IT大全より (pdf 100冊)
http://www.geocities.jp/ittaizen
Active Directory ドメイン サービス
〜Windows Server 2008 / R2
新機能と強化点〜
他の章は下記をクリックして
PDF一覧からお入り下さい。
IT大全 (pdf 100冊)
http://www.geocities.jp/ittaizen
目次番号 270番 Windows Server Enterprise 2008 R2
完全解説 (再入門 )
全26冊
2
Active Directory の強化
Active Directory の強化
Active Directory の強化
基本アーキテクチャは変えずに機能強化
新しい利⽤形態の提供
管理性の向上
・管理性の⼤幅な向上
・コマンド ライン管理機能の強化
・ブランチ オフィスへの展開
・セキュリティ強化
・管理性の向上、管理コストの削減
2000 年
2003 年
・Active Directory の実装
・LDAP, Kerberos, DNS,
PKI 等の標準技術の採⽤
・クライアント PC 管理
2005 年
・セキュリティ・柔軟性の⼤幅な強化
・IT インフラとしての管理機能を強化
ポリシー管理 (GPMC)
パッチ管理 (WSUS)
権限管理 (RMS)
フェデレーション (ADFS : WS 2003 R2 より)
サービスの統合
Windows Server 2008 から ID & アクセス管理に関連した
各種サービスを「Active Directory サービス」として統合
統⼀されたアーキテクチャの下、各サービスの連携を強化
複雑性の低減、展開の簡略化、管理性の向上を実現し、新機能が
必要になった際、迅速に構成することが可能に
サーバーの役割として提供
Active Directory サービス
Active Directory
ドメイン サービス
(AD DS)
Active Directory
証明書サービス
(AD CS)
Active Directory
フェデレーション
サービス
(AD FS)
Active Directory
Active Directory
ライトウェイト
Rights
ディレクトリサービス Management
(AD LDS)
サービス
(AD RMS)
Active Directory サービス (1)
本資料の範囲
Active Directory ドメイン サービス (AD DS)
ドメイン サービス
従来からの Active Directory
セキュリティと柔軟性を強化、管理性を向上
Active Directory 証明書サービス (AD CS)
電⼦証明書の発⾏と管理
証明書サービスの後継機能
エンタープライズ環境向けに機能強化
Active Directory フェデレーション サービス (AD FS)
組織を超えた異なる認証基盤の連携
WS-Federation 、WS-Security などに準拠した相互接続性
HTTP ベースのフェデレーション
IIS 7.0 に対応
Active Directory サービス (2)
Active Directory ライトウェイトディレクトリ サービス
(AD LDS)
アプリケーション⽤の LDAP ディレクトリ サービス
AD AM ( Active Directory Application Mode ) の機能を網羅
Active Directory Rights Management サービス(AD RMS)
アプリケーションと連携したデジタル コンテンツ保護
Windows Rights Managements Services (RMS) を
Active Directory サービスに統合
AD FS と連携し、組織を超えたコンテンツ保護を新たに実現
Active Directory ドメイン サービス
Windows Server 2008 における強化
Windows Server 2003 までの基本アーキテクチャを踏襲しつつ、
ブランチ オフィスでの展開、セキュリティ強化、管理性 の向上を
⽬的とした実装 / 新機能を追加
読み取り専⽤ドメイン コントローラー (RODC)
読み取り専⽤のディレクトリを保持する DC としての構成が可能に
きめ細かなパスワード ポリシー
同⼀ドメイン内での複数のパスワード ポリシーの実装
ディレクトリ監査機能の強化
より詳細な監査ログの記録が可能
Active Directory ドメイン サービスの OS からの分離
(サービス化)
DC の再起動をより少なくする新しい実装
Active Directory のスナップショット表⽰
Active Directory のスナップショットをマウント、参照可能
Active Directory ドメイン サービス
Windows Server 2008 R2 における強化
Windows Server 2008 Active Directory ドメイン サービスの
アーキテクチャを継承、主に管理性向上を⽬的とした機能強化および
新機能の追加
Active Directory Recycle Bin
Active Directory 上のオブジェクトの復旧が容易に
Active Directory PowerShell
Active Directory の管理のためのコマンドレットの提供
Active Directory 管理センター
PowerShell ベースの新しい管理ツールの提供
ベスト プラクティス アナライザー
誤った構成などを未然に防ぐための新機能の実装
Active Directory Web サービス
Active Directory への Web サービス インターフェースの追加
認証メカニズム保証
ユーザーのクレデンシャルに応じたセキュリティ基盤の提供
オフライン ドメイン参加
コンピューターのドメイン参加がオフラインでも可能に
Managed Service Account
パスワード管理、SPN 管理の容易なサービス アカウントの実現
Active Directory ドメイン サービス
の強化ポイント
ブランチ オフィス
ソリューション
セキュリティ強化
管理性向上
Active Directory ドメイン サービス
の強化ポイント
ブランチ オフィス
ソリューション
セキュリティ強化
管理性向上
読み取り専⽤ドメイン コントローラー
(RODC)
読み取り専⽤ドメイン コントローラー
(RODC)
書き込みのできない、読み取り専⽤のディレクトリを持つ
ドメイン コントローラーのインストール オプション
特徴
ディレクトリへの書き込みは⾏わない
書き込みの必要な処理は通常のドメイン コントローラー
に紹介
ドメイン コントローラーの複製の⽅向は⼀⽅向のみ
通常のドメイン コントローラーからの複製を受けるのみ
(インバウンドのみ)
RODC からの複製操作 (アウトバウンド) は⾏わない
重要なデータをディレクトリに保持させないことが可能
ローカルにストアするパスワードの制御
重要な情報の複製制御
RODC のアーキテクチャ
•
•
•
•
•
読み取り専⽤のディレクトリ
⼀⽅向の複製
パスワードの複製
管理者役割の分離
読み取り専⽤ DNS
ディレクトリの変更は不可
誤った操作によって、ディレクトリ全体へ
ダメージが及ぶことを回避
アカウントのパスワードは限定的に保持
盗難リスクの回避
RODC
書き込み可能な DC → RODC の⽅向のみ
監視、設計負荷が軽減
属性セットのフィルタリング
機密性の⾼い属性に対して複製のフィルタリングが可能
(アプリケーション開発者向けの機能)
SchemaFlagsEx = 1 となっている属性
システムの重要な属性 (LSA等) はフィルタ不可
複製
書き込み可能な DC
RODC
パスワードの複製制御
複製対象とするユーザーを管理者が定義可能
既定では無効 (複製可能なユーザーが定義されていない)
パスワード複製ポリシーで明⽰的に定義
最初のログオン時に複製される (ユーザー単位)
パスワード変更後の最初のログオン時に複製される
パスワード複製ポリシーで複製ルールを定義
複製許可リスト
(RODC の msDS-Reveal-OnDemandGroup 属性)
複製拒否リスト
(RODC の msDS-NeverRevealGroup 属性)
履歴を保持
複製されたパスワードは⼀括でリセット可能
クリアはできない
パスワード複製ポリシー
18
パスワード複製ポリシーの構成プラン
複製しない (規定値)
• 最もセキュア
• 書き込み可能 DC との接続が不可能な場合には
ログオン不可能
全員を複製対象にする
• 最も簡単に構成可能だがセキュアでない
ブランチオフィスのユーザーのみ複製
• 最も効果的だが設定の⼿間がかかる
• msDS-AuthenticatedToAccountList 属性を監視して
ブランチオフィスの利⽤者を把握する必要がある
19
ドメイン管理権限を与えずに、⼀般ユーザーに
RODC の管理権限を委任
マシンの操作 : ローカル Administrator 権限
サーバーの保守作業が可能
ドメインの操作 : user 権限
ドメインに対する管理権限なし
他の DC に対する管理権限なし
RODC のインストール時に指定
(あとから変更も可能)
1 ユーザーまたは 1 グループのみ指定可能
⽀店の管理者
RODC に DNS サーバーを構成可能
クライアントは RODC に照会して名前解決を実⾏
Active Directory 統合ゾーンにおける
動的更新は⾏わない
更新要求に対しては更新可能な DNS を紹介
RODC の DNS では、バックグラウンドで更新を実⾏した
DNS サーバーから更新済みレコードの複製を⾏う
RODC
ドメイン設計時の留意点
• ネットワーク障害を考慮する
• DNS を RODC にインストールすることを推奨
• グローバルカタログを RODC にインストールすることを推奨
書き込み可能 DC
RODC
DNS
GC
DNS
GC
• サーバーの設置
• 同⼀サイトに 同⼀ドメインの RODC を設置しない
• サイトトポロジ上もっとも近い場所に 2008 / 2008R2 DC を設置
• フォレストとドメインの機能レベル
• Windows Server 2003 以上
22
Windows Server 2003 混在時の留意点
Windows Server 2003 DC からは ドメインパーティションの複製が
できないため、RODC の複製パートナーは 2008 以上でなければならない
スキーマ
ドメイン
構成
ドメイン
Windows Server 2008/R2
DC
アプリケーション ディレクトリ
(DNS Zone)
グローバルカタログ
ドメイン
RODC
23
Windows Server 2003
DC
アプリケーション互換性の留意点
• RODC に対して書き込みを要求する
アプリケーションの場合は注意
•
書き込み可能 DC への [紹介] を追跡できるように
実装されている必要がある
•
紹介先にアクセスできない場合についても考慮が必要
• 複製が必要であるため、書き込み直後の参照は
注意が必要
• ユーザー管理系のアプリケーションなど
24
RODC 3 つのインストール⽅法
インストールウィザード
•
Dcpromo.exe または サーバーマネージャーから起動
•
[詳細モード] を有効にすると [パスワード複製ポリシー] の設定が可能
•
⾃動応答ファイルを作成することが可能
•
メディアからインストールすることも可能
2ステージ インストール (委任インストール)
•
事前に RODC アカウントを作成しておき、ブランチオフィスの
管理者にインストールを委任することが可能
•
アカウント作成時にウィザードを使⽤して必要情報を事前指定
•
ブランチオフィスでのインストールはほぼ⾃動的に完了
無⼈インストール
•
dcpromo.exe /unattend コマンドに⾃動応答ファイルを指定して起動
•
インストールから再起動まですべてを⾃動的に実施
•
サーバー コア へのインストールでも使⽤可能
•
アンインストールも無⼈で実施
25
Active Directory ドメイン サービス
の強化ポイント
ブランチ オフィス
ソリューション
セキュリティ強化
管理性向上
きめ細かなパスワード ポリシー
同⼀ドメイン内で複数のパスワード ポリシーを
定義可能とする新実装
※従来はパスワード ポリシーはドメイン単位でしか設定できなかった
異なるユーザーセット単位でポリシーを定義
例)
システム管理者グループ
厳格な設定 (パスワードの有効期間:14 ⽇)
パワーユーザー
中間的な設定 (パスワードの有効期間:30⽇)
平均的なユーザー
⼀般的な設定 (パスワードの有効期間:90⽇)
適⽤できる単位
ユーザーオブジェクト (または inetOrgPerson)
グローバル セキュリティ グループ
下記は不可
コンピュータ オブジェクト
⾮ドメイン ユーザー アカウント
OU (組織単位)
新しいオブジェクトクラス
Password Settings Container
Password Settings オブジェクト (PSO)
パスワード設定に対する属性
パスワードの履歴を記録する
パスワードの有効期間
パスワードの変更禁⽌期間
最低限必要なパスワードの⻑さ
パスワードは、複雑さの要件を満たす必要がある
暗号化を元に戻せる状態でパスワードを保存する
アカウント ロックアウト設定に対する属性
ロックアウト期間
アカウント ロックアウトのしきい値
ロックアウト カウンタのリセット
ADSI Edit の場合
ADSI Edit で Password Settings オブジェクトを
追加 (ウィザード)
属性に適切な値を⼊⼒
パスワード ポリシー
アカウント ロックアウト ポリシー
適⽤するグループまたはユーザーを⼊⼒
識別名 (DN) で指定
例) CN=yamano,OU=Sales,DC=microsoft, DC=com
複数指定可
Ldifde の場合
Ldif ファイルを作成 (pso.ldf 等)
Ldifde の実⾏
> ldifde -i -f pso.ldf
サンプルファイル (pso.ldf)
dn: CN=PSO1, CN=Password Settings
Container,CN=System,DC=dc1,DC=contoso,DC=com
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:8
msDS-PasswordHistoryLength:24
msDS-PasswordComplexityEnabled:TRUE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=user1,CN=Users,DC=dc1,DC=contoso,DC=com
New
Active Directory PowerShell の場合
Windows Server 2008 R2 では、
Active Directory PowerShell により設定可能
Cmdlet list:
New-ADFineGrainedPasswordPolicy
Set-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicy
Add-ADFineGrainedPasswordPolicySubject
Get-ADFineGrainedPasswordPolicySubject
Remove-ADFineGrainedPasswordPolicySubject
ディレクトリ監査
変更された属性の古い値と新しい値を記録
(削除と作成のログとして記録)
変更された属性名と変更前の値
変更された属性名と変更後の値
監査ポリシーにサブカテゴリを追加
ディレクトリ サービスのアクセス
ディレクトリ サービスの変更
ディレクトリ サービスのレプリケーション
詳細なディレクトリ サービス レプリケーション
設定⽅法
Windows Server 2008
サブカテゴリについては AuditPol コマンドで設定
Windows Server 2008 R2
サブカテゴリについてもグループ ポリシー エディタで設定可能
New
Windows Server 2008 R2 では、AuditPol.exe だけでなく、GUI から
設定可能に
グループ ポリシー エディタ
イベントログへ記録
変更前の値
変更後の値
監査機能の実⾏
グローバル監査ポリシー
グループ ポリシーで有効化 (サブ カテゴリも有効になる)
アクセス制御リスト (SACL)
アクセス チェックを監査するかしないかをオブジェクトに
対して決定
スキーマ
監査対象の例外をスキーマに定義することが可能
各属性の searchFlags プロパティに設定
属性に変更が加えられても、変更イベントに記録しない
Active Directory ドメイン サービス
の強化ポイント
ブランチ オフィス
ソリューション
セキュリティ強化
管理性向上
Active Directory ドメイン サービス
の新しい実装
Active Directory ドメイン サービスをサービスとして実装
※従来は OS と⼀体化
他のシステム サービスと同様、簡単に停⽌・再起動が可能
依存するサービスは、⾃動的にドメイン サービスの再起動時に
再起動 (FRS, KDC, etc)
ドメイン サービスのオフライン操作をより迅速に
Active Directory の DB (Ntds.dit) のメンテナンスがより容易に
サーバー再起動によるダウンタイムを削減
サービスの停⽌中はメンバーサーバーとして動作、他のサービスは
継続して提供
複数の Active Directory インスタンスをホスト可能に
Database Mounting Tool による Active Directory スナップショットの参照
Active Directory ドメイン サービスの開始
ドメイン サービスが開始されている状態
他の Windows 2000 Server または Windows Server 2003 を
実⾏する DC の場合と同じ
Active Directory ドメイン サービスの停⽌
ドメイン サービスが停⽌されている状態
ディレクトリ サービス復元モードの DCと、ドメインに参加して
いるメンバ サーバーの両⽅の特性を持つ
ディレクトリ サービス復元モード
従来の Windows Server 2003 と同様
オンラインで Active Directory ドメイン サービスの
スナップショット が参照可能に
削除されたデータの参照
(削除されたオブジェクトを実際に復元できるわけではない)
さまざまな時点のデータと⽐較し、リカバリ計画の決定が迅速に
⼿順
スナップショットを取得
Ntdsutil.exe を実⾏ (タスクでスケジュール)
スナップショットのボリュームを LDAP サーバー
として公開
Dsamain.exe (Database Mining Tool) を実⾏
LDAP ポートに接続し表⽰
Ldp.exe を実⾏
NTDSUTIL.EXE
VSS にてスナップ
ショットの取得
DSAMAIN.EXE
スナップショットを
LDAPとして公開
LDP.EXE
データの参照
(読み取り専⽤)
New
Active Directory Recycle Bin
Active Directory Recycle Bin の概要
Active Directory (AD LDS) 上のオブジェクトに関する
ごみ箱機能の追加
オブジェクト復旧に要する Active Directory ドメイン
サービスのダウンタイム低減を実現可能
従来は…
誤操作などによる Active Directory オブジェクト削除への対応
-> バックアップからのリストアが必要
(ドメイン コントローラーの再起動が必要)
Windows Server 2008 R2 では …
Active Directory Recycle Bin 機能による
削除済み Active Directory オブジェクトの復旧が可能
(ドメイン コントローラーの再起動は不要)
Active Directory Recycle Bin
Windows Server 2008 R2 Active Directory の新機能
Windows Server 2008 R2 機能レベルの追加による実装
利⽤するためには Windows Server 2008 R2 機能レベル
が必要
フォレスト内のすべてのドメイン コントローラーが
Windows Server 2008 R2 である必要がある
既定では無効
⼀度有効とすると無効にはできない
新しい Active Directory オブジェクト ステートの追加
“Logically deleted” , ”Recycled Object” ステートの追加
オブジェクト削除に関するプロセスの変更
(Active Directory のスキーマ拡張)
Recycle Bin 機能を利⽤しない場合には、Windows Server 2008 とほぼ同様
新しいオブジェクトの削除プロセス
180 ⽇
Live Object
Tombstone Object
オブジェクトの
ほとんどの属性情報の削除
Windows Server 2008
Windows Server 2008 R2
Live Object
Recycle Bin 有効
Deleted Object
オブジェクトの
属性情報を維持
※180 ⽇間という期間は
“msDS-deletedObjectLifetime 属性
により定義される – 変更可能
ガベージコレクションの
実⾏による完全な削除
※180 ⽇間という期間は
“TombstoneLifetime 属性
により定義される – 変更可能
Recycled Object
180 ⽇
180 ⽇
Garbage collection
Garbage collection
ガベージコレクションの
実⾏による完全な削除
オブジェクトの
ほとんどの属性情報の削除
※既定では振る舞いは
Tombstone Object と同様
Recycle Bin による復旧
バックアップからの復旧
Recycle Bin の設定⽅法
Active Directory PowerShell による設定が必要
GUI ツールからは設定することができない
注意点
⼀度有効にしたら無効にできない
機能レベルとして Windows Server 2008 R2 が必要
フォレスト内のドメイン コントローラーが全て Windows Server 2008
R2 である必要がある
サポートされる Windows Server 2008 R2 のエディション
Windows Server 2008 R2 Standard
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Datacenter
以下のエディションではサポートされない
Windows Server 2008 R2 for Itanium-Based Systems
Windows Web Server 2008 R2
実⾏コマンド
Enable-ADOptionalFeature “Recycle Bin Feature” –Scope
Forest –Target “<Domain 名>”
Recycle Bin の利⽤
Active Directory PowerShell による利⽤が必要
GUI ツールからは利⽤できない
実⾏コマンド
PowerShell Cmdlets の使⽤
Restore-ADObject
例) OU の復旧
Get-ADObject -Filter {Name -Like "*Sysplag*"} -SearchScope Subtree
-IncludeDeletedObjects | Restore-ADObject
New
Active Directory PowerShell
Active Directory PowerShell の概要
強⼒な管理、スクリプトの実現
Active Directory ドメイン サービス (AD LDS) の管理性
を向上させるための PowerShell の実装
Active Directory ドメイン サービス (AD LDS) の構成 / 管理が可能
85 以上の Cmdlet による管理
Web サービス プロトコル (WS-*) の利⽤によるリモート管理の実現
参考
Get-Command -CommandType Cmdlet *-AD*
Add-ADComputerServiceAccount
Add-ADDomainControllerPasswordReplicationPolicy
Add-ADFineGrainedPasswordPolicySubject
Add-ADGroupMember
Add-ADPrincipalGroupMembership
Clear-ADAccountExpiration
Disable-ADAccount
Disable-ADOptionalFeature
Enable-ADAccount
Enable-ADOptionalFeature
Get-ADAccountAuthorizationGroup
Get-ADAccountResultantPasswordReplicationPolicy
Get-ADComputer
Get-ADComputerServiceAccount
Get-ADDefaultDomainPasswordPolicy
Get-ADDomain
Get-ADDomainController
Get-ADDomainControllerPasswordReplicationPolicy
Get-ADDomainControllerPasswordReplicationPolicyUsage
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
Get-ADForest
Get-ADGroup
Get-ADGroupMember
Get-ADObject
Get-ADOptionalFeature
Get-ADOrganizationalUnit
Get-ADPrincipalGroupMembership
Get-ADRootDSE
Get-ADServiceAccount
Get-ADUser
Get-ADUserResultantPasswordPolicy
Install-ADServiceAccount
Move-ADDirectoryServer
Move-ADDirectoryServerOperationMasterRole
Move-ADObject
New-ADComputer
New-ADFineGrainedPasswordPolicy
New-ADGroup
New-ADObject
New-ADOrganizationalUnit
New-ADServiceAccount
New-ADUser
Remove-ADComputer
Remove-ADComputerServiceAccount
Remove-ADDomainControllerPasswordReplicationPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Remove-ADGroup
Remove-ADGroupMember
Remove-ADObject
Remove-ADOrganizationalUnit
Remove-ADPrincipalGroupMembership
Remove-ADServiceAccount
Remove-ADUser
Rename-ADObject
Reset-ADServiceAccountPassword
Restore-ADObject
Search-ADAccount
52
Set-ADAccountControl
Set-ADAccountExpiration
Set-ADAccountPassword
Set-ADComputer
Set-ADDefaultDomainPasswordPolicy
Set-ADDomain
Set-ADDomainMode
Set-ADFineGrainedPasswordPolicy
Set-ADForest
Set-ADForestMode
Set-ADGroup
Set-ADObject
Set-ADOrganizationalUnit
Set-ADServiceAccount
Set-ADUser
Uninstall-ADServiceAccount
Unlock-ADAccount
Active Directory PowerShell Provider
Active Directory Module Provider の実装
PSDrive としての AD (ADLDS、ADSnapshot) 管理
ネットワーク経由での複数フォレストの管理
コマンド プロンプトでのファイル管理のようなイメージでの
AD 管理の実現
New
Active Directory 管理センター
Active Directory 管理センターの概要
Active Directory ドメイン サービス 管理⽤の
新しい ユーザー インターフェースを提供
以下の作成と編集
ユーザー
グループ
コンピューター
組織単位 (OU)
Active Directory 管理センター
ドメイン、DC ごとの
ディレクトリ管理
※ ADLDS の管理は不可
Active Directory
PowerShell による
実装
※ Active Directory
Web サービスの利⽤
# TCP 9389 の使⽤
55
Active Directory 管理センターの画⾯
<List / Tree View ペイン>
List View
Tree View
のビューの切り替えが可能
<Overview ペイン>
標準では以下のコンテンツ
の登録
・パスワードのリセット
・検索
・はじめに
Active Directory 管理センターの画⾯
ドメインのオブジェクトに
ついて管理・検索が可能
タスクペインでは、
ドメイン、フォレストの
機能レベル管理が可能
Active Directory 管理センターの画⾯
ドメインのオブジェクトに
ついての条件を指定しての
検索が可能
Active Directory 管理センター
検索条件
検索条件として指定可能な項⽬
無効または有効なアカウントを持つユーザー
パスワードの有効期限が切れているユーザー
有効期限のある (または無期限の) パスワードが
設定されているユーザー
有効ではあるがロックされているアカウントの
ユーザー
有効なアカウントを持ち、指定⽇数を過ぎる間
ログオンしていないユーザー
指定⽇数以内にパスワードの有効期限が切れる
ユーザー
指定のドメイン コントローラーの種類として
実⾏されているコンピューター
最後の変更が指定の期間内
オブジェクトの種類がユーザー /inetOrgPerson/
コンピューター/グループ/組織単位
上記以外にも属性情報による検索が可能
New
ベスト プラクティス アナライザー
ベスト プラクティス アナライザーの概要
Active Directory ドメイン サービスの構成に関する診断
およびベスト プラクティスの提⽰
Active Directory ドメイン サービスの構成について、
Issue、影響、解決⽅法、トピックなどの情報を提供
-> 誤った構成による障害の発⽣を未然に防ぐことが可能
サーバー マネージャーの
役割管理の機能として実装
ベスト プラクティス アナライザー の機能
Active Directory ドメイン サービスの構成について診断
診断結果について以下の 4 種類のタブで表⽰
・⾮準拠
・除外
・準拠
・すべて
構成が意図的なものであるなど、設定の変更が必要ない場合には
レポートから除外することも可能
主に DNS の構成に関する診断を実⾏
ベスト プラクティス アナライザー の構成
ダウン レベルのドメイン コントローラーの構成に関して
も情報の収集、診断が可能
対象
Windows
Windows
Windows
Windows
DS BPA の実装
Server 2008 R2
Server 2008
Server 2003
2000 Server
PowerShell スクリプト
の実⾏による実装
1) PowerShell スクリプト
による情報の収集 (XML での保存)
2) XML Schema と収集
した情報の⽐較
3) ⽐較した結果を踏まえて
レポートの⽣成
New
Active Directory Web サービス
Active Directory Web サービス
Active Directory Web サービス (ADWS) の実装
Active Directory への Web サービス インターフェースの追加
Active Directory、ADLDS、AD Snapshot への接続が可能
Active Directory PowerShell のインターフェース
Active Directory Web サービスが停⽌していた場合、PowerShell を利⽤
した操作は実⾏できない (eg. Active Directory 管理センター)
Active Directory ドメイン サービスを構成することで⾃動的に
インストールされる
Active Directory Web サービス
構成
Active Directory Web サービス (ADWS) の構成
%windir%¥ADWS フォルダにインストール
Microsoft.ActiveDirectory.WebServices.exe.config ファイルで
パラメーターの変更が可能
パラメーターの詳細については以下の URL を参照
<Active Directory Web Services>
http://technet.microsoft.com/en-us/library/dd391908.aspx
認証⽅式としては以下の 2 種類をサポート
Kerberos
シンプル認証
New
オフライン ドメイン参加
オフライン ドメイン参加の概要
オフライン ドメイン参加機能の実装によるドメイン参加
プロセスの改善
従来)
クライアントがドメインに参加するためには必ずオンラインで
ドメイン コントローラーと通信する必要あり
今後)
Windows 7 および Windows Server 2008 R2 に関しては
オフラインでドメインへの参加が可能に
ダウンレベルの OS については利⽤不可
データセンターのサーバー、遠隔地へのサーバーの配置、
クライアントの⼀⻫展開をより効率的に実⾏可能に
オフライン ドメイン参加
Djoin.exe によるドメイン参加プロセスの実⾏
Djoin.exe は Windows 7、Windows Server 2008 R2 標準搭載
Djoin.exe の実⾏環境:
Windows 7、Windows Server 2008 R2 (それ以外は NG)
オフライン ドメイン参加の可能な OS
Windows 7、Windows Server 2008 R2 (それ以外は NG)
ドメイン コントローラー
既定では Djoin.exe の接続先となるドメイン コントローラーは
Windows Server 2008 R2
/downlevel オプションを使⽤することで Windows Server 2008 R2 以前の
ドメイン コントローラーでも利⽤可能
オフライン ドメイン参加の⼿順
1) Djoin.exe による AD へのコンピューター オブジェクト
の登録およびファイルの作成
Djoin /provision /domain <参加先のドメイン名> /machine <参加するコンピューター名>
/savefile <ファイル名.txt>
2) Djoin.exe /provision の操作で作成されたファイルをド
メインに参加するコンピューターにコピー
3) Djoin.exe によるオフラインドメイン参加の設定の実⾏
Djoin /requestODJ /loadfile <ファイル名.txt> /windowspath %SystemRoot%
※ 上記の⼿順以外にも Unattend.xml による構成も可能
その他の強化点
• ポリシー項⽬を⼤幅に追加
•
Windows Server 2008
•
•
•
Windows Vista のポリシーに完全対応
Windows Server 2008 管理項⽬を追加
Windows Server 2008 R2
•
•
Windows 7 のポリシーに完全対応
Windows Server 2008 管理項⽬を追加
• ADMX テンプレートに対応
•
•
•
XML 化
拡張性、保守性の向上
⾔語依存部と⾮依存部を分割
• グループポリシーオブジェクト (GPO) に
コピーされない構造
•
作成される各 GPO の容量を削減
•
DC 間の複製トラフィックを軽減
New
グループ ポリシーのフィルタ オプション
ポリシーの設定項⽬、説明、コメント内の
キーワードによるフィルタ表⽰
構成されたポリシーのみフィルタ表⽰ など
フィルター設定後
• ふりがなでソート、検索が可能に
• ふりがな属性の追加項⽬
• 姓
• 名
• 表⽰名
• 会社名
• 部署
Active Directory ユーザーとコンピュータ
• 属性エディタ
• ADSI Edit と同等の UI を実装
• DC 属性の表⽰
• DC の種類、サイト情報等を表⽰
• パスワード レプリケーション ポリシー タブ
• RODC 上での認証情報など確認可能
• オブジェクト削除の防⽌
• 誤操作によるオブジェクト削除を防⽌
まとめ
Active Directory はアーキテクチャを
保ちつつさらに進化
より柔軟に!
環境に応じたサーバー展開が可能に
よりセキュアに!
セキュアなサーバー構成の実現
より優れた管理性を!
運⽤をもっと容易に
他の章は下記をクリックして
PDF一覧からお入り下さい。
IT大全 (pdf 100冊)
http://www.geocities.jp/ittaizen
目次番号 270番 Windows Server Enterprise 2008 R2
完全解説 (再入門 )
全26冊
78
© Copyright 2024 Paperzz
