Active Directory(概要)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>ドメイン サービス (AD DS)]]
* 目次 [#k5059ab5]
#contents
*概要 [#qdb986e0]
-Windows NTドメインでは、クライアント・サーバコンピュータ...
-しかし、Active Directory では情報スキーマを定義し情報を...
-また、データオブジェクトの格納件数や、検索機能の強化、LD...
-Active Directoryは、[[ディレクトリ サービス]]、[[DNS>DNS...
「ドメイン 」という「ワークグループ」より高度なネットワー...
--Active Directoryのドメインは、機能的に見て、DNSのドメイ...
--それより以前には、NTドメインによりドメインが構築されて...
---NTドメインはPDC・BDCにより管理された論理的なネットワー...
Active Directoryと同様に物理的な距離には左右されない、共...
---ただし、DNSの機能はなく、[[DIB>LDAPプロトコルでのディ...
-Active Directoryでは、インターネットの標準技術を採用して...
|#|機能|標準技術名|h
|1|データベース|[[ディレクトリ サービス]](X.500規格)|
|2|名前解決|[[DNS>DNSサーバ]]|
|3|ディレクトリ検索|[[LDAP>LDAPプロトコルでのディレクトリ...
|4|認証|[[ケルベロス認証]]|
-Active Directoryは、以下の情報を中央で集中制御できるよう...
--ネットワーク上に存在するクライアント・サーバ コンピュー...
--それらを使用するユーザの組織単位、ユーザ アカウント、グ...
*基礎 [#b99f2eb2]
**ドメイン コントローラ(DC) [#ld8ac419]
***機能と役割 [#hb53e8fd]
-DCはドメインを制御するための中心的なシステムであり、
--Active Directoryのドメインを管理する。
--Active Directoryのディレクトリ・データベースを管理する。
-非常に重要な役割を持っている。主な役割としては、以下があ...
--[[DNS>DNSサーバ]]などによる[[名前解決機能>Windowsネット...
--ディレクトリ情報ベース([[DIB>LDAPプロトコルでのディレ...
--[[LDAPによるDIBの検索機能>LDAPプロトコルでのディレクト...
--[[ユーザ認証機能>認証基盤#m4be745d]]([[NTLM>認証基盤#z...
#ref(DC.png,left,nowrap,DCの役割)
***参考 [#j8871b76]
-ドメインコントローラ - Wikipedia~
http://ja.wikipedia.org/wiki/%E3%83%89%E3%83%A1%E3%82%A4%...
**Active Directoryのドメイン [#mddefc78]
-ADの「ドメイン」の範囲は、物理的なネットワーク構造に依存...
-1つ以上のドメイン・コントローラによって管理された領域で...
-参考
--ドメイン - Wikipedia~
http://ja.wikipedia.org/wiki/%E3%83%89%E3%83%A1%E3%82%A4%...
***「ワークグループ」の環境では、 [#od7d90a0]
-同じ「ワークグループ」に参加するコンピュータは、同じネッ...
--ワークグループの環境では、[[ブラウジング機能>NetBIOS#v2...
-しかし、ネットワークの範囲はルータ等で区切られている物理...
#ref(Workgroup.png,left,nowrap,「ワークグループ」の環境)
***Active Directoryの「ドメイン」の環境では、 [#q37cba89]
-ネットワークを超えて管理したいものだけを登録し、ネットワ...
--ドメインの環境では、[[ブラウジング機能>NetBIOS#v27ab873...
Active Directoryの「ドメイン」の環境では、[[ドメイン コン...
-このため、「ワークグループ」よりも自由度が高い。
#ref(Domain.png,left,nowrap,Active Directoryの「ドメイン...
※ 「ドメイン」を図示する場合は、三角形で描く習慣がある。
**Active Directoryの「スキーマ」 [#fd0188a4]
-ディレクトリ情報ベース([[DIB>LDAPプロトコルでのディレク...
-「スキーマ」には、Active Directoryに格納されている下記オ...
--コンピュータ
--ユーザ
--グループ
--プリンタ
***スキーマ・マスタ [#t61ddb01]
-Active Directoryでは、同一「[[フォレスト>#t37740d3]]」に...
-従って、「スキーマ」の変更は「[[フォレスト>#t37740d3]]」...
--一般に、Active Directoryでは、すべての[[ドメイン コント...
--「スキーマ」変更の役割を担う[[ドメイン コントローラ(DC...
***グローバル カタログ(GC) [#m0de562c]
-以下のような情報を格納し、検索・認証などの処理を担当する...
--当該「ドメイン」の[[DIB>LDAPプロトコルでのディレクトリ...
--「[[フォレスト>#t37740d3]]」内の、その他の「[[ドメイン>...
頻繁に利用する以下の属性は、[[DIB>LDAPプロトコルでのディ...
---ネットワーク資源情報
---ユーザの組織単位
---ユーザ アカウント
---グループ
---アクセス権
---PCの構成
--ネットワークへのログオンを許可する認証情報
#ref(GC.png,left,nowrap,GCを格納するDC)
-グローバル カタログ(GC)を格納する[[ドメイン コントロー...
--性能などを考慮して、ドメインの管理・[[DIB>LDAPプロトコ...
--[Active Directory スキーマ] スナップインを使用すると、[...
---TechNet > グローバル カタログをカスタマイズする~
http://technet.microsoft.com/ja-jp/library/cc758130.aspx
**ドメイン ツリー、フォレスト [#e6994dc1]
#ref(DomainTreeAndForest.png,left,nowrap,ドメイン ツリー...
***ドメイン ツリー [#p35c9e7e]
連続したDNSの規則に従った名前階層を共有しているActive Dir...
-ユーザやコンピュータの数が多い場合や、拠点が複数ある場合...
-この階層構造のことを「ドメイン ツリー」と呼び、1つ以上の...
-「ドメイン ツリー」に存在する「[[ドメイン>#mddefc78]]」...
-「ドメイン・ツリー」内で最上位に位置する「[[ドメイン>#md...
***フォレスト [#t37740d3]
1つ以上の「[[ドメイン・ツリー>#p35c9e7e]]」構成された、Ac...
-同じ組織で名前の階層を分けたい場合は、別の「[[ドメイン・...
-この場合、「[[ドメイン・ツリー>#p35c9e7e]]」同士で「[[信...
-Active Directory構造におけるグループ化の最大の単位は、「...
-「フォレスト」は、
--「[[スキーマ>#fd0188a4]]」と[[グローバル カタログ>Activ...
--「[[ドメイン・ツリー>#p35c9e7e]]」とは異なり、「フォレ...
--「フォレスト」は,Active Directoryの「[[信頼関係>#d40c0...
---ディレクトリ内のオブジェクトを検索したり表示したりする...
---同一「フォレスト」内の[[ドメイン・ツリー>#p35c9e7e]]に...
-Active Directoryの操作範囲は「フォレスト」内に限られる。
**信頼関係 [#d40c03fa]
***信頼関係とは [#nc450474]
-「[[ドメイン>#mddefc78]]」で管理している資源に対して、ア...
--通常、「[[ドメイン>#mddefc78]]」以外のユーザやグループ...
--しかし、同じ組織の中に複数の「[[ドメイン>#mddefc78]]」...
--その場合には、「[[ドメイン>#mddefc78]]」間で「信頼関係...
-NT[[ドメイン>#mddefc78]]でも「[[ドメイン>#mddefc78]]」間...
--NT[[ドメイン>#mddefc78]]では、「信頼関係」を管理者が手...
--だがActive Directoryでは同一「[[フォレスト>#t37740d3]]...
***信頼関係による資源アクセス提供範囲 [#qdf82f8b]
-「[[ドメイン・ツリー>#p35c9e7e]]」や「[[フォレスト>#t377...
--「[[ドメイン・ツリー>#p35c9e7e]]」に参加するすべての「[...
--「[[ドメイン・ツリー>#p35c9e7e]]」の「ルート・ドメイン...
-「[[ドメイン>#mddefc78]]」間に「信頼関係」が結ばれると、
--「信頼関係」の方向に「[[グローバル カタログ(GC)>#m0de...
--これにより、同一「[[フォレスト>#t37740d3]]」内で「[[グ...
***信頼関係の推移 [#sd5ddfcc]
-同一「[[フォレスト>#t37740d3]]」内の「[[ドメイン>#mddefc...
-「信頼関係」の推移では、
--「[[ドメイン>#mddefc78]]」A・Bが双方向の「信頼関係」を...
--「[[ドメイン>#mddefc78]]」B・Cが双方向の「信頼関係」を...
>自動的に「[[ドメイン>#mddefc78]]」A・C間にも双方向の「信...
***信頼関係とフォレスト構成 [#v5d7c924]
1つの組織では1つの「[[フォレスト>#t37740d3]]」にとどめ...
-「[[フォレスト>#t37740d3]]」間で「信頼関係」を結ぶことも...
--「信頼関係」の推移は行えない。
--一方向のみの「信頼関係」となる。
-また、後で複数の「[[フォレスト>#t37740d3]]」を1つの「[[...
-サポートされるフォレストの信頼の種類
--双方向の Windows フォレストの信頼~
フォレスト A とフォレスト B の間に双方向の信頼がある場合、~
フォレスト A とフォレスト B のユーザは、~
両フォレストのサーバにアクセスすることができる。
--別のフォレストに対する一方向の受信信頼~
フォレスト A がフォレスト B に対する受信信頼を持つ場合、
---フォレスト A のユーザはフォレスト B のサーバにアクセス...
---フォレスト B のユーザはフォレスト A のサーバににアクセ...
--別のフォレストに対する一方向の送信信頼~
フォレスト A がフォレスト B に対する送信信頼を持つ場合、
---フォレスト B のユーザはフォレスト A のサーバにアクセス...
---フォレスト A のユーザはフォレスト B のサーバにアクセス...
--過渡的な信頼
フォレスト A のユーザが信頼関係によってフォレスト B のサ...
フォレスト A の子ドメインのユーザは、フォレスト A と B の...
信頼関係が設定されていれば、フォレスト B のサーバにアクセ...
*背景 [#w59c06d4]
**NTドメインの短所 [#m92ba1d9]
-ドメイン間の階層構造がとれない
-PC名(NetBIOSコンピュータ名)の名前空間が単一であるため、~
別NTドメインであっても同名のPCが同一ネットワーク上に存在...
-基本的にLAN内で構築することが前提のシステムであり、~
WANのような狭帯域の回線が存在すると、ログオン認証パケット...
不達や遅延によるアクセス不能問題を起こしやすい。
-Security Account Manager(SAM)データベース~
(実体はレジストリ)の最大容量がわずか40MBと少なく、
--ユーザーアカウントや
--コンピュータアカウントを
>4万件程度しか登録することが出来ない。
-このため、アカウント管理と共有資源の管理の両立が難しく、
--アカウントを管理するマスタ・ドメインと
--共有資源を管理するリソース・ドメインを
>つくり信頼関係を設定する必要があった。そのほかにも、
--管理権限を分割したい、
--障害復旧のダウンタイムを最小限にしたい
>などの理由がある。
-PDC(Primary Domain Controller)が壊れた場合、
--BDC(Backup Domain Controller)を利用可能だがディレクト...
--BDCをPDCに昇格するという機能が提供されているが、~
昇格の作業は管理者が手作業で行わなければならない。
**Active Directoryでの強化点 [#dc4a2ea2]
ADでは、上記のNTドメインの欠点を改善したほか、以下のよう...
-[[DNS>DNSサーバ]]、[[LDAP>LDAPプロトコルでのディレクトリ...
「インターネット系のオープン技術」が取り入れられている。
-可用性(アベイラビリティ)が高い~
[[DNS>DNSサーバ]]や[[ドメイン コントローラ(DC)>#ld8ac41...
--PDC・BDCの
「シングルマスタ・システム(「シングルマスタ・レプリケー...
--複数のマスタサーバが存在する
「マルチマスタ・システム(マルチマスタ・レプリケーション...
>変更されている。
--Windows 2003 Server ではGCの内容をキャッシュすることで、~
GCなしのログオン(GCレスログオン)をサポートできるように...
ただし、デフォルトの動作はGCが必須になる予定。
-拡張性(スケーラビリティ)が高い
--NTドメインでは、SAMデータベースの最大登録ユーザは4万人...
Active Directoryでは数百万人を超える登録も可能(40MB→16TB...
--「マスタ・ドメイン」や「リソース・ドメイン」といった分...
不要になり、シングル・ドメイン構成でも柔軟に管理できるよ...
--WAN回線を考慮した設計(サイト、サイトリンク)~
もできるので、大規模ドメインの構築も簡単にできる。
-管理性(マネージャビリティ)が高い
--ドメイン階層やOUを利用した分散管理もできる。
--集中管理でも分散管理でも、管理者が望む方式に対応できる。
-反面、ADを構築するには[[DNSサーバ]]の設置、ゾーン情報の...
設計、構築、運用、保守の全てにおいて必要なスキル水準が上...
NTドメインほど「お手軽」ではなくなってしまった。
-また、ユーザ・アカウントやコンピュータ・アカウント管理、~
ファイルとプリンタの共有ができれば十分であり、~
サポートが得られなくても現に利益を生み出しているシステム...
リプレースするメリットはないと判断したユーザも多い。
-2006年末でWindows NT Server 4.0のサポートは~
オンラインサポートも含めて完全に終了したが、~
依然として稼働中のNTドメインが残っており、~
マイクロソフトはNTドメインからADへの移行を促進することを...
-Active Directoryへ移行するための予備知識~
http://www.atmarkit.co.jp/fnetwork/rensai/ad03/ad01.html
**Active Directoryとは何か? [#pf6a0fa7]
Active Directoryには3つの側面がある。
-第1が「Windows NTドメイン互換ドメイン」、
-第2が「便利で高機能なWindows NTドメイン」、
-そして第3が「汎用ディレクトリ・サービス」である。
それぞれの機能は、Active Directoryの活用レベルと考えても...
***レベル1:Windows NT互換ドメイン [#ofb491b0]
ユーザーとグループ、コンピュータを「ドメイン・メンバ」と...
-管理を一元化し、
-情報や共有リソース(共有資源)へのアクセスを限定する
機能を持つ。
***レベル2:便利で高機能なWindows NTドメイン [#tef84bf9]
-「ドメイン間の階層構造(DNSに基づく)」と「ドメイン内の...
-ドメイン間の階層構造(DNSに基づく)
--異なるセキュリティ・ポリシー(パスワードの利用制限など...
--必要なら特定の管理者が複数のドメインを管理するように設...
--Active DirectoryドメインはDNSドメインと一致しなければな...
--しかし、Active Directory用のドメインをインターネット上...
-ドメイン内の階層構造(OUに基づく)
--ドメイン内の階層構造は「組織単位(OU)」と呼ばれる。
--Active Directoryに登録された情報は、同一ドメイン内であ...
--(パスワードリセット等の)権限をOU単位で任意のユーザー...
--クライアントに対しては、強力な検索機能が提供される。~
ユーザの氏名、電子メール、電話番号、共有資源(共有フォル...
***レベル3:汎用ディレクトリ・サービス [#q9dbc564]
-アプリケーションの使う分散型・階層型DBを提供する。
-ディレクトリ・サービスの真の価値は、アプリケーションが対...
--マイクロソフトのサーバ製品に魅力を感じるのであれば、Act...
---現在、Active Directoryの力を十分に引き出しているアプリ...
Active DirectoryなしにExchange 2000の機能は実現できなかっ...
またほかにも、Active Directoryを必要とするアプリケーショ...
---Active Directory導入のメリットは、こうしたアプリケーシ...
---逆にいうと、魅力的なアプリケーションがない限り、Active...
--UNIX上でKerberosクライアントを動作させれば、UNIXをActiv...
---アプリケーションをKerberos対応にすることを「Kerberise...
---実は、UNIXアプリケーションでケルベライズされたものは決...
---そのため、Active Directoryを導入してもUNIXサーバに対し...
----
Tags: [[:Active Directory]], [[:認証基盤]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>ドメイン サービス (AD DS)]]
* 目次 [#k5059ab5]
#contents
*概要 [#qdb986e0]
-Windows NTドメインでは、クライアント・サーバコンピュータ...
-しかし、Active Directory では情報スキーマを定義し情報を...
-また、データオブジェクトの格納件数や、検索機能の強化、LD...
-Active Directoryは、[[ディレクトリ サービス]]、[[DNS>DNS...
「ドメイン 」という「ワークグループ」より高度なネットワー...
--Active Directoryのドメインは、機能的に見て、DNSのドメイ...
--それより以前には、NTドメインによりドメインが構築されて...
---NTドメインはPDC・BDCにより管理された論理的なネットワー...
Active Directoryと同様に物理的な距離には左右されない、共...
---ただし、DNSの機能はなく、[[DIB>LDAPプロトコルでのディ...
-Active Directoryでは、インターネットの標準技術を採用して...
|#|機能|標準技術名|h
|1|データベース|[[ディレクトリ サービス]](X.500規格)|
|2|名前解決|[[DNS>DNSサーバ]]|
|3|ディレクトリ検索|[[LDAP>LDAPプロトコルでのディレクトリ...
|4|認証|[[ケルベロス認証]]|
-Active Directoryは、以下の情報を中央で集中制御できるよう...
--ネットワーク上に存在するクライアント・サーバ コンピュー...
--それらを使用するユーザの組織単位、ユーザ アカウント、グ...
*基礎 [#b99f2eb2]
**ドメイン コントローラ(DC) [#ld8ac419]
***機能と役割 [#hb53e8fd]
-DCはドメインを制御するための中心的なシステムであり、
--Active Directoryのドメインを管理する。
--Active Directoryのディレクトリ・データベースを管理する。
-非常に重要な役割を持っている。主な役割としては、以下があ...
--[[DNS>DNSサーバ]]などによる[[名前解決機能>Windowsネット...
--ディレクトリ情報ベース([[DIB>LDAPプロトコルでのディレ...
--[[LDAPによるDIBの検索機能>LDAPプロトコルでのディレクト...
--[[ユーザ認証機能>認証基盤#m4be745d]]([[NTLM>認証基盤#z...
#ref(DC.png,left,nowrap,DCの役割)
***参考 [#j8871b76]
-ドメインコントローラ - Wikipedia~
http://ja.wikipedia.org/wiki/%E3%83%89%E3%83%A1%E3%82%A4%...
**Active Directoryのドメイン [#mddefc78]
-ADの「ドメイン」の範囲は、物理的なネットワーク構造に依存...
-1つ以上のドメイン・コントローラによって管理された領域で...
-参考
--ドメイン - Wikipedia~
http://ja.wikipedia.org/wiki/%E3%83%89%E3%83%A1%E3%82%A4%...
***「ワークグループ」の環境では、 [#od7d90a0]
-同じ「ワークグループ」に参加するコンピュータは、同じネッ...
--ワークグループの環境では、[[ブラウジング機能>NetBIOS#v2...
-しかし、ネットワークの範囲はルータ等で区切られている物理...
#ref(Workgroup.png,left,nowrap,「ワークグループ」の環境)
***Active Directoryの「ドメイン」の環境では、 [#q37cba89]
-ネットワークを超えて管理したいものだけを登録し、ネットワ...
--ドメインの環境では、[[ブラウジング機能>NetBIOS#v27ab873...
Active Directoryの「ドメイン」の環境では、[[ドメイン コン...
-このため、「ワークグループ」よりも自由度が高い。
#ref(Domain.png,left,nowrap,Active Directoryの「ドメイン...
※ 「ドメイン」を図示する場合は、三角形で描く習慣がある。
**Active Directoryの「スキーマ」 [#fd0188a4]
-ディレクトリ情報ベース([[DIB>LDAPプロトコルでのディレク...
-「スキーマ」には、Active Directoryに格納されている下記オ...
--コンピュータ
--ユーザ
--グループ
--プリンタ
***スキーマ・マスタ [#t61ddb01]
-Active Directoryでは、同一「[[フォレスト>#t37740d3]]」に...
-従って、「スキーマ」の変更は「[[フォレスト>#t37740d3]]」...
--一般に、Active Directoryでは、すべての[[ドメイン コント...
--「スキーマ」変更の役割を担う[[ドメイン コントローラ(DC...
***グローバル カタログ(GC) [#m0de562c]
-以下のような情報を格納し、検索・認証などの処理を担当する...
--当該「ドメイン」の[[DIB>LDAPプロトコルでのディレクトリ...
--「[[フォレスト>#t37740d3]]」内の、その他の「[[ドメイン>...
頻繁に利用する以下の属性は、[[DIB>LDAPプロトコルでのディ...
---ネットワーク資源情報
---ユーザの組織単位
---ユーザ アカウント
---グループ
---アクセス権
---PCの構成
--ネットワークへのログオンを許可する認証情報
#ref(GC.png,left,nowrap,GCを格納するDC)
-グローバル カタログ(GC)を格納する[[ドメイン コントロー...
--性能などを考慮して、ドメインの管理・[[DIB>LDAPプロトコ...
--[Active Directory スキーマ] スナップインを使用すると、[...
---TechNet > グローバル カタログをカスタマイズする~
http://technet.microsoft.com/ja-jp/library/cc758130.aspx
**ドメイン ツリー、フォレスト [#e6994dc1]
#ref(DomainTreeAndForest.png,left,nowrap,ドメイン ツリー...
***ドメイン ツリー [#p35c9e7e]
連続したDNSの規則に従った名前階層を共有しているActive Dir...
-ユーザやコンピュータの数が多い場合や、拠点が複数ある場合...
-この階層構造のことを「ドメイン ツリー」と呼び、1つ以上の...
-「ドメイン ツリー」に存在する「[[ドメイン>#mddefc78]]」...
-「ドメイン・ツリー」内で最上位に位置する「[[ドメイン>#md...
***フォレスト [#t37740d3]
1つ以上の「[[ドメイン・ツリー>#p35c9e7e]]」構成された、Ac...
-同じ組織で名前の階層を分けたい場合は、別の「[[ドメイン・...
-この場合、「[[ドメイン・ツリー>#p35c9e7e]]」同士で「[[信...
-Active Directory構造におけるグループ化の最大の単位は、「...
-「フォレスト」は、
--「[[スキーマ>#fd0188a4]]」と[[グローバル カタログ>Activ...
--「[[ドメイン・ツリー>#p35c9e7e]]」とは異なり、「フォレ...
--「フォレスト」は,Active Directoryの「[[信頼関係>#d40c0...
---ディレクトリ内のオブジェクトを検索したり表示したりする...
---同一「フォレスト」内の[[ドメイン・ツリー>#p35c9e7e]]に...
-Active Directoryの操作範囲は「フォレスト」内に限られる。
**信頼関係 [#d40c03fa]
***信頼関係とは [#nc450474]
-「[[ドメイン>#mddefc78]]」で管理している資源に対して、ア...
--通常、「[[ドメイン>#mddefc78]]」以外のユーザやグループ...
--しかし、同じ組織の中に複数の「[[ドメイン>#mddefc78]]」...
--その場合には、「[[ドメイン>#mddefc78]]」間で「信頼関係...
-NT[[ドメイン>#mddefc78]]でも「[[ドメイン>#mddefc78]]」間...
--NT[[ドメイン>#mddefc78]]では、「信頼関係」を管理者が手...
--だがActive Directoryでは同一「[[フォレスト>#t37740d3]]...
***信頼関係による資源アクセス提供範囲 [#qdf82f8b]
-「[[ドメイン・ツリー>#p35c9e7e]]」や「[[フォレスト>#t377...
--「[[ドメイン・ツリー>#p35c9e7e]]」に参加するすべての「[...
--「[[ドメイン・ツリー>#p35c9e7e]]」の「ルート・ドメイン...
-「[[ドメイン>#mddefc78]]」間に「信頼関係」が結ばれると、
--「信頼関係」の方向に「[[グローバル カタログ(GC)>#m0de...
--これにより、同一「[[フォレスト>#t37740d3]]」内で「[[グ...
***信頼関係の推移 [#sd5ddfcc]
-同一「[[フォレスト>#t37740d3]]」内の「[[ドメイン>#mddefc...
-「信頼関係」の推移では、
--「[[ドメイン>#mddefc78]]」A・Bが双方向の「信頼関係」を...
--「[[ドメイン>#mddefc78]]」B・Cが双方向の「信頼関係」を...
>自動的に「[[ドメイン>#mddefc78]]」A・C間にも双方向の「信...
***信頼関係とフォレスト構成 [#v5d7c924]
1つの組織では1つの「[[フォレスト>#t37740d3]]」にとどめ...
-「[[フォレスト>#t37740d3]]」間で「信頼関係」を結ぶことも...
--「信頼関係」の推移は行えない。
--一方向のみの「信頼関係」となる。
-また、後で複数の「[[フォレスト>#t37740d3]]」を1つの「[[...
-サポートされるフォレストの信頼の種類
--双方向の Windows フォレストの信頼~
フォレスト A とフォレスト B の間に双方向の信頼がある場合、~
フォレスト A とフォレスト B のユーザは、~
両フォレストのサーバにアクセスすることができる。
--別のフォレストに対する一方向の受信信頼~
フォレスト A がフォレスト B に対する受信信頼を持つ場合、
---フォレスト A のユーザはフォレスト B のサーバにアクセス...
---フォレスト B のユーザはフォレスト A のサーバににアクセ...
--別のフォレストに対する一方向の送信信頼~
フォレスト A がフォレスト B に対する送信信頼を持つ場合、
---フォレスト B のユーザはフォレスト A のサーバにアクセス...
---フォレスト A のユーザはフォレスト B のサーバにアクセス...
--過渡的な信頼
フォレスト A のユーザが信頼関係によってフォレスト B のサ...
フォレスト A の子ドメインのユーザは、フォレスト A と B の...
信頼関係が設定されていれば、フォレスト B のサーバにアクセ...
*背景 [#w59c06d4]
**NTドメインの短所 [#m92ba1d9]
-ドメイン間の階層構造がとれない
-PC名(NetBIOSコンピュータ名)の名前空間が単一であるため、~
別NTドメインであっても同名のPCが同一ネットワーク上に存在...
-基本的にLAN内で構築することが前提のシステムであり、~
WANのような狭帯域の回線が存在すると、ログオン認証パケット...
不達や遅延によるアクセス不能問題を起こしやすい。
-Security Account Manager(SAM)データベース~
(実体はレジストリ)の最大容量がわずか40MBと少なく、
--ユーザーアカウントや
--コンピュータアカウントを
>4万件程度しか登録することが出来ない。
-このため、アカウント管理と共有資源の管理の両立が難しく、
--アカウントを管理するマスタ・ドメインと
--共有資源を管理するリソース・ドメインを
>つくり信頼関係を設定する必要があった。そのほかにも、
--管理権限を分割したい、
--障害復旧のダウンタイムを最小限にしたい
>などの理由がある。
-PDC(Primary Domain Controller)が壊れた場合、
--BDC(Backup Domain Controller)を利用可能だがディレクト...
--BDCをPDCに昇格するという機能が提供されているが、~
昇格の作業は管理者が手作業で行わなければならない。
**Active Directoryでの強化点 [#dc4a2ea2]
ADでは、上記のNTドメインの欠点を改善したほか、以下のよう...
-[[DNS>DNSサーバ]]、[[LDAP>LDAPプロトコルでのディレクトリ...
「インターネット系のオープン技術」が取り入れられている。
-可用性(アベイラビリティ)が高い~
[[DNS>DNSサーバ]]や[[ドメイン コントローラ(DC)>#ld8ac41...
--PDC・BDCの
「シングルマスタ・システム(「シングルマスタ・レプリケー...
--複数のマスタサーバが存在する
「マルチマスタ・システム(マルチマスタ・レプリケーション...
>変更されている。
--Windows 2003 Server ではGCの内容をキャッシュすることで、~
GCなしのログオン(GCレスログオン)をサポートできるように...
ただし、デフォルトの動作はGCが必須になる予定。
-拡張性(スケーラビリティ)が高い
--NTドメインでは、SAMデータベースの最大登録ユーザは4万人...
Active Directoryでは数百万人を超える登録も可能(40MB→16TB...
--「マスタ・ドメイン」や「リソース・ドメイン」といった分...
不要になり、シングル・ドメイン構成でも柔軟に管理できるよ...
--WAN回線を考慮した設計(サイト、サイトリンク)~
もできるので、大規模ドメインの構築も簡単にできる。
-管理性(マネージャビリティ)が高い
--ドメイン階層やOUを利用した分散管理もできる。
--集中管理でも分散管理でも、管理者が望む方式に対応できる。
-反面、ADを構築するには[[DNSサーバ]]の設置、ゾーン情報の...
設計、構築、運用、保守の全てにおいて必要なスキル水準が上...
NTドメインほど「お手軽」ではなくなってしまった。
-また、ユーザ・アカウントやコンピュータ・アカウント管理、~
ファイルとプリンタの共有ができれば十分であり、~
サポートが得られなくても現に利益を生み出しているシステム...
リプレースするメリットはないと判断したユーザも多い。
-2006年末でWindows NT Server 4.0のサポートは~
オンラインサポートも含めて完全に終了したが、~
依然として稼働中のNTドメインが残っており、~
マイクロソフトはNTドメインからADへの移行を促進することを...
-Active Directoryへ移行するための予備知識~
http://www.atmarkit.co.jp/fnetwork/rensai/ad03/ad01.html
**Active Directoryとは何か? [#pf6a0fa7]
Active Directoryには3つの側面がある。
-第1が「Windows NTドメイン互換ドメイン」、
-第2が「便利で高機能なWindows NTドメイン」、
-そして第3が「汎用ディレクトリ・サービス」である。
それぞれの機能は、Active Directoryの活用レベルと考えても...
***レベル1:Windows NT互換ドメイン [#ofb491b0]
ユーザーとグループ、コンピュータを「ドメイン・メンバ」と...
-管理を一元化し、
-情報や共有リソース(共有資源)へのアクセスを限定する
機能を持つ。
***レベル2:便利で高機能なWindows NTドメイン [#tef84bf9]
-「ドメイン間の階層構造(DNSに基づく)」と「ドメイン内の...
-ドメイン間の階層構造(DNSに基づく)
--異なるセキュリティ・ポリシー(パスワードの利用制限など...
--必要なら特定の管理者が複数のドメインを管理するように設...
--Active DirectoryドメインはDNSドメインと一致しなければな...
--しかし、Active Directory用のドメインをインターネット上...
-ドメイン内の階層構造(OUに基づく)
--ドメイン内の階層構造は「組織単位(OU)」と呼ばれる。
--Active Directoryに登録された情報は、同一ドメイン内であ...
--(パスワードリセット等の)権限をOU単位で任意のユーザー...
--クライアントに対しては、強力な検索機能が提供される。~
ユーザの氏名、電子メール、電話番号、共有資源(共有フォル...
***レベル3:汎用ディレクトリ・サービス [#q9dbc564]
-アプリケーションの使う分散型・階層型DBを提供する。
-ディレクトリ・サービスの真の価値は、アプリケーションが対...
--マイクロソフトのサーバ製品に魅力を感じるのであれば、Act...
---現在、Active Directoryの力を十分に引き出しているアプリ...
Active DirectoryなしにExchange 2000の機能は実現できなかっ...
またほかにも、Active Directoryを必要とするアプリケーショ...
---Active Directory導入のメリットは、こうしたアプリケーシ...
---逆にいうと、魅力的なアプリケーションがない限り、Active...
--UNIX上でKerberosクライアントを動作させれば、UNIXをActiv...
---アプリケーションをKerberos対応にすることを「Kerberise...
---実は、UNIXアプリケーションでケルベライズされたものは決...
---そのため、Active Directoryを導入してもUNIXサーバに対し...
----
Tags: [[:Active Directory]], [[:認証基盤]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
