AZ-800 の試験対策がてら、Active Directory の基本的な概念と用語をまとめてみます。
ディレクトリ サービスとは
IT 用語におけるディレクトリ サービスとは、ネットワーク上のリソース情報をまとめて管理する仕組みです。 このリソースにはユーザー、コンピューター、プリンター、サービスなどがあります。 リソースにはそれぞれ関連した情報が格納されており、例えばユーザーであればユーザー名、パスワード、メール アドレスなどがあります。 ディレクトリ サービスではこれらのリソース情報を一元的に管理し、検索できるようにします。
ディレクトリ サービスを利用しない場合、個々の IT システムで個別にユーザー情報を管理しなければいけません。 管理者としても全ての IT システムごとに利用者の設定を行うのは手間ですし、利用者にとってもシステムごとに異なるユーザー情報が異なるのは不便です。 一元管理された情報を参照することで、管理されているシステム間であれば利用者は 1 つのユーザー情報で複数のシステムを使えます。
Active Directory とは
Active Directory は Microsoft が提供しているディレクトリ サービス群です。 主にエンタープライズで利用され、企業内の IT システムに対する認証サービスなどを提供しています。
Windows Server 2003 までは Active Directory 自体が単一のディレクトリ サービスでしたが、Windows Server 2008 以降では関連するサービスをまとめた総称を指します。 以前まで Active Directory と呼ばれたディレクトリ サービスは、Active Directory ドメイン サービス (AD DS) という名称になりました。 現在 Active Directory を構成するサービスは次の 5 つです。
- Active Directory ドメイン サービス (AD DS)
- Active Directory ライトウェイト ドメイン サービス (AD LDS)
- Active Directory 証明書サービス (AD CS)
- Active Directory Rights 管理サービス (AD RMS)
- Active Directory フェデレーション サービス (AD FS)
Active Directory ドメイン サービス (AD DS)
ディレクトリ サービスとして、ネットワーク内のユーザー、コンピューター、プリンターなどの情報を一元的に管理します。 これによって、ユーザーおよびコンピューターの認証や、ネットワーク内にあるリソースの検索を行えます。
Active Directory ライトウェイト ドメイン サービス (AD LDS)
アプリケーション単位での情報を管理するために利用できる軽量なディレクトリ サービスです。 AD DS と違いネットワーク ドメインを構築する必要はありません。
Active Directory 証明書サービス (AD CS)
証明書の作成や管理を行う証明機関を作成するサービスです。 ドメイン内などのアプリケーションで利用可能な証明書の発行や管理をできます。
Active Directory Rights 管理サービス (AD RMS)
ユーザー情報に合わせて情報の閲覧やリソースに対する操作を制限する仕組みを提供するサービスです。 特定のユーザーのみ機密データへアクセスできるようにする、といった情報を保護するための機能となります。 これによって、データを不正に持ち出されることや、権限のないユーザーがネットワークに侵入されることによる被害を予防できます。
Active Directory フェデレーション サービス (AD FS)
Web アプリケーションに対する SSO など、ID 認証に関する機能を提供するサービスです。 異なる組織間での認証など、効率的な認証を実現できます。
AD DS の基礎
AD DS ではネットワーク上の各種リソースの情報を一元的に管理します。 管理対象範囲となるネットワークは ドメイン と呼ばれ、ドメイン自体も管理される情報の 1 つとして扱われます。
オブジェクト
AD DS ではネットワーク上のリソース情報を オブジェクト と呼びます。 オブジェクトには、次のようなものが含まれます。
- ユーザー アカウント: ユーザーがコンピューターにログオンするときに使う情報
- コンピューター アカウント: ユーザーが使うコンピューターを識別する情報
- プリンター: ネットワーク経由でユーザーが利用できるプリンター情報
AD オブジェクトは同じドメイン内から利用できます。 例えば、ドメインに参加したコンピューターにログオンするときにドメインに登録されたユーザー情報を使うことで、その情報が登録済みの情報と一致するかを確認してログオンを許可できます。 またこの他にも、サーバーが提供するアプリや共有フォルダへのアクセスを AD ユーザーの情報を使って制御することもできます。 AD での認証を行わない場合、各コンピューター内にそれぞれユーザー情報を用意する必要があるため、管理が煩雑になります。
AD DS の主要な要素
ドメイン
AD DS の基本的な管理単位であり、オブジェクトを一元的に管理する範囲を指します。 AD DS を構築する場合には、必ず 1 つ以上のドメインを作成します。 Active Directory で扱われるドメインは、Active Directory ドメイン (AD ドメイン) とも呼ばれます。
ドメイン コントローラー
ドメインには、実際にドメイン内の情報を格納する ドメイン コントローラー と呼ばれるサーバーが 1 台以上あります。 ドメイン コントローラーは情報の保存のほか、ユーザーからのログオン認証やディレクトリ内検索などの要求に応えます。
Windows NT ドメイン
Windows NT ドメインは Active Directory 登場以前に利用されていたドメイン管理の仕組みです。 Windows NT では、オブジェクトをプライマリ ドメイン コントローラー (PDC) に集約して保存し、複数のバックアップ ドメイン コントローラー (BDC) に複製します。
ユーザーの認証は PDC および BDC の両方で行えますが、ユーザーの作成は PDC しか行えません。 そのため、地域ごとなどで分割してドメインを管理したうえで、それぞれの管理者が担うという利用ケースがありました。 PDC しかできない一部機能があるので、PDC が停止すると BDC を PDC に昇格するまで利用できない機能が発生します。
Windows NT ドメインのデータベース サイズの上限が 40 MB に定められています。 また、オブジェクトは 1 個につき約 1 ~ 8 KB 消費するため、最大でも 40,000 個程度しか扱えません。 現実的には、ユーザーとコンピューターのオブジェクトをそれぞれ登録すると、最大 20,000 ユーザーが限度となります。
Active Directory ドメイン
AD ドメインではマルチ マスター複製モデルを採用しているため、各ドメイン コントローラー間でオブジェクト情報を複製します。 これにより、ドメイン コントローラーが持つ情報は全て統一され、一部のドメイン コントローラーに障害が発生した場合でも、継続してドメインを利用できます。
また、AD ドメインではディレクトリ ベースでオブジェクトを管理します。 AD ドメインのディレクトリ データベースはサイズ上限が 16 TB となっています。 オブジェクトのサイズも上昇しているため、およそ 4 KB 以上は消費しますが、それでも数百万個のオブジェクトを扱えるようになりました。 これにより、Windows NT よりも大規模なネットワークでの運用を行えるようになりました。
AD ドメインと DNS ドメイン
AD ドメインは、DNS と統合されて利用されます。 DNS はネットワークにおける名前解決の仕組みであるため、概念としては contoso.com などのネットワークを表す名前のことをドメインと言います。
対して AD ドメインは、ネットワーク上のリソースを管理する仕組みであるため、管理単位としてドメインという概念を用います。 しかし、AD ドメイン内のリソースを検索するために名前解決の仕組みとして DNS を利用するため、表記としては DNS と同じようなものになります。
AD ドメインで利用されるドメイン名は、基本的には組織内で利用するための内部ドメインです。 インターネットに公開する外部ドメインのように、グローバルで一意である必要はないためある程度自由度があります。 以前は内部ドメインにローカル TLD という .local
を利用する方法が一般的でしたが、昨今は Windows 以外のシステムとの相性が良くないため、あまり推奨されません。 現在では、corp.contoso.com
などのサブドメインを利用するのが一般的です。
AD ドメイン構築時には、一緒に動的更新をサポートする DNS サーバーも必要になります。 ドメイン コントローラーをインストールする際、一緒に DNS サーバーをインストールすると、自動的に動的更新をサポートした DNS サーバーが作成されます。 AD 統合ゾーン DNS サーバーでは、各 DNS サーバーがプライマリとして動作するため、どの DNS サーバーに登録されたレコードも相互に複製されます。 そのため、全てのドメイン コントローラーに DNS サーバーをインストールしておくことが推奨されます。
フォレスト
フォレストは複数の AD ドメインの集合です。 AD ドメインを作成する場合も自動的にフォレストが作成されます。 この最初に作成されるドメインは最上のドメインとなり、フォレスト ルート ドメイン と呼ばれます。
フォレスト内では、上位ドメインと親子関係になるようなサブドメイン (子ドメイン) を追加できます。 例えば、親ドメインが contoso.local
であれば、子ドメインに japan.contoso.local
を作成できます。 このような連続した名前空間を持つドメイン階層を ドメイン ツリー と呼びます。
フォレスト内には単一のドメイン ツリーだけでなく、名前空間の異なるドメイン ツリーも作成できます。 異なるドメイン ツリーを追加する場合は、ドメイン間で相互の信頼関係を構築します。 信頼関係を構築すると、ドメイン内のユーザーが別のドメイン リソースにアクセスできるようになります。
組織単位 (OU)
組織単位 (OU: Organization Unit) は AD ドメイン内での管理境界を作成するための機能です。 部署や拠点などで分割することで、特定の管理権限だけを管理者に委任できます。
サイト
サイトは地域や IP サブネットなどの物理的なネットワーク境界を管理するための機能です。 ドメイン コントローラー間ではディレクトリ情報を相互に複製しているため、頻繁 (15 秒間に 1 回) に通信が発生します。 離れた拠点間などで WAN を経由した複製の場合、回線状況の影響を受けるため問題が生じる可能性があります。
サイト間では通常よりも少ない頻度での複製を行うように設定できるため、回線の影響を受けにくいように設計できます。 既定では 180 分に 1 回複製を行うようになります。
サイト リンク
サイト リンクはサイト間の接続を管理する論理的な回線のことです。 前述のようにサイトは論理的にネットワーク境界の場所を定めたものなので、複製を行うサイト間を指定するためにサイト リンクで接続する必要があります。 サイト リンクで接続されていないサイト間では直接複製は行われません。 すべてのドメイン コントローラーで同じ情報を保持するためには、いずれかのドメイン コントローラーやサイトを経由して複製できるようにします。
コメント