Active Directory 入門

【Active Directory入門 Part13】AD診断系コマンド16個紹介！ この記事の内容 Active Directory環境の健全性を確認するための診断コマンドを16個紹介します dcdiag、repadmin、dfsrdiag など、障害対応や日常運用で頻繁に使うコマンドを解説します グループポリシーの適用状況確認や、Kerberos認証のトラブルシューティングに使えるコマンドも含みます コマンドプロンプト（cmd）上での実行例とともに、実際の出力の見方を説明します このシリーズ（Active Directory入門）の最終回として、運用・保守の基礎知識をまとめます 診断コマンドを実行する準備 まずはコマンドプロンプトを起動します。「ファイル名を指定して実行」で cmd と入力してコマンドプロンプトを開き、以下のコマンドを順番に試してみてください。 1. dcdiag ― ドメインコントローラーの総合診断 Active Directory診断において最も重要なコマンドです。これ一つで多くの問題を検出できます。 dcdiag このコマンドを実行すると、ドメインコントローラーに対してさまざまなテストが自動的に実行されます。すべてのテストが成功（PASSED）していることを確認してください。 結果の見方の注意点 イベントログ関連のチェックは、「24時間以内に発生したエラー」を検出します。そのため、問題が解消された後もしばらくは失敗し続けることがあります。失敗項目があった場合は、実際のイベントログを確認して「今現在もエラーが発生しているか」を必ず確認してください。 詳細モードで実行する より詳細な診断結果が必要な場合は /v オプションを付けます。通常はこちらを使うことをおすすめします。 dcdiag /v 複数台のDCがある環境での実行 dcdiag には、リモートサーバーをまとめてテストするオプションもありますが、1台ずつログインして実行する方が確実です。各ドメインコントローラーにそれぞれログインし、dcdiag を実行してください。 2. netdom query fsmo ― FSMOロールの確認 FSMOロール（柔軟な単一マスター操作）がどのドメインコントローラーに割り当てられているかを確認します。 netdom query fsmo dcdiag /v の出力にもFSMOのチェック結果が含まれますが、一覧として見やすく確認したい場合はこのコマンドが便利です。 3. repadmin ― レプリケーション関連コマンド 3-1. レプリケーション状況の確認 現在操作しているドメインコントローラーがどのDCからどのパーティションを複製しているか、また最終複製日時を確認できます。 repadmin /showrepl または同等のオプション： repadmin /showreps すべてのレプリケーションが成功していることが非常に重要です。 3-2. レプリケーションの手動実行 現在操作しているDCのすべての入力方向レプリケーションを強制実行します。 repadmin /syncall 特定のサーバーを指定することもできます。「Active Directoryサイトとサービス」から手動で行うよりも、このコマンドを使う方が効率的です。 repadmin /syncall DC01 repadmin /syncall DC02 repadmin /syncall DC03 プッシュ方向（送信方向）で同期したい場合は /B オプションを追加します（通常は不要）。 ...

この記事の内容 Active Directoryのオブジェクトを誤って削除した場合の復元手順を解説します Windows Server バックアップを使用したシステム状態のバックアップ取得方法を紹介します ディレクトリサービス復元モード（DSRM）への切り替え方法を説明します ntdsutil コマンドを使ったオーソリティブリストアの実施手順を解説します 復元後に他のドメインコントローラーへ変更が複製されることを確認します フォレスト全体の復旧と、今回扱う範囲 Active Directoryの災害対策には、フォレスト全体が壊滅した場合のフォレスト回復手順があります。Microsoftが「ADフォレストの回復ガイド」として詳細な手順を公開していますが、実際の運用でこのシナリオに遭遇することはほぼありません。 なぜなら、シングルフォレスト・シングルドメイン構成であっても、複数のドメインコントローラーを置いておけば、1台でも生き残っていれば追加で新しいドメインコントローラーを参加させることで復旧できるからです。地理的に離れた場所や、クラウド上にドメインコントローラーを1台配置しておくだけで、フォレスト全体のバックアップリストアが必要になる状況は大幅に減らせます。 今回は、より現実的なシナリオ――誤って削除したオブジェクトをバックアップから復元する――に焦点を当てて説明します。ごみ箱機能を有効にしていない場合や、ごみ箱からも削除してしまった場合に対応するため、ディレクトリサービス復元モードを使ったオーソリティブリストアを実施します。 事前準備：Windows Server バックアップのインストール システム状態のバックアップを取得するために、まずWindows Server バックアップをインストールします。これは「役割と機能の追加」から追加できる「機能」として分類されています。 サーバーマネージャーを開き、「役割と機能の追加」 を選択します ウィザードを進め、「機能」 のページで 「Windows Server バックアップ」 にチェックを入れます インストールを完了させます なお、サードパーティ製のバックアップツールもWindowsServer バックアップをバックエンドとして利用しているケースが多いため、Windows Server バックアップ単体でも十分な機能を提供します。 システム状態のバックアップ取得 Windows Server バックアップをインストールしたら、バックアップを取得します。Active Directoryのオブジェクト情報は「システム状態」の中に含まれるため、システム状態のバックアップを取得します。 Windows Server バックアップを起動します 「単発バックアップ」 を選択します バックアップ対象として 「カスタム」 を選び、「システム状態」 を追加します バックアップ先のドライブを選択します（Cドライブには取得できないため、別のドライブが必要です） バックアップを実行します バックアップ先ディスクは、あらかじめディスクの管理でオンライン化・初期化・ドライブレターの割り当てを行っておく必要があります。 オブジェクトの削除（復元シナリオの準備） 今回の復元シナリオとして、TestOU 配下のユーザーオブジェクトを削除します。削除後は、他のドメインコントローラー（DC02）にも削除が複製されたことを確認しておきます。 A → → c t T D i e C v s 0 e t 2 O で D U も i 削 r 配 除 e 下 が c の 複 t ユ 製 o ー さ r ザ れ y ー て を い ユ 削 る ー 除 こ ザ と ー を と 確 コ 認 ン ピ ュ ー タ ー ディレクトリサービス復元モードへの切り替え オブジェクトを復元するには、通常のモードではなく「ディレクトリサービス復元モード（DSRM）」で起動する必要があります。切り替えには msconfig（システム構成）を使うのが簡単です。 ...

この記事の内容 Active Directoryの信頼関係（Trust）の概念と、フォレスト間・ドメイン間の違いを解説します 信頼関係を構成するための前提条件として、DNSの条件付きフォワーダー設定が必要である点を説明します 信頼関係ウィザードの各オプション（双方向/一方向、外部/フォレスト、認証範囲）の意味を紹介します FSMOロール（操作マスター）と信頼関係作成の関係性についても触れます 信頼関係を結んだ後、共有フォルダへのアクセス権で動作を確認する手順を紹介します 環境の構成 今回の解説で使用する環境は、2つのフォレストと合計5つのドメインで構成されています。 フォレスト1 ad.local（フォレストルートドメイン） sub.ad.local（サブドメイン） ebis.com フォレスト2 another.local（フォレストルートドメイン） sub2.another.local（サブドメイン） 同じフォレスト内のドメイン同士は、最初から相互に信頼関係が結ばれています。つまり、フォレスト1内のどのドメインのユーザーも、フォレスト1内の別ドメインのリソースにアクセスできます。今回は、この信頼関係を別フォレストにまで拡張していきます。 前提条件：DNSの設定 信頼関係を結ぶ前に、DNSで相互に名前解決できる状態にしておく必要があります。今回は条件付きフォワーダー（Conditional Forwarder）を使って設定しています。 フォレスト1側のDCでは、another.local に対して 10.1.10.x を指すよう条件付きフォワーダーを設定します。フォレスト2側のDCでは、ad.local や ebis.com に対してそれぞれのIPアドレスを指定します。 # a # a e n d b フ o フ . i ォ t ォ l s レ h レ o . ス e ス c c ト r ト a o 1 . 2 l m 側 l 側 で o で → → の c の 条 a 条 1 1 件 l 件 0 0 付 付 . . き → き 1 1 フ フ . . ォ 1 ォ 1 1 ワ 0 ワ . . ー . ー 1 4 ダ 1 ダ ー . ー 設 1 設 定 0 定 例 . 例 x （ フ ォ レ ス ト 2 の D C の I P ア ド レ ス ） サブドメイン（sub2.another.local など）については、フォレスト内で自動的に名前解決が委譲されるため、個別の設定は不要です。 ...

【Active Directory入門 Part10】SYSVOLとDFS-Rを理解する この記事の内容 SYSVOLとは何か、その共有フォルダ構造と実体の場所を解説します グループポリシーオブジェクト（GPO）がSYSVOLにどのように格納されているかを確認します DFSレプリケーション（DFSR）によってドメインコントローラー間でファイルが自動複製される仕組みを説明します スタートアップスクリプトをグループポリシーで設定する際の注意点を紹介します SYSVOLの正常性チェック方法と、FRSからDFSRへの移行経緯についても触れます SYSVOLとは Active Directoryのドメインコントローラーには、SYSVOLとNETLOGONという2つの共有フォルダが存在します。SYSVOLはグループポリシーなどのドメイン全体で共有すべき情報を格納するための重要な共有です。 ドメインコントローラー（例：DC01）の共有一覧には、次のようなパスでアクセスできます。 \ a D D d C C . 0 0 l 1 2 o \ \ c S S a Y Y l S S \ V V S O O Y L L S V O L ドメイン名（\\ad.local\SYSVOL）からアクセスした場合、PoliciesとScriptsというフォルダが表示されます。Policiesフォルダにはグループポリシーオブジェクト（GPO）が格納されており、Scriptsフォルダはスタートアップ・シャットダウンスクリプトなどの配置に使用します。 すべてのドメインコントローラーがこのSYSVOL共有を保持しており、ドメイン名からたどることができる構造になっています。 SYSVOLの実体の場所 SYSVOLの実体は、ドメインコントローラー上のローカルディスクに存在します。net shareコマンドで確認することができます。 ...

【Active Directory入門 Part9】FSMO（操作マスター）とは？役割の確認・転送・強制移行まで解説 この記事の内容 Active Directoryにおける「FSMO（操作マスター）」の5つの役割と2つのカテゴリーを解説します SIDとRIDマスターの関係を実際の属性値を交えて説明します 現在のFSMOロール保有者をdcdiagコマンドで確認する方法を紹介します GUIを使ったFSMOロールの転送手順を説明します DCが障害で消失した場合のntdsutilによる強制移行（seize）の考え方を紹介します FSMOとは Active Directoryには「FSMO（Flexible Single Master Operations）」と呼ばれる、操作マスターという非常に重要なロールがあります。通常、Active Directoryはマルチマスター構成であり、どのドメインコントローラーからでも変更を行えます。しかし一部の操作は、整合性を保つために1台のDCが専任で担当する必要があります。それがFSMOの役割です。 FSMOは5種類ありますが、大きく次の2つのカテゴリーに分けられます。 フォレストで1台だけ存在する役割 ドメインごとに1台存在する役割 フォレストで1台だけ存在するFSMOロール スキーママスター（Schema Master） スキーマとは、Active Directoryの属性やクラスを定義する場所です。スキーマの変更は整合性を保った状態で行う必要があるため、フォレスト全体で1台のDCがこの役割を担います。 ドメイン名前付けマスター（Domain Naming Master） フォレストへのドメインの追加・削除を管理する役割です。複数のドメインが同時に参加・脱退しようとした場合の競合を防ぐため、フォレストで1台がコントロールします。 ドメインごとに1台存在するFSMOロール RIDマスター（RID Master） Active Directoryの各オブジェクトにはSID（セキュリティ識別子）が付与されています。SIDはドメイン共通の「ドメインSID」部分と、オブジェクトごとに一意な末尾の番号（RID）で構成されています。 実際に属性を確認すると、objectSidという属性があり、次のような構造になっています。 S - 1 - 5 - 2 1 - < ド メ イ ン S I D > - < R I D > 例えば、Administratorのアカウントは末尾が500、Guestは501というように、RIDは連番で重複なく割り当てられます。Active Directoryはマルチマスターのため、どのDCでもオブジェクトを作成できます。そのため、「次に使えるRIDの範囲はここからここまで」という管理を一元化する役割が必要です。それがRIDマスターです。 PDCエミュレーター（PDC Emulator） アカウントのパスワードやロックアウト情報を管理するDCです。パスワード変更時などに1箇所で処理し、その情報を他のDCに伝えることで、整合性のある認証が行えます。 ...

【Active Directory入門 Part8】触るな危険!? Active Directoryのスキーマ この記事の内容 Active Directoryのスキーマとは何か、その基本概念を解説します スキーマ管理ツールはデフォルトで無効化されており、有効化にはコマンド実行が必要です スキーマはクラスと属性で構成され、オブジェクト指向の考え方と同じ構造を持ちます カスタム属性を追加するデモを通じて、スキーマ拡張の危険性を実際に確認します Exchange Serverのインストール時にスキーマ拡張が行われる仕組みについて説明します Active Directoryのスキーマとは Active Directory（AD）のスキーマとは、ADが扱うオブジェクトの「定義情報」のことです。データベースで言えばテーブルの構造定義に相当するもので、ユーザーやコンピューターといったオブジェクトがどのような属性を持てるかを規定しています。 スキーマはオブジェクト指向プログラミングの概念と非常に近い構造をしており、「クラス」と「属性」の2つの要素で構成されています。 クラス：オブジェクトの種類を定義するもの（例：ユーザー、コンピューター、グループ） 属性：各クラスが持てるデータ項目（例：アカウント名、メールアドレス、有効期限） たとえばAD上のユーザーオブジェクトは「Userクラス」に属しており、accountExpiresやsAMAccountNameといった数多くの属性を持っています。ADSIエディターでユーザーオブジェクトのプロパティを確認すると、これらの属性が一覧表示されます。スキーマ管理ツールで確認できる「Userクラスの属性一覧」と、ADSIエディターで見える属性一覧は対応しています。 スキーマ管理ツールの有効化 Active Directoryのスキーマ管理ツールは、意図しない操作による事故を防ぐため、デフォルトでは使用できない状態になっています。「Active Directory スキーマ」スナップインは、標準のツールメニューには表示されません。 スキーマ管理ツールを有効化するには、まず対象のDLLをシステムに登録する必要があります。以下のコマンドを実行してください。 regsvr32.exe schmmgmt.dll コマンドの実行に成功すると「登録に成功しました」というダイアログが表示されます。 その後、MMC（Microsoft管理コンソール）を起動してスナップインを追加することで、スキーマ管理ツールを使用できるようになります。 1 2 3 . . . W [ 一 i フ 覧 n ァ か d イ ら o ル 「 w ] A s c キ → t ー i [ v + ス e ナ R ッ D プ i で イ r 「 ン e m の c m 追 t c 加 o 」 と r と 削 y 入 除 力 ] ス し キ て ー 実 マ 行 」 を 選 択 し て 追 加 スキーマ拡張のデモ：カスタム属性の作成 スキーマ管理ツールでは、新しいクラスや属性を自分で定義することができます。ここでは説明のため、「FavoriteYouTuber」というカスタム属性を作成し、Userクラスに追加するデモを行いました。 ...

Active Directoryの複製ロジック～マルチマスタ、ディレクトリ複製、Tombstone～ この記事の内容 Active Directoryはマルチマスタ構成であり、どのドメインコントローラーからでも書き込みができます 同一サイト内のドメインコントローラー間では、オブジェクト作成後ほぼ即座に複製が行われます サイトをまたぐ複製はサイトリンクの設定（デフォルト60分間隔）に依存します 「今すぐレプリケート」操作を使うことで、手動で即時複製を実行できます 削除済みオブジェクトの保持期間（Tombstone Lifetime）は複製の上限日数に深く関わります 検証環境の構成 今回の検証では、以下の2台のドメインコントローラーを使用しています。 DC01：ad.local ドメイン DC02：ad.local ドメイン（同一ドメイン） 「Active Directoryユーザーとコンピューター」ツールを両方のDCに接続した状態で、複製の動作を確認していきます。 なお、ツール上でどのDCに接続しているかは、メニューの「ドメインコントローラーの変更」から明示的に切り替えられます。DC01で起動したからといって自動的にDC01を参照しているとは限らないため、必ず接続先を確認するクセをつけておくことが重要です。 マルチマスタとは Active Directoryはマルチマスタ（Multi-Master）方式を採用しています。これは、どのドメインコントローラーに対しても書き込み操作ができるという特徴です。 実際に検証してみると、DC01でユーザー「テスト1」を作成すると、しばらくしてDC02側にも同じオブジェクトが現れます。逆に、DC02でユーザー「テスト2」を作成した場合も、DC01側に複製されてきます。どちらのDCで作成しても、相互に複製されることが確認できます。 同一サイト内の複製 DC01とDC02が同じサイト（Default-First-Site-Name）に属している場合、オブジェクトを作成するとほぼ即座に複製が完了します。 repadmin コマンドで確認すると、作成直後の数秒〜1分以内に複製が成功していることがわかります。 repadmin /showrepl 同一サイトは直接の複製関係が確立されているため、このような高速な複製が実現します。 サイトをまたぐ複製 DC02を別のサイト（例：TestSite1）に移動すると、複製の動作が大きく変わります。 異なるサイト間の複製は、サイトリンクの設定に依存します。デフォルトのサイトリンク「DEFAULTIPSITELINK」では、複製間隔は 60分に1回 に設定されています。 この状態でDC01にオブジェクトを作成しても、DC02にはすぐには複製されません。前回の複製から60分が経過するまで、DC02側には新しいオブジェクトが現れません。逆方向（DC02→DC01）も同様です。 サイトリンクの複製間隔は、最短15分から最大10080分（約1週間）まで設定可能です。環境の要件に応じて調整できます。 手動で今すぐ複製する サイトをまたいでいる場合でも、今すぐ複製したい場面があります。そのような場合は、「Active Directoryサイトとサービス」から手動での即時複製が可能です。 手順 「Active Directoryサイトとサービス」を開く 対象のサイト → NTDS Settings を展開する 複製接続オブジェクトを右クリックし、「今すぐレプリケート」を選択する この操作は、対象のドメインコントローラーが「相手のDCから情報を引っ張ってくる」命令になります。 例えば、DC01の Default-First-Site-Name にある NTDS Settings で「今すぐレプリケート」を実行すると、DC01がDC02の情報を取得します。DC02側は引っ張る操作をしていないため、DC01の情報はまだ反映されていません。DC02にも反映させるには、DC02側（TestSite1）のNTDS Settingsでも「今すぐレプリケート」を実行する必要があります。 Tombstone（廃棄標識）とは オブジェクトを削除すると、その情報も他のドメインコントローラーへ複製によって伝播します。削除されたオブジェクトは「Tombstone（廃棄標識）」として一定期間保持されます。 Tombstoneの保持期間は、フォレストの Configuration パーティション 内の属性として管理されています。 確認方法 ADSIEdit から以下のパスを参照してください。 C o n → f i S → g e u r W → r v i a i n D t c d i i e o r o s w e n s c t パ N o ー T r テ y ィ シ S ョ e ン r v i c e この中の tombstoneLifetime 属性に保持日数が設定されており、デフォルト値は 180（日） です。 ...

【Active Directory入門 Part5】ドメイン参加 この記事の内容 Windows 10クライアントをActive Directoryドメインに参加させる手順を解説します ドメイン参加前に必要なDNSサーバーの設定について確認します ドメイン参加によってActive Directory上にコンピューターオブジェクトが作成される仕組みを説明します ローカルユーザーとドメインユーザーのプロファイルは完全に別物であることを解説します ドメイン移行時にユーザープロファイルの扱いに注意が必要な点を紹介します ドメイン参加前の準備：DNSサーバーの設定 ドメイン参加を行う前に、最も重要な前提条件がDNSサーバーの設定です。 クライアントPCのIPアドレス・サブネットマスク・デフォルトゲートウェイといった基本的なネットワーク設定はもちろん必要ですが、特に注意すべきはDNSサーバーの向き先です。クライアントのDNSサーバーには、Active Directoryで使用しているDNSサーバー（ドメインコントローラー）を指定しておく必要があります。 今回の例では、クライアントのDNSサーバーとして 10.1.1.1（DC01.ad.local）を設定しています。 この理由は、Active DirectoryのDNSにはSRVレコードが含まれており、クライアントはそのSRVレコードを参照してドメインコントローラーを探すからです。ドメインコントローラーのレコードが書かれていないDNSを参照している状態では、ドメインコントローラーを見つけられず、ドメイン参加が失敗してしまいます。 ドメイン参加前のローカルユーザーとプロファイルの確認 ドメイン参加後の変化を分かりやすく理解するために、参加前の状態を確認しておきましょう。 今回のクライアントPCには、ローカルの Administrator ユーザーでサインインしている状態です。このユーザーのプロファイルは以下のパスに存在します。 C : \ U s e r s \ A d m i n i s t r a t o r このフォルダ配下にデスクトップやドキュメントなどのデータが格納されており、たとえばデスクトップにはスクリプトファイルが置かれています。この状態を覚えておいてください。ドメイン参加後にこのファイルがどう見えるかが重要なポイントになります。 ドメイン参加の手順 ドメイン参加はシステムのプロパティから行います。「コンピューター名」の変更画面を開き、ドメインとして ad.local を入力します。 DNSによってドメインコントローラーが検索・発見されると、認証情報の入力を求めるダイアログが表示されます。ここではドメインに参加する権限を持つユーザーの資格情報を入力します。 ユーザー名の書き方は2通りあります。 # a # A d d 従 \ モ m 来 A ダ i の d ン n 形 m な i 式 i 形 s n 式 t i （ r s U a t P t r N o a 形 r t 式 @ o ） a r d . l o c a l どちらでも動作しますが、UPN形式の方がモダンな書き方です。 ...

【Active Directory入門 Part6】ADのパーティションってなんだ？ この記事の内容 Active Directory のデータベースは複数の「パーティション」に分かれて構成されています ADSI エディターを使うと、各パーティションの中身を直接確認できます ドメインパーティションはドメインごとに異なり、構成・スキーマパーティションはフォレスト全体で共有されます グローバルカタログは複数ドメインの情報を保持しますが、属性の一部しか持ちません パーティションごとに複製（レプリケーション）の範囲が異なります 前提となるフォレスト・ドメイン構成 今回の解説では、以下のドメイン構成を前提としています。 フォレストルートドメイン: ad.local 子ドメイン1: resort.local 子ドメイン2: sub.ad.local 別ドメイン: ebisuda.com この4つのドメインが1つのフォレストに属している状態です。「ドメインと信頼関係」スナップインでこの構成を事前に確認しておくと、パーティションの理解がスムーズになります。 ADSI エディターでパーティションを確認する パーティションの内容を確認するには、**ADSI エディター（ADSIEdit.msc）**が便利です。 ADSI エディターを起動したら、左ペインで右クリックし「接続」を選択します。接続先として「既定の名前付けコンテキスト」などいくつかの選択肢が表示されます。 ルート DSE とは まず「ルート DSE」という特殊なエントリを紹介します。ルート DSE はどの AD 環境にも存在する「道標」のような場所です。ここに接続してプロパティを確認すると、以下のような情報が取得できます。 defaultNamingContext（既定の名前付けコンテキスト） configurationNamingContext（構成の名前付けコンテキスト） ルート DSE 自体はパーティションではありませんが、各パーティションへの接続情報を案内してくれる起点となります。 たとえば DC01（ad.local のドメインコントローラー）でルート DSE を確認すると、defaultNamingContext は DC=resort,DC=local と表示されます。一方、DC042（ebisuda.com のドメインコントローラー）では DC=ebisuda,DC=com と表示されます。同じ属性でもドメインコントローラーの立場によって異なる値が返ってくることがわかります。 パーティションの種類 1. ドメインパーティション ドメインパーティションには、そのドメインに属するユーザーやコンピューターなどのオブジェクト情報が格納されています。 ADSI エディターで「既定の名前付けコンテキスト」に接続すると、CN=Users、CN=Builtin などのコンテナが表示されます。これがドメインパーティションの中身です。 重要な特徴: ドメインパーティションはドメインごとに異なります。ad.local のドメインコントローラーは ad.local のドメインパーティションを保持しており、ebisuda.com のドメインコントローラーは ebisuda.com のドメインパーティションを保持しています。別ドメインのドメインコントローラーは、他ドメインのドメインパーティションを持ちません。 2. 構成（コンフィギュレーション）パーティション ADSI エディターで「構成」に接続すると、CN=Configuration,DC=ad,DC=local というパーティションに接続されます。これが**構成パーティション（コンフィギュレーションパーティション）**です。 ...

【Active Directory入門 Part3】Active DirectoryとDNS この記事の内容 Active DirectoryがDNSと深く統合して動作しており、DNSなしではADは機能しないことを解説します DNSの前方参照ゾーンにあるSRVレコードの役割と、ドメインコントローラーの位置情報がどのように管理されているかを説明します シングルフォレスト・シングルドメイン構成に加え、子ドメイン（サブドメイン）とツリードメインの違いを実機デモで確認します _msdcs.ad.local ゾーンがフォレスト全体に複製される理由と、その重要性を解説します ツリードメイン追加時に発生するDNS名前解決の問題と、条件付きフォワーダーによる解決手順を紹介します DNSマネージャーでActive DirectoryのDNS構成を確認する Active DirectoryはDNSを使って動作しています。まずはDNSマネージャーを使って、その構成を確認してみましょう。 DC01サーバー上でDNSマネージャーを起動すると、DC01が接続されています。DNSマネージャーは複数のサーバーに接続して管理できるため、DC02など他のサーバーに接続して情報を確認することも可能です。 DNSマネージャーを展開すると、以下のような項目が確認できます。 前方参照ゾーン 逆引き参照ゾーン トラストポイント 条件付きフォワーダー 前方参照ゾーンとADドメイン名の対応 まずは前方参照ゾーンを見ていきましょう。この環境はシングルフォレスト・シングルドメイン構成であり、フォレスト名・ドメイン名ともに ad.local です。 DNSにも ad.local という名前の前方参照ゾーンが存在しており、ADのドメイン名とDNSのドメイン名が一致している状態になっています。 ゾーン内には以下のようなレコードが登録されています。 ドメインコントローラーのDC01、DC02のAレコード メンバーサーバーやドメイン参加済みPCのAレコード（PCname.ad.local 形式） ネームサーバーレコード（NSレコード） これらはいずれも通常のDNSの仕組みによるものです。 SRVレコードの役割 通常のDNSの話と異なる重要な要素が、ゾーン内にある _msdcs や _tcp、_udp といったサブドメイン配下のレコードです。 これらの中には、SRVレコードが含まれています。SRVレコードには以下のような情報が記録されています。 どのサーバーがドメインコントローラーであるか どのポート番号でアクセスできるか Kerberosや各種サービスのエンドポイント情報 クライアントはDNSを参照してSRVレコードを確認することで、ドメインコントローラーの場所を特定できます。 また、SRVレコードには重み付けも設定でき、「このDCを優先的に使え」「同じ重みで使え」といった制御も可能です。 _msdcs.ad.local ゾーンの特別な役割 DNSマネージャーには _msdcs.ad.local というゾーンがあります。これはフォレストレベルで重要な情報を格納するゾーンです。 このゾーンにはGUIDとドメインコントローラー名の変換情報などが含まれており、このゾーンが存在しないとActive Directoryは正常に動作しません。 後述するマルチドメイン構成の説明の通り、このゾーンはフォレスト全体のすべてのDNSサーバーに複製される設定になっています。これにより、どのドメインのDNSサーバーからでもフォレストのDC情報を参照できます。 なお、ad.local ゾーンはドメイン内のDNSサーバーにのみ複製されますが、_msdcs.ad.local ゾーンはフォレスト全体に複製される点が異なります。 AD統合モードDNSについて ad.local ゾーンのプロパティを確認すると、「アクティブディレクトリ統合」と表示されています。これはDNSのゾーン情報がADのデータベース内に格納され、ADの複製機構を使ってDNS情報も複製される仕組みです。 レプリケーションスコープは以下のように選択できます。 このドメインのすべてのDNSサーバー — ドメイン内のDCにのみ複製 このフォレストのすべてのDNSサーバー — フォレスト全体のDCに複製 ad.local のドメイン固有のゾーンはドメイン内のみ、_msdcs.ad.local のフォレストゾーンはフォレスト全体に複製されます。 ...

Active Directoryの構造を理解する【入門 Part2】 この記事の内容 Active Directoryの全体的な構造（フォレスト・ドメイン・コンテナ・OU・サイト）を解説します 管理ツール3種（ドメインと信頼関係・ユーザーとコンピューター・サイトとサービス）の役割を説明します コンテナとOU（組織単位）の違いと使い分けを整理します サイト・サブネット・サイトリンクの概念と、ドメインコントローラーのレプリケーション制御について解説します シングルフォレスト・シングルドメイン環境を例に、構造の確認方法を紹介します Active Directory管理ツールの概要 Active Directoryの構造を確認するには、サーバーマネージャーからではなく、ツールメニューから専用の管理ツールを使います。主に使用するツールは以下の3つです。 Active Directoryドメインと信頼関係 — フォレストとドメインの構成を確認する Active Directoryユーザーとコンピューター — ドメイン内のコンテナ・OU・ユーザー・コンピューターを管理する Active Directoryサイトとサービス — サイト構成とドメインコントローラーのレプリケーションを管理する サーバーマネージャーでADDSのタイルをクリックすると情報は表示されますが、実際の管理作業はこれらの専用ツールから行います。 フォレストとドメインの確認 「Active Directoryドメインと信頼関係」ツールを開くと、フォレストとドメインの全体像を把握できます。 ドメインのプロパティを確認すると、以下の情報が確認できます。 ドメイン名（NetBIOS名） — ダウンレベルドメイン名とも呼ばれ、フルドメイン名の先頭部分が使われます（例：ad.local であれば AD） ドメインの機能レベル — Windows Server 2016が現時点での最新です。Active Directoryは事実上完成された技術とされており、2016以降は機能追加がほとんどないため、最新がWindows Server 2016となっています ここでは信頼関係の有無も確認できます。信頼関係が設定されていない場合、シングルフォレスト・シングルドメイン構成であることがわかります。 コンテナとOU（組織単位）の違い 「Active Directoryユーザーとコンピューター」ツールを開くと、ドメインの内部構造を確認できます。ドメインを展開すると、いくつかのオブジェクトが並んでいます。 コンテナ ドメイン作成時から自動的に存在するオブジェクトの格納場所です。代表的なものは以下の通りです。 コンテナ名 用途 Builtin 既定のセキュリティグループ Computers ドメイン参加済みコンピューター Users ユーザーアカウントやセキュリティグループ コンテナはアイコンがフォルダ型で、プロパティを開いてもタブがほとんどありません。 OU（組織単位） 管理者が新規作成する構造化の単位です。「DomainControllers」がOUの代表例で、アイコンの見た目がコンテナと若干異なります。プロパティを開くと複数のタブが表示される点もコンテナとの違いです。 新規作成時は「組織単位」として作成します。 右 ク リ ッ ク → 新 規 作 成 → 組 織 単 位 OUにはコンテナにはない機能として、制御の委任が行えます。これにより、特定の管理権限を別のユーザーやグループに委任することができます。 ...

Active Directory入門 Part1 — まずは把握すべき要素・概念・単語をざっと理解！ この記事の内容 Active Directoryの基本構造（フォレスト・ドメイン・コンテナ・OU・サイト）を解説します DNSとの関係、認証プロトコル（Kerberos・NTLM）についてまとめます ドメインコントローラーのデータベース構造とパーティションの概念を説明します グループポリシー・ドメイン参加・信頼関係など運用に欠かせない概念を整理します 複製のロジックやトゥームストーン、障害対策・診断コマンドにも触れます Active Directoryとは Active Directoryは、企業の中で広く使われているディレクトリサービスです。Windows 2000の時代、すなわち20年以上前から存在しており、現在も多くの企業環境で中心的な役割を担っています。 この記事では、画面操作の詳細には踏み込まず、Active Directoryを理解する上で知っておくべき用語・概念・構造をざっと把握することを目的としています。 基本構造：フォレスト・ドメイン・コンテナ・OU フォレストとドメイン Active Directoryの構造は、大きなものから順に以下のようになっています。 フォレスト — 最も大きな管理単位 ドメイン — フォレストの中に1つ以上作成できる管理単位 コンテナ・OU — ドメインの中に作成する小さな管理単位 ドメインには example.com や test.local のようなDNSドメイン名と同じ形式の名前が付きます。これはActive Directoryが内部的にDNSを利用しているためです。ただし「ドメイン」という概念そのものは、DNSが使われる以前のWindows NT時代から存在しており、その名残でDNSのドメイン名と重なる形になっています。 フォレストの中には複数のドメインを作成できます。例えば以下のような構造が可能です。 フ ├ ├ └ ォ ─ ─ ─ レ ─ ─ ─ ス ト e a x x b y a c z m . . p e e l x x e a a . m m c p p o l l m e e （ . . ル c c ー o o ト m m ド （ （ メ 子 子 イ ド ド ン メ メ ） イ イ ン ン ） ） また、フォレスト自体を複数に分けることもできます。その場合は完全に独立したActive Directory環境が複数存在することになります。Active Directoryについて話す際は、ドメインだけでなくフォレストの構成も確認することが重要です。 ...