Active Directoryをイチから最短でざっくりと理解する

-

active directory

たいていの企業はWindows環境が標準でそれらの管理にはActive Directory(以下AD)を使ってるところが多いから興味ないけど理解しないといけないって場合に最短で理解するための参照リンク情報。
興味ないから読んでてイヤになってくるから、要約だけでも押さえとくとざっくり理解できて社内のWindows大好きっ子(サーバー管理者)と話合わせるくらいはできて役立つよ。

以下、要約と参照リンクを記載。

・ユーザー名とパスワードで認証することでADが動作している組織内の人であることを確認する
・AD内にドメインを作成してドメイン単位で認証できる範囲を設定できる(よくあるのは部署単位とか)

<Active Directoryはなぜ必要なのか>
http://www.atmarkit.co.jp/ait/articles/1404/11/news028.html

・ADはドメインやシングルサインオン機能を含むいくつかのサービスの総称だよ、基本となる機能がドメインかな
・複数のドメインを作成した場合、ドメインの信頼関係を設定すると1つのドメインにログオンするともうひとつにも認証される。AドメインからBドメインに信頼、BドメインからAドメインには信頼しないという設定ができる
・運用的にはドメインは出来る限り1つで運用したほうがいい。複数だと複雑だから
・フォレストやドメインツリーという自動的に設定される信頼関係機能がある。双方向の信頼関係
フォレストとドメインツリーはドメイン作成時に「フォレストの一部にするか」「ドメインツリーの一部にするか」を決める

<Active Directoryドメインって何ですか>
http://www.atmarkit.co.jp/ait/articles/1405/07/news010.html

・ドメインコントローラーはドメインサービスを提供する
機能3つ
1:ディレクトリデータベースとしての役割
2:認証と承認の役割
ユーザー名とパスワードが正しいことを確認するのが「認証」、ユーザーがアクセスできる範囲を確認のが「承認」
「Kerberos」(ケルベロス)という機能が認証と承認やってるんだって。ケルベロスは3つ首だから3つの機能があるのかな?(このあたりで興味なさすぎて読むのやめたくなってきた)wikiってみたらギリシャ神話ではケルベロスは50の首があるんだって。2つ首がオルトロスね。
3:グループポリシーによるユーザー/コンピューターを制御する役割
グループポリシーを設定するとドメイン内のクライアントPCに一括設定反映ができて手間が省けるよ

<ドメインコントローラーの役割とは>
http://www.atmarkit.co.jp/ait/articles/1405/26/news024.html

・ドメインコントローラーサーバーは2台以上で冗長構成にするのが通常の適正な運用状態
ドメインコントローラーの「複製」(レプリケーション)することで複数台環境をつくれる
・2台目以降のドメインコントローラーをインストールすると、自動的に自分が複製を行う相手(ドメインコントローラー)を見つけて複製を実行する
3台以上だと1台目の変更を2台目経由で複製しちゃうから手動で1台目を複製するって設定をする必要があるよ(同期が遅れちゃうからだね)
・条件によって同期タイミングは異なるけど、最長でも15秒後には同期を開始するよ
・異なるバージョンのWindows Serverでも複製できるよ

<ドメインコントローラーの複製とは>
http://www.atmarkit.co.jp/ait/articles/1406/10/news030.html

・複数のドメインコントローラが遠隔地等で高速通信が難しい場合はサイトを作成してサイトリンクを設定する
複数のサイトで運用するとクライアントPCはそれぞれ最も近い場所のドメインコントローラーに接続するから動作が早いよ

サイトの動作:
サイト内複製
– 15秒後に複製を開始
– 複製データは圧縮なしで通信

サイト間複製
– 3時間ごとに複製を実行(既定)
– 複製データは圧縮されて通信

どのドメインコントローラを複製するのかは、自動で選ばれるブリッジヘッドサーバーを親としてそれ以外のドメインコントローラーへ複製される
手動で決める場合は優先ブリッジヘッドサーバーを設定

<Active Directoryに「サイト」が必要な理由>
http://www.atmarkit.co.jp/ait/articles/1407/04/news012.html

・Active DirectoryのDNSサーバーはドメインコントローラーの場所を特定することに特化したサーバー
・クライアントPCはDNSサーバーのSRVレコードを参照して同じサイト内のドメインコントローラーを見つける
・DNSサーバーのフォワーダーを使うとAD DNSサーバーで解決できない名前はインターネット向けDNSサーバー(ASPのDNS)へ聞くという動作ができる

クライアントPCのネットワーク設定IP V4の優先DNS、代替DNSは優先DNSにアクセスできない場合に代替DNSにアクセスするという動作するからフォワーダーとは違う
dns設定

<DNSサーバーはなぜ必要なのか>
http://www.atmarkit.co.jp/ait/articles/1408/07/news015.html

・認証時にTGTと承認時にSTというチケットがドメインコントローラーからクライアントPCへ発行される
チケットに有効期限が設定されているため、クライアントPCの時計とドメインコントローラーの時計が5分以上ずれると認証、承認ができなくなる
・ユーザー管理は”Active Directoryユーザーとコンピューター”で実施するが、複数のユーザー操作になると複雑になるのでWindows Server 2008 R2以降では「Windows PowerShell」のコマンドレットでCUIで実施するとラク
・ユーザーパスワードの変更方法は2つ。
クライアントPCで[Ctrl]+[Alt]+[Del]キーを押して表示される青色画面で変更
ADサーバーの”Active Directoryユーザーとコンピューター”から変更

ユーザー管理再入門[Part1]
http://www.atmarkit.co.jp/ait/articles/1408/22/news028.html

こんなもんでざっくりADが理解できたと思う。細かいサーバー設定だとかにはなるべく手を出さずに話を進めるには十分。

コメント

タイトルとURLをコピーしました