プライマリ・ゾーン、標準セカンダリ・ゾーン 標準プライマリと標準セカンダリで構成されたDNSゾーンの管理は必ず標準プライマリ・ゾーンに対して行う必要がある。 -Active Directory統合ゾーン~ では、ゾーン情報をActive Directoryデータベースのオブジェクトとして保持する。Active Directoryデータベースはすべてのドメイン・コントローラで登録、編集が可能であるためプライマリ・ゾーンが複数存在するのと同じ構成となる。また、ゾーン転送もActive Directoryの複製処理に任せることができる。Active Directory統合ゾーンでは、ゾーンに対する動的更新をセキュリティで保護することもできる。ただし、DNSサーバがActive Directoryデータベースを保持するドメイン・コントローラでないと「Active Directory統合」は選択できない。Active Directory統合ゾーンを構成したい場合には、ドメイン・コントローラがDNSサーバになる必要がある。 **その他 [#f3ecfd6b] -ドメイン NetBIOS名 --デフォルトでは、割り当てたActive Directoryドメイン名の先頭のピリオドまでがNetBIOSドメイン名として利用されるため、~ 既存のネットワーク環境で先頭のピリオドまでの名前が一意かどうかを確認しておく必要がある(「○○○.△△△.co.jp」なら「○○○」の部分)。 --また、NetBIOS名の文字数は最長で15文字までしか割り当てられないため、制限の範囲内にとどめるように名前を付けるべきである。 --もしどうしてもNTのドメイン名と重複する場合は、Active Directoryのドメイン名とは別に、NetBIOSドメイン名を割り当てることもできる。 *高度 [#g24b2e8b] **格納フォルダ [#z5872dff] Active Directoryの導入 - @IT~ 第7回 2.ウィザード(2)― 格納フォルダの選択~ http://www.atmarkit.co.jp/fwin2k/operation/adprimer007/adprimer007_02.html -NTDS --Active Directoryのディレクトリサービス等が使用するデータベース。 --データベースの格納場所の指定~ Active Directoryデータベースとログファイル(ディレクトリ・サービスに対するトランザクション・ログ)の格納領域を指定する。デフォルトではシステムがインストールされているフォルダ(%SystemRoot%)の中に「NTDS」というフォルダが作成され、これが利用される。データベース・ファイルとログファイルのドライブを別の物理ディスクに指定することにより、システムのパフォーマンスを上げることができる。 --Directory design 1~ ディレクトリ容量の見積もり Active Directoryデータベースの実体とは~ http://www.itmedia.co.jp/help/howto/win/win2000/0007special/tokusyu/2000_01/02.html --AD Explorerを使い倒せ! Active Directory DBの内容を参照する~ http://www.computerworld.jp/topics/560/191349~ http://www.computerworld.jp/topics/560/191349?page=0,1 -SYSVOL --ドメイン・コントローラ間で共有されるファイルを格納するSYSVOL共有フォルダ --SYSVOL共有フォルダの場所の指定~ 次は、ドメイン・コントローラ間で共有されるファイルを格納するSYSVOL共有フォルダの場所を指定する。システムがインストールされているフォルダ(%SystemRoot%)の中に「SYSVOL」というフォルダが作成され、利用される。特別な理由がなければ、混乱を避ける意味でも変更する必要はないだろう。ここで指定した共有フォルダは、FRS(File Replication Service。ファイル複製サービス)によって、ドメイン内のほかのドメイン・コントローラが保持するシステム共有(ほかのドメイン・コントローラのSYSVOLフォルダ)と双方向の複製が自動的に行われる。~ ~ この共有フォルダには、グループ・ポリシー・ファイルなどが配置され、ほかのドメイン・コントローラにも複製されるようになっている。またNTドメインで共有フォルダとして利用されていたNETLOGON共有(ログオン時のスクリプトなどが置かれているフォルダ)もこのSYSVOLフォルダ内で共有されるため、下位互換のログオン・スクリプトやシステム・ポリシー・ファイルも自動的にほかのドメイン・コントローラに複製される。NT BDC(Backup Domain Controller)には複製されないので、混在モードの場合には別途BDCに複製される仕組みを実装しなければならない。 **パーティションとレプリケーション・スコープ [#x812a5be] ***パーティション [#b6a24f53] Active Directoryのパーティションとレプリケーションスコープ WindowsServer管理者への道~ http://ebi.dyndns.biz/windowsadmin/2009/03/16/active-directory%E3%81%AE%E3%83%91%E3%83%BC%E3%83%86%E3%82%A3%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A8%E3%83%AC%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%B9%E3%82%B3%E3%83%BC/ -比較表 |パーティション名|格納されている情報|レプリケーションスコープ(複製範囲)|h |スキーマ・パーティション|Active Directoryに存在するクラス、オブジェクトの設計情報|フォレスト・ワイド| |構成パーティション|● フォレスト、ドメインの構成情報&br;● Active Directory対応アプリケーションの構成情報|フォレスト・ワイド| |ドメイン・パーティション|ドメインに存在するオブジェクトの情報|ドメイン・ワイド| |アプリケーション・パーティション|※2003から新規導入 Active Directoryに情報を格納する用に設計されているアプリケーションの情報|色々| -説明 --ADSIEditで参照可能。 --スキーマ・パーティション ---ディレクトリ・サービスのスキーマ情報 ---例えばActive DirectoryにExchange Serverを導入するときには、メール関連のクラスや属性が追加されます。 ---それはスキーマ・パーティションへの変更(スキーマ拡張)であるため、Active Directory全体に影響が及びます。 ---例:CN=Schema,CN=Configuration,DC=test,DC=local → Active Directory スキーマ --構成パーティション ---Active Directory自身の構成情報 ---Active Directory対応のアプリケーションの情報 ---例1:CN=Sites,CN=Configuration,DC=test,DC=local → サイトとサービス ---例2:CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=test,DC=local → Exchangeシステムマネージャー --ドメイン・パーティション ---ドメイン内のユーザー、グループ、コンピューターなどの情報 ---例:DC=test,DC=local → Active Directory ユーザーとコンピューター ***レプリケーション・スコープ [#gc59cbb7] -ドメイン・ワイド(ドメイン単位の情報) -フォレスト・ワイド(ドメイン単位ではなく、Active Directory全体にかかわる情報) **内部パラメタ [#c0ac3ffc] -USN -RID